Blog

Other languagesSrbija Srbija   English English   

Zašto nam više konvencionalni firewall nije dovoljan?

Uzevši u obzir tematiku i sadržaj sastanaka s klijentima kojima sam prisustvovao u posljednje vrijeme, uvijek smo imali pitanje iz naslova kao jedan dio razgovora. Naravno, formulacije su uvijek drugačije, ali suština se nije mijenjala. “Zašto moj firewall koji sve ove godine radi svoj posao sada više ne predstavlja dovoljno dobru zaštitu? “. Pa, odgovora ima mnogo i iracionalno bi bilo ovdje pisati detaljnu analizu, te ću se potruditi da u nekoj kratkoj i pitkoj formi objasnim zašto je ta (za naše standarde) visoka investicija ipak opravdana.

 

Konvencionalni firewall-i su prosto rečeno vojnici. Dobri, poslušni i odani. Nikada ništa neće uraditi dok im ne date eksplicitno naređenje i bezuvjetno će poslušati. Što ovo točno znači? Pa, primjera radi, ako mu zadate da zabrani pristup nekom resursu on će vas slijepo poslušati bez obzira na posljedice (pa makar bio i izgubljen pristup samom uređaju). Dakle, pravi primjer spartanskog odgoja.

 

Firewall nove generacije (NG-Firewall) je sve što i prethodnik, samo s dodatnim mogućnostima, odnosno taj isti vojnik samo s radio vezom. Dodatna vrijednost koju plaćate je upravo ova radio veza (jednim dijelom), kojom vojnik dobiva informacije o svim poznatim kretnjama neprijatelja. I dalje on neće uraditi ništa na svoju ruku, bez eksplicitnog naređenja, ali će biti dosta spremniji da odgovori na sve vrste napada koji su mu unaprijed opisani. Isto tako, ovaj naš vojnik je sposoban da prisluškuje i dešifrira komunikaciju koja se odvija na bojnom polju oko njega. Dakle, nerazumljivih informacija za njega praktično ni nema. A u današnje vrijeme , uzevši u obzir tehnološku razinu suvremenog svijeta, ovo zvuči prilično impresivno, zar ne?

Ostavimo impresije po strani. Pričajmo objektivno. Dobivate li potpuno siguran IT sistem? Odgovor u jednoj riječi je – NE! Ne postoji takav sistem, barem ne još. Pa čemu onda ovolika investicija u nešto što mi ne osigurava miran san? Koliko god paradoksalno zvučalo, odgovor je ušteda. I vremena, i radne snage, i administracije, i aktualizacije. Licenca kojom NG firewall skuplja podatke o kibernetičkim prijetnjama omogućava korisniku pristup bazi podataka proizvođača koju drže aktualnom timovi koji broje stotine ljudi. Dakle, vi po cijeni licence dobivate:

  • Tim koji prati trendove kibernetičke sigurnosti na svjetskom nivou
  • Tim koji prati i testira veliki dio klijentskih aplikacija i potencijalnih “rupa” u njima
  • Tim koji prati “zdravost” internet web stranica
  • Tim koji prepoznaje viruse
  • Tim koji prepoznaje modele neželjenog ponašanja
  • Tim koji analizira e-mail promet
  • Tim koji može dekriptirati kriptirani mrežni promet
  • Tim koji prati sve mogućnosti koje služe za izbjegavanje sigurnosnih mehanizama
  • I još dosta toga…

Kada bi bilo potrebno zaposliti sve ove ljude kako bi se sustav s običnim firewall-om “napunio” svim ovim informacijama, trošak bi bio višestruk. A opet, pitanje je bi li se sve to moglo odraditi u toku ne jednog radnog dana, već i unutar 24 sata.

Sada, kada znamo što sve dobivamo i koje su nam mogućnosti, red je da zagrebemo malo dublje i da analiziramo trenutno stanje:

Skaliranje uređaja

Prva velika i dobra stvar je da se cijena hardware-a u posljednje 2 godine skoro pa dvostruko snizila. Proizvođači su napravili dosta dobar potez izmjenom ponude, te sada kod svih vodećih proizvođača postoje uređaji namijenjeni svim segmentima (da, čak i za mikrolokacije od po 5 zaposlenih) po veoma pristupačnim cijenama. Ovo ne znači da je kvaliteta pala, već jednostavno tehnološki razvoj proizvođača hardware-a je omogućio upravo ovakav pad cijena. Komponente su jeftinije iz dana u dan. Proizvođača specijaliziranih čipova (ASIC/SoC) ima sve više, te i konkurencija čini svoje. Sve to ide u prilog krajnjim korisnicima.

Performanse

Nekada je ubacivanje UTM-a (koji je preteča ovih sadašnjih NGFW) u infrastrukturu bila ozbiljna glavobolja svima. Rezultat je najčešće bio takav da više od pola featurea na kraju završe u statusu disabled. Performanse su bile znatno niže, te su sve inspekcije koje su se obavljale unosile dosta kašnjenja u prijenos podataka. Sada je slika sasvim drugačija. Uređaji su opremljeni monstruoznim procesorima, posvećenim čipovima (kriptografija,  SD-WAN, DPI, itd) višestruko većom količinom memorije (radne i interne). Proizvođači su značajno unaprijedili i optimizirali operativne sisteme uređaja, što je također doprinjelo performansama, ali i korisničkom iskustvu administratora.

Stvaranje eko-sistema

Većina proizvođača je shvatila da korisnik ne želi administrirati svoj sustav s 50 različitih mjesta/konzola/portala. Korisnik želi jednu točku upravljanja nad cjelokupnom infrastrukturom. Upravo to je bila osnova inicijative da se „pod jedan krov“ stave sve komponente korporativne kibernetičke sigurnosti (NGFW, AV, mail zaštita, DLP, itd) kako bi se što efikasnije zaštitili zaposlenici. Zbog ove inicijative sve navedene komponente međusobno razmjenjuju informacije o statusu resursa koje štite, i zajednički djeluju da u slučaju bilo kakvog incidenta što prije reagiraju i time smanje rizik od neke veće štete. Jedna konzola za sve ovo. Prilično impresivno, zar ne?

Osim što komponente pričaju međusobno unutar korporativnog IT sustava, imaju još jednu dobru odliku, a to je da informacije o prepoznatim prijetnjama razmjenjuju preko javno dostupnih centara (threat exchange). Proizvođači su najzad shvatili da nije prednost tko što zna, već kako to što zna iskoristi za zaštitu korisnika.

Navedena 2 tipa komunikacije daju najbolje objašnjenje sigurnosnog „eko-sistema“, koji je na kraju krajeva neophodan, uzevši u obzir koliko se broj napada na dnevnom nivou povećava.

Potrebe korisnika i IPS

Zakonske regulative, broj napada, kriptiran mrežni promet, inteligentni virusi (polymorphic npr.) su realni pritisci na sigurnost svakog sustava koji izazivaju panic-mode u svakom od nas. Svega ovog nije bilo do prije par godina. Zato je i običan firewall imao smisla i svrhu. Sada je situacija potpuno drugačija. Hakiranje više nije primarno usmjereno prema institucijama od kojih se može imati financijska korist. Napadi su sada masovni, ne biraju mete, rijetko kada se dogodi profilirani napad (barem na našem području). Web stranice na deep-webu na kojima možete kupiti razne hakerske usluge nude i DDoS napade raznog obima, pa možda dok ovo čitate vaše računalo bez vašeg znanja šalje zahtjeve ka nekom webu jer je dio bot mreže? Ili će netko iskoristiti vaše računalo da pokuša provaliti u Pentagon?

Ovakve slučajeve običan firewall ne može prepoznati jer obično zone-based firewall za lokalnu mrežu misli da je „trusted“. Čak i da nema svjesne potrebe za ovim iskorakom, dovoljno je da ste pročitali ovaj tekst čisto informativno i shvatili da u divljini interneta postoje razne opasnosti koje vrebaju.  Upravo ove informacije će stvoriti svjesnu potrebu da se dodatno osigurate. Ne čekajte da se dogodi incident, jer to je najbolniji scenarij koji vam se može dogoditi.  Na kraju krajeva suština stane u jednu rečenicu: “Potreban mi je IPS.”

Kriptiran mrežni promet

…je posebna priča. Od ideje da se zaštitimo od napada i „prisluškivanja“ na relaciji klijent-server, došli smo do toga da nam to ipak ne daje nikakvu sigurnost, jer su se i hakeri pridružili ovom trendu. Malware plasiraju preko zaraženih servera unutar kriptirane konekcije, te uređaj koji nije sposoban da zaviri unutar ove konekcije nema nikakvu šansu da ovakav napad zaustavi. Netko će reći: “Pa što, imam anti-virus na računalu.” Kada virus uđe unutar vaše mreže, velika je vjerojatnost da će naći i neku stanicu gdje će se udomiti, zaspati i kada dobije naređenje krenuti u napad. Ili možda omogućiti pristup u vašu mrežu. Ili možda skinuti neki nelegalan sadržaj s vaših adresa. Ili možda to već radi?

Web kontrola

Ovim servisom precizno možete ograničiti pristup sadržajima na internetu, i to sve preko unaprijed definiranih kategorija. Zaposlenike možete spriječiti u pristupu neželjenim web stranicama, aplikacijama, protokolima… Također, smanjujete mogućnost curenja informacija iz tvrtke. Smanjujete mogućnost od problema nastalih „slučajnim klikom“ na reklamu/link/itd… Jednostavno, s vaše mreže moguće je doći samo do resursa koje vi smatrate primjerenim.

Siguran pristup resursima preko VPN

Svi NGFW uređaji u sebi imaju integriranu podršku za udaljeni pristup mreži koju štite. Osim jako pouzdanih i za upotrebu lakih klijenata, omogućit će i detaljna prava pristupa s mogućnošću logiranja. Dakle, ako već netko mora raditi s udaljene lokacije, imat će te precizan uvid u to kada, odakle i čemu je pristupano.

Što NGFW nije?

Nije svemoguć. Neće riješiti sve vaše potencijalne rizike, ali dat će vam dobar uvid u to što se događa u vašoj mreži, kakvo je ponašanje i kakve su navike vaših zaposlenih. Onemogućit će pristup neželjenim sadržajima. Odradit će anti-virus inspekciju mrežnog prometa (kriptiranog i ne kriptiranog).

Nije ni primarno namijenjen za zaštitu javno dostupnih servisa. Činjenica je da neka rješenja mogu dati neke osnovne funkcije reverznog proxy servisa, ali NGFW je primarno nešto što će vašu unutrašnju mrežu učiniti sigurnijom. Zaštitit će je u skladu sa svojim mogućnostima na granici s Internetom, a ako vas zanima ova tema detaljnije, javite nam se pa ćemo se potruditi da i tu temu obradimo na sličan način.

Za sve dodatne informacije, tu smo za vas!

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!