Сертификат AM Test Lab
Номер сертификата: 485
Дата выдачи: 03.10.2024
Срок действия: 03.10.2029
- Введение
- Функциональные возможности Kaspersky NGFW
- Архитектура Kaspersky NGFW
- Системные требования и лицензирование Kaspersky NGFW
- Сценарии использования Kaspersky NGFW
- Выводы
Введение
Сегодня перед российскими компаниями стоит ряд вызовов в области кибербезопасности: растут количество и качество угроз, при этом усложняются сетевая инфраструктура организаций и используемые ими технологии. Дополнительные проблемы вызывает дефицит кадров, из-за которого может не хватать ресурсов для полноценного контроля над всей сетью. Помимо этого, организациям необходимо оперативно искать замену зарубежному ПО, выполнять требования регуляторов и соответствовать стратегии импортозамещения.
Учитывая потребности бизнеса, «Лаборатория Касперского» выпустила решение Kaspersky NGFW — межсетевой экран нового поколения (бета-версия). Это полностью российский продукт, соответствующий стратегии импортонезависимости. В решение заложены знания о глобальных угрозах, опыт создания высокотехнологичных средств защиты и оказания технической поддержки клиентам из большинства стран.
Функциональные возможности Kaspersky NGFW
Kaspersky NGFW позволяет глубоко анализировать трафик приложений, в том числе зашифрованный, и контролировать их активность. Это даёт возможность противостоять широкому спектру киберугроз, в том числе атакам сложных вредоносных программ и попыткам вторжения в сетевую инфраструктуру.
Защита от сетевых угроз
Применяемые технологии позволяют эффективно контролировать сетевые соединения и защищать от потенциальных угроз. Благодаря этому Kaspersky NGFW отслеживает во входящем и исходящем трафике подозрительную активность и блокирует нелегитимные сетевые соединения.
L7 Stateful Firewall
Отслеживает состояния активных сессий и принимает решения на основе контекста трафика, при необходимости соединение может быть заблокировано. Пользовательский трафик контролируется в зависимости от заданных администратором параметров (источник, назначение, сетевой сервис, приложение) на основании созданной политики безопасности.
При анализе трафика Kaspersky NGFW использует логарифмическое время поиска по уже созданным правилам фильтрации, что позволяет максимально снизить влияние на производительность решения при большом количестве правил. Сам процесс создания и управления правилами удобен. Уже созданные правила можно перемещать в таблице при помощи перетаскивания (drag & drop). На текущий момент поддерживается создание 20 000 правил, а в течение 2025 года будет добавлена возможность настраивать до 100 000 правил.
Deep Packet Inspection (DPI)
Проверяет сетевой трафик на уровне приложений. Благодаря центру экспертизы «Лаборатории Касперского» технология может определять в трафике более 4000 приложений. Встроенный инструмент DPI является собственной разработкой «Лаборатории Касперского», поэтому процесс оптимизации производительности, повышения точности, распознавания приложений и дальнейшего развития DPI по требованиям заказчиков будет максимально прозрачным и независимым от сторонних сообществ или компаний.
Рисунок 1. Настройка контроля трафика приложений в Kaspersky NGFW
Intrusion Detection and Prevention System (IDPS)
Отслеживает проходящий через NGFW трафик на наличие подозрительной активности. Решение поддерживает проверку не только по версии протокола HTTP 1.0, но и по HTTP 2.0. При обнаружении возможной атаки технология блокирует соединение (в режиме IPS) либо просто оповещает пользователя об угрозе (режим IDS), в зависимости от того, какой вариант выбрал администратор. Работа IDPS легко настраивается в соответствующем профиле для определённого набора сигнатур.
IDPS также является полностью собственной разработкой «Лаборатории Касперского».
Рисунок 2. Профиль Intrusion Detection and Prevention System
Продвинутый механизм инспекции SSL / TLS
Эта технология позволяет расшифровывать трафик вплоть до версии протокола TLS 1.3, осуществлять обработку напрямую в общем потоке данных, а также подключать к последующему анализу трафика все механизмы безопасности продукта. Это критически важно, поскольку около 70 % трафика зашифровано именно по протоколу TLS.
Kaspersky NGFW перехватывает трафик SSL / TLS и расшифровывает его для последующей инспекции. Благодаря этой технологии обеспечивается высокое качество категоризации веб-трафика, а также высокий уровень детектирования угроз и нелегитимных сетевых действий. Помимо этого, в бета-версии Kaspersky NGFW имеется гибкий механизм исключений из проверки трафика по веб-категориям и доменам.
Проверка репутации используемых веб-ресурсов
Межсетевой экран «Лаборатории Касперского» осуществляет мониторинг и управление доступом к интернет-ресурсам, а также анализирует трафик на наличие обращений пользователей к потенциально опасным веб-страницам и предотвращает попытки доступа к ним.
Высокоскоростной потоковый антивирус
Выявляет вредоносные действия на самых ранних этапах их возникновения. Важное преимущество — высокое соотношение качества детектирования и производительности.
Предусмотрена интеграция с Kaspersky Security Network (KSN) — глобальной сетью обмена сведениями об угрозах. Благодаря этому Kaspersky NGFW отвечает на новые киберугрозы практически сразу после их появления. Такая интеграция обеспечивает высокий уровень защиты, сокращая количество ложноположительных срабатываний.
Рисунок 3. Высокоскоростной потоковый антивирус
Высокоточный веб-категоризатор
Позволяет точно определять категории URL и назначать сценарии реагирования при посещении ресурсов таких категорий. При этом есть возможность логировать каждое обращение к URL. Эта функциональность опирается на локальные базы и на непрерывно обновляющиеся данные KSN.
Рисунок 4. Включение Kaspersky Security Network в категоризаторе
Kaspersky NGFW также позволяет создавать собственные категории с гибкими сценариями реагирования, в том числе путём блокировки доступа к веб-ресурсам, и исключать из проверки определённые URL-адреса и категории. Также решение может определять поведение при обращении пользователей к тем ресурсам, категория которых не была определена при помощи веб-категоризатора.
Рисунок 5. Веб-категории по умолчанию
DNS Security
Данная технология проверяет подлинность доменных имён и их принадлежность к потенциально опасным. Это позволяет бороться с теми атаками, где эксплуатируются уязвимости DNS.
Рисунок 6. Профиль DNS Security
Централизованное управление
Управление осуществляется через единую консоль — Open Single Management Platform (OSMP), общую для всех продуктов «Лаборатории Касперского». Это упрощает рутинные операции и администрирование, а также позволяет получить целостное представление о кибербезопасности компании в рамках единого окна.
Рисунок 7. Текущая схема работы с централизованным управлением Kaspersky NGFW
Встроенное автоматическое обогащение продукта актуальной информацией об угрозах и тактические данные от экспертов «Лаборатории Касперского» позволяют успешно детектировать самые новые угрозы.
Подключение Kaspersky NGFW к Kaspersky Symphony XDR в качестве дополнительного источника информации позволяет заказчикам расширить поверхность мониторинга и оперативно реагировать на выявленные сетевые угрозы.
Рисунок 8. Управление Kaspersky NGFW в Open Single Management Platform
Возможность локального управления при помощи выделенного веб-интерфейса запланирована на 2026 год.
Архитектура Kaspersky NGFW
Архитектуру межсетевого экрана «Лаборатории Касперского» можно представить следующими уровнями абстракции.
- Security Plane — отвечает за проверку трафика механизмами безопасности, инспекцию SSL / TLS, обновление сигнатур.
- Data Plane — отвечает за передачу трафика через Kaspersky NGFW и его обработку при помощи Stateful Firewall.
Рисунок 9. Архитектура Kaspersky NGFW
Благодаря своей архитектуре Kaspersky NGFW может поддерживать многопоточную обработку трафика с минимизацией числа копирований. Это позволяет эффективно использовать ресурсы продукта, и уже на этапе первого бета-тестирования решение имеет неплохие показатели производительности (до 20 Гбит/с в режиме L7 Firewall).
Интеграционные сценарии
Для более эффективного обнаружения угроз и реагирования на них важен глубокий контекст состояния кибербезопасности компании. Поэтому «Лаборатория Касперского» предоставляет возможность интеграции Kaspersky NGFW с Kaspersky Symphony XDR, что позволяет передавать информацию об угрозах (алертах) в SIEM, обогащая картину кибербезопасности компании, а также оперативно реагировать на угрозы при помощи продуктов экосистемы Kaspersky Symphony XDR.
Рисунок 10. Интеграционный сценарий № 1 для Kaspersky NGFW и Kaspersky Symphony XDR
Рисунок 11. Интеграционный сценарий № 2 для Kaspersky NGFW и Kaspersky Symphony XDR
Рисунок 12. Интеграционный сценарий № 3 для Kaspersky NGFW и Kaspersky Symphony XDR
Интеграция с Kaspersky Anti Targeted Attack планируется на 2025 год. По словам вендора, уже на техническом уровне закладывается проработка сценариев нативного взаимодействия с другими продуктами из портфолио Kaspersky.
Рисунок 13. Kaspersky NGFW в экосистеме Kaspersky Symphony XDR
Системные требования и лицензирование Kaspersky NGFW
Kaspersky NGFW отличается прозрачной моделью лицензирования и отсутствием дополнительных модулей и расширений. Поставляется в виде программно-аппаратного комплекса.
Рисунок 14. Актуальная аппаратная платформа Kaspersky NGFW
Вне зависимости от сложности профиля трафика межсетевой экран должен обрабатывать большие объёмы данных без ущерба для производительности. Поэтому в планах вендора — уже к 2025 г. увеличить производительность оборудования до 100 Гбит/с в режиме L7 FW и до 40 Гбит/с в режиме NGFW. На момент публикации Kaspersky NGFW уже проходит тестирование на трафике максимально приближенном к реальному. Следует отметить, что вендор не ориентируется на синтетические тесты, которые проводят большинство других производителей NGFW.
«Лаборатория Касперского» использует собственные разработки при создании Kaspersky NGFW. Это позволяет вендору адаптировать свой продукт к динамически изменяющимся угрозам и требованиям бизнеса, а также уменьшать зависимость от сторонних компонентов.
Лицензирование Kaspersky NGFW
Планируются лицензии двух видов: стандартная и расширенная. Вторая будет предоставлять больше возможностей в области контроля веб-ресурсов: URL-фильтрацию, категоризацию и контроль веб-трафика (веб-категоризатор), создание пользовательских категорий, механизм добавления исключений в правила проверки веб-трафика, а также проверку DNS-трафика (DNS Security).
Рисунок 15. Лицензирование Kaspersky NGFW
Сценарии использования Kaspersky NGFW
Kaspersky NGFW предназначен для защиты средних и крупных компаний со сложной сетевой инфраструктурой, которые подпадают под требования регуляторов в области кибербезопасности: из государственного и финансового сектора, розничной торговли, здравоохранения, транспорта, образования, телекоммуникаций.
Рассмотрим некоторые сценарии использования продукта.
Защита корпоративной сети от киберугроз
Один из ключевых сценариев использования продукта «Лаборатории Касперского» — обеспечение безопасности периметра корпоративной сети. К примеру, Kaspersky NGFW анализирует трафик используемых в организации приложений, распознаёт и блокирует попытки использования утилит для проникновения в инфраструктуру или горизонтального перемещения в ней. Кроме того, он позволяет обнаруживать попытки эксплуатации уязвимостей, что значительно снижает риск компрометации.
Инспекция и контроль зашифрованного трафика
С увеличением объёма зашифрованного трафика, особенно при использовании протокола HTTPS, традиционные методы анализа теряют эффективность. Kaspersky NGFW позволяет проверять зашифрованный трафик, что критически важно для обнаружения и блокирования угроз внутри сессий SSL / TLS.
Контроль приложений и управление доступом
Ещё один важный сценарий использования решения «Лаборатории Касперского» — контроль приложений и управление доступом к ним. Продукт идентифицирует приложения по уникальным характеристикам трафика, независимо от используемых портов или протоколов.
Например, Kaspersky NGFW может ограничивать доступ к социальным сетям, видеохостингам или другим нежелательным ресурсам, одновременно обеспечивая приоритетный доступ к критически важным бизнес-приложениям. Это помогает оптимизировать использование полосы пропускания и предотвращать нарушения корпоративных политик безопасности.
Выводы
Kaspersky NGFW — полностью отечественный продукт, соответствующий стратегии движения к импортонезависимости. Он осуществляет полный контроль над сетевым трафиком и активностью приложений, обеспечивает эффективное управление ими, а встроенное автоматическое обогащение продукта актуальной информацией позволяет детектировать даже самые новые угрозы.
Достоинства:
- Анализ зашифрованного трафика SSL / TLS всеми механизмами безопасности.
- Контроль трафика на уровне приложений при помощи DPI-анализа.
- Возможность создания собственных веб-категорий с гибкими сценариями контроля веб-трафика.
- Использование базы знаний об угрозах Kaspersky Security Network.
- Возможность интеграции с Kaspersky Symphony XDR для расширенного обнаружения угроз и реагирования на них при помощи экосистемы продуктов Kaspersky.
- Отсутствие требований ко внешним устройствам заказчика.
Недостатки:
- Из сетевой функциональности доступна только статическая маршрутизация (в планах развитие сетевой функциональности в 2025 году).
- Не сертифицирован во ФСТЭК России (в планах на 2025 год).
- Не включает в себя функциональность VPN.