Next-generation firewall

PALO ALTO NETWORKS
Zero Trust Networking

U proteklih nekoliko godina  došlo je do dramatične evolucije sajber napadača i tehnika koje oni koriste. Prema procijenama mnogih stručnjaka industrija sajber kriminala danas iznosi preko $1 biliona. Kao i u svakoj industrijskoj grani važan je omjer uloženog i profita, sa tim u vezi važno je postići da uloženi resursi u sajber napad budu veći od profita koji bi tom prilikom bio produkovan.

Na globalnom nivou danas više od 100 država gradi sajber vojne kapacitete, dok njih 20 spadaju u svjetske sile na polju sajber ratovanja. Sve ove države imaju drugačije motive po pitanju sajber napad, neke ih koriste u ratnim uslovima, neke za odbranu, a  neke za terorizam, itd. Svi ovi motivi nisu vođeni profitom. Iz tog razloga je nophodno postići da ove države na našem polju djelovanja imaju maksimalno ograničenu prohodnost u cilju ostvarivanja svojih ciljeva.

Današnji sajber napadi nemaju samo multidimenzionalnu prirodu, već su sve sofisticiraniji, a koji u kontinuitetu koriste skup tehnika koji se permanentno mjenja i usložnjava. Sistem je imun na sajber napad u onoj mjeri koliko je neprobojna najslabija ulazna tačka u sistem. Iz ovog razloga kvalitetna zaštita od sajber napad mora sadržavati višestruke tačke provjere sa ciljem osiguravanja kvalitetne antisajber zaštite, što uključuje:

  • Sprečavanje različitih tehnika sajber napada, koji npr. ima za cilj detekciju i uspostavjanje komandnih i kontrolnih kanala u našem sistemu
  • Prevencija i sprečavanje instalacije malwrea, uključujući nepoznate (unknown) i polimorfne malware
  • Sprečavanje različitih tehnika koje sajber napadač mora koristiti da bi iskoristio ranjivost našeg sistema.
  • Kontrola i nadzor komunikacije unutar neke organizacije koja koristi sistem koji je potencijalna meta sajber napada sa ciljem sprečavanja napada od strane internih objekata koji su zaraženi malwareom ili sprečavanje krađe indentiteta internih objekata nekog sistema.

Sa ciljem sticanja utiska o kojoj količini nedozvoljenog sadržaja (malwarea) je rječ u današnjim globalnim okvirima, jedan podatak do kojeg je Palo Alto došao koristeći svoje napredne alate (kao što je WildFire) je da su do sada otkrili i analizirali peke 2 miliona različitih malwarea.

Novi izazovi na polju sigurnosti više nisu samo blokiranje nepoželjnog saobraćaja i propuštanje dozvoljenog saobraća, već klasifikacija i prepoznavanja nepoznatog „Unknown“ saobraćaja, na osnovu čega možemo prepoznati nove do tog trenutka nepoznate prijetnje i klasifikovati ih na način da javno budu prepoznati na globalnom nivou kao malware.

Do pojave next-generation firewalla napredna sigurnsna rješenja su u principu izgledala kao niz sigurnosnih segmenata koji su se smjenjivali kao na pokretnoj traci. Unapređenjem sajber napada uočene su odrđene slabosti ovakvog pristupa, što je posebno postalo vidljivo kod ciljanih sajber napada, što je obezvrijedilo pomenuti pristup uzimajući obzir omjer financijskih zahtjeva u odnosu na umanjen nivo sigurnosti na nove napredne sajber napade.

Postoje tri osnovna pitanja koja se nameću pred next-generation firewalle:

  • Ne možemo se zaštiti od onog što ne vidimo, next-generation firewall ima sposobnost da „vidi“ sve aplikacije, korisnike i individulane uređaje na mreži sa ciljem prevencije sajber napada koji mogu biti maskirani nestandardnim protokolima i portovi ili SSL enkripcijom (u ovom slučaju next-generation firewalla mora imati sposobnost dekripcije SSL, tzv. Man-in-the-middle dekripcija)
  • Korelacioni propusti – u slučaju multidimenzionalnih sajber napada next-generation firewall funkcioniše kao sistem sistema gdje različite tehnologiji rade u sinergiji zajedno na koordinisan način kako bi na efikasn način spriječili sajber napade.
  • Manuleno prilagođavanje sigurnosnih parametara, next-generation firewall omogućuje automatizovan sistem učenja i primjene novih zaštitnih pravila bez potrebe za bilo kakvu manulenu intervenciju čovjeka.

Novi zahtjevi koji su postavljeni pred napredna firewall rješenja su prevencija sajber napada, a ne saniranje štete kada se napad već desio. To podrazumjeva da je firewall sposoban da prepozna određene korake u lancu koji je neophodne realizovati sa ciljem postizanja uspješnog sajber napada, a next-generation firewalla upravo ima ovu sposobnost.

Next-generation firewall ima sposobnost prevencije sajber napada u bilo kojoj tački sistema, kao što su:

  • Mobilni uređaji
  • Edge uređaji
  • Sajber napadi koji potiču od zaraženih uređaja u okviru LAN mreže ili od trećih lica koja u određenom trenutku imaju pristup našoj mreži
  • Data centri (VM)
  • Cloud infrastruktura

Jedan od lidera na polju inovacija, razvoja i performansi next-generation firewalla i koji je bio primarni izvor informacija pri pisanju ovog bloga je Palo Alto Networks. U nastavku ćemo tabelarno prikazati unapređenja i performanse koje pruža u odnosu na konvencionalna firewall rješenja.

Konvencionalni firewall Palo Alto firewall
– Blokira poznate prijetnje na osnovu portova, potpisa i URL-a – Kreira APP-ID/USER-ID i sigurnost zasniva na tzv. Zero-Day prevenciji od svih poznatih i nepoznatih (koje prethodno klasifikuje) prijetnji
  • Ograničava mrežni saobraćaj između različitih mrežnih segmenata
  • Za Različite grupe usera kreira različeite privilegije
  • Spriječava djelovanje malicioznog softvera u LAN mreži
  • Kreira şegmentirane sigurnosne zone sa ciljem ograničenja usera po grupama
  • Striktna kontrola saobraćaja između sigurnosnih zona
  • Limitira saobraćaj određenog tipa između različitih segmenata
– Štiti data centar od nedozvoljenog saobraćaja – Štiti data centar od bilo kog sajber napad od starne nekog trećeg lica ili malwarea na aplikativnom nivou
– U internoj komunikaciji u data centru dozvoljava komunikaciju između VM-a po tačno definisanim portovima – Štiti data centar od bilo kog sajber napad od starne nekog trećeg lica ili malwarea na aplikativnom nivou, omogućujući razmjenu informacija o detektovanim mawareima
– Omogućuje korištenje remote VPN konekcija – Omogućuje korištenje remote VPN konekcija sa prevencijom od malawrea sa remote uređaja

 Dakle neke osnove karakteristike koje Palo Alto firewalli pružaju mogu se sažeti u nekoliko osniovnih tačaka:

  • Omogućuju kreiranje sigurnosnih pravila koja funkcionišu na aplikativnom nivou
  • Omogućuju kreiranje sigurnosnih pravila koja koriste User Indentity/user group, što omogućuje indentifikaciju i dodjelu striktih prava pristupa svakom useru na mreži
  • Omogućuje detekciju i klasifikaciju nepoznatih malwarea, koje potom čini javnom dostupnim svim Palo Alto uređajima
  • Threat Prevention upadatei omogućuju dinamičku prevenciju koristeći “potpise” mawarea koje kontinualno ažurira Palo Alto upadate centar
  • URL Technology omogućuje dinamičku prevenciju malwarea na pricipu Command&Control koristeći “potpise” kategorisanih URL sadržaja koje kontinualno ažurira Palo Alto upadate centar. Takođe moguće je kreirati custom URL kategoriju koja će se koristiti u podešavanju sigurnosnih polisa

U okviru ovog teksta je iznesen kratak opisni pregled next-generation firewalla posmatrano kroz prizmu Palo Alto Networks firewall rješenja, nešto detaljniji pregled tehničkih mogućnosti će biti pezentovan nekom drugom prilikom…