Στη σημερινή εποχή ζούμε μία τεράστια τεχνολογική πρόοδο στα τείχη προστασίας (firewalls), δημιουργώντας μία πολύ διαφορετική γενιά προϊόντων που δεν έχει ουδεμία σχέση με οτιδήποτε έχουμε συναντήσει στο παρελθόν. Επιπλέον, παρατηρούνται πρόσφατα μεγάλες αλλαγές στο τοπίο των σημερινών απειλών και μια δραματική αύξηση στον αριθμό και στην πολυπλοκότητα των συστημάτων ασφαλείας.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης,
NSS – www.nss.gr
Οι παραπάνω αλλαγές, σε συνδυασμό με τις υπερβολικές, σχεδόν δυσβάσταχτες ποσότητες δεδομένων, είχαν ως αποτέλεσμα να δημιουργηθεί μια επικίνδυνη κατάσταση που από ότι φαίνεται απαιτεί μια νέα, ριζοσπαστική προσέγγιση στη δικτυακή ασφάλεια. Αυτό έχει ως στόχο να επιτρέπεται η διαλειτουργικότητα και συνεργασία μεταξύ των συστημάτων ασφαλείας, ώστε να απλοποιούνται και να εξορθολογίζονται οι ροές εργασίας και να αναλύονται οι τεράστιες σημερινές ποσότητες δεδομένων εστιάζοντας την προσοχή σε όσα είναι πραγματικά σημαντικά.
Πλέον απαιτούνται νέες προσεγγίσεις για την ολοκλήρωση ή την ενοποίηση της ασφάλειας, τη δημιουργία νέων συστημάτων διαχείρισης και νέων μεθόδων εντοπισμού και αντιμετώπισης κινδύνων και απειλών.
Τα πρώτα τείχη προστασίας που λειτουργούσαν στα χαμηλότερα επίπεδα της στοίβας του δικτύου, παρείχαν βασική δρομολόγηση καθώς και φιλτράρισμα των δικτυακών πακέτων βάσει ελέγχου θυρών και πρωτοκόλλων, για να προωθήσουν ή να αποκλείσουν την κίνηση των δεδομένων. Τέτοια τείχη προστασίας ήταν αποτελεσματικά στον αποκλεισμό των βασικών τεχνικών παραβίασης (hacking) που θα μπορούσαν να επιτρέψουν σε επιτιθέμενους να εισχωρήσουν σε ένα δίκτυο.
H τεχνολογική εξέλιξη
Η δικτυακή ασφάλεια αναγκάστηκε να εξελιχθεί καθώς οι απειλές, από απευθείας επιθέσεις σε ένα δίκτυο, μετεξελίχθηκαν σε επιθέσεις που μόλυναν συστήματα εντός του δικτύου, αξιοποιώντας συνήθως ευπάθειες ή κενά ασφαλείας σε εφαρμογές και διακομιστές ή εκμεταλλευόμενες τη κοινωνική μηχανική για να βρουν τον δρόμο τους για το εσωτερικό δίκτυο μέσω email ή και μολυσμένων ιστοσελίδων. Με την πάροδο του χρόνου, οι εταιρείες και οι οργανισμοί αναγκάστηκαν να προσθέσουν επιπλέον συσκευές δικτυακής ασφάλειας στην περίμετρο του δικτύου τους για να προλαμβάνουν εισβολές, για web filtering, για anti-spam, για λόγους απομακρυσμένης πρόσβασης (VPN) καθώς και για Τείχη Προστασίας Εφαρμογών Web (WAF / Web Application Firewalls).
Η συσκευές UTM (Unified Threat Management) δημιουργήθηκαν και εξελίχθηκαν υπό το βάρος της διαχείρισης μιας σειράς από προϊόντα δικτυακής ασφάλειας, επιτρέποντας ουσιαστικά σε εταιρείες και οργανισμούς να ενοποιήσουν τα πάντα σε μια ενιαία συσκευή πολλαπλών χρήσεων.
Η τεχνολογία στα τείχη προστασίας εξελίχθηκε επίσης, πηγαίνοντας την στοίβα δικτύου στο 7ο επίπεδο (Layer 7) αλλά και πέραν αυτού έτσι ώστε να είναι σε θέση να ανιχνεύει και να ελέγχει την κίνηση δεδομένων από συγκεκριμένες εφαρμογές. Επιπλέον, τα τείχη προστασίας εξελίχθηκαν για να ενσωματώσουν τεχνολογίες ώστε για να είναι σε θέση να επιθεωρήσουν βαθύτερα το περιεχόμενο των δικτυακών πακέτων και να αναζητούν απειλές που ενδεχομένως να εσωκλείονται μέσα σε αυτά. Στη συνέχεια απέκτησαν την ικανότητα να ελέγχουν την κίνηση που δημιουργείται από συγκεκριμένους χρήστες ή εφαρμογές ακόμα και αν αυτά τα δικτυακά πακέτα έχουν κρυπτογραφηθεί για λόγους ασφαλείας. Αυτή η μεταστροφή από τις θύρες και τα πρωτόκολλα στις εφαρμογές και τους χρήστες έχει δημιουργήσει μια νέα κατηγορία προϊόντων δικτυακής προστασίας δικτύου, τα τείχη προστασίας “επόμενης γενιάς” (NextGen Firewalls). Τείχος προστασίας επόμενης γενιάς ονομάζουμε εκείνο που συνδυάζει τις παραδοσιακές δυνατότητες επιθεώρησης ενός τείχους προστασίας μαζί με δυνατότητες λεπτομερειακής επιθεώρησης πακέτων (deep packet inspection), στις οποίες συμπεριλαμβάνονται χαρακτηριστικά όπως η πρόληψη εισβολής, η ευαισθητοποίηση πάνω σε εφαρμογές, η δυνατότητα εφαρμογής πολιτικής χρήστη καθώς και δυνατότητες επιθεώρησης κρυπτογραφημένης κίνησης δεδομένων.
Οι προηγμένες απειλές δημιουργούν νέες ανάγκες
Η ασφάλεια δικτύων συνεχίζει να αλλάζει και να αναπτύσσεται διαρκώς ώστε να είναι σε θέση να ανταποκρίνεται στο συνεχώς εξελισσόμενο τοπίο απειλών. Οι σύγχρονες απειλές, όπως το ransomware και το malware, είναι πιο προηγμένες και στοχευμένες από ποτέ ενώ χρησιμοποιούν ολοένα και περισσότερο εξελιγμένες τεχνικές διαφυγής.
Τέτοιες προηγμένες, επίμονες απειλές (APTs, Advanced Persistent Threats) χρησιμοποιούν τεχνικές που δημιουργούν πρωτοεμφανιζόμενες μοναδικές απειλές (zero-day) με διαφορετική συμπεριφορά σε κάθε περίπτωση. Αυτό έχει ως αποτέλεσμα να είναι εξαιρετικά δύσκολο για τα συστήματα που λειτουργούν βάσει υπογραφής (signature-based) να τις ανιχνεύσουν προτού να είναι αργά.
Οι περισσότεροι οργανισμοί και εταιρείες, θα μπορούσαν οποιαδήποτε στιγμή να έχουν μολυσμένα συστήματα στο δίκτυό τους, τα οποία ενδέχεται να έπεσαν θύματα ενός μίας επίθεσης APT ή κάποιου botnet και σε πολλές περιπτώσεις, οι admins ή οι υπεύθυνοι ασφάλειας δεν γνωρίζουν καν ότι έχουν μολυσμένα συστήματα στο δίκτυό τους. Δυστυχώς, πρόκειται για ένα ευρέως διαδεδομένο πρόβλημα. Η φύση του σημερινού τοπίου απειλών καθώς και του τοπίου στα δίκτυα, δημιουργεί την ανάγκη για θεμελιώδεις αλλαγές στην προσέγγιση της δικτυακής ασφάλειας.
Πρώτον: Τα συστήματα ασφάλειας δικτύων θα πρέπει τώρα να ενσωματώνουν νέα τεχνολογία για τον εντοπισμό κακόβουλων συμπεριφορών στα δικτυακά φορτία χωρίς τη χρήση παραδοσιακών συστημάτων ανεύρεσης ιών βάσει υπογραφών (antivirus signatures).
Τεχνολογίες, όπως το sandboxing, που μέχρι πρόσφατα αποτελούσαν μία λύση που μόνο οι μεγάλες επιχειρήσεις μπορούσαν να αντέξουν από οικονομικής άποψης, έχουν γίνει πια ιδιαίτερα προσιτές τόσο για μεσαίου μεγέθους οργανισμούς όσο και για μικρούς και αποτελούν πλέον ουσιαστικό τμήμα μιας αποτελεσματικής άμυνας κατά του σύγχρονου κακόβουλου λογισμικού.
Δεύτερον: Συστήματα ασφαλείας που ήταν απομονωμένα και ανεξάρτητα, όπως το τείχος προστασίας και οι διάφορες τερματικές συσκευές, πρέπει τώρα να είναι ενσωματωμένα και να συνεργάζονται για να είναι σε θέση να ανιχνεύουν, να εντοπίζουν και να ανταποκρίνονται στις προηγμένες απειλές γρήγορα και αποτελεσματικά προτού αυτές προκαλέσουν σημαντική ζημιά.
Τρίτον:Είναι πλέον δεδομένο ότι υπάρχει μεγάλη αναποτελεσματικότητα στις μηχανές εντοπισμού των πιο πρόσφατων πρωτοκόλλων εφαρμογών που βασίζονται σε υπογραφές. Αυτό έχει ως αποτέλεσμα να απαιτούνται πλέον σήμερα νέες δυναμικές τεχνολογίες ελέγχου εφαρμογών για τη σωστή αναγνώριση και διαχείριση των άγνωστων εφαρμογών, των εξατομικευμένων εφαρμογών καθώς και των εφαρμογών που ολοένα και περισσότερο εξαρτώνται από τα τυπικά πρωτόκολλα HTTP/HTTPS.
Οι προβληματισμοί σε σχέση με τα σύγχρονα firewall
Σαν να μην έφταναν τα παραπάνω, τα περισσότερα σύγχρονα firewall γίνονται όλο και περισσότερο περίπλοκα, και συχνά εξαρτώνται ή εκμεταλλεύονται αρκετές ξεχωριστές και όχι απαραίτητα ολοκληρωμένες λύσεις για να αντιμετωπίσουν τις απαιτήσεις συμμόρφωσης ή τους διάφορους φορείς απειλών.
Ως αποτέλεσμα, ο φόρτος εργασίας για ένα διαχειριστή δικτυακών συστημάτων έχει φτάσει σε μη βιώσιμα επίπεδα ενώ ο όγκος των πληροφοριών και των δεδομένων που παράγονται από τα συστήματα είναι απλώς αδύνατον να επεξεργαστούν.
Μάλιστα, σε μια πρόσφατη έρευνα σχετικά με τον βαθμό ικανοποίησης των διαχειριστών πληροφορικής από την εμπειρία τους σε σχέση με τα τείχη προστασίας που χρησιμοποιούνται στους οργανισμούς που εργάζονται, διαπιστώθηκαν αρκετά κοινά προβλήματα μεταξύ των σημερινών λύσεων:
- Απαιτείται πολύ χρόνος και «ψάξιμο» για να εντοπιστούν οι απαραίτητες πληροφορίες
- Δεν παρέχουν επαρκή ορατότητα σε απειλές και κινδύνους εντός του δικτύου
- Έχουν πολλά χαρακτηριστικά, τα περισσότερα εκ των οποίων όμως δεν είναι απλό και ξεκάθαρο το πως μπορούν να χρησιμοποιηθούν
H αντιμετώπιση στο εξελισσόμενο τοπίο των δικτυακών απειλών
Το Sophos XG Firewall αναπτύχθηκε εξ αρχής για να αντιμετωπίσει τα σημερινά προβλήματα που έχουν τα σημερινά firewalls που κυκλοφορούν, παρέχοντας παράλληλα μια πλατφόρμα ειδικά σχεδιασμένη για να αντιμετωπίσει το εξελισσόμενο τοπίο των δικτυακών απειλών. Το XG Firewall φέρνει μια νέα, εξελιγμένη προσέγγιση στη μεθοδολογία εντοπισμού κρυμμένων απειλών, προστασίας ενός δικτύου και αποτελεσματικής αντιμετώπισης απειλών. Το XG Firewall παρέχει ορατότητα άνευ προηγουμένου έναντι σε επικίνδυνους χρήστες, ανεπιθύμητες εφαρμογές, ύποπτα «φορτία» και επίμονες απειλές APT. Το σύστημα ενσωματώνει μια πλήρη γκάμα σύγχρονων τεχνολογιών προστασίας που είναι εύκολο να εγκατασταθούν και να συντηρηθούν.
Αντίθετα, με οποιοδήποτε άλλο τείχος προστασίας, το XG Firewall επικοινωνεί με άλλα συστήματα ασφαλείας στο δίκτυο, και επομένως μπορεί να αποτελέσει το αξιόπιστο σημείο επιβολής των κανόνων ασφαλείας απομονώνοντας, εξουδετερώνοντας ή αποκλείοντας απειλές και οποιοδήποτε κακόβουλο λογισμικό από το να εξαπλωθεί στο δίκτυο ή να υποκλέψει δεδομένα. Και όλα τα παραπάνω γίνονται αυτόματα και σε πραγματικό χρόνο.
Το Sophos XG Firewall έχει τρία βασικά πλεονεκτήματα σε σχέση με άλλα network firewalls:
1. Εκθέτει Κρυφούς Κινδύνους: Το XG Firewall κάνει πολύ καλύτερη δουλειά στο να αποκαλύπτει και να εκθέτει τους κρυμμένους κινδύνους από ό, τι οι ανταγωνιστές του, έχοντας ως πλεονεκτήματα το τον κεντρικό πίνακα ελέγχου (Dashboard), τις πλούσιες προκαθορισμένες αναφορές και τη μοναδική δυνατότητα ανάλυσης ρίσκου σχετικά με τους κινδύνους ασφαλείας.
- Αποκλεισμός Άγνωστων Απειλών: Το XG Firewall καθιστά ευκολότερο και πιο αποτελεσματικό τον αποκλεισμό των άγνωστων απειλών σε σχέση με άλλα τείχη προστασίας χάρη στη μεγάλη γκάμα συστημάτων προηγμένης προστασίας εύκολα στη ρύθμιση και στη διαχείριση τους.
- Αυτόματη Ανταπόκριση σε Συμβάντα: Το XG Firewall με την Συγχρονισμένη Ασφάλεια ανταποκρίνεται αυτόματα σε περιστατικά ασφαλείας σε ένα δίκτυο μέσω της τεχνολογίας «Security Heartbeat», που δεν διαθέτει ο ανταγωνισμός.