Обзор корпоративных UTM-решений на российском рынке. Ideco — UTM-решение «из коробки

ИЛЬЯ РОЗЕНКРАНЦ , менеджер по продукту ALTELL NEO компании «ООО «АльтЭль», сертифицированный специалист по иформационной безопасности (Check Point Sales Professional, McAfee Sales Professional), имеет сертификаты Cisco (CCNA, CCNP, IPTX), [email protected]

Защищаем сети по периметру
Обзор технологий UTM в решении ALTELL NEO

История развития UTM-устройств (Unified Threat Management, унифицированные средства защиты от угроз) началась около 25 лет назад, когда в 1988 году компания DEC изобрела свой пакетный фильтр, работающий на третьем уровне модели OSI (Open system interconnection) и анализирующий только заголовок пакета

Он и стал первым коммерческим «межсетевым экраном» (МЭ). В то время такой минималистический подход был полностью оправдан существующими реалиями угроз, в результате чего подобные МЭ без учета состояния (stateless inspection firewalls) стали неотъемлемой частью системы обеспечения ИБ.

Практически параллельно с этими событиями, в 1989-1990 годах, миру были представлены МЭ, работающие с данными четвертого уровня OSI, – так называемые МЭ с учетом состояний (stateful inspection firewall). Хотя неверно было бы думать, что ИБ-специалисты не рассматривали возможность контроля и фильтрации трафика на уровне приложений, на то время (начало 1990-х) реализация этого метода исключалась по причине недостаточной производительности вычислительных систем. Только к началу 2000-х производительность аппаратных платформ позволила выпустить первые коммерческие UTM-решения.

В настоящее время межсетевые экраны, уже давно доказавшие свою эффективность, остаются наравне с антивирусным ПО одними из самых распространенных средств защиты информационных систем. Однако появление новых видов комплексных атак и рост трафика на уровне приложений (IP-телефония, потоковое видео, облачные корпоративные приложения) зачастую сводят эффективность традиционных МЭ к нулю. Для того чтобы достойно противостоять подобным угрозам, ведущие мировые ИТ-компании развивают новые технологии, нацеленные на выявление и предотвращение атак, осуществляемых на самых разных уровнях (от атак через каналы связи до приложений).

Одним из решений описанной проблемы стала интеграция в межсетевой экран функций других специализированных устройств, например, веб-фильтра и криптографического шлюза. Получившийся тип устройств имеет обозначение UTM. Также становится популярным термин «межсетевые экраны нового поколения» (NGFW, Next Generation Firewall), фильтрующие трафик и на седьмом уровне модели OSI.

На заре эры UTM-устройств (2004-2005 годы) все их компоненты были уже созданы: активно применялись межсетевые экраны с режимом анализа состояний (stateful inspection), механизмы построения защищенных сетей по общедоступным каналам связи (VPN – virtual private network), сетевые комплексы обнаружения и предотвращения вторжений (IDS/IPS – intrusion detection/prevention system), веб-фильтры.

При этом рабочие места защищались набором средств для защиты на уровне приложений (антивирус, антиспам, антифишинг). Но решение одной проблемы (обеспечение необходимого уровня информационной безопасности) привело к появлению других: резко выросли требования к квалификации технического персонала, повысилось энергопотребление оборудования, увеличились требования к объему серверных комнат, стало сложнее управлять процессом обновления программной и аппаратной частей комплексной системы безопасности.

Кроме того, многократно возросли проблемы с интеграцией новых средств защиты информации в уже существующую инфраструктуру, зачастую состоявшую из продуктов разных разработчиков. По этой причине возникла идея объединить все перечисленные функции в одном устройстве, тем более что к тому времени аппаратные платформы достигли достаточного уровня производительности и могли одновременно справляться с несколькими задачами.

В результате на рынке появились решения, позволяющие снизить затраты на защиту информации и в то же время повысить уровень информационной безопасности, так как «начинка» UTM изначально отлажена и оптимизирована для одновременной работы всех включенных в нее функций.

Востребованность и правильность такого подхода подтверждают цифры международной исследовательской компании IDC, согласно которым в первой четверти 2014 года рост сегмента UTM-устройств составил 36,4% (по сравнению с аналогичным периодом предыдущего года). Для сравнения: общий рост рынка устройств защиты информации за аналогичный период составил 3,4%, и теперь на UTM-устройства приходится 37% этого рынка. В то же время спад выручки по направлению Firewall/VPN составил 21,2%.

Основываясь на вышеперечисленных трендах рынка информационной безопасности, на исходе первого десятилетия нового века многие производители представили свои межсетевые экраны нового поколения. Так, российская компания «АльтЭль» выпустила продукт ALTELL NEO.

В то же время в решениях для обеспечения информационной безопасности растет популярность использования интегрированных систем разных производителей для повышения уровня защиты: вендоры аппаратных средств защиты стали активнее сотрудничать с разработчиками профильного ПО. Например, в продукт ALTELL NEO были внедрены технологии «Лаборатории Касперского» для защиты данных на уровне приложений: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

В настоящее время множество игроков на рынке предлагают межсетевые экраны нового поколения, среди них Palo Alto, Check Point, Cisco, Intel Security. В существующих реалиях, когда курс доллара имеет высокую волатильность, многие заказчики, и в первую очередь госструктуры, рассматривают импортозамещение как возможность выполнить требования регуляторов и внутренних ИБ-процедур. В этой ситуации рассмотрение российских производителей UTM-решений выглядит логичным.

Рассмотрим основные функции UTM-межсетевых экранов ALTELL NEO.

Антивирус/антиспам

В настоящее время многие компании выбирают UTM-устройства для защиты периметра сети, в том числе благодаря возможности фильтровать входящую и исходящую электронную почту.

Первым российским полнофункциональным решением в этой области является высокопроизводительный межсетевой экран нового поколения ALTELL NEO. В его арсенале имеется два независимых антивируса и антиспам-решения: ClamAV (бесплатный продукт) и Kaspersky AV, SpamAssassin и Kaspersky AS соответственно.

Cтандартные возможности и функции UTM-устройств:

• Поддержка работы в прозрачном (незаметном для конечного пользователя) режиме.
• Поддержка DNS Black List.
• Поддержка «черных», «белых» и «серых» списков.
• Проверка наличия DNS-записи о сервере-отправителе.
• Технология SPF (Sender Policy Framework, структура политики отправителя) – расширение для протокола отправки электронной почты через SMTP, позволяющее определить подлинность домена отправителя. SPF является одним из способов идентификации отправителя электронного письма и предоставляет дополнительную возможность фильтрации потока почты на предмет наличия в нем спамерских сообщений. С помощью SPF почта разделяется на «разрешенную» и «запрещенную» относительно домена получателя или отправителя.
• Сервис SURBL (Spam URI Realtime Blocklists) – сервис, содержащий сведения не об IP-адресах, с которых поступает спам, а о сайтах, которые рекламируются в спамерских сообщениях. Поскольку большинство спам-писем (и фишерских писем в частности) призываtт посетить какой-либо сайт, и сайтов этих меньше, чем IP-адресов отправителей спама, то SURBL может работать более эффективно, чем RBL, – фильтровать до 80-90% спама при ложных срабатываниях не выше 0,001-0,05%.
• Отсутствие технической возможности потери сообщений в фильтре.
• Применение ЭЦП в отправляемых письмах с помощью технологии DKIM (DomainKeys Identified Mail). Данная технология позволяет подтвердить подлинность (аутентифицировать) отправителя письма, а также подтвердить отсутствие изменений в электронном письме во время его передачи от отправителя к получателю.
• Передовые методы фильтрации: байесовская фильтрация, Razor.

Использование технологии антивируса/антиспама позволяет компаниям, например, банкам, выполнять требования Банка России по защите от вредоносного кода. В отличие, скажем, от СТО БР ИББС и 382-П, где этой тематике было отведено немного места, уже больше года мы имеем полноценный документ: письмо 49-Т от 24 марта 2014 года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». В документах расписаны как технические, так и организационные требования.

Применение UTM-решений с антивирусом позволит и интернет-провайдеру предоставить очищенный трафик, и банку выполнить рекомендации регулятора по части сегментации и возможности локализации эпидемий вредоносного кода.

Система обнаружения и предотвращения вторжений – IDPS

Системы обнаружения и предотвращения вторжений, IDS/IPS или IDPS (Intrusion detection/prevention system, аналогичный русскоязычный термин – СОВ/СПВ), – необходимое звено защиты внутренней сети организации. Основное предназначение подобных систем – выявление фактов неавторизованного доступа в корпоративную сеть и принятие мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения, перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника.

В ALTELL NEO реализовано несколько технологий IDPS, различающихся по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов IDPS от компании «АльтЭль» выполняют следующие функции:

• Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов либо систему SIEM.
• Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDPS. Возможна также программируемая реакция с использованием скриптов.
• Генерация отчетов. Отчеты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что позволяет не только самостоятельно определить угрозу, но и успешно заблокировать ее. В этом сценарии функционал IPS, реализованный в ALTELL NEO, гораздо шире IDS и включает в себя следующие возможности:

• Блокирование атаки (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям).
• Изменение защищаемой среды (изменение конфигурации сетевых устройств для предотвращения атаки).
• Нейтрализация атаки (например, удаление из письма инфицированного файла и отправка его получателю уже очищенным либо работа в режиме прокси, т.е. анализ входящих запросов и отсечение данных в заголовках пакетов).

Преимущества любых технологий неизбежно сопровождаются некоторыми недостатками. Например, система IDPS не всегда может точно определить инцидент ИБ, а иногда способна принять нормальное поведение трафика/пользователя за инцидент.

В первом варианте принято говорить о false negative (ложноотрицательном результате), во втором варианте говорят о false positive (ложном срабатывании). Ни одно из существующих сегодня решений не позволяет полностью исключить ни FP-, ни FN- события. Поэтому организация в каждом случае должна самостоятельно решить, какая из этих групп рисков представляет большую угрозу, после чего настроить решение соответственно.

Существуют различные методики обнаружения инцидентов с помощью технологий IDPS. Большинство реализаций IDPS использует комбинацию данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз. Стоит отметить, что в оборудовании ALTELL NEO реализованы все нижеописанные технологии.

Обнаружение атак в почте, основанное на сигнатурах

Сигнатурой называют шаблон, который, будучи обнаружен в трафике или почтовом сообщении, однозначно идентифицирует конкретную атаку. Обнаружение атаки по сигнатурам – это процесс сравнения контента с базой сигнатур, хранящейся внутри решения. Примерами сигнатур являются:

• соединение telnet пользователя root, что будет являться нарушением определенной политики безопасности компании;
• входящее электронной письмо с темой «бесплатные картинки» с приложенным файлом freepics.exe;
• лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но очень неэффективен при атаках, для которых еще нет сигнатур.

Встроенная в ALTELL NEO система антивируса/антиспама позволяет фильтровать от 120 до 800 писем в минуту.

Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности элементов сети с событиями, отклоняющимися от нормального уровня. У IPS, использующих этот метод, есть т.н. профили, которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени.

Например, в профиль может быть записано повышение веб-трафика на 13% в рабочие дни. IDPS в дальнейшем использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением. При превышении этого порогового значения на консоль управления администратора безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе атрибутов, взятых из поведенческого анализа пользователей, например, количества отосланных электронных писем, количества неудачных попыток входа в систему, уровня загрузки процессора сервера в определенный период времени, и многих других.

Данный метод позволяет блокировать атаки, которые обошли фильтрацию сигнатурного анализа.

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, доработанная под потребности компании. В отличие от более распространенной открытой IDS/IPS Snort, Suricata обладает рядом преимуществ, например, позволяет добиться более высокой производительности за счет распараллеливания обработки трафика по ядрам процессора и меньшего числа ложных срабатываний.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит два-три раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение как функции IDS, так и IPS происходит на выбранном администратором интерфейсе устройства – одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функционально отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Правила безопасности разрабатываются сообществом Emerging Threats. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются. Обновление правил происходит автоматически (для этого в ALTELL NEO должно быть настроено подключение к интернету). При необходимости можно настроить ручное обновление.

Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов от 1 до 3, при этом приоритет 1 является высоким, приоритет 2 – средним, приоритет 3 – низким.

В соответствии с данными приоритетами может быть назначено действие, которое в режиме реального времени будет выполнять система IDS/IPS при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть одним из следующих:

• Alert (режим IDS) – трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил.
• Drop (режим IPS) – анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение.
• Reject (режим IPS) – в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение.
• Pass (режим IDS и IPS) – в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам системой не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчеты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в системе внешнего мониторинга и управления (СВМиУ) собственной разработки. СВМиУ собирает исходные данные (alert) с одного или нескольких устройств ALTELL NEO.

Система обнаружения и предотвращения вторжений ALTELL NEO работает на скоростях от 80 Мбит/с
до 3200 Мбит/с.

Система веб-фильтрации

В ALTELL NEO встроен модуль веб-прокси (посредник) для фильтрации запросов пользователей и кэширования данных, получаемых из Всемирной сети.

Посредник может работать в нескольких режимах, которые можно комбинировать для решения разных задач.По контексту применения выделяются следующие режимы работы:

• взаимодействия с клиентским ПО (например, веб-браузерами пользователей): «прозрачный» и «непрозрачный»;
• аутентификации пользователей прокси: без аутентификации, с аутентификацией на основе LDAP, с аутентификацией на основе NTLM;
• обработки запросов пользователей (URL содержимого, IP-адрес источника и так далее): с фильтрацией и без фильтрации;
• обработки веб-содержимого, полученного в ответ на запросы пользователей: с кэшированием и без кэширования;
• с включенным и отключенным режимом проксирования SSL.

Рынок UTM достаточно большой, и он продолжает расти, на нем представлены как аппаратные, так и программные решения. Какое из них использовать, это вопрос каждый специалист, каждая организация решают исходя из своих предпочтений и возможностей. Главное – иметь подходящий по параметрам сервер, ведь теперь одна система будет выполнять несколько проверок, и нагрузка существенно возрастет.

Одно из преимуществ современных UTM-устройств – их универсальность, и ALTELL NEO является хорошим образцом этого подхода. В зависимости от размеров компании могут использоваться решения различных классов: от настольных до серверных 2U-систем производительностью до 18,5 Гбит/с. Технологии «Лаборатории Касперского», лежащие в основе антивирусного функционала ALTELL NEO, позволяют обновлять антивирусные базы от 10 до 25 раз в день. При этом средний размер обновления обычно не превышает 50 Кб, что составляет одно из лучших в индустрии соотношений частота/размер.

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

Что такое универсальные шлюзы безопасности (UTM)?

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

• Межсетевой экран, VPN и Traffic Shaping;
• Систему предотвращения вторжений (IPS);
• Антивирус/Противодействие действию вредоносных программ;
• Интегрированный Wi-Fi контроллер;
• Контроль приложений;
• Защиту от утечек данных;
• Поиск уязвимостей;
• Поддержку IPv6;
• Web-фильтрацию;
• Антиспам;
• Поддержку VoIP;
• Маршрутизацию/коммутацию;
• WAN-оптимизацию и web-кеширование.

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

• Проверенные технологии, пользующиеся доверием компаний из списка Fortune 500;
• Все необходимое для защиты Вашей сети: функционал, обновления и управление безопасностью;
• Защита сетей, систем и пользователей от множества видов атак из Интернета
• Обеспечение конфиденциальности путем защиты удаленного доступа и связи между узлами;
• Быстрое и простое развертывание системы безопасности и ее администрирование благодаря наличию многих функций безопасности в одном устройстве и широкой линейке устройств для компаний любого размера - от малого офиса до крупного предприятия;
• Защита от появляющихся новых угроз при помощи службы обновлений Check Point Update Service.

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться .

Dell

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100, строятся на собственной платформе Network Security SonicOS Platform и включают в себя:

• Next-Generation Firewall;
• Контроль приложений;
• Глубокое исследование пакетов (в том числе и зашифрованных с помощью SSL);
• Организация VPN и SSL VPN;
• Антивирус;
• Веб-фильтрация;
• Система предотвращения вторжений (IPS).

Подробнее с техническими характеристиками можно ознакомиться .

WatchGuard (есть сертификат ФСТЭК)

В линейке UTM компания WatchGuard представлена устройствами Firebox X на базе многоуровневой архитектуры Intelligent Layered Security. Архитектура состоит из шести слоев защиты, взаимодействующих друг с другом:

• «Внешние службы безопасности» - предлагают технологии, расширяющие защиту сети за межсетевой экран;
• «Целостность данных» - проверяет целостность пакетов и их соответствие протоколам;
• «VPN» - проверяет зашифрованные внешние соединения организации;
• Межсетевой экран с динамическим анализом ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности;
• «Глубокий анализ приложений» - обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки;
• «Безопасность содержимого» - анализирует и упорядочивает трафик для соответствующего приложения. Примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL.

Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается внутрь сети.

В системе также используются собственные:

• Антивирус/система предотвращения вторжений на шлюзе;
• WebBlocker;
• SpamBlocker.

Подробнее с техническими характеристиками можно ознакомиться .

Sophos (есть сертификат ФСТЭК)

Модельный ряд устройств компании представлен линейкой UTM xxx (от младшей модели UTM 100 до старшей UTM 625). Основные отличия заключаются в пропускной способности.

Решения включают ряд интегрированных сетевых приложений:

• DPI межсетевой экран;
• Система обнаружения вторжений и веб-фильтрация;
• Безопасность и защита электронной почты
• Контент-фильтры;
• Антивирусный контроль трафика;
• Сетевой сервис (VLAN, DNS, DHCP, VPN);
• Отчетность.

Решения позволяют обеспечить безопасность и защиту сетевых сегментов и сетевых сервисов в телекоммуникационной инфраструктуре SOHO, SME, Enterprise, ISP и обеспечить контроль и тонкую очистку IP-трафика на сетевом уровне. уровнях приложений (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Анти-вирус, Анти-спам).

Подробнее с техническими характеристиками можно ознакомиться .

NETASQ

Компания NETASQ, входящая в корпорацию EADS, специализируется на создании межсетевых экранов оборонного класса для надёжной защиты сетей любого масштаба. UTM-устройства NETASQ имеют сертификаты НАТО и Евросоюза, а также соответствуют классу EAL4+ «Общих критериев оценки защищенности информационных технологий».

В преимущества своих продуктов компания выделяет:

1. NETASQ Vulnerability Manager;
2. Антиспам с фильтрацией рассылок;
3. Интеграцию с «Антивирусом Касперского»;
4. Фильтрацию URL с непрерывным обновлением из облака;
5. Фильтрацию внутри SSL/TLS;
6. VPN-решения с аппаратным ускорением;

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) - 9-11 лет.

Подробнее с техническими характеристиками можно ознакомиться .

Cisco (есть сертификат ФСТЭК)

Компания предлагает решения как для крупного (Cisco ASA ХХХХ Series), так и для малого/среднего бизнеса (Cisco Small Business ISA ХХХ Series). Решения поддерживают функции:

• Контроля приложений и поведения приложений;
• Веб-фильтрации;
• Защиты от ботнетов;
• Защиты от интернет-угроз в режиме, максимально приближенному к реальному времени;

Также обеспечивается:

• Поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников
• Поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки

Подробнее с техническими характеристиками можно ознакомиться .

Juniper Networks

Функциональное направление UTM поддерживают линейки устройств SRX Series и J Series.

В основные преимущества относят:

• Всестороннюю многоуровневую защиту, включающую защиту от вредоносного ПО, IPS, фильтрацию URL-адресов, контентную фильтрацию и анти-спам;
• Контроль и защиту приложений с применением политик на основе пользовательских ролей для противодействия атакам на приложения и сервисы Web 2.0;
• Предустановленные, быстро подключаемые инструменты UTM;
• Минимальные затраты на приобретение и содержание защищённого шлюза в рамках единого производителя защитного комплекса.

Решение состоит из нескольких компонент:

• Антивирус. Защищает сеть от вредоносніх программ, вирусов, шпионских программ, червей, троянов и других атак, а также от почтовых и веб-угроз, которые могут подвергнуть риску бизнес предприятия и корпоративные активы. В основе встроенной в UTM системы защиты от вредоносных программ лежит антивирусное ядро «Лаборатории Касперского».
• IPS . Применяются различные методы детектирования, в т.ч. выявление аномалий протокола и трафика, контекстные сигнатуры, распознавание SYN-флуда, спуфинг-мошенничества, а также обнаружение бэкдоров.
• AppSecure . Ориентированный на приложения (application-aware) комплекс сервисов по обеспечению безопасности, который анализирует трафик, предоставляет широкие возможности мониторинга приложений (application visibility), обеспечивает применение правил сетевого экрана для приложений, позволяет контролировать использование приложений и защищает сеть.
• Улучшенная фильтрация веб-трафика (Enhanced Web Filtering, EWF) обеспечивает защиту от потенциально вредоносных веб-сайтов несколькими способами. Технология использует 95 категорий URL-адресов, что позволяет организовать их гибкий контроль, помогает администраторам отслеживать сетевую активность и обеспечивает выполнение корпоративных политик использования веб-ресурсов. В работе EWF применяется оперативный, осуществляемый в режиме реального времени репутационный анализ на базе сети последнего поколения, которая проверяет на наличие вредоносного кода более 40 млн. веб-сайтов в час. EWF также ведёт совокупный учёт опасности для всех URL-адресов – как категоризированных, так и некатегоризированных, позволяя компаниям отслеживать и/или блокировать сайты с плохой репутацией.
• Антиспам.

Подробнее с техническими характеристиками можно ознакомиться .

Выводы

Российский рынок UTM-систем определённо представляет интерес, как для производителей, так и для потенциальных покупателей. Однако в силу устоявшихся «традиций», производителям приходится вести одновременную «битву» как на фронте сертификации и выстраивания партнёрского канала, так и на ниве маркетинга и продвижения.

Так, можно уже сегодня наблюдать, как практически все из рассмотренных компаний ведут работу над переводами материалов на русский язык, обзаводятся новыми партнёрами, а также проводят сертификацию своих решений. К примеру, в 2012 году Dell учредила отдельную компанию Dell Russia специально для российского рынка (компания не будет заниматься даже «ближайшими соседями» - Украиной и Беларусью). Отечественные разработчики тоже не стоят на месте, развивая свои решения. Примечательно, что многие производители (как отечественные, так и зарубежные) интегрируют сторонние модули в свои продукты. Показательным в этом плане является антивирусный модуль: различные UTM-системы используют ClamAV, Антивирус Касперского, Avira AV, Dr.Web и.т.д.

Тем не менее, вывод очевиден: российский рынок рассматривается всерьёз и на долгосрочную перспективу. Пока отступать не планирует никто, а значит, впереди нас ждут борьба за место под отечественным солнцем. Ведь «№1 в Мире» - это совсем не то же самое, что «№1 в России».

Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.

Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.

Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. В данной статье мы рассмотрим, какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM, каковы преимущества использования таких систем и от каких видов угроз они могут защитить.

По итогам 2015 года Лаборатория Касперского привела неутешительную статистику: около 58% корпоративных ПК подвергались атакам вредоносных программ минимум один раз. И это только успешно отраженные. Из них треть (29%) подверглись атакам через интернет. Отмечалось, что в три раза чаще угрозам подвергаются не домашние компьютеры, а именно корпоративные, поэтому бизнес находится в опасности потери или уничтожения данных.

В 2017 ситуация не стала безопасней : вспомним хотя бы недавний переполох от печально известных вирусов Petya, WannaCry и BadRabbit. И все равно порядка 80% компаний не занимаются обновлением своей системы безопасности, а около 30% имеют явно видимые уязвимости.

Сетевая безопасность в теории и на деле

Не так давно пользователям интернета было достаточно простого файрволла. Однако времена изменились, и теперь требуется более серьезное решение – UTM-устройство, в котором объединен весь функционал, предназначенный для защиты корпоративных сетей от инвазии. Воспользовавшись системой комплексного управления угрозами, компания получит антивирус, сетевой экран, систему предотвращения угроз, защиту от спама и многое другое «в одном флаконе».

В отличие от классического способа, предполагающего покупку ряда отдельных устройств и их интеграцию в единую систему, это более экономичный и производительный вариант, стоящий фактически на трех китах:

• Многоуровневая защита в реальном времени.
• Универсальный фильтр, не пропускающий шпионские программы и вирусы.
• Защита от спама и нежелательного контента.

Такой подход избавляет от необходимости увеличивать траты на «железо», найм IT-специалистов, способных заставить работать всю эту систему корректно, и спасает от проблем с регулярным падением скорости трафика.

На практике для крупных и малых предприятий в приоритете будет разный функционал. Обращаясь к комплексным системам, небольшие организации надеются, прежде всего, решить проблему безопасного доступа в сеть для сотрудников и клиентов. Для корпоративных сетей среднего уровня сложности необходим устойчивый канал связи. Крупные компании озабочены сохранением секретов. Каждая задача в итоге имеет строго индивидуальное решение.

Практика крупных компаний

Например, для компании «Газпром» и подобных ей организаций, отдающих предпочтения российскому софту, это означает снижение рисков, возникающих при использовании иностранного ПО. Кроме того, эргономика диктует необходимость использования оборудования, стандартизированного под уже используемую аппаратную структуру.

Проблемы, с которыми сталкивается крупный бизнес, вызваны именно размерами организации. UTM здесь помогает в решении вопросов, связанных с огромным количеством сотрудников, большими объемами данных, передаваемых по внутренней сети, и необходимостью в манипулировании отдельными кластерами, имеющими доступ в интернет.

Функционал, востребованный крупным бизнесом:

• Расширенный контроль за работой пользователей ПК, их доступом в Сеть и к отдельным ресурсам.
• Защита внутренней сети от угроз, включающая фильтрацию URL и двухфакторную идентификацию пользователей.
• Фильтрация контента, передающегося по внутренней сети, управление Wi-Fi-сетями.

Еще один пример из нашей практики. В дирекции железнодорожных вокзалов компании «РЖД» (классический пример крупного бизнес-проекта с ограниченным трафиком) решение купировало ряд проблем с безопасностью, предотвращая утечку данных, а также спровоцировало прогнозируемое повышение эффективности труда в связи с установкой внутренних блокировок.

Для предприятий банковской сферы, по нашему опыту, особо важно обеспечение стабильного, скоростного и непрерывного интернет-трафика, что достигается благодаря возможности балансировать и перераспределять нагрузки. Важна также защита от утечки информации и контроль ее сохранности.

Торговые комплексы, в частности, коломенский «Рио» , также периодически подвергаются угрозе внешних атак на свою сеть. Однако чаще всего руководство моллов интересует возможность введения внутреннего контроля над сотрудниками, имеющими ограничения по работе с интернетом в зависимости от их обязанностей. Кроме того, интернет активно раздается по всей площади ТК, что увеличивает опасность нарушения периметра. И для успешного предотвращения подобных ситуаций UTM-решение предлагает использовать управление приложениями.

В настоящее время в торговом комплексе «Рио» активно применяются фильтры, разноуровневая блокировка и удаление программ и приложений, попавших в черный список. Основной результат в данном случае – повышение эффективности труда и экономия времени вследствие того, что сотрудники больше не отвлекаются на социальные сети и посторонние интернет-магазины.

Потребности сферы услуг

Кафе, рестораны и отели сталкиваются с необходимостью свободной раздачи Wi-Fi, являющейся на данный момент, согласно отзывам посетителей, одной из самых востребованных услуг. В ряду проблем, требующих немедленного решения, стоят: качественный доступ в интернет и соответствие законодательству РФ. Кроме того, отельные сети имеют некоторую специфику, связанную с повышенными нагрузками. Социальные сети, выкладка фото и видеоматериалов из отпуска и просто серфинг не должны вызывать сбоев и отключения всей системы.

Все эти проблемы купирует соответствующим образом настроенная UTM-система. В качестве решения предлагается введение идентификации устройств по SMS, фильтрация контента и трафика, разделение потоков, на которых сидят клиенты и сотрудники, по цензурным и возрастным показателям. Также обязательно устанавливается защита устройств, подключенных к сети.

Больницы, поликлиники и другие медицинские учреждения требуют унифицированного комплекса безопасности, управляемого из единого центра с учетом филиальной структуры. Российское UTM-решение приоритетно для подобных госучреждений в связи с политикой импортозамещения и соблюдения закона о защите персональных данных.

Выгоды UTM-решений

Главная очевидна: одно устройство заменяет сразу несколько, отлично выполняя функции каждого. Кроме того, подключить и настроить такое устройство на порядок проще, а работать с ним может кто угодно. Преимуществ у комплексного решения несколько:

• Финансовое. Приобретение по отдельности качественных защитных инструментов (система безопасности, антивирусный блок, VPN и прокси-сервер , межсетевой экран и пр.) – это в разы больше расходов на оборудование. Особенно, когда речь идет об импортных вариантах. UTM-устройства гораздо доступней, а качественные отечественные продукты тем более.
• Функциональное. Угрозы предотвращаются на уровне сетевого шлюза, что не прерывает рабочий процесс и не отражается на качестве трафика. Скорость стабильная и постоянная, чувствительные к этому приложения постоянно доступны и работают штатно.
• Простота и доступность. Система на основе UTM не просто быстро устанавливается, но и удобно управляется, что упрощает администрирование. А отечественные решения выполнены на русском языке, что позволяет легко разобраться в технической части без лишнего ковыряния в специфической терминологии.
• Централизованный мониторинг и управление. UTM-решение позволяет управлять удаленными сетями из единого центра без дополнительных расходов на оборудование и персонал.

В целом UTM-устройства становятся центральным элементом обеспечения ИБ любой компании с сетью от нескольких компьютеров до десятков тысяч точек доступа, эффективно предотвращая неприятности и помогая избежать процесса разгребания последствий заражений и взломов.

Однако следует учитывать, что UTM не решает всех проблем, так как не управляет конечными устройствами, беззащитными перед недобросовестными пользователями. Локальная вирусная угроза требует наличия антивирусных программ, помимо антивирусного шлюза, а для гарантированного предотвращения утечки информации необходима установка DLP-систем. Показательна в этом плане недавняя история с аэропортом Heathrow , где начато расследование после того, как на одной из улиц Лондона нашли флеш-накопитель с данными, связанными с обеспечением безопасности и проведения антитеррористических мероприятий в аэропорту.

Критерии выбора UTM-системы

Система должна соответствовать нескольким параметрам. Это максимальное удобство, надежность, легкость настройки, понятное управление, постоянная техподдержка от производителя и относительно невысокая стоимость. Помимо этого, имеется жесткое требование обязательной сертификации ФСТЭК (ФЗ-149, ФЗ-152, ФЗ-188). Оно распространяется на образовательные и госучреждения, бизнес, работающий с персональной информацией, учреждения здравоохранения, предприятия госсектора. За использование несертифицированных систем предусмотрены жесткие санкции: штраф до 50 тыс. рублей, в отдельных случаях – изъятие предмета правонарушения и приостановка деятельности до 90 суток.

Берегите себя и свои данные, используйте современные системы информационной безопасности и не забывайте ставить обновления вендоров.

Универсальное устройство Unified threat management, иначе называемое UTM-системой, создано для обеспечения компьютерной безопасности. Его применение в целях защиты цифровых данных началось в 2004 году, поскольку обычные виды межсетевых экранов уже не могли справляться со всё более изощрёнными сетевыми атаками. Unified threat management является модификацией стандартного межсетевого экрана (Firewall) , в связи с чем включает в себя функции, направленные на обеспечение защиты персональных данных. Это становится возможным за счёт включения в UTM-решение задач поиска, а также предотвращения сетевых угроз, антивируса, межсетевого экрана и VPN.

Впервые термин «Unified threat management» был использован IDC – компанией, ведущей исследование телекоммуникаций и всемирных информационных технологий. Главным достоинством UTM является то, что система представляет собой единый комплекс, выполняющий сразу все необходимые пользователю функции: антивируса, контент-фильтра, IPS – службы по предотвращению вторжений и сетевых атак, что намного удобнее и эффективнее, чем администрирование нескольких устройств единовременно.

Архитектура UTM

UTM могут быть реализованы как в виде программного решения(устанавливаемого на выделенный сервер или в качестве виртуальной машины), так и в виде программно-аппаратного комплекса. В последнем случае для вычислений используется не только центральный процессор общего назначения, но и ряд специальных процессоров. Благодаря данному свойству скорость работы UTM-шлюза может достигать 1Gbps и выше.

Процессор контента

Разработан в целях высокоскоростной обработки подозрительных сетевых пакетов, а также архивированных файлов и их сравнении с теми видами угроз, которые уже записаны в память. Трафик обрабатывается не напрямую через сеть, а от CPU общего назначения, что ускоряет скорость вычисления операций, логически относящихся к службе IPS и антивируса.

Сетевой процессор

Осуществляет высокоскоростную обработку сетевых потоков, снижая нагрузку на прочие системные компоненты. Также осуществляет шифрования, трансляцию сетевых адресов и обработку TCP-сегментов. Способен вычислить угрозу даже тогда, когда данные фрагментированы для обхода служб безопасности, путём их сортировки, вычисляет реальное назначение конечного пакета данных.

Процессор безопасности

Позволяет значительно повысить производительность антивируса, службы предотвращения потери данных и службы IPS (предотвращения сетевых вторжений). Принимает на себя сложно вычислимые задачи, значительно разгружая таким образом CPU.

Программные компоненты

Firewall

Многоуровневый межсетевой экран защищает пользователя от атак не только на уровне сети, но и на уровне приложений: доступ к внутренним данным осуществляется только после аутентификации, обеспечивая доступ исключительно санкционированным пользователям; возможно создание различных уровней прав доступа для различных пользователей. Имеется поддержка NAT-трансляции сетевых адресов без раскрытия внутренней архитектуры сети организации.

IPSEC VPN

Обеспечивает быстрое и простое создание безопасных VPN сетей – на основе домена шифрования или правил маршрутизации – объединяя таким образом функции шифрования, аутентификации, контроля доступа. Позволяет осуществить безопасное подключение удалённых пользователей, объектов, сетей.

Фильтрация URL

Фильтрация нежелательных сайтов за счёт запрета доступа сотрудников к заданному списку веб-страниц. Позволяет работать с крупными базами URL-адресов, возможно разбиение их по типу контента. Возможно создание белых или чёрных списков для отдельных пользователей или серверов.

Антивирус и Антиспам

Проверка на вирусы происходит ещё до их попадания на жёсткий диск пользователя – на шлюзе безопасности. Обычно поддерживаются наиболее часто используемые протоколы POP3/IMAP4, FTP, HTTP, SMTP. Кроме этого, антивирус, как правило, способен осуществлять сканирование сжатых файлов.

Блокировка спама происходит на основе изучения репутации IP-адреса, с которого было получено сообщение, а также путём проверки полученного пакеты данных на соответствие с чёрным и белым списком. Для почты предусмотрен IPS, который защищает её от DDoS-атак, атак на переполнение буфера. Всё содержимое письма сканируется на наличие вредоносных кодов и программ.

Кластеризация

Внедрён с целью повышения производительности межсетевого экрана, которая стала возможной благодаря увеличению пропускной способности и его разгрузки, равномерного распределения нагрузки на вычислительные ядра. Грамотное распределение трафика между резервными шлюзами позволяет достичь высокого уровня отказоустойчивости и перенаправления трафика в случае отказа из одного шлюза в другой.

Безопасный веб-серфинг

Исследует текущую веб-сессию на предмет наличия вредоносного кода. Способен определить не только наличие, но и уровень опасности исполняемого кода, и блокировать вредоносный код до того, как он достигнет компьютера пользователя. Способен скрывать информацию о сервере в HTTP-ответе, предотвращая возможные сетевые атаки.

Предпосылки к появлению

Ввиду всё большего числа сетевых атак и взломов серверов крупных компаний и корпораций стало очевидна необходимость внедрения UTM-шлюзов, способных отразить проникновения в систему вирусов и червей.

На сегодняшний день существует множество способов взлома слабо защищённых систем. Основными проблемами, с которыми сталкиваются современные компании, является отсутствие безопасности внутренних данных, а также несанкционированный доступ к информации собственных работников. Отсутствие защищённости данных становится результатом крупных денежных потерь. Тем не менее, лишь сравнительно недавно корпорации стали признавать необходимость контроля доступа к информации сотрудниками компании, пренебрежение же специализированных средств для защиты данных внутри сети приводит к разглашению и компрометации конфиденциальных данных.

Назначение UTM-решения заключается в предоставлении полного спектра приложений, необходимых для защиты данных от третьих лиц. Простые и удобные в использовании, UTM-системы постоянно развиваются, что позволяет им реагировать на всё более сложные сетевые атаки и своевременно их устранять.

UTM-решения имеет аналог в виде файервола следующего поколения, или NGFW (next generation firewall). По функционалу это устройство очень схоже с UTM, но разрабатывалось оно не для предприятий среднего бизнеса, как это было с Unified threat management, а для крупных компаний. Поначалу создатели NGFW пытались объединить в нём фильтрацию по портам и протоколам, обеспечивая функционал защиты сетевых атак и возможность анализа трафика на уровне приложений.

Рынок UTM сегодня

Согласно последним исследованиям рынка, в течение 2016-2020 годов рынок UTM возрастёт приблизительно на 15 процентов. Основные поставщики UTM-решений:

• Dell Sonic Wall
• Cisco (Cisco ASA -X)
• Check Point Software Technologies
• Juniper Networks
• Kerio (куплена GFI)

Отечественные разработчики UTM-решений:

• А-Реал (Интернет Контроль Сервер)
• Смарт-Софт (TrafficInspector)

UTM: комплексные решения

Использование сетевых решений, направленных на выполнение только одной функции, перестало быть оправданным ввиду сложности в управлении и интегрировании их друг с другом и связанными с этим высокими временными и финансовыми ресурсами. Сегодня сетевая безопасность требует комплексного подхода, объединяя функционал систем, ранее работавших разрозненно. Это обеспечивает высокую производительность и оптимальное решение проблем в более короткие сроки – и с большей эффективностью.

Наличие одного UTM-решения вместо нескольких различных устройств упрощает управление стратегией сетевой безопасности компании. Настройка всех составляющих UTM-шлюза осуществляется из одной консоли – ранее для этого потребовалось бы несколько слоёв программного и аппаратного обеспечения.

На предприятиях, имеющих удалённые офисы и серверы, UTM-решения обеспечивают централизованное управление удалёнными сетями и их защиту.

Достоинства

Снижение числа используемых устройств;

Уменьшение объёма используемого софта и финансовых трат на его поддержку;

Лёгкое и понятное управление. Наличие различных настроек, веб-интерфейса и расширяемая архитектура;

Более быстрая обучаемость персонала за счёт использования лишь одного устройства.

Недостатки

UTM представляет собой решение с единой точкой отказа, но некоторые решения поддерживают кластеризацию;

Если UTM-система не поддерживает максимальную скорость передачи данных сети, возможно влияние на пропускную способность сети и время отклика.