unified threat management что это
NTA, IDS, UTM, NGFW — в чем разница?
Дмитрий Ким, руководитель отдела продвижения и развития продуктов, Positive Technologies Виктор Рыжков, менеджер по продуктовому маркетингу, Positive Technologies
С появлением систем анализа трафика (network traffic analysis, NTA) мы часто слышим один и тот же вопрос: чем NTA отличаются от того, что уже есть на рынке? В этой статье поговорим про четыре популярных класса систем безопасности, которые выявляют атаки с помощью анализа трафика, сравним их функциональность и разберемся, в каких случаях они необходимы.
Итак, рассмотрим основные классы решений для анализа сетевого трафика:
IDS/IPS: что, кому и зачем
Современные IDS/IPS работают с сетевым трафиком, выявляя в нем сетевые атаки. Отличие IDS и IPS заключается лишь в дальнейших действиях, которые выполняет система после выявления угрозы: IDS может только сигнализировать о факте обнаружения, IPS — разрывать соединение, в котором была обнаружена атака. Соответственно и схемы встраивания в инфраструктуру организации у систем IDS и IPS выглядят по-разному: IDS работает исключительно с копией трафика, проходящего через сетевое оборудование (трафик перенаправляется по технологии SPAN или RSPAN), виртуальные машины (по технологии ERSPAN) или через оптический ответвитель (TAP). IPS же становится прямо на пути следования самого трафика.
Как правило, IDS/IPS устанавливают на периметре организации, сразу за межсетевым экраном, для предотвращения внешних вторжений из сети Интернет. Решения IPS также имеют возможность раскрытия шифрованного трафика и работы по схеме «человек посередине» (man-in-the-middle).
Схема работы IDS и IPS
IDS в чистом виде сегодня представлены довольно редко и преимущественно в виде опенсорсных решений или как часть решений network traffic analysis. IPS, в свою очередь, зачастую является частью более современных и комплексных решений — межсетевого экрана нового поколения (next-generation firewall, NGFW) или unified threat management (UTM), о которых мы поговорим далее.
NGFW: есть ли теперь место UTM и IPS
Прежде всего, следует отметить главное сходство NGFW и UTM. Это комплексные решения, включающие в себя, помимо IPS, набор функций:
Главное же различие между ними — это внутренняя архитектура. Если в UTM все имеющиеся функции используют ресурсы одного и того же процессора, то в NGFW они разнесены — каждой функции свой, отдельный процессор. В итоге все операции проходят параллельно, и это положительно влияет на производительность устройства.
Схема работы UTM и NGFW
Несмотря на очевидное преимущество NGFW, решения класса UTM на рынке по-прежнему представлены. Зачастую причина приобретения UTM, а не NGFW, скорее, экономическая: UTM дешевле, и для небольших организаций это решение может справиться с подаваемой на него нагрузкой и обеспечить необходимую функциональность.
Более того, даже использование отдельного IPS (вне NGFW), все еще возможно — обратить внимание на него стоит в нескольких случаях:
Почему IPS/UTM/NGFW — это не про APT
Современные решения классов IDS/IPS, UTM, NGFW способны обрабатывать большие объемы трафика, разбирать заданный набор протоколов (вплоть до 7-го уровня модели ISO/OSI), выявлять сетевые атаки с использованием сигнатурного, поведенческого анализа, а также с помощью технологий машинного обучения и обнаружения сетевых аномалий. Решения готовы защищать периметр организации от угроз извне, а также выявлять вредоносную активность изнутри.
Однако практика тестирований на проникновение Positive Technologies показывает, что в 93% случаев можно преодолеть сетевой периметр и получить доступ к ресурсам ЛВС. На проникновение в локальную сеть некоторых компаний экспертам Positive Technologies потребовалось всего 30 минут.
После проникновения в сеть действия злоумышленников остаются для многих систем безопасности незамеченными. Причин тому несколько:
Решения не анализируют внутренний трафик, а потому не способны выявлять присутствие и перемещение злоумышленника внутри.
Системы хранят информацию только об известных угрозах. Но в случае APT, например, на момент ее реализации угрозы еще неизвестны.
Следствие предыдущего пункта. Данная функциональность необходима для обнаружения неизвестных на момент реализации угроз
Таким образом, как IDS/IPS, так и UTM и NGFW не способны обеспечить защиту от целенаправленных атак, локализовать угрозу, точно выявить пораженные узлы и предоставить фактуру для проведения полноценного расследования. Устранить этот пробел призваны решения класса NTA. Их еще называют NDR-системами (сокращение от network detection and response).
NTA/NDR и выявление целенаправленных атак
На российском рынке инструменты класса NTA стали появляться относительно недавно, однако на Западе этот сегмент уже сформирован. В исследовании аналитического агентства Gartner, посвященном таким системам, отмечается, что NTA-решения позволили многим клиентам обнаружить подозрительную активность в трафике, пропущенную «периметровыми» средствами безопасности. Институт SANS выяснил, что решения NTA входят в топ технологий для выявления угроз, работой которых довольны в SOC по всему миру.
Среди ключевых возможностей NTA отметим следующие:
В инфраструктуре организации NTA выступает единой точкой анализа всего трафика или произвольного набора сетевых сегментов.
Схема встраивания NTA в инфраструктуру организации
В зависимости от конкретного NTA-решения возможно перенаправление сырого трафика с сегментов (посредством технологий SPAN, RSPAN, ERSPAN) или с использованием flow-протоколов (NetFlow, S-Flow).
В отличие от IPS, UTM и NGFW, решения NTA работают в режиме обнаружения, а не предотвращения вторжений, а также не способны раскрывать зашифрованный трафик путем постановки в режиме «человек по середине». Для NTA данный факт не является проблемой по следующим причинам:
Итак, что выбрать?
Мы подготовили сравнительную таблицу классов решений, взяв срез по рынку. При выборе нужно учитывать, что наборы функций у решений одного класса могут существенно различаться.
Долгое время периметровые средства были единственным эшелоном защиты и способом осуществления мониторинга сети. Ландшафт угроз меняется, и теперь важно обеспечивать не только мониторинг периметра, но и глубоко изучать угрозы внутренней сети. C точки зрения современных технологий, подходящий кандидат — это решения класса NTA.
С примерами выявленных угроз в сетях 41 крупной компании можно ознакомиться в отчете по пилотным внедрениям PT NAD.
UTM (Unified threat management)
UTM (Unified threat management) — универсальное программное или аппаратное решение на основе брандмауэра, интегрированного с IPS (Intrusion Prevention System, система предотвращения вторжений) и другими сервисами безопасности. Фактически система UTM представляет собой многофункциональный шлюз, обеспечивающий комплексную защиту от сетевых угроз.
Термин Unified threat management в 2004 году ввела аналитическая компания IDC. Gartner относит универсальные шлюзы к защитным системам, применяемым преимущественно в малом и среднем бизнесе. Альтернативой UTM являются NGFW (Next Generation Firewall) — продвинутые брандмауэры, оснащенные IPS, а также системами контроля пользователей и приложений.
Что входит в UTM
Компоненты UTM-системы изначально развивались как самостоятельные решения. При интеграции в единый комплекс их количество и возможности могут варьироваться. Как правило, в универсальные шлюзы встраивают следующие сервисы:
Преимущества и недостатки UTM
Универсальный шлюз позволяет управлять безопасностью сети с помощью одного комплексного решения, что существенно упрощает задачу. Кроме того, по сравнению с обычным брандмауэром такие системы способны обнаруживать и блокировать более сложные атаки.
С другой стороны, сбой в работе UTM может привести к отказу сразу всех защитных сервисов. Поэтому рекомендуется иметь в сети запасной шлюз, который возьмет на себя задачи основного, если тот выйдет из строя. Также к недостаткам UTM можно отнести низкую производительность, связанную с большим количеством задач, которые выполняет такая система.
Публикации на схожие темы
Концепция Zero Trust: не доверяй — всегда проверяй
Не пора ли пересмотреть корпоративную ИТ-безопасность?
Анализ результатов эксплуатации сервиса MDR, H1 2019
Современный гипервизор как основа для «песочницы»
Ложные срабатывания: почему с ними надо бороться и как мы добились лучших показателей
UTM против NGFW – один оттенок серого
Наткнулся на блог Эндрю Платона, президента компании Anitian Enterprise Security, человека, имеющего 20-летний стаж работы в сфере информационной безопасности. В своем блоге Эндрю поднимает достаточно интересную тему, касающуюся концепции «Межсетевых экранов следующего поколения», так называемых NGFW. По его словам, промышленные аналитики, такие, как Gartner, и производители межсетевых экранов, подобные Palo Alto, утверждают, что NGFW изменит рынок систем сетевой безопасности и вытеснит традиционные средства защиты доступа или унифицированных управлений угрозами Unified Threat Management. Кроме того, производители NGFW позиционируют свои продукты как “следующий большой шаг” в эволюции систем сетевой безопасности.
Поскольку исходный вариант темы – на английском языке, привожу под хабракатом перевод.
Так почему же NGFW столь революционный? Что отличает NGFW от UTM?
Ничего. Нет никакого различия между UTM и NGFW. Это те же технологии с теми же возможностями, которые стали продавать и рекламировать как разные. Более того, в сущности, межсетевые экраны следующего поколения (NGFW) не имеют ничего уникального или революционного. Это обычные межсетевые экраны, у которых был расширен набор функциональных возможностей. Другими словами, NGFW – это UTM.
Что действительно интересно, так это то, как Gartner и вендоры выстроились в линию, чтобы создать целый класс сфабрикованных продуктов. Откровенно говоря, это древняя тактика — менять политические приоритеты. Еще со времен Римской империи политики прибегали к этому. Итак, суть процесса довольно проста:
1. У Вас есть продукт (или кандидат), который не совсем отвечает конкурентным требованиям. Ему недостает функциональности или же есть негативные аспекты.
2. Вместо того, чтобы принять меры непосредственно к этим недостаткам, вы заводите новую беседу, чтобы отвлечь внимание от отрицательных свойств.
3. Вы сосредотачиваете обсуждение исключительно на «новой» беседе и отклоняете другую проблему как устаревшую, несовременную или же как таковую, что актуальна для незначительной части общества.
4. Скормите все это эхо-камере СМИ (или промышленным аналитикам) и долго, до отвращения говорите на эту самую тему.
Затем наблюдаете, как старая тема растворяется в новой, и все желают обсуждать новые вопросы, а дискуссии же о старой проблеме считают бесполезными. Эхо-камера СМИ, или, в данном случае — промышленные аналитики Gartner, критически настроены к этой работе. Вам необходимо спозиционировать вашу новинку таким образом, чтобы память о старой проблеме канула в лету.
Решения вендоров традиционных систем сетевой и информационной защиты не соответствовали тенденциям унифицированного управления угрозами UTM, когда тот появился на рынке. Их зависимость от использования старого кода и корпоративных клиентов подавляли инновации. Первые попытки прорваться на рынок мультифункциональных защитных устройств были достаточно неэффективными. CheckPoint и Juniper — тому примеры. Их ранние устройства защиты данных были топорными и недостаточно мощными. Они значительно уступали более инновационным продуктам таких компаний, как Fortinet и Astaro.
Кроме того, эти, так же как и некоторые новые подающие надежды компании, вроде Sourcefire и Palo Alto Networks, не имели интеллектуальной собственности, чтобы конкурировать с таким разнообразием возможностей. Им недоставало хорошего антивируса, анти-спама или «движка» URL-фильтрации.
По существу, вместо того, чтобы конкурировать, они просто перепрофилировались. Первым шагом стало обособление UTM в небольшой деловой рынок. Gartner, никогда не упускающий возможности продать очередные отчёты, скоро представил категорию корпоративного межсетевого экрана (Enterprise Firewall), которая, конечно, была предназначена для всех этих устройств следующего поколения. UTM низвели к дискуссиям о малом бизнесе и управляемых услугах. Следующий шаг: представить NGFW как уникальный, непохожий на другие, особенный межсетевой экран. Таким образом, NGFW стал следующей ступенью после протокольного анализа пакетов с сопровождением состояния на сервере. Некоторые вендоры зашли столь далеко, что объявили, будто алгоритм защиты от несанкционированного доступа методом проверки пакетов с сопровождением состояния (stateful packet inspection) их NGFW был абсолютно уникальным и новым. Что, конечно же, было не так.
Удивляет то, насколько хорошо эта индустрия приняла эту уловку. Производители изменили объект разговора о межсетевых экранах, в действительности не изменяя технологий. Gartner укрепил общее представление, дабы убедить потребителей. И потребители проглотили наживку. Маркетинг NGFW был чрезвычайно эффективным.
Дабы не быть голословным, рассмотрим набор функциональных возможностей устройств таких брендов, как Palo Alto Networks, CheckPoint, Sourcefire и McAfee, которые являются, так называемыми NGFW, т.е. межсетевыми экранами следующего поколения. Пропишите в Google «next generation firewall» и убедитесь, что эти четыре продукта всплывут первыми. Теперь впишите «unified threat management” (унифицированное управление угрозами), и вы увидите SonicWall, WatchGuard, Fortinet, и Sophos (Astaro) и еще некоторых небольших производителей. Сравним эти продукты. Возьмем, к примеру, Juniper и Cisco, поскольку они хорошо известны и к тому же тяготеют к игре на оба фронта.
Заметили что-нибудь? Функционал тот же. Единственное заметное различие — это включение защиты электронной почты. В продукции Palo Alto Network и Sourcefire этой защиты нет. Но это можно аргументировать тем, что их антивирусные программы и другие программные и аппаратные системы обеспечивают защиту электронной почты.
Конечно, вендоры NGFW будут утверждать об уникальности и ссылаться на то, что их продукты способны обнаружить приложения на всех портах. В действительности же подобные заявления превращаются в пустой звук, как только вы осознаете, что это всего лишь очередной маркетинговый ход. К примеру, Palo Alto утверждает, что их AppID уникален. Вовсе нет. Еще с давних времен другие продукты поддерживают функцию идентификации приложений. Sourcefire подчеркивает, что их система предотвращения вторжений (IPS), которая представлена в NGFW, не имеет аналогов. Это не так. Огромное количество продуктов имеют системы сетевой и компьютерной безопасности, обнаруживающие вторжения или нарушения безопасности и автоматически защищающие от них. Декодирование, аутентификация, проверка контента – ни одна из этих функций в системах защиты не является уникальной как для UTM, так и для NGFW-платформ.
Схожесть UTM и NGFW не значит, что все эти продукты идентичны по своим возможностям. У каждого изготовителя есть свои преимущества и недостатки. Качество и эксплуатационные характеристики этих продуктов в значительной степени различаются. Однако, с точки зрения исключительно их функционала, они абсолютно одинаковы. Их различия в подходе к проверке приложений, антивирусу или системам предотвращения вторжений могут объяснить преимущества их производительности или точности, но это не изменяет тот факт, что базовый набор функциональных возможностей у всех один и тот же.
Теперь обдумайте определение NGFW, которое дала компания Gartner в своем Магическом квадранте для корпоративных межсетевых экранов 14 декабря 2011.
Так как рынок межсетевых экранов развивается, начиная средствами защиты с сопровождением состояния и заканчивая межсетевыми экранами следующего поколения, иные функции безопасности (как система предотвращения вторжений) и полностековое инспектирование трафика (full-stack inspection), включая приложения, также будут обеспечены в NGFW. Рано или поздно рынок NGFW включит в себя большинство отдельных устройств с системой предотвращения вторжений. Однако, это не случится сиюсекундно, поскольку многие вендоры корпоративных межсетевых экранов имеют в своей продукции IPS, что делает их конкурентоспособными с автономными IPS-решениями, и несомненно противодействуют интегрированию функций и вместо этого совмещают их в одном устройстве. Несмотря на то, что межсетевой экран/VPN и IPS (а иногда и URL-фильтры) конвергируют, другие продукты безопасности — нет. Продукты «всё-в-одном» (all-in-one) или продукты унифицированного управления угрозами (UTM) подходят для предприятий малого и среднего бизнеса, но не для корпораций: Gartner прогнозирует, что это разделение продлится по крайней мере до 2015 года. Межсетевые экраны, которые предназначены для филиалов компаний, становятся специализированным продуктом, отделяясь от продуктов для малого и среднего бизнеса.
Возникает множество вопросов, связанных с этим определением. Во-первых, промышленность не развивается от межсетевых экранов с сопровождением состояния к чему-то другому. Проверка с сопровождением состояния — это составляющая любого отдельно взятого UTM и NGFW, представленного на рынке. Это то, что невозможно изъять или заменить. Более того, в самом протокольном анализе передаваемых пакетов с учётом состояния соединения нет ничего нового или инновационного. Любой межсетевой экран на планете, который представляет хоть какой-нибудь интерес, производит фильтрацию пакетов на основе данных о состоянии соединения в течение многих десятилетий.
Кроме того, в чем именно различие между UTM и NGFW? Gartner не приводит ни единого веского аргумента на сей счет, упомянув всего лишь о том, что UTM является „не подходящим решением“ для корпораций. Почему же UTM — не подходящие? Если поразмыслить о том, что все устройства UTM так же, как и продукты NGFW, используют идентичный функциональный набор, а так же о том, что вендоры UTM тоже выпускают корпоративную продукцию — различий не заметно.
К тому же приписывание «всё-в-одном» к UTM довольно странное, поскольку продукты UTM и NGFW обладают абсолютно идентичным функциональным набором. Так в чем же отличие между UTM «всё-в-одном» и NGFW?
Gartner мог сделать заявление, что продукты UTM ориентированы на класс малого и среднего бизнеса, в то время, как целевым сегментом NGFW являются большие корпорации. Это утверждение заслуживает внимания, но какова цель? Следует ли из этого, что продукты для малого и среднего бизнеса, производимые Palo Alto, в действительности являются UTM? Или же продукция корпоративного класса, которую выпускает Sonicwall – не что иное, как NGFW? Подобное разграничение лишь мутит воду в водоёме, хотя в этом нет никакого смысла. UTM — это и есть NGFW. Почему бы не отнести их к одному виду, но при этом разделить в соответствии с целевым сегментом на продукцию класса малого и среднего бизнеса и отдельно класса больших корпораций, как и любые другие технологии.
Разделение между UTM и NGFW, в сущности, является всего лишь изобретением маркетологов, цель которого — создать образ для определенных вендоров, как более конкурентоспособных, чем они есть на самом деле. Это сделано умышленно для изменения правил по ходу игры, чтобы подвести корпоративных клиентов к другой системе критериев, а также изолировать устоявшиеся компании, такие, как Fortinet и Astaro, в пределах класса „малого бизнеса“.
Сведущие корпорации, как и потребители малого бизнеса, должны видеть, что есть на самом деле: бессмысленный дифференциатор, созданный с целью продать менее авторитетный продукт по премиум-цене. Если Вам предстоит приобретение нового устройства сетевой безопасности, мудро подходите к этому решению, игнорируя эту дифференциацию: рассматривайте UTM и NGFW технологии как абсолютно идентичные, выбирайте ту продукцию, которая отвечает в наибольшей степени потребностям Вашего бизнеса.
Что касается Gartner, то они пребывают в категории бизнеса продажи советов и формирования рынка. Однако это тот самый случай, когда совет вводит в заблуждение. Это заставляет задаться вопросом, каковы их побуждения? Действительно ли их цель — продавать отчёты? Или есть некоторые другие скрытые мотивы? Нет полной уверенности насчёт этого, но однозначно ясно, что Gartner хочет чтобы UTM и NGFW, боролись за рынок и долю завоеванного внимания.
Системы сетевой безопасности класса UTM
Хорошо известна любовь различных аналитических агентств и производителей оборудования проводить опросы практикующих специалистов по той или иной проблеме. Дело это нужное и полезное, но зачастую результаты таких опросов вполне предсказуемы.