Несмотря на утверждения о закате межсетевых экранов, эта технология по-прежнему остается краеугольным камнем систем безопасности. А ваша компания работала в Интернете двадцать лет назад? Скорее всего, вряд ли — таких смельчаков тогда было немного. Это было время зарождения Сети, да и первый браузер появился только в 1993 году. Мало кто из предпринимателей вообще знал о существовании Интернета, а тем более о том, какие потенциальные риски безопасности он представляет.
3. «Песочная ловушка» для угроз безопасности
Первый коммерческий межсетевой экран (МСЭ) появился уже в 1994 году. Он позволял перекрывать доступ к сетям и трафику организаций из общедоступного Интернета, и защищать их от перехвата данных и других потенциальных онлайн-рисков, несмотря на то, что реальные угрозы на начальной стадии становления Сети были очень незначительны.
Прошло больше двадцати лет, и за это время технология МСЭ значительно преобразилась. С развитием Интернета и ростом угроз безопасности эволюционировали и межсетевые экраны, чтобы оперативно отражать новые угрозы, несмотря на то, что в течение долгого времени им постоянно предсказывали скорую кончину.
Затем последовала эволюция ИТ-инфраструктур, возникли еще более cложные для нейтрализации угрозы, а вместе с ними и новая волна мрачных предупреждений о том, что межсетевые экраны устаревают, становятся ненужными и неэффективными. Первые такие опасения появились в конце 90-х, когда в организациях начали активно использоваться ноутбуки и удаленный доступ к ресурсам, что, как утверждалось, должно было привести к размытию границ периметра сети. Повторно их озвучили несколько лет спустя, на этот раз в связи с популяризацией виртуальных частных сетей на основе SSL и началом активного использования смартфонов и других персональных устройств для доступа к корпоративной сети. Сейчас критики говорят о том, что конец межсетевому экрану положит развитие облачных приложений.
Насколько эти опасения обоснованы? В действительности, непрекращающаяся эволюция этой технологии cвидетельствует о том, что МСЭ по-прежнему остается краеугольным камнем эффективной системы безопасности предприятий.
Охрана границ
Безусловно, топология современных сетей сильно отличается от относительно простых конфигураций прошлого десятилетия. Их внешние границы значительно расширились и стали более фрагментированными, но они по-прежнему существуют. Также сохраняется и очень четкое разделение между внутренней проверенной инфраструктурой и внешними непроверенными сетями. Организации применяют различные способы доступа к корпоративным данным, например, гостевой (общий) и клиентский по виртуальным частным сетям (VPN) с различных устройств или через облачные приложения, но границы между тем, что мы считаем надежным, а что нет, остаются достаточно четкими.
Общая активность сети значительно усложнилась по сравнению с прошлым: больше событий, больше точек пересечения границ, более разнообразный трафик, который поступает из огромного количества приложений. Контроль за сетью теперь напоминает контроль государства за въездом на его территорию и выездом из нее. Так же, как пользователи могут разными способами получать доступ к корпоративной сети, путешественники могут пересекать государственную границу на самолете, поезде, пароме или автомобиле. При этом в аэропортах, на паромных терминалах и международных железнодорожных вокзалах по-прежнему есть службы безопасности, которые наблюдают, проверяют и управляют пассажиропотоками в каждом из этих пунктов.
Эволюция межсетевых шлюзов
Так же как пограничные пункты применяют все более сложные технологии досмотра людей, грузов и багажа, пересекающих границу, для обнаружения потенциальных скрытых угроз, современные межсетевые экраны давно перестали просто проверять определенные порты, IP-адреса, отслеживать обмены пакетами данных между адресами и принимать решения о дальнейшем разрешении/запрете трафика.
Эволюция технологии началась со структурированных проверок с отслеживанием состояния, мониторинга данных, проходящих через межсетевой экран, с последующим распознаванием моделей и их анализом. Затем у МСЭ появилась функция детального рассмотрения активности конкретных приложений и пользователей. Межсетевые экраны, которые могут идентифицировать используемые приложения, часто называют «шлюзами безопасности нового поколения» (NGFW), но этот термин вводит людей в заблуждение, потому что подобные функции широко используются в этих системах защиты уже более десяти лет.
В любом случае, главной задачей межсетевого экрана на сегодняшний день становится умение анализировать проходящий через него трафик и точно определять, какие корпоративные и онлайн-приложения запущены в сети и кто из пользователей работает с ними. Такая детальная информированность о типе трафика и тех, кто его запрашивает, необходима организациям — она позволяет повышать качество и управлять эффективностью работы суб-приложений (например, приложений и плагинов соцмедиа или коммуникационного трафика типа WhatsApp). Имея такие данные, ИТ-специалисты могут затем настроить использование сетевых приложений согласно потребностям конкретных пользователей и бизнеса в целом.
Помимо эволюционирующих способностей наблюдения и контроля за трафиком, современные межсетевые экраны предлагают дополнительные функции обеспечения безопасности, которые организации могут применять в соответствии с их потребностями. Среди этих защитных функций фильтры URL-адресов, антиспамы, антивирусы, антиботы, предотвращение потери данных, контроль доступа с мобильных устройств и многие другие возможности, которые превращают межсетевой экран в многофункциональный шлюз безопасности.
«Песочная ловушка» для угроз безопасности
В шлюз также можно интегрировать еще одну инновацию — эмуляцию угроз безопасности в «песочнице», или ограниченной среде. С помощью этой технологии возможно в режиме реального времени анализировать контент на предмет наличия в нем вредоносных программ и других угроз «нулевого дня». Подобного рода новые эксплойты могут обходить традиционные механизмы защиты и потому представляют особенно серьезную угрозу для организаций: при поступлении в корпоративную сеть вредоносная программа может наносить предприятию ущерб в течение нескольких часов, дней, а то и недель, прежде чем ее обнаружат.
Эмуляция угроз безопасности позволяет изучать содержание сообщений, файлов и данных, поступающих в сеть в виде электронных писем или загрузок из сети Интернет в режиме реального времени. Все потенциально опасные файлы могут быть изолированы и помещены в карантин в шлюз на периферии сети для того, чтобы предотвратить ее заражение и разрушение. Эта технология создает внешний уровень защиты от атак, который не отражается на ходе бизнес-процессов.
Такие функции являются модульными и управляются программно, что дает возможность организациям внедрять и применять их для улучшения защиты и решения новых проблем безопасности по мере их поступления.
Иными словами, межсетевые экраны по-прежнему охраняют внешние границы сети, как было задумано изначально, и в то же время предлагают продвинутые средства защиты от угроз безопасности, которые в эпоху их зарождения более 20 лет назад были недоступны и даже невообразимы. Несмотря на регулярные предсказания неизбежной потери популярности, сейчас межсетевые экраны находятся на пике своего развития.