Blog

Other languagesHrvatska Hrvatska   Srbija Srbija   English English   

Zakaj običajni požarni zid ni dovolj?

Zadnje čase se na sestankih s partnerji, vedno poraja eno in isto vprašanje: “Zakaj moj požarni zid ni več dovolj dobra zaščita? “. No, odgovorov je veliko in neracionalno bi bilo, če bi tukaj napisali podrobno analizo, potrudili pa se bomo, da v kratki obliki pojasnimo, zakaj je (za naše standarde) velika naložba upravičena.

 

Običajni požarni zidovi so preprosto rečeno vojaki. Dobri, poslušni in zvesti. Nikoli ne bodo storili ničesar, dokler jim ne izrecno naročite in vas bodo brezpogojno poslušali. Kaj to točno pomeni? No, na primer, če mu naročite, da prepove dostop do vira, vas bo slepo poslušal ne glede na posledice (tudi če je izgubil dostop do same naprave). Pravi primer špartanske vzgoje.

 

 

Požarni zid nove generacije (NG-Firewall) je enak kot njegov predhodnik, le z dodatnimi zmogljivostmi, rečemo ji radijska veza. In prav ta dodana vrednost, ki jo plačujete, je ta radijska povezava, s katero vojak dobi informacije o vseh znanih gibanjih sovražnika. Še vedno ne bo storil ničesar sam, brez izrecnega naročila, vendar bo veliko bolj pripravljen odgovoriti na vse vrste napadov, ki so mu opisani vnaprej. Prav tako je ta naš vojak sposoben prisluhniti in razvozlati komunikacijo, ki poteka na okoli njega. Tako zanj praktično ni nerazumljivih informacij. In dandanes glede na tehnološko raven sodobnega sveta to zveni precej impresivno, kajne?

Pustimo vtise ob strani. Pogovorimo se objektivno. Imate popolnoma varen IT sistem? Odgovor z eno besedo je – NE! Takšnega sistema, vsaj za enkrat, še ni. Zakaj torej toliko vlagati v nekaj, kar vam ne zagotavlja mirnega spanca? Kakor paradoksalno se morda sliši, je odgovor varčevanje. In čas, delo, uprava in aktualizacija. Licenca požarnega zidu NG, ki zbira podatke o nevarnosti, omogoča uporabniku dostop do proizvajalčeve baze podatkov, ki jo ureja številčna ekipa. Torej, za ceno licence dobite:

  • Ekipo, ki spremlja varnostne trende po vsem svetu
  • Ekipo, ki spremlja in testira aplikacije in potencialne “luknje” v njih
  • Ekipo, ki spremlja “zdravje” spletnih strani
  • Ekipo, ki prepozna viruse
  • Ekipo, ki prepozna vzorce neželenega vedenja
  • Ekipo, ki analizira poštni promet
  • Ekipo, ki lahko dešifrira šifrirane komunikacije
  • In še veliko več …

Če bi vse te ljudi zaposlili, da bi običajni sistem požarnega zidu vseboval vse te podatke, bi bili stroški ogromni. In spet je vprašanje, ali bi vse to lahko izvedli v enem delovnem dnevu oziroma v roku 24 ur.

Skaliranje naprave

Prva velika in dobra stvar je, da se je cena strojne opreme v zadnjih dveh letih skoraj prepolovila. Proizvajalci so s spremembo ponudbe naredili precej dobro potezo in zdaj imajo vsi vodilni prodajalci naprave, zasnovane za vse segmente (da, tudi za mikro podjetja do 5 zaposlenih) po zelo ugodnih cenah. To ne pomeni, da je kakovost upadla, ampak preprosto tehnološki razvoj proizvajalcev strojne opreme je omogočil tak padec cen. Sestavni deli so iz dneva v dan cenejši. Specializiranih proizvajalcev čipov (ASIC / SoC) je vedno več in tako konkurenca naredi svoje. Vse to je v prid končnim uporabnikom.

Izvedba

Nekoč je bila uvedba UTM-ja (to je predhodnik trenutnih NGFW) v infrastrukturo prinesla glavobol za vse. Najpogosteje je bil rezultat ta, da več kot polovica funkcij konča v statusu disabled. Uspešnost je bila precej nižja, vsi pregledi pa so povzročili veliko zamud pri prenosu podatkov. Zdaj je slika povsem drugačna. Naprave so opremljene z mogočnimi procesorji, namenjenimi čipom (kriptografija, SD-WAN, DPI itd.) z veliko količino pomnilnika (tako delovnega kot notranjega). Proizvajalci so bistveno izboljšali in optimizirali operacijske sisteme naprave, kar je prispevalo tudi k uspešnosti in uporabniški izkušnji skrbnika.

Ustvaranje eko-sistema

Večina prodajalcev je ugotovilo, da uporabnik noče upravljati svojega sistema s 50 različnih spletnih mest / konzolov / portalov. Uporabnik želi eno točko, s katero upravlja nad celotno infrastrukturo. To je bila osnova za pobudo, da se varnostne korporativne komponente (NGFW, AV, zaščita pošte, DLP itd.) postavijo pod eno streho, da se lahko zaposleni kar najbolj učinkovito zaščitijo. Zaradi te pobude si vse te komponente izmenjujejo informacije o stanju virov, ki jih ščitijo, in si skupaj prizadevajo, da se v primeru kakršnega koli dogodka čim hitreje odzovejo in s tem zmanjšajo tveganje večje škode. Ena konzola za vse to. Precej impresivno, kajne?

 

Poleg komponent, ki se med seboj pogovarjajo znotraj korporativnega IT sistema, imajo še eno dobro lastnost, in sicer izmenjavo informacij o ugotovljenih grožnjah prek javno dostopnih centrov za izmenjavo groženj. Prodajalci so končno spoznali, da ni prednost tega, kdo ve kaj, ampak kako to znanje uporabiti za zaščito uporabnika.

Ti dve vrsti komunikacije zagotavljata najboljšo razlago za varnostni ekosistem, ki je navsezadnje potreben glede na naraščajoče število napadov na dnevni osnovi.

Potrebe uporabnikov in IPS

Zakonodaja, število napadov, šifriran promet, inteligentni virusi (npr. polymorphic) so resni pritiski na varnost vsakega sistema. Vse to se je dogajalo še pred nekaj leti. Zato je imel navaden požarni zid smisel in namen. Zdaj je situacija povsem drugačna. Napadi niso več usmerjeni predvsem na institucije, od katerih imajo finančno korist. Napadi so zdaj množični, ne izbirajo tarč, redko ko se zgodi profiliran napad. Spletna mesta, na katerih lahko kupite različne hekerske storitve, omogočajo tudi DDoS napade različnih razsežnosti, mogoče prav vaš računalnik, med tem ko vi berete članek, pošilja zahteve brez vaše vednosti. Ali pa bo kdo uporabljal vaš računalnik, da bi poskusil vdreti v Pentagon? Navadni požarni zid takšnih primerov ne prepozna, ker običajno požarni zid za lokalno omrežja meni, da je “zaupanja vreden”.

Prav je, da ste informirani in da zavedate, da se v naravi interneta dogajajo različne nevarnosti. Prav te informacije bodo ustvarile zavestno potrebo po tem, da si zagotovite dodatno. Ne čakajte, da se zgodi incident. Bistvo vsega zgoraj napisanega lahko povzamemo v enem stavku: Potrebujem IPS.

Kriptiran mrežni promet

… je posebna zgodba. Iz ideje, da bi se zaščitili pred napadi in “prisluškovanju« na relaciji stranka-strežnik, smo prišli do dejstva, da nam to ne daje nobene varnosti, saj so se tudi hekerji pridružili temu trendu. Zlonamerna programska oprema, ki se trži prek okuženih strežnikov znotraj šifrirane povezave, in naprava, ki ne more pokukati v to povezavo, nima možnosti, da bi ustavila tak napad. Nekdo bo rekel: pa kaj, saj imam anti-virus v računalniku. Ko virus vstopi v vaše omrežje, je zelo velika verjetnost da bo našel prostor kjer počaka na ukaz, da gre v napad.

Spletni nadzor

S to storitvijo lahko natančno omejite dostop do vsebin v internetu, in sicer prek vnaprej določenih kategorij. Zaposlenim lahko preprečite dostop do neželenih spletnih mest, aplikacij, protokolov … Zmanjšate tudi možnost uhajanja informacij iz podjetja. Zmanjšate možnost težav, ki so posledica “nenamernega klika” na oglas / povezavo / itd … Zelo preprosto je, dostopate le do virov, ki se vam zdijo ustrezni.

Varen dostop virov prek VPN

Vse naprave NGFW imajo integrirano podporo za oddaljeni dostop do omrežja, ki ga ščitijo. Poleg tega, da je zelo zanesljiv in enostaven za uporabo, bo zagotovil tudi podrobne pravice za prijavo. Če nekdo dela z oddaljene lokacije, boste vedeli kdaj, kje in do česa se dostopa.

Kaj NGFW ni?

Ni vsemogočen. Ne bo rešil vseh vaših potencialnih tveganj, vendar vam bo dobro predstavil, kaj se dogaja v vašem omrežju in kakšno so vedenja in navade vaših zaposlenih. Preprečil bo dostop do neželene pošte. Opravil bo pregled protivirusnega prometa (navadnega in šifriranega).

Primarno ni namenjen za zaščiti javno dostopnih storitev. Dejstvo je, da nekatere rešitve morda ponujajo nekaj osnovnih povratnih proxy funkcij, toda NGFW je predvsem nekdo, ki bo vaše notranje omrežje bolj zavaroval. Če vas ta tema podrobneje zanima, nas kontaktirajte, mi pa se bomo potrudili, da vam jo predstavimo bolj podrobno.

Za vse dodatne informacije, tu smo za vas!

Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?

Kontaktirajte nas!