Значимость внедрения межсетевого экрана нового поколения в информационную инфраструктуру крупной компании

PT Application Firewall - защитный экран уровня приложений, разработан в 2014 году и предназначен для выявления и блокирования сетевых атак [24]. По классификации Gartner относится к межсетевым экранам прикладного уровня, предназначенным для защиты веб-приложений (Web Application Firewall, WAF). По результатам актуального ежегодного отчёта Magic Quadrant for Web Application Firewalls (от 07 августа 2017 года) является одним из претендентов (визионером) на лидерство рынка, оставив позади решение Amazon Web Services и соревнуюсь на равных с компаниями Citrix и Fortinet [25]. По своей сути WAF являются узкоспециализированными NGFW, нацеленными на защиту веб-приложений (например сайтов или систем дистанционного банковского обслуживания, мобильных приложений) от угроз OWASP TOP 10 (отчёт, описывающий десять наиболее критичных рисков безопасности веб-приложений, это могут быть SQL-инъекции, недочёты в аутентификации, отсутствие контроля доступа), утечек данных, атак нулевого дня, а также атак обхода WAF.

PT Application Firewall включает в себя следующие специфические модули:

1) Отслеживание активности пользователей - позволяет администраторам анализировать учётные данные пользователя, получающего удалённый доступ к защищаемому приложению. Это может быть геолокация, группа, провайдер, состав программного обеспечения;

2) Выявление уязвимостей кода веб-приложений (P-Code) позволяет не только обнаруживать уязвимости, но и формирует правила блокирования на обнаруженную атаку (так называемые “виртуальные патчи”). Таким образом информационная инфраструктура остаётся в безопасности до выпуска официального обновления разработчиком уязвимого программного обеспечения. Данный модуль также идентифицирует отдельные компоненты в приложении, применяя как статические правила (на базе обновляемого словаря CVE), так и эвристические методики.

3) Нормализация позволяет переписывать HTTP-запросы на сервер в безопасную форму, таким образом избегая атак класса HTTP Parameter Pollution (вид атаки, при котором приложение принимает пользовательскии? ввод и использует его для создания запроса к другои? системе без валидации этого ввода);

4) Интеграция со сторонними решениями информационной безопасности, такими как антивирусы, DLP-системами, системами защиты от DDoS-атак;

5) Специальный JavaScript код (WAF.js) обеспечивает защиту от атак XSS (межсайтовый скриптинг) и CSRF (межсайтовая подделка запросов) на стороне клиента в момент работы с веб-приложением. Кроме того, обеспечивает обнаружение и защиту веб-приложения от программ-роботов и инструментов взлома;

6) Корреляция служит для систематизации инцидентов информационной безопасности, а также уменьшения количества ложных срабатываний. Работает с учётом особенностей конкретного приложения, истории атак и поведения пользователей. Одной из важных функция является возможность выстраивания цепочек событий, в том числе цепочек атак, что позволяет упростить расследование инцидентов;

7) Маскирование критичных данных позволяет, в случае взлома системы, обеспечить конфиденциальность информации конечного пользователя (номеров кредитных карт, персональных данных).

Компания Positive Technologies позволяет клиентам выбрать три варианта развёртывания комплекса PT Application Firewall - с помощью соответствующего программно-аппаратного решения, с помощью виртуальной машины, а также по модели SaaS (программное обеспечение как услуга, стоимость рассчитывается исходя из требуемых вычислительных ресурсов) в облачной среде Microsoft Azure.

Программно-аппаратная линейка включает в себя пять моделей, различающихся по производительности - от 1'000 запросов в секунду для младшей модели и до 1'000'000 запросов в секунду для старшей модели соответственно. Стоимость начинается с 1'000'000 рублей, при этом в поставку не включается модуль формирования виртуальных патчей и модуль сканирования трафика на наличие вредоносного программного обеспечения с использованием нескольких движков - их необходимо докупать отдельно. Внешний вид аппаратного решения PT Application Firewall представлен на рисунке 28.

В качестве операционной системы Positive Technologies использует собственную разработку на ядре Linux. Рабочий стол аналитика, он же главный экран системы, изображён на рисунке 29. Соответствуя современным тенденциям в дизайне, главный экран состоит из виджетов и полностью настраивается под требования работника. По умолчанию на нём отображается динамика атак, с разбиением по уровню критичности, показываются подробные сведения о последних событиях, в правой части экрана расположены карты, на них видно состояние информационной безопасности различных офисов компании (актуально, если компания является трансконтинентальной). Раздел “Configuration” содержит в себе системные настройки устройства, а также настройки работы отдельных компонент, в том числе модуля интеграции.

Нужно отметить, что в 2016 году Positive Technologies присоединилась к программе Check Point OPSEC, с этого момента PT Application Firewall полностью интегрируется с межсетевыми экранами (в том числе нового поколения) Check Point. Раздел “Tools” содержит в себе разнообразные инструменты - модуль расследования инцидентов, построение отчётов, а также создания и управления виртуальными патчами.

Рисунок 28. Межсетевой экран Positive Technologies PT Application Firewall

Таким образом, межсетевой экран PT Application Firewall от компании Positive Technologies является одним из претендентов на лидерство молодого рынка защиты веб-приложений. В активе решения мощные алгоритмы машинного обучения, возможность гибкой настройки правил, а также полная интеграция не только с продуктами компании, но и сторонними поставщиками решений в сфере информационной безопасности. К недостаткам системы относят сложность управления, а также отсутствие поддержки программно-аппаратных модулей криптографической защиты. Кроме того, нужно понимать, что сравнивать межсетевые экраны нового поколения с PT Application Firewall неверно, так как это продукты из разных категорий и предназначены для решения различных задач. WAF будет скорее хорошим дополнением к уже имеющемуся в организации NGFW, особенно если в информационной инфраструктуре заказчика существуют критичные веб-приложения.

Рисунок 29. Рабочий стол аналитика Positive Technologies PT Application Firewall

3.5 Выбор и внедрение NGFW-решения

В рамках подготовки к длительному пилотному проекту в АО “Элгаз” были рассмотрены NGFW-системы таких компаний как Check Point Software Technologies (Check Point Next Generation Firewall), Fortinet (FortiGate), а также ООО “Смарт-Софт” (Traffic Inspector Next Generation). При этом было принято решение не рассматривать систему PT Application Firewall от компании АО “Позитив Текнолоджиз”, так как в АО “Элгаз” из веб-приложений присутствует только веб-сайт, работоспособность которого не сказывается каким-либо серьёзным образом на бизнесе, таким образом полагаем, что критичных веб-приложений нет.

Стоит отметить, что рынок NGFW-решений в значительной степени устоялся, и все выбранные для сравнения системы обладают базовыми возможностями классических межсетевых экранов.

Далее, исходя из представленных данных вендоров, а также краткосрочных пилотных проектов (с применением виртуальных серверов), сформируем сравнительную характеристику исследуемых NGFW-решений, которая представлена в таблице 9.

Таблица 9. Сравнительная характеристика NGFW-систем

На этапе выбора конкретной NGFW-системы для начала долгосрочного пилотного проекта (зачастую очень трудно и долго проводить долгосрочные пилотные проекты всех систем из-за ограниченного количества тестовых аппаратных решений у вендоров) важно выделить наиболее значимые, критичные возможности и особенности, которыми она должна обладать. Таким образом изначальную таблицу можно сократить, упростив выбор решения для пилотного проекта. Сокращённая сравнительная характеристика решений представлена в таблице 10.

Таблица 10. Сокращённая сравнительная характеристика NGFW-систем

Анализируя полученные полные и сокращённые сравнительные характеристики NGFW-решений становится понятно, что у каждого производителя есть свои достоинства и недостатки. Наиболее мощным и богатым функционалом обладают решения компании Check Point, при этом стоимость как внедрения, так и сопровождения такой системы является достаточно высокой. Решения компании FortiGate являются оптимальными по соотношению цены и качества, однако стоит отметить, что партнёрская сеть компании в РФ развита слабо, кроме того, учитывая “санкционную войну” между Российской Федерацией и США (именно в юрисдикции этой страны находится разработчик - компания Fortinet) возникают определённые риски относительно возможности среднесрочной и долгосрочной эксплуатации данных решений (компания может прекратить деятельность на территории нашей страны, может быть запрещён ввоз решений, заблокирован доступ к серверам обновлений и так далее). Система Traffic Inspector Next Generation подходит для государственных организаций, которым важно российское происхождение решения, а также наличие актуальных сертификатов регулирующих органов, прежде всего ФСТЭК России. При этом стоимость решения, относительно функционала, кажется завышенной, однако других NGFW российского происхождения в настоящий момент на рынке нет, таким образом фактически нет и конкуренции. Кроме того, не нужно забывать и о 40% скидке на оборудование и дополнительные модули для учреждений образования и здравоохранения, научно-исследовательских институтов, музеев, библиотек и детских домов.

Принимая во внимание относительно большой бюджет, а также планируемую долгую эксплуатацию выбранной системы, фаворитом АО “Элгаз”, являются межсетевые экраны нового поколения компании Check Point.

Необходимо понимать, что NGFW-система является довольно сложным продуктом и важным этапом в проведении пилотного проекта и дальнейшего внедрения является обучение работников подразделения, эксплуатирующего NGFW-систему, навыкам работы с ней. Специально для этого большинство вендоров разработало специальные тренинги, курсы и программы сертификации.

3.6 Экономическое обоснование предложенных мер

В рамках данной работы был проведён анализ стоимости и экономической эффективности внедрения NGFW-решения Check Point Next Generation Firewall 5400 компании Check Point в информационную систему АО “Элгаз”. В результате запроса выявлена стоимость внедрения с учётом NGTP-комплектации, которая составила 1'331'000 рублей. Стоимость обслуживания (обновление и поддержка) системы составляет 340'000 рублей в год, при этом в первый год данная сумма уже включена в стоимость внедрения. Отметим, что информационная инфраструктура предприятия включает в себя два межсетевых экрана, соответственно и затраты на покупку и обслуживание удваиваются.

Чтобы оценить эффективность вложения денежных средств на NGFW-систему достаточно привести пример затрат ресурсов компании на разработку новой блочно-комплектной трансформаторной подстанции типа БКТП-ЭГ-11 мощностью 2300 кВА. На разработку данной модификации ушло три года работы отдела и почти 12 миллионов рублей, в случае утечки чертежей (например в результате взлома информационной системы, действия вредоносной программы) все эти денежные средства пошли бы в пустую, кроме того, одновременно на предприятии ведётся несколько проектов, некоторые из них намного более длительные и затратные.

Для оценки экономической эффективности внедрения NGFW-системы подсчитаем коэффициент отдачи от инвестиций в информационную безопасность (ROSI) непосредственно в рамках проекта “Разработка трансформаторной подстанции типа БКТП-ЭГ-11” [26]. Стоимость проекта, то есть минимальные потери от утечки, составляет 12 миллионов рублей. При этом затраты на NGFW-систему составляют 4'022'000 рублей (внедрение двух межсетевых экранов + два года поддержки для каждого). Будем считать, что при внедрении новой системы защиты коэффициенты реализуемости угроз, выделенных во-второй главе исследования, уменьшатся на 60%, тогда коэффициент отдачи от инвестиций в новую систему информационной безопасности:

- финансовая стоимость риска, стоимость новой системы, а k - коэффициент уменьшения риска.

Так как коэффициент ROSI оказался значительно больше 0, то вложения выгодны, и внедрение NGFW-системы применительно к проекту “Разработка трансформаторной подстанции типа БКТП-ЭГ-11” экономически оправдано.

Кроме того, очень сложно подсчитать возможные убытки компании (денежные, репутационные) в случае простоя информационной системы, что крайне вероятно при её заражении вредоносным программным обеспечением. Так, при худшем случае сутки простоя исполнительного органа могут обойтись компании в сумму около 500'000 рублей.

3.7 Обзор недостатков и выявление тенденций развития существующих NGFW-решений

В настоящее время межсетевые экраны обрастают всё большим функционалом - добавляются новые модули, расширения, возможности. Вместе с тем растёт и количество устройств, выходящих в сеть, рано или поздно понятие “Интернет вещей” (IoT, Internet of Things) плотно войдёт в жизнь людей, семей, компаний, городов и даже целых стран. Но, к сожалению, сейчас на рынке не представлено решений, способных грамотно управлять огромной разрозненной инфраструктурой, состоящей из серверов, персональных компьютеров, смартфонов, а также бесчисленных датчиков, счётчиков и камер. По моему мнению “центральным хабом управления” таких суперсовременных систем будут именно межсетевые экраны. И это логично, ведь в любом случае данные устройства необходимо соединять в единую сеть, а в некоторых случаях и с сетью Интернет. Кроме того, подавляющее большинство устройств IoT не обладают достаточной мощностью для установки полноценных средств защиты, например антивирусов, и данную задачу опять же можно частично переложить на NGFW-решения. В пользу данного вектора развития NGFW-решений говорят и некоторые проекты вендоров, в качестве примера можно привести недавно анонсированную платформу безопасности Fortinet Security Fabric [27], позволяющую как раз объединить сеть в единый центр управления безопасностью под управлением операционной системы FortiOS (рисунок 30), тем самым добиться удобного единого управления, возможностей масштабирования и взаимосвязанной безопасности сети.

Другим важным вызовом, с которым уже сейчас сталкиваются производители межсетевых экранов, является усложнение атак. Безусловно целевые атаки, а также атаки нулевого дня будут по-прежнему слабо распространены, ввиду значительных временных и денежных затрат на их осуществление, однако пугает то, что в общем массиве атак их становится всё больше и больше. Ранее для обнаружения таких атак производителями был внедрён механизм “песочниц”, сейчас он встречается практически во всех передовых NGFW-решениях, однако в контексте усложняющихся атак, а также увеличения их количества становится очевидным, что с одной стороны механизмы песочниц необходимо совершенствовать (вредоносное программное обеспечения научилось распознавать выполнение в песочнице и завершать, либо маскировать свою работу), с другой стороны для анализа файлов требуется всё больше вычислительной мощности, что, в свою очередь, ведёт к двум не взаимоисключающим путям развития продуктов - можно для увеличения локальной мощности начать (расширить) использование интегральных схем специального назначения (как это уже делает Fortinet - разработчик интегральных схем FortiASIC), а можно использовать облачные службы для анализа файлов и оповещения об инцидентах информационной безопасности, позволяющих разгрузить локальные межсетевые экраны - таким путём идёт компания Check Point, недавно представившая платформу Check Point Infinity [28] и отдельный облачный сервис Check Point CloudGuard [29]. Остаётся, однако, открытым вопрос о доверии к облачным службам, ведь в любом случае при их применении информация ограниченного доступа может попасть в инфраструктуру другой компании.

Рисунок 30. Fortinet Security Fabric

ЗАКЛЮЧЕНИЕ

Таким образом в результате работы установлена актуальность и целесообразность внедрения межсетевого экрана нового поколения в информационную систему крупной компании.

В ходе данной работы были решены следующие задачи:

· Построена структура системы обеспечения информационной безопасности информационной системы;

· Построена модель угроз и нарушителя сетевой информационной безопасности;

· Выделены основные NGFW-решения на российском рынке, а также их достоинства и недостатки;

· Проведено сравнение выделенных NGFW-решений, выбрано оптимальное для применения в информационной системе;

· Сформулированы возможные направления дальнейшего развития и совершенствования межсетевых экранов нового поколения.

Резюмируя вышеизложенное, можно сказать, что в настоящий момент, с учётом всё возрастающих рисков информационной безопасности, NGFW-системы будут не только вытеснять классические межсетевые экраны, но и становится “центром информационной безопасности” компаний, в некоторых случаях даже заменяя традиционные системы безопасности конечных точек, например антивирусные средства. Таким образом организациям, у которых ещё нет межсетевого экрана, в любом случае стоит смотреть в первую очередь на NGFW-решения, а компаниям, которые содержат в своей структуре классический межсетевой экран рекомендуется, с учётом расчёта экономического обоснования, продумать переход на решения нового поколения. При этом выработанная в ходе работы структура системы обеспечения информационной безопасности АО “Элгаз” является универсальной и подходит многим компаниям. Построенная сравнительная таблица наиболее популярных NGFW-систем является хорошим пособием для специалиста по информационной безопасности, а положительный результат подсчёта коэффициента окупаемости для выбранной с помощью неё NGFW-системы Check Point Next Generation Firewall 5400 говорит об экономической оправданности предложенных мер защиты.

Апробация результатов проводилась в рамках производственной практики, а также подготовки к началу проекта внедрения межсетевого экрана нового поколения в информационную инфраструктуру АО “Газпром электрогаз”. Предлагаемый подход был лично отмечен заместителем генерального директора по корпоративной защите компании С.В. Яковлевым.

Список использованных источников

1) Исследование компании Fortinet “2017 Global Enterprise Security Survey” // Электронный ресурс https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/global-enterprise-security-survey-report.pdf (дата обращения 08.05.2018 года);

2) Исследование компании Positive Technologies “Сколько стоит безопасность. Анализ процессов обеспечения ИБ в российских компаниях 2017” // Электронный ресурс https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/IS-Cost-rus.pdf

(дата обращения: 08.05.2018 года);

3) Исследование компании Verizon “2017 Data Breach Investigations Report” // Электронный ресурс https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf (дата обращения: 08.05.2018 года);

4) Финансовая отчётность компании A.P. Moller-Maersk A/S “Interim Report 2017Q3” // Электронный ресурс http://files.shareholder.com/downloads/ABEA-3GG91Y/6250103302x0x962977/A3CA75AA-14E3-4C99-9D57-F184196BADA6/Maersk_Interim_Report_Q3_2017.pdf

(дата обращения: 08.05.2018 года);

5) Исследование компании Palo Alto Networks “Application Usage and Threat Report” // Электронный ресурс https://www.paloaltonetworks.com/resources/unit-42

(дата обращения: 08.05.2018 года);

6) Отчёт компании Gartner “2017 Gartner Magic Quadrant for Enterprise Network Firewalls” // Электронный ресурс https://www.gartner.com/doc/3757665/magic-quadrant-enterprise-network-firewalls (дата обращения 08.05.2018 года);

7) Лебедь С.В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. -М.: МГТУ имени Н.Э. Баумана, 2002. - 304 с.;

8) Лапонина О.Р. Межсетевое экранирование. -М.: Бином, 2014. - 343 с.;

9) Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М.: ИНФРА-М, 2011. - 416 с.;

10) Царегородцев А.В. Информационная безопасность корпоративных систем. -М.: ВГНА Минфина России, 2011. - 256 с.;

11) Исследование компании Gartner “Defining the Next-Generation Firewall” // Электронный ресурс https://www.gartner.com/doc/1204914/defining-nextgeneration-firewall (дата обращения: 08.05.2018 года);

12) ГОСТ Р 50922-2006. “Защита информации. Основные термины и определения”;

13) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год;

14) Описание продукта Microsoft Forefront Threat Management Gateway (TMG) 2010 // Электронный ресурс https://technet.microsoft.com/ru-ru/library/ff355324.aspx

(дата обращения: 08.05.2018 года);

15) База знаний Kaspersky Endpoint Security 10 // Электронный ресурс https://support.kaspersky.ru/kes10 (дата обращения: 08.05.2018 года);

16) Jasin A. Packet Tracer Network Simulator. Birmingham: Packt Publishing, 2014. - 263 p.;

17) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год;

18) ГОСТ Р 51275-2006 “Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения”;

19) Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли. Министерство связи и массовых коммуникаций Российской Федерации, 2010 год;

20) Описание продукта Check Point NGFW // Электронный ресурс https://www.checkpoint.com/products-solutions/next-generation-firewalls/

(дата обращения: 08.05.2018 года);

21) Описание продукта Fortinet NGFW // Электронный ресурс https://www.fortinet.com/products/next-generation-firewall.html

(дата обращения: 08.05.2018 года);

22) Описание продукта Traffic Inspector Next Generation // Электронный ресурс http://www.smart-soft.ru/products/ting/ (дата обращения: 08.05.2018 года);

23) Matt Williamson. pfSense 2 Cookbook. Birmingham: Packt Publishing, 2011. - 252 p.;

24) Описание продукта Positive Technologies PT Application Firewall // Электронный ресурс https://www.ptsecurity.com/ru-ru/products/af/

(дата обращения: 08.05.2018 года);

25) Отчёт компании Gartner “Magic Quadrant for Web Application Firewalls” // Электронный ресурс https://www.gartner.com/doc/3779166/magic-quadrant-web-application-firewalls (дата обращения: 08.05.2018 года);

26) Wes Sonnenreich, Jason Albanese, Bruce Stout. Return on Security Investment (ROSI) - A Practical Quantitative Model // Journal of Research and Practice in Information Technology. 2006. Vol. 38. N 1;

27) Описание продукта Fortinet Security Fabric // Электронный ресурс https://www.fortinet.com/solutions/enterprise-midsize-business/security-fabric.html (дата обращения: 08.05.2018 года);

28) Описание продукта Check Point Infinity // Электронный ресурс https://www.checkpoint.com/architecture/infinity/ (дата обращения: 08.05.2018 года);

Размещено на Allbest.ru