Журнал "Information Security/ Информационная безопасность" #6, 2024

NGFW – это словно швейцарский нож для сете- вой безопасности: каждый элемент должен быть функ- циональным, компактным и невероятно точным. Но даже у швейцарских ножей есть слабые места. Настройка правил в NGFW – это не просто галочка в списке тривиаль- ных задач, а настоящее искусство, сродни приготов- лению изысканного блюда. Правильная настройка NGFW не происходит одно- моментно по взмаху вол- шебной палочки – это кро- потливый процесс. Здесь важно учитывать не только технические аспекты, но и организационные нюансы. Однако и здесь необходимо найти баланс между объемом и детализацией логов. Чем больше информации фиксиру- ется в событии, тем больше возможностей для анализа и выявления угроз. Но избы- точная детализация перегружа- ет систему, снижая ее произво- дительность. Недостаток же данных, напротив, ограничивает глубину анализа, оставляя неко- торые угрозы незамеченными. Вызовы производительности NGFW NGFW – это словно швей- царский нож для сетевой без- опасности: каждый элемент должен быть функциональным, компактным и невероятно точ- ным. Но даже у швейцарских ножей есть слабые места. У NGFW – это наша любимая (и немного своенравная) шина PCI. Она похожа на офисного работника, которого одновре- менно касается всё: обработка пакетов, передача данных, гене- рация логов, запись их на диск. В общем, настоящая многоза- дачность, которая превращает шину в "бутылочное горлышко" всей системы. Особенно это чувствуется при создании высокопроизводи- тельных ПАК NGFW, где нагруз- ка просто зашкаливает. Логи в таких условиях становятся не просто данными, а чем-то вроде снежного кома: они растут в реальном времени и сильно тормозят производительность. PCI-шина буквально задыхается под этой лавиной данных, и ста- новится понятно, что одной ей не справиться. Что же делать? Тут в игру вступает архитектурная магия – разумно вынести систему логи- рования в отдельный блок. Он становится помощником шины PCI, который берет на себя сбор, сортировку и упаковку логов, чтобы основная система могла сосредоточиться на глав- ной задаче – защите сети. Этот блок в реальном времени соби- рает данные, агрегирует их, приводит к единому формату и отправляет в SIEM, уже изба- вив от лишнего мусора. Такой подход не только сни- мает нагрузку с PCI-шины, но и ускоряет работу всей систе- мы. Это как убрать пробку на дороге: трафик начинает дви- гаться быстрее, и все доволь- ны. Грамотное распределение задач и немного технической изобретательности помогают преодолеть даже самые слож- ные ограничения. И, главное, NGFW остается верен своему предназначению – защищать сеть на самом высоком уровне и по качеству, и по модели OSI. Баланс правил в NGFW Настройка правил в NGFW – это не просто галочка в списке тривиальных задач, а настоя- щее искусство, сродни приго- товлению изысканного блюда: слишком много соли – пересо- лишь (и SIEM-система "захлеб- нется" в данных), слишком мало – получится пресно (SOC не сможет разглядеть угрозы за отсутствием информации). Найти баланс – задача, тре- бующая точности, опыта и капли профессиональной магии. Современные SOC – это настоящие монстры Big Data с мощными хранилищами и вычислительными супервоз- можностями, но даже они пасуют перед некорректной настройкой. Все упирается в человеческий фактор: гра- мотная конфигурация NGFW требует специалистов, которые знают свое дело. Без них даже самые крутые железки превра- щаются в красивый, но практи- чески бесполезный аксессуар. Дополнительные проблемы создают сами NGFW, если их архитектура ограничивает коли- чество правил. Некоторые устройства уже при 5–8 тыс. правил начинают "потеть", а другие без напряжения обра- батывают сотни тысяч. Наши испытания показали, что NGFW может легко переваривать 500 тыс. правил в одном тенанте и оставаться стабильным даже при добавлении второго. Да, современные технологии спо- собны на многое, но все упира- ется в правильную настройку. Зоны ответственности А теперь представьте себе крупную корпорацию с парком NGFW от разных производите- лей. Настройка тут превраща- ется в квест: одна платформа "думает" так, другая иначе, а администраторы SOC и NGFW часто работают в разных депар- таментах (или даже в разных организациях). В итоге SOC видит, что атаки происходят, но не может внести изменения в правила NGFW, потому что это не его зона ответственности. Бюрократия и техническая раз- общенность – то еще комбо! Правильная настройка NGFW не происходит одномо- ментно по взмаху волшебной палочки – это кропотливый процесс. Здесь важно учиты- вать не только технические аспекты, но и организационные нюансы: кто управляет прави- лами, как координируются команды и насколько готовы специалисты решать возни- кающие конфликты. Иногда без консалтинга и сторонней помощи просто не обойтись. В итоге эффективность NGFW определяется не только его техническими возможностя- ми, но и опытом, знаниями и слаженной работой специа- листов. Это как оркестр: даже если рояль идеально настроен, без талантливого пианиста он не зазвучит. Заключение NGFW – это страж у ворот корпоративной сети, он первый замечает аномалии и фиксиру- ет их, опираясь на заранее заданные правила. Эти прави- ла – результат работы специа- листов, которые решают, какие события достойны попасть в логи. Дальше в игру вступает SOC, словно детектив, который внимательно изучает и анали- зирует события, чтобы выявить новые, неизвестные атаки. Идеальные условия для сбора данных возникают там, где крупные провайдеры, SOC и производители NGFW объ- единяют усилия в рамках еди- ной экосистемы, которая поз- воляет собирать информацию из множества источников через мощные каналы пере- дачи данных. Провайдеры, с их доступом к огромным объемам трафика, становятся ключевым звеном для анализа. Только так возникает возможность аккумулировать огромные мас- сивы статистики, доступные для исследования. Это рожда- ет оптимальные условия для создания точных и эффектив- ных фидов, а значит, и для построения надежной защиты. Такой подход превращает NGFW и SOC в мощный дуэт, где данные и аналитика объ- единяются ради главной цели – безопасности. l • 25 NGFW www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RED SECURITY см. стр. 72 NM Реклама