Systemy NGFW stale ewoluują. Na co przedsiębiorstwa powinny zwrócić uwagę?

W przeciągu kilku ubiegłych lat, zapory następnej generacji (NGFW) stały się podstawą systemów ochrony brzegu sieci. Ustanawiają one fundamentalną barierę pomiędzy zabezpieczonymi i kontrolowanymi sieciami wewnętrznymi, które mogą uzyskać status zaufanych a niezabezpieczonymi sieciami zewnętrznymi, które nie mogą być zaufane. W związku z tym, że z roku na rok charakter ataków na przedsiębiorstwo staje się coraz bardziej skomplikowany, produkty NGFW musiały ewoluować aby zapewnić ochronę przeciwko dynamicznym zagrożeniom oraz zróżnicowanym kierunkom ataku.

Co więcej, granica pomiędzy ruchem sieciowym związanym z biznesem a ruchem związanym ze sprawami prywatnymi w sieciach zbiorowych uległa zatarciu. Większość firm przyjmuje teraz zasady BYOD (przynieś swoje własne urządzenie). Oznacza to, że NGFW musi wspierać zarówno licznych użytkowników, jak również dynamiczne i wieloaspektowe aplikacje, co zwiększa ryzyko wystawienia organizacji na zagrożenia. Z tego powodu, organizacje usiłują dokonać wyboru takich produktów NGFW, które będą najodpowiedniejsze dla ich środowisk. Zakup firewalla następnej generacji jest zazwyczaj dość istotną inwestycją a optymalizacja tych systemów celem osiągnięcia równowagi pomiędzy produktywnością a bezpieczeństwem stanowi stałe wyzwanie dla organizacji.

Większość przedsiębiorstw zaznajomiona jest z powszechnymi zbiorami cech produktów NGFW, ale kluczowym jest zrozumienie na jakich możliwościach należy się skupić dokonując wyboru produktu. Obejmują one możliwości firewalla w zakresie stateful inspection, większej integracji w zakresie modułów głębokiej kontroli pakietów (zwanej również funkcją zapobiegana włamaniom), jak również świadomości i kontroli ukierunkowanej na użytkownika i aplikację.

W ostatnim czasie, branża kładzie nacisk na to, aby polityka bezpieczeństwa i możliwości kontroli NGFW dawały dodatkowy kontekst poprzez zaawansowaną  heurystykę oraz oparte na chmurze możliwości integracji uczenia maszynowego. Polepszy to możliwości NGFW do analizy podejrzanych kodów, identyfikacji komunikacji ze złośliwymi hostami i zapewni poprawę wykrywalności i zapobiegania użycia oprogramowania złośliwego, wykorzystywań i innych ukierunkowanych ataków. Niektóre z tych możliwości mogą nie być rdzenne dla platform NGFW, ale poprzez integrację z możliwościami istniejących punktów końcowych lub systemów wykrywania naruszeń (BDS), platformy NGFW mogą działać podobnie do wysoce efektywnych systemów BPS.

Celem użycia tych produktów jest nie tylko wykrycie, ale również zablokowanie skomplikowanych ataków na poziomie aplikacji i zintegrowanie ich z całościową architekturą bezpieczeństwa przedsiębiorstwa.

Kluczowe jednostki mierzalne, które powinny być istotne dla przedsiębiorstw jeśli chodzi o NGFW obejmują:

  • Skuteczność zabezpieczeń: produkty NGFW powinny być ocenione pod względem efektywności działania przeciwko znanym i nieznanym zagrożeniom dochodzącym zarówno z północno-południowych jak i wschodnio-zachodnich (ruch poprzeczny) punktów wejścia w sieci przedsiębiorstwa. Jest to niezwykle ważne dla przedsiębiorstwa zwłaszcza teraz, kiedy granice brzegu sieci zanikają.
  • Skalowalność, elastyczność i wydajność: NGFW klasy korporacyjnej jest znaczącą inwestycją. Oczekuje się, że będzie on przynosił korzyści przez minimum trzy lata. Z tego powodu, przedsiębiorstwa wymagają aby produkty NGFW nie tylko były wysoce wydajne oraz produktywne, ale również skalowalne, tak aby funkcje bezpieczeństwa mogły być skonsolidowane bez powodowania zakłóceń w aplikacjach i usługach. Wysoce skomputeryzowane, rozproszone środowiska stają się wszechobecne w obrębie średnich i dużych przedsiębiorstw, co pociąga za sobą wymóg posiadania wysoce elastycznej architektury NGFW z możliwością sprawowania nadzoru nad zawartością przy wysokiej szybkości podczas jednoczesnego wykonywania podstawowych zadań firewalla w przyspieszonym tempie. 
  • Integracja ekosystemu bezpieczeństwa i zapobieganie naruszeniom: dogłębnie obronna architektura bezpieczeństwa wymaga tego, aby produkty współpracowały ze sobą. Przedsiębiorstwa muszą być w stanie zintegrować ich produkty NGFW z istniejącymi funkcjami i kontrolerami bezpieczeństwa aby lepiej radzić sobie i zmniejszać ryzyko. Produkty NGFW muszą również być w stanie łączyć się z punktami końcowymi, sandboxami oraz narzędziami wykrywania naruszeń, które skupiają się na wykrywaniu, badaniu oraz minimalizacji podejrzanych działań, znanych zagrożeń oraz innych problemów na serwerach i punktach końcowych przedsiębiorstwa. Powinny one również być w stanie zapewnić bezpieczeństwo informacji oraz procesy oparte o odpowiedź na incydenty, które są wiarygodne i skalowalne i które mogą zintegrować się z platformami analizy zagrożeń i podjąć działania zapobiegawcze w czasie rzeczywistym.
  • Widoczność zagrożeń: NGFW powinny zapewnić podgląd i kontekst zagrożeń poprzez ujednoliconą konsolę zarządzania, i powinny być w stanie koordynować się z różnymi narzędziami służącymi zarządzaniu zagrożeniami i innymi rozwiązaniami bezpieczeństwa. Nie tylko spowoduje to zmniejszenie powierzchni ataku i wzrost wykrycia cyberataków, ale również przyspieszy czas reakcji na incydent, co w rezultacie zredukuje czas jaki potrzebny jest przedsiębiorstwu na zminimalizowanie naruszeń.
  • Centralne funkcje zarządzania: wiele organizacji rozumie jak ważne jest wieloaspektowe podejście do konfiguracji i nadzoru nad rozwiązaniami dotyczącymi bezpieczeństwa. Jednakże często poprzez wdrożenie tych różnorakich systemów kontroli bezpieczeństwa (na przykład, systemy zapobiegania wtargnięciom, rozwiązania sandboxowe, rozwiązania dla punktów końcowych oraz inne) przypadkowo wprowadzana jest złożoność. W związku z tym, że NGFW stanowi kluczowy komponent architektury bezpieczeństwa przedsiębiorstwa, jego centralne funkcje zarządzania, obejmujące na przykład zdolność podglądu, zarządzania i konfigurowania różnych kontrolerów bezpieczeństwa z jednej, centralnie umiejscowionej lokalizacji są istotne.
  • Wsparcie dla przejęcia SSL: szyfrowanie stanowi zabezpieczenie informacji wrażliwych, ale również zapewnia sposób obejścia zabezpieczeń. Ostatni gwałtowny wzrost ruchu szyfrowanego opartego na protokołach SSL/TLS sprawia że niezbędnym jest żeby urządzenia NGFW posiadały zdolność do przechwycenia, deszyfracji i nadzoru nad takim ruchem, tak aby nie były nieświadomie wystawiane na zagrożenia.
  • Zdolność do stawienia oporu technikom omijającym:atakujący są świadomi że będą poddawani próbom zatrzymania. Platforma NGFW powinna być w stanie zapobiec zagrożeniom ze strony atakujących, którzy mogą zmodyfikować podstawowe ataki celem ominięcia modułów wykrywania zagrożeń. Niezdolność do zatrzymania nawet pojedynczej techniki omijania zabezpieczeń może okazać się niezwykle kosztowna dla przedsiębiorstwa.

Powyższa lista kluczowych wskaźników nie jest wyczerpująca i powinna stanowić jedynie punkt wyjścia. Inne kluczowe kryteria, włączając koszt, czas potrzebny do zablokowania zagrożeń i możliwości sprawnej administracji powinny również zostać wzięte pod uwagę podczas wyboru produktu.

Ostatecznie, celem jest zredukowanie listy dostawców jakie przedsiębiorstwo musi wziąć pod uwagę tak aby wykonać testy POC używając tylko tych kryteriów wyboru, które uznaje za istotne. Należy sporządzić listę kluczowych wymagań, a następnie określić wspólne mianowniki, które będą służyć ewaluacji produktów. Należy skupić się na danych ilościowych, które są obiektywne i mierzalne.

Źródło: NSS Labs