Реклама

С тех пор, как в жизнь человечества вошел Интернет, в службах безопасности появилось особое направление сетевой безопасности. В фокусе внимания сетевой безопасности – создание надежных «ворот», через которые в корпоративную сеть сможет попасть только безопасный интернет-трафик.

Тем временем мир технологий сетевой безопасности – это целый космос, который развивается уже десятки лет. Сетевые экраны в режиме реального времени отражают огромный спектр атак и веб-угроз, которые могут обрушиться на бизнес из сети.

Приглашаем вас в виртуальное путешествие, где разберемся, каким образом «закалялся характер» сетевого экрана в ходе его эволюции, почему он стал именно таким, каким мы видим его сегодня, и чего ждать от него в ближайшем и более отдаленном будущем.

От первого компьютерного вируса к первому сетевому экрану

ПО для отслеживания пиратских копий Brain заражает компьютеры под ОС Microsoft MS-DOS. Сетевой червь Morris парализует работу 6000 интернет-узлов американской сети ARPANET. Это становится началом антивирусной дискуссии и приводит к первой судимости в США в соответствии с Computer Fraud and Abuse Act.

Компьютерная индустрия начинает искать «лекарство». Так появляются системы фильтрации, которые стали известны как брандмауэры с пакетным фильтром. Возникает концепция шлюзов сеансового уровня – брандмауэры с контролем состояния, которые и стали первыми сетевыми экранами. В отличие от пакетных фильтров, они не требуют повторной авторизации после проверки каждого пакета.

На рынок выходит первый коммерческий сетевой экран

Разработки 1990-х сыграли существенную роль в создании прообраза современного сетевого экрана. На рынке появляется первый коммерческий сетевой экран, который обеспечивает защиту на прикладном уровне.

Выходит брандмауэр приложений, который различает протоколы FTP, HTTP, DNS и несколько конкретных приложений. Появляется сетевой экран с инспектором состояния.

Создатели вирусов тоже не стоят на месте: в 1995 г. на широкую дорогу выходит вирус Winword.Concept. Он распространяется вместе с файлами документов популярного текстового процессора Microsoft Word for Windows версии 6.0 и 7.0.

Из программ-посредников для отдельных протоколов формируется направление SPI

В ходе эволюции фаерволов на сцене появились программы-посредники для отдельных протоколов, которые затем оформились в новое технологическое направление инспекции пакетов (Stateful packet inspection, SPI).

Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения-посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро адаптировать систему под новые задачи. До сих пор технология SPI является обязательной частью всех сетевых экранов.

Российские разработчики представляют первые межсетевые экраны. Они создаются под конкретные задачи определенных заказчиков. Вместе с этим начинается разработка РД Гостехкомиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

Оформляется направление технологий обнаружения и предотвращения вторжений

Исследования проникновения вредоносного ПО в целевую сеть без обнаружения системами безопасности привели к появлению систем обнаружения и предотвращения вторжений: IDS (Intrusion Detection Systems), IPS (Intrusion Prevention System), IDPS Intrusion Detection and Prevention Systems. На рынке появляется первая система IDS/IPS с открытым кодом. Она умеет выполнять анализ трафика в реальном времени и протоколировать пакеты в IP-сетях.

Между тем, появились сетевые атаки на отказ в обслуживании – DoS-атаки (Denial of Service). Первое событие такого рода произошло в 1996 г.: интернет-провайдер Panix подвергся атаке SYN flood, его услуги были отключены на несколько дней, пока поставщики оборудования срочно придумывали меры защиты. В этом же году впервые был опубликован набор публичных инструментов с исходным кодом для осуществления DDoS-нападений.

В 1999 г. сервер Университета Миннесоты перестал отвечать на запросы пользователей. Оказалось, что сервер находится под такой мощной атакой, с какой мир еще не сталкивался. В 2000 г. проведены атаки вируса RiverHead & MafiaBoy, из-за которого почти неделю лежали такие ресурсы, как Yahoo!, Fifa.com, Amazon.com, eBay, CNN, Dell и др.).

С их приходом закончилась эра первых механизмов защиты от DoS-атак: Blackhole («черная дыра»), позволяющих полностью прекратить поток трафика на атакуемый сервер, и Sinkholing («воронка»), использующий перенаправление трафика на заданный сервер, где он блокируется. Наступила эра распределенных DoS-атак (DDoS), и наиболее крупные атаки эти методы уже не могли нейтрализовать.

Появление и эволюция концепции UTM

В 2004 году в отчете IDC появляется термин UTM (Unified Threat Management) – универсальное программное или аппаратное решение на основе брандмауэра, интегрированного с IPS и другими сервисами безопасности. Фактически система UTM представляет собой многофункциональный шлюз, обеспечивающий комплексную защиту от сетевых угроз, на единой платформе.

Однако Gartner относит универсальные шлюзы к защитным системам, применяемым преимущественно в малом и среднем бизнесе. А вот альтернативой UTM для крупных компаний должны стать продукты NGFW, то есть продвинутые брандмауэры, оснащенные IPS, системами контроля пользователей и приложений. В профессиональном сообществе начинаются жаркие дискуссии, каким должен быть межсетевой экран следующего поколения. И можно ли таковым считать UTM.

В 2006 г. происходит заметное усиление рыночных позиций шлюзов приложений (сетевых экранов, работающих на верхнем уровне модели OSI), которые фильтровали трафик по протоколам прикладного уровня. Они выполняют не только проверку приложений, глубокую проверку пакетов (Deep Packet Inspection, DPI), но и проверку состояния. Их уникальность в том, что они выполняют роль двух дополнительных хостов (прокси-серверов), один из которых взаимодействует с внешними сетями, а другой – с внутренними хостами. Правда, у тщательной проверки есть недостаток – зачастую она замедляет работу приложений.

Принято единое определение NGFW

Аналитики компании Gartner впервые использовали термин «Next Generation Firewall» в 2008 году. Начинается широкая дискуссия о том, каким должен быть фаервол нового поколения.

На рынке появляется первый коммерческий сетевой экран, который официально позиционируется как NGFW. Он контролирует доступ пользователя к приложениям и обрабатывает трафик на нескольких процессорах одновременно.

В 2011 г. компания Gartner выпускает первый единый «Магический квадрант» по решениям NGFW. После этого компания начинает проводить исследования отдельно для UTM и NGFW.

К концу 2010-х дискуссия UTM vs. NGFW сойдет на нет. Концептуально эти два класса продуктов не различаются – они объединяют на одной платформе разнообразные варианты проверок трафика на периметре сети. Разница проявляется на технологическом уровне: идея UTM подразумевает последовательную обработку трафика разными системами контроля, а NGFW – параллельную, то есть более производительную.

Повышение производительности UTM- и NGFW-продуктов – задача, над которой продолжают работать вендоры сетевых экранов. В 2009 г. был реализован механизм кластеризации для обеспечения высокой доступности и производительности в UTM-шлюзах. Плюс к этому постоянный рост мощности серверных процессоров – все это сделало разницу в производительности UTM и NGFW несущественной.

В 2009 г. появилась архитектура программных блейдов (Software Blade Architecture). Она позволяет, управляя всеми средствами обеспечения безопасности через единую консоль, быстро расширять функциональность средств защиты, в том числе аппаратных. Все благодаря добавлению на имеющееся оборудование необходимых компонентов программного обеспечения, называемых программными блейдами.

Вся отрасль наконец принимает предложенное Gartner определение NGFW. Главное отличие NGFW от предыдущих поколений фаерволов – наличие функции глубокой проверки пакетов (DPI) на уровне приложений, а не только в рамках инспекции портов и протоколов. Вендоры UTM-продуктов переименовали их в NGFW.

Активный рост рынка NGFW – и в России, и в мире

Аналитики IDC подсчитали, что темп роста отечественного рынка UTM-решений, включая сегмент устройств управления безопасностью и уязвимостями, за четыре года составил 28%. Одним из стимулов роста стало внедрение аппаратных высокопроизводительных сетевых экранов в сетях операторов связи, поскольку решения такого уровня стали дешевле. Такая тенденция прослеживается во всем мире. По оценкам IDC, в период 2008-2016 гг. мировой рынок UTM увеличился более чем в 5 раз и достиг объема 5,7 млрд долларов.

Поколение продуктов NGFW «десятых» достигло заметного ускорения скорости работы, появляются сложные наборы правил анализа трафика и гибкие настройки политик безопасности. Начинается миграция корпоративного сектора на межсетевые экраны нового поколения. Причем спрос на NGFW усиленно растет со стороны крупных компаний: операторов ЦОД, крупных сетевых провайдеров и услуг безопасности, государственных учреждений.

Российские разработчики заявляют о планах вывода на рынок своих продуктов NGFW. ФСТЭК России выпускает новые требования к МСЭ, в которых появляются профили защиты сетевых экранов. А компания Gartner в 2018 г. перестает разделять рыночные сегменты UTM и NGFW. «Магический квадрант» охватывает всех производителей под единым названием Network firewall.

Заметной тенденций на рынке стал рост продаж виртуальных МСЭ и функциональности МСЭ в формате облачного сервиса – так называемые FWaaS. По оценкам J'son & Partners Consulting, быстрый рост сегмента полнофункциональных МСЭ за счет опережающих темпов роста выручки от подписок и техподдержки обеспечил высокие темпы роста рынка сетевой безопасности в целом – выше 20% ежегодно, что сопоставимо с ростом рынка облачных услуг.

Выход на рынок Solar webProxy

Компания «РТК-Солар» выпускает на рынок Solar webProxy, продукт класса Security Web Gateway (SWG, шлюз веб-безопасности), который ранее развивала в составе DLP-системы Solar Dozor. Он устанавливается на границе сети и осуществляет контроль доступа пользователей и приложений к веб-ресурсам, защиту от веб-угроз с помощью функциональности межсетевого экрана со встроенной технологией SPI.

В качестве шлюза веб-безопасности Solar webProxy работает на прикладном уровне (L7) и защищает от веб-угроз эффективнее, чем традиционные межсетевые экраны. Отсутствие привязки к аппаратным платформам и встроенный балансировщик нагрузки позволяют легко масштабировать Solar webProxy без снижения отказоустойчивости системы.

Система доказывает свою работоспособность в сетях крупных заказчиков. Компания, работающая в сфере жизнеобеспечения населения, проводит успешный пилотный проект перехода с зарубежного продукта на российское решение, ничего не потеряв в части функциональности. Для демонстрации надежности пилот распространяют на всю организацию, а это почти 14 тыс. пользователей, которые одновременно выходят в Интернет.

Западные вендоры ИБ покинули российский рынок. С чем столкнулись компании?

Февраль 2022 г. буквально взорвал устоявшиеся бизнес-отношения и расклад рыночных сил. Зарубежные вендоры, на долю которых в конце 2021 г. приходилось до 80% российского рынка ИБ, стали прекращать обновления баз сигнатур и самих систем, отменяли уже согласованные поставки, в одностороннем порядке разрывали контракты на техподдержку.

Некоторые устройства безопасности, работавшие в сетях российских компаний, без обновлений превращались в «кирпичи». Заказчикам приходилось фактически заново выстраивать систему защиты на отечественных решениях, причем делать это в условиях мирового кризиса микроэлектроники, из-за которого сроки поставок могли растянуться до года.

Один из вариантов выхода из ситуации – переход на формат виртуального использования NGFW наравне с традиционным форматом ПАК. Это предполагает установку программной части NGFW на «железо» заказчика.

Все это происходит на фоне резко усилившихся кибератак, направленных на российские организации и предприятия критической инфраструктуры. Общее количество событий информационной безопасности у российских компаний за 2022 г. увеличилось практически в два раза, а характер угроз постоянно менялся. При этом наиболее распространенным типом угроз в сфере сетевой безопасности стали целевые атаки – на их долю пришлось 35% инцидентов.

По итогам 2022 г., 91% российских компаний уже используют сервисы класса NGFW или планируют их внедрение в ближайшие два года, 84% заказчиков завили, что планируют переход на отечественные средства защиты, а 76% отметили, что начнут миграцию в течение 2023 г.

На российский рынок выходит Solar NGFW – программный фаервол следующего поколения для крупных корпораций

В ответ на запрос рынка компания «РТК-Солар» выводит на рынок Solar NGFW – межсетевой экран нового поколения, изначально ориентированный на крупные корпорации, то есть на обеспечение высокой производительности в сложных условиях.

Решение полностью отвечает ключевым потребностям заказчиков:

- высокая скорость работы (20 Гбит/с);
- развитая функциональность и удобство работы для защиты корпоративного сектора;
- высочайшая надежность, необходимая для больших инсталляций;
- высокая доступность, гарантируемая, в том числе, виртуальным исполнением продукта.

Solar NGFW – это первый российский NGFW для крупного бизнеса, который может рассматриваться как аналог ушедших из России иностранных NGFW. Отличительная особенность Solar NGFW – применение сигнатур IPS от Solar JSOC – крупнейшего в России коммерческого SOC. Архитектура продукта подразумевает легкое масштабирование как в виртуальной, так и в программно-аппаратной реализации.

Переход на отечественное ПО в России: 75% рынка NGFW займут российские решения

По прогнозам аналитиков «РТК-Солар», к 2025 г. российский рынок межсетевых экранов нового поколения достигнет объема 19,1 млрд руб. без НДС, а российские разработчики займут на нем не менее 75%.

Solar NGFW активно растет и развивается. Его ожидает усиление производительности, надежности и стабильности работы на уровне самых высоких мировых стандартов:

- скорость работы межсетевого экрана достигает 100 Гбит/с;
- появляется полноценная отказоустойчивость с кластером Active-Active;
- реализовано полнофункциональное централизованное управление для администрирования всех фаерволов в большой корпоративной сети;
- появляются агенты NGFW, которые доверенно размечают трафик для ускорения работы DPI, что дает возможность ускорить и другие механизмы защиты (IPS, антивирус и т.д.).

Наш мир несовершенен и останется несовершенным в будущем – в нем всегда будут действовать злоумышленники, стремящиеся использовать кибератаки для достижения своих целей. Причем, как известно, нападающая сторона всегда опережает обороняющуюся на несколько шагов.

«РТК-Солар» стремится к тому, чтобы технологии межсетевого экранирования не уступали развитию киберугроз и обеспечивали максимально оперативную реакцию на любые, даже самые изощренные инциденты ИБ. Для этого в Solar NGFW объединен «интеллект» Solar NGFW и Solar JSOC. Cкорость, с которой анализируются атаки в Solar JSOC, создаются новые сигнатуры и распространяются обновления для Solar NGFW, будет непрерывно расти.

Это позволит во всеоружии встречать любую новую угрозу. Заказчику не нужно будет думать, каким образом обеспечивается его безопасность – его бизнес будет работать бесперебойно.

Узнайте больше о том, как Solar NGFW решает задачи защиты крупного бизнеса от сетевых угроз и на какие практические результаты можно рассчитывать.