Марк Люк, директор по информационной безопасности Zscaler в регионе ЕМЕА, объясняет на портале Information Age, как изменение парадигмы использования Интернета привело к тому, что межсетевой экран больше не справляется со своими задачами.

Брандмауэр, или сетевой экран — один из самых известных элементов технологии кибербезопасности. Базовое представление о его предназначении имеют даже люди, далекие от ИТ, и отчасти это объясняется его популярностью в голливудских фильмах. Когда хакеру из фильма нужно проникнуть в центральный компьютер, он часто сталкивается с брандмауэром, защиту которого он быстро обходит, яростно стуча по клавиатуре.

Это пример того, как жизнь подражает искусству, поскольку первое упоминание брандмауэра в контексте кибербезопасности действительно появилось в фильме «Военные игры», который был снят в 1983 г. Потребовалось почти десятилетие, чтобы этот термин вошел в общий лексикон ИБ-специалистов. На протяжении 80-х и 90-х эту технологию продвигали такие профессионалы, как Джефф Могул, Стив Белловин, Билл Чезвик, Маркус Ранум и Нир Зук. К середине 90-х подключение компаний к Интернету стало обычным делом, а угрозы становились все более серьезными. Брандмауэр стал для организаций чрезвычайно популярной и необходимой технологией.

В то время брандмауэр действительно приносил пользу, поскольку Интернет в 90-е состоял из нескольких сотен серверов (по сравнению с десятками миллионов в своей современной итерации), то есть был гораздо проще по структуре, к тому же более простыми были и сами угрозы. Что касается хакеров, то в отличие от глобальных, поддерживаемых отдельными государствами групп, с которыми мы сталкиваемся сегодня, они были в основном одиночками, поэтому межсетевой экран был идеальным решением для фильтрации трафика на предмет отсутствия зловредного софта. Сеть была безопасной, Интернет — нет, и брандмауэр сдерживал проникновение в нее опасностей извне.

Парадигма изменилась

То, как мы используем Интернет, коренным образом изменилось с 90-х. Теперь это не просто инструмент, используемый для выполнения работы в офисе, или забава скучающего офисного работника, — он вошел в жизнь каждого человека. Угрозу представляют уже не хакеры, а уязвимости приложений и сервисов, которыми мы пользуемся в повседневной жизни, будь то социальные сети, потоковые сервисы или любые другие приложения. Источниками этих угроз теперь являются даже надежные компании, образующие экосистему поставщиков.

Однако индустрия межсетевых экранов не осталась в стороне, и в них встраивались все новые функции для борьбы с новыми угрозами. Не ограничиваясь фильтрацией пакетов, брандмауэры обзавелись антивирусами, защитой от DoS, VPN и туннелированием, возможностями по обнаружению ботнетов и многим другим. Это превратилось в гонку вооружений, и по мере наращивания функциональности росла их сложность и связанные с ними сетевые задержки и расходы. Когда все средства контроля предприятия оказались собраны в одном месте, межсетевой экран стал единственной защитой для предприятий и почти единственным средством, которое хакеры не могли обойти.

Перспективы брандмауэра ставились под сомнение еще в самом начале его существования. В 2008 г. Чезвик назвал его «экономичным решением для слабой защиты хоста», тогда как Белловин — «низкосортным контролем доступа к малоценным ресурсам».

Облако и мобильность наносят последний удар

Если и был какой-то сдвиг, который прозвучал похоронным звоном для брандмауэра, то это было облако и мобильность, которую оно всем дает. Пандемия коронавируса, конечно, ускорила переход к облаку и еще глубже вогнала гвозди в его гроб. Сегодня бизнес действует за пределами корпоративного брандмауэра — в самом Интернете.

Брандмауэр оказал большую услугу кибербезопасности, но устарел и как технология, и как архитектура. Это связано не только с его возрастом и расползанием функциональности, но и с тем, что он построен на устаревших представлениях о доверии. Наличие брандмауэра подразумевает, что одна сторона является более надежной, чем другая, а поскольку интернет-трафик перетекает с одной стороны на другую, это уже не так. На самом деле, это подразумеваемое доверие может не снизить риски, но еще больше увеличить их.

Брандмауэр предполагает, что предприятии должны доверять сети и IP-адресам, в то время как в современном мире необходимо вооружиться подходом с нулевым доверием (Zero Trust). Он основан на подтверждении идентичности пользователя в сочетании с применением бизнес-политики на основе контекстных данных пользователя, устройства, приложения и контента для предоставления авторизованного прямого доступа к приложениям и ресурсам. Модель Zero Trust сама берет трафик под контроль, а не затормаживает его за счет передачи ему контролирующих функций. Она подразумевает, что каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо ресурсу внутри или за пределами сети.

Недавнее исследование ESG «The State of Zero-trust Security Strategies» показало, что более трех четвертей (77%) команд ИТ-безопасности ожидают перехода на гибридную модель работы, и это приведет к необходимости введения новых и расширенных требований безопасности. Как продемонстрировал недавний отчет Zscaler «2021 VPN Risk Report», 72% компаний уделяют первоочередное внимание внедрению модели безопасности Zero Trust, а 59% ускорили ее внедрение в связи с акцентом на удаленную работу.

В мире, где можно работать из любой точки земли, системы контроля на основе периметра, в первую очередь это брандмауэры, быстро устаревают. Чтобы рассредоточить средства контроля безопасности, а также повысить производительность и масштабируемость, подход Zero Trust задействует облачную архитектуру, и это гораздо более привлекательный и эффективный способ защиты предприятий. Проблема брандмауэра заключается в том, что люди думали, что им нужен лучший инструмент, в то время как на самом деле им нужна лучшая архитектура.