Журнал "Information Security/ Информационная безопасность" #6, 2023

NGFW и TI Мы активно используем фиды раз- ных видов – от вендоров используе- мых нами СЗИ, SOC, есть также подписки на другие источники. Нужно, чтобы NGFW мог принимать такие фиды – через API, URL или хотя бы текстовый файл – и форми- ровал правила или обновлял внут- ренние списки. Кроме этого, важен ретроспективный анализ. Когда мы получаем какие-либо индикаторы компрометации, нужна воз- можность по логам NGFW посмотреть, а было ли у нас что-то похожее за последнее время. Особенно это акту- ально, когда речь идет о новых уязви- мостях. Возможно, нас уже взломали, а мы об этом еще не знаем, потому что на момент инцидента у нас еще не было соответствующих сигнатур. Заключение Конечно, российские NGFW только стремятся к тому, чтобы достичь уровня функциональности и характеристик, сравнимых с лучшими иностранными образцами. Но это не значит, что все плохо. Есть аспекты, которые нам нра- вятся в российских решениях класса NGFW. 1. Нам нравится, что многие вендоры активно развивают свои продукты: частые релизы, интересная функциональность, свежие подходы. 2. Есть российские системы, которые нам нравятся проработанностью и удоб- ством интерфейса. А это важный компо- нент, который значительно упрощает рабо- ту специалистов. 3. Есть системы с хорошей производи- тельностью, не сильно проседающие даже в режиме всех включенных модулей обра- ботки трафика. 4. Важно, что только российские системы остались в реестре регуляторов – ФСТЭК России, ФСБ России, Минцифры и Мин- промторга. Конечно, это не заслуга самих вендоров, но все равно дает им сильное преимущество в глазах заказчиков. Я верю, что у России будут свои хоро- шие решения класса NGFW. Да, это будет, скорее всего, не в следующем году и даже, может быть, не через год. Но работа идет – мы это видим, – и результат обяза- тельно будет. l Юрий Дышлевой, Positive Technologies: Мы хорошо понимаем, что возможность загрузки сторонних фидов – это необходимость в современной сети. Такая возможность будет реализована в PT NGFW. Система логирования также является неотъемлемой частью межсетевого экрана. По этой причине в PT NGFW логирование – часть системы централизованного управле- ния, и она не требует дополнительного лицензирования. Однако, на наш взгляд, для ретроспективного анализа лучше использовать специализированные инструменты, например MaxPatrol SIEM. Дмитрий Лебедев, Код Безопасности: Фиды TI – один из самых эффективных способов своевременного реаги- рования на вредоносную активность хакеров. Наиболее важную роль играет частота обновления списков и приоритизация. В Континент 4 используются фиды TI сразу из нескольких отдельных независимых источников: от "Кода Безопасности", "Лаборатории Касперского", фиды Центрального банка РФ, фиды "Технологий киберугроз" (появятся в феврале 2024 г.). Активно прорабатываются также интеграции с отечественными вендорами TI. Уже сейчас имеется возможность сотрудничества с Security Vision и R-Vision. Александр Баринов, ГК "Солар": При создании экоси- стемы продуктов и сервисов мы используем атакоцентричный подход, осуществляя разработку на основе аналитики, полу- ченной по итогам изучения фактов реальных атак на компании, находящихся под защитой "Солара". Solar NGFW загружает сигнатуры из разных источников, в том числе использует уни- кальную экспертизу Центра исследования киберугроз Solar 4RAYS, где выстроен непрерывный процесс обнаружения и разработки новых сигнатур IPS. Это позволяет обеспечить ком- плексную защиту инфраструктуры клиента. Пользователям Solar NGFW всегда доступна актуальная и эффективная база данных сигнатур IPS против новых угроз, поскольку ее обнов- ление происходит в том числе и в CLI (интерфейсе командной строки), а в будущем это процесс будет автоматизирован. Олег Вдовичев, InfoWatch: InfoWatch ARMA Industrial Firewall может работать через протокол ICAP с песочницей ATHENA, отправляя подозрительные объекты на анализ в вир- туальную среду. Эта интеграция появилась совсем недавно, и планируется ее развитие. На 2024 г. запланирована интегра- ция с различными базами данных, с помощью которых InfoWatch ARMA Industrial Firewall сможет получать информацию о разного вида вредоносной активности в сети, лучше выявлять сложные кибератаки и формировать на основе этого правила межсете- вого экрана. Павел Мерещук, Гарда: Интеграция с Гарда TI есть в планах развития. После того как наш NGFW научится выпол- нять ключевые задачи по обнаружению и предотвращению различных сетевых атак, можно будет говорить о тонкой настройке. TI в дополнение к лаборатории анализа протоколов и сервисов будет источником актуализированных данных об угрозах. И если это позволит снизить процент ложных сраба- тываний, думаю, что никто из заказчиков не будет против. А если такая дружба позволит еще и снизить нагрузку за счет автоматизации, использования ИИ и МО, то и мы как большая команда будем пожинать плоды успешной синергии продуктов "Гарда". Алексей Прокопчук, Смарт-Софт: Мы активно обсуж- даем варианты импорта сторонних списков таким образом, чтобы эта процедура была максимально простой и прозрачной для администратора. На данный момент мы находимся в про- цессе разработки методики. Что касается ретроспективы, такой анализ возможно организовать – принудительно, по рас- писанию или автоматически во время наименьшей нагрузки на систему. Игорь Абрамчук, Инфотактика: В вопросах примене- ния баз уязвимостей CoreBit.NGFW использует подписки к различным источникам (в большей степени иностранным). Но возникает проблема унификации различных форматов описания CVE из различных источников применительно к нашим задачам определения угроз. Кроме того, существуют особенности в профилях сетевого трафика, передаваемого в сетях иностранных операторов связи и сетях операторов связи России, что требует доработки порядка 20% правил с целью исключения ложных срабатываний. Иван Чернов, UserGate: Мы поддерживаем идею откры- той экосистемы. Наши решения могут спокойно подключаться к внешним источникам данных и использовать их для работы. Это еще одна степень свободы, которую мы предоставляем нашим заказчикам. Игорь Алексеев, А-Реал Консалтинг: На мой взгляд, анализ ретроспективы через логи NGFW – штука неправильная. Ведь это просто набор записей, а делать рет- роспективу нужно через SIEM, которая интегрирует все информационные источники и автоматически проводит кор- реляцию. Ведь события безопасности могут возникать далеко не только в NGFW. Что касается получения фидов от источ- ников TI – я полностью согласен: так должно быть и так есть в большинстве NGFW. Комментарии экспертов Ваше мнение и вопросы присылайте по адресу is@groteck.ru СПЕЦПРОЕКТ 50 •