Брандмауер наступного покоління (NGFW) по суті породжений необхідністю забезпечувати більшу видимість та контроль над користувачами та їх програмами.

брандмауерах

Тож чому звіти про контроль додатків виглядають так?

У нещодавній статті CHRIS MCCORMACK (проблема з брандмауерами) я пояснюю, чому для багатьох шанувальників мережі брандмауери не створюють такої довіри, як колись. У цій статті ми зосереджуємося на тому, чому більшість трафіку, який проходить через сучасний брандмауер, залишається невідомим, неідентифікованим або просто занадто загальним, щоб його можна було класифікувати чи контролювати.

Чому контроль програм має значення

Протягом багатьох років брандмауери еволюціонували від сторожових периметрів до охоронців мережі, які захищають від загроз як усередині мережі, так і зовні.

Ця зміна фокусу була зумовлена ​​загрозою зловмисного програмного забезпечення, небезпекою, яку становлять вразливості програм, ризик втрати та витоку даних, зобов’язання щодо дотримання вимог та необхідність оптимізації роботи мережі.

Для цього брандмауер наступного покоління (NGFW) буквально піднявся над портами та протоколами свого попередника (брандмауери з підтримкою стану) до верхніх шарів моделі OSI, щоб забезпечити видимість та контроль над користувачами та їх програмами.

Вони використовують глибоку перевірку пакетів, щоб ідентифікувати програми та пов’язати їх із користувачами або комп’ютерами в мережі, що дозволяє адміністраторам виконувати такі завдання, як надання пріоритетів системі ERP, VoIP-трафіку або програмному забезпеченню CRM перед потоковим передаванням (YouTube, радіостанції тощо) або блокування та ідентифікація P2P-трафік користувачів.

Цей тип контролю залежить від того, чи зможе ваш брандмауер успішно ідентифікувати програми, що і робиться шляхом пошуку шаблонів у трафіку, відомих як підписи. Деякі програми використовують еквівалент тегу, завдяки чому їхній трафік легко ідентифікувати, більшість програм цього не роблять, а деякі навіть знаходять спосіб пройти через брандмауер, не будучи ідентифікованими.

Деякі програми, які багато організацій вважають ризикованими, наприклад, клієнти BitTorrent, можуть спробувати обдурити ваш брандмауер, постійно змінюючи їх схеми трафіку та спосіб їх підключення за межами мережі. Інші програми обходять виявлення шляхом шифрування або маскування, як щось інше, наприклад веб-браузер.

Виявлення на основі підписів може також не вдатися, коли додаток оновлюється і змінюється його шаблон трафіку, або коли додаток є спеціальним або просто занадто темним, щоб мати відповідний шаблон.

Це ситуація, яка не лише залишає потенційні ризики невизначеними, а ваші основні бізнес-додатки, такі як ERP-рішення або CRM-програмне забезпечення, також можуть залишатися непоміченими, залишаючи ваш трафік придушеним або стисненим вагою веб-перегляду або менш важливими речами або небажаними.

Без сірника ваш брандмауер не уявляє, про що йдеться, і не має контролю.

Наскільки велика проблема?

Софос нещодавно провів опитування середніх організацій, щоб визначити, скільки трафіку їхніх додатків було неідентифікованим та неконтрольованим.

Майже 70% опитаних організацій мали UTM або брандмауер наступного покоління. Респонденти виявили, що в середньому 60% трафіку є неідентифікованим ... і багато організацій повідомляють, що до 90% трафіку їхніх додатків було неідентифікованим.

Якщо ви стурбовані безпекою, підзвітністю чи впливом продуктивності, яку ця відсутність видимості має на вашу організацію, ви не самотні ...

  • 82% респондентів стурбовані ризиком безпеки
  • 65% були стурбовані впливом на продуктивність мережі
  • 40% стурбовані потенційною юридичною відповідальністю та ризиками дотримання

Опитування також виявило додатки, які найбільш зацікавлені організації через високий ризик уразливостей системи безпеки, ризики дотримання, спричинені потенційно невідповідним або незаконним вмістом, вплив на продуктивність або споживання смуги пропускання:

  • Програми обміну миттєвими повідомленнями та конференцій, такі як Skype і TeamViewer
  • BitTorrent та інші клієнти P2P, включаючи uTorrent, Vuze та Freenet
  • Клієнти проксі-сервера та тунелю, такі як Ultrasurf, Hotspot Shield та Psiphon
  • Ігри та ігрові платформи, такі як Steam

Ваші підписи наступного покоління брандмауера не допоможуть вам контролювати ці програми, оскільки в більшості випадків вони не знаходять відповідності. Трафік просто відображатиметься як HTTP, HTTPS, TLS, перегляд веб-сторінок та інші загальні категорії, не корисні у ваших звітах.

На щастя, ми знайшли досить елегантне рішення цієї проблеми. Завантажте наш довідковий документ “Тримайте свою мережу під контролем”: чому адміністраторам мережі потрібна повна видимість додатків, щоб дізнатися більше.