Сетевой безопасностью компании озаботились сразу с началом развития корпоративных сетей и Интернета, и межсетевые экраны стали устанавливаться в корпоративной ИКТ-инфраструктуре вслед за антивирусами.
По мере развития ИКТ и все более глубокого их проникновения в повседневную бизнес-практику трансформируются и задачи межсетевого экранирования. О своем видении этого процесса и о нынешнем состоянии сетевого экранирования научному редактору PC Week Валерию Васильеву рассказал руководитель системных инженеров компании Fortinet Алексей Андрияшин.
PC Week: Как вы охарактеризовали бы изменения, происходящие сегодня в ландшафте ИБ-угроз?
Алексей Андрияшин: Я думаю, что их следует увязывать с быстрыми изменениями ИКТ. Прежде всего, это мобильность, облака, большие данные, Интернет вещей — IoT. За этими переменами в ИКТ ИБ-угрозы следуют буквально по пятам.
Лавинообразный рост числа устройств и приборов, имеющих, с одной стороны, подключение к Интернету, а с другой — через корпоративную сеть к корпоративным ИКТ-ресурсам, обязывают корпоративные ИБ-службы обеспечивать безопасный, защищенный режим доступа сотрудников с мобильных устройств (в том числе и по программе BIOD), а также контроль обмена данными интернет-подключенных вещей, причем так, чтобы это не сказывалось на эффективности бизнеса. Это, безусловно, один из мощных современных факторов влияния на корпоративную ИБ в целом и на сетевое экранирование в частности.
Развитие облачных технологий позволяет передавать корпоративные данные, в том числе и чувствительные, с использованием услуг облачных операторов. Однако облачная среда в этом случае для клиентов остается неуправляемой. Доверие к облачным операторам, к их квалификации является сегодня главным вопросом при использовании облаков. Несмотря на это облачные сервисы развиваются активно, у них хорошие перспективы, которые в ближайшее время реализуются и на российском рынке тоже.
PC Week: Как изменения в ИКТ влияют на подходы к реализации сетевого экранирования?
А. А.: Традиционные принципы сетевого экранирования безвозвратно ушли в прошлое. Практически все представленные сегодня на мировом рынке межсетевые экраны (FW) имеют в своих названиях приставки NG (устройство следующего поколения) либо UTM (универсальный шлюз безопасности).
Информирование о своих продуктах поставщики современных межсетевых экранов начинают с заявлений о том, что экраны эти являются не обычными анализаторами сетевых пакетов, а программно-аппаратными комплексами, реализующими большое количество (как можно больше!) функций и сервисов ИБ, способными анализировать почтовый трафик, работу приложений и поведение пользователей, противодействовать DDoS-атакам и ещё многое другое.
Современные угрозы делятся на известные, которые можно блокировать именно потому, что мы знаем, каковы их признаки, и неизвестные, противостоять которым можно только используя аналитические инструменты, применяемые к собираемым по всему миру быстро меняющимся большим объемам данных об инцидентах, о поведении пользователей и приложений.
Кстати, оперативная доставка данных в современные системы сетевого экранирования построена на облачных технологиях. В функционировании любого NGFW- и UTM-устройства используются результаты работы многочисленных ИБ-специалистов, которые объединены в исследовательские и аналитические лаборатории, распределенные по всему миру. Сами же межсетевые экраны являются лишь острием противодействия современным ИБ-угрозам и одновременно частью многочисленных датчиков об изменениях в ландшафте ИБ-угроз для упомянутых лабораторий. Так что изменения в сетевом экранировании вполне обоснованны.
PC Week: Получается, что разработчики сетевых экранов (наряду с разработчиками многих других средств защиты, например DLP) тяготеют к созданию универсальных ИБ-комбайнов, ориентированных на максимальное количество ИБ-задач и способных стать центрами принятия решений по ИБ-событиям? Как же при этой тенденции сегодня выстраиваются границы между разными ИБ-средствами?
А. А.: Сошлюсь на пример компании Fortinet. В ее продуктовом портфеле есть много предложений: межсетевые экраны, экраны защиты веб-приложений, системы противодействия распределенным угрозам, инструменты защиты рабочих станций, средства защиты от DDoS-атак и даже система управления событиями информационной безопасности.
В Fortinet считают, что предлагать все эти средства порознь менее эффективно, чем реализовать разработанную ею концепцию Fortinet Security Fabric, которая учитывает подходы к построению бизнеса у конкретного заказчика, способы реализации у него ИБ-защиты. Продукты, предлагаемые Fortinet в рамках этой ИБ-фабрики, взаимодействуют между собой по разработанным специализированным техническим протоколам, интегрируются, реализуя бесшовное цельное ИБ-решение. Кстати, в эту фабрику могут быть интегрированы решения сторонних производителей ИБ-средств.
Нишевые же ИБ-решения могут использоваться лишь как отдельные инструменты для выполнения частных требований к ИБ.
PC Week: Можете ли вы привести примеры востребованных ныне облачных ИБ-сервисов?
А. А.: Конечно. По способу предоставления их можно разделить на две группы. Первая — модель Customers Premises Equipment — подразумевает, что средства защиты размещаются в инфраструктуре клиента, а их настройками и управлением занимается провайдер. Такие сервисы в России уже предоставляют несколько компаний, в частности «Ростелеком».
Вторая — облачная модель, в которой все основные мощности системы корпоративной ИБ размещаются в ИКТ-инфраструктуре провайдера, и клиент получает сервисы, не заботясь о том, на каком «железе» и софте они реализуются. Эта модель, как считают эксперты, наиболее привлекательна для бизнес-клиентов, и именно она является главным драйвером развития ИКТ-услуг в целом и ИБ-услуг в частности.
В США по этой модели работает, например, оператор AT&T, в Японии — NTT. В России решения для предоставления таких услуг прорабатывают крупнейшие операторы связи, и наша компания участвует в данном процессе с целью обеспечения ИБ этих решений. В завершающей стадии находится проект реализации сервисов безопасности из облака с использованием архитектуры Software Defined Network. Клиент из личного кабинета может сам выбрать то ИБ-оборудование, которое сочтет наиболее подходящим для данной услуги, либо он может руководствоваться иными критериями, определяющими качество сервиса.
Из возможных ИБ-услуг, которые на российском рынке, как я думаю, будут представлены уже в этом году, назову межсетевое экранирование, защищенный удаленный доступ, противодействие атакам DDoS, экранирование веб-приложений и некоторые другие — практически все наиболее востребованные виды защиты информации.
PC Week: А какие задачи сетевого экранирования целесообразно решать все же внутри корпоративного периметра, а не у ИБ-провайдера?
А. А.: Корпоративный периметр (несмотря на его размытие в условиях использования мобильности и облачных технологий) можно разделить на две части — внешнюю и внутреннюю. Через внешний периметр данные передаются в Интернет, в сети сторонних организаций. Внутренний же очерчивает корпоративное ИКТ-пространство, в котором данные обрабатываются и передаются, не покидая его. В него включаются сетевые сегменты филиалов и партнерских сетей. Данные внутреннего сегмента можно и нужно эффективно контролировать своими силами. Более того, внешние провайдеры ИБ-услуг при внутренних ИБ-инцидентах порой даже не смогут правильно среагировать на них — разве что оказывая консультационные услуги.
Для построения высокоэффективной защиты внутри периметра компании нужно максимально подробно разделить внутреннюю сеть и ИКТ-ресурсы на сегменты и на границах между ними разворачивать межсетевые экраны со специфическими настройками, отражающими особенности этих защищаемых сегментов.
Кстати, в среде ИБ-специалистов на смену термину «информационная безопасность» приходит новый — «киберустойчивость», который точнее характеризует способность компании противостоять изменчивому ландшафту киберугроз.
PC Week: Эксперты утверждают, что к 2020 г. в мире будет шифроваться около 90% сетевого трафика. Как к этому готовятся разработчики сетевых экранов?
А. А.: Для производителей решений безопасности это действительно вызов, поскольку анализ шифрованного трафика требует дополнительных вычислительных ресурсов. Выигрывают те вендоры, которые в архитектуре своих устройств используют аппаратные средства ускорения шифрования-дешифрования трафика.
Однако на передний план здесь выступают не технические, а этические и юридические аспекты. Ведь межсетевой экран является посредником между пользователем и ресурсом, которые взаимодействуют по зашифрованному каналу. Экран разрывает сессию, представляясь пользователю как ресурс, а ресурсу — как пользователь и отображая то, что должно предоставляться тому и другому. Каждой организации приходится решать вопрос легитимности этого процесса индивидуально, отражать подходящее решение в своих ИБ-политиках, уведомлять пользователей о том, что доступ к определенным ресурсам будет контролироваться с использованием дешифровки трафика. В этом случае важна работа с пользователями.
PC Week: Усложнение задач защиты информации требует автоматизации работы ИБ-специалистов. Все чаще используется новый термин intellectual security. Как влияет на решения сетевого экранирования «интеллектуализация» ИБ? Где, на каких рубежах, в каких блоках сетевого экранирования должен быть сосредоточен этот интеллект?
А. А.: Уверен что в течение ближайших пяти лет интеллектуализация, а точнее, развитие методов автоматизации позволит исключить значительно влияние человека на принятие эффективных решений по противодействию угрозам. Повторюсь, говорить можно и нужно об автоматизации процесса анализа больших данных, о выявлении корреляций между ИБ-событиями, о создании экспертных систем, с помощью которых ИБ-специалистам будут предлагаться наиболее вероятные сценарии развития угроз и эффективного противодействия им, прогнозировать вероятность атак.
PC Week: По мере цифровизации бизнеса задача обеспечения ИБ становится все более актуальной, риски в области ИБ превращаются в важные бизнес-риски. Каким образом эти трансформации бизнеса и ИБ отражаются на организации корпоративной ИБ или, как теперь говорят, киберустойчивости?
А. А.: Киберустойчивость (или, по старинке, ИБ) может быть эффективной только тогда, когда все применяемые в ее рамках технические средства защиты и организационные меры служат основным интересам бизнеса компании. ИБ становится полноценным бизнес-процессом, который наряду с другими бизнес-процессами нацелен на решение основных бизнес-задач — стратегических (вроде получения прибыли, повышения эффективности бизнеса, устойчивости) и тактических (повышение рыночной стоимости, маржинальности и т. п.).
Для построения корпоративной ИБ в такой парадигме наиболее оптимален риск-ориентированный подход. Прежде чем браться за какое-либо изменение в ИБ, тем более за внедрение той или иной ИБ-инновации, нужно проанализировать риски, которым подвержена компания, и совместно с представителями бизнеса оценить влияние на них предполагаемых изменений в ИБ.
ИБ ради нее самой никто уже не строит. Те немногие, кто этим занимается, тратят средства впустую.
PC Week: И в заключение относительно вашего бизнеса в России. Недавно стало известно о сертификации межсетевых экранов FortiGate Enterprise Firewall с FortiOS 5.4.1 на соответствие требованиям ФСТЭК. Что дает сертификация по первому классу защищенности?
A. А.: Сертификация позволяет продавать наши решения государственным организациям, банкам, страховым компаниям — везде, где применяются информационные системы первого класса защищенности. На сегодняшний мы практически единственная компания на российском, обладающая сертификатами в соответствие с новыми требованиями ФСТЭК, утвержденными в сентябре 2016 г. Для нас очень важно, чтобы все заказчики, нуждающиеся в высокоэффективных межсетевых экранах для защиты персональных данных своих клиентов, получили доступ к нашим решениям в России. Именно поэтому мы хотим соответствовать нормам российского законодательства и активно занимаемся вопросами сертификации.
PC Week: Угрозы постоянно эволюционируют. Сертифицируется же конкретная версия. Как долго обеспечиваемая FortiOS 5.4.1 защита будет адекватна?
А. А.: FortiOS 5.4.1 будет адекватна современным угрозам настолько долго, насколько данная версия будет поддерживаться компанией Fortinet (как минимум до окончания срока действия сертификата 16 марта 2020 г.). Пользователи сертифицированных решений могут быть уверены в актуальности решений, так как производителем обеспечен механизм своевременного обновления баз обнаружения и предотвращения угроз.
PC Week: Благодарю за беседу.