Testy Firewall: krótki przewodnik po PoC

Czas czytania: 3 min

Wiemy, z jakimi problemami najczęściej zmagają się użytkownicy rozwiązań firewall

Ale czy sam wymieniłbyś posiadane już urządzenie na nowy sprzęt, który skuteczniej pozwoli Ci odpowiadać na incydenty? Jeżeli Twój dział IT ma za sobą wdrożenie rozwiązania klasy UTM lub Next-Gen, być może zmagasz się z kilkoma problemami, których nie mogłeś spodziewać się na etapie wdrożenia. Jak wykazują badania ankietowe przeprowadzone w grupie pracowników odpowiedzialnych za ochronę na brzegu sieci, najpoważniejszym problemem pozostaje zaawansowana kontrola aplikacji – czyli “to coś” co odróżnia znane dobrze wszystkim firewall-e od rozwiązań nowej generacji.

Na pokładzie wielu maszyn brakuje też nowoczesnych technologii, takich jak narzędzia analizy behawiorystycznej i sztuczna inteligencja. Wielu ankietowanych wskazywało też na brak wsparcia i skutecznej reakcji, gdy sieć faktycznie padała ofiarą ataku.

Widoczność aplikacji, ryzyka i zagrożeń

Ochrona przed nieznanymi zagrożeniami

Brak wsparcia w przypadku ataku

Jeżeli którykolwiek z powyższych problemów brzmi dla Ciebie znajomo, nie jesteś sam. W rzeczywistości wielu producentów nie jest w stanie zapewnić odpowiedniego poziomu bezpieczeństwa. Nie każde urządzenie jest w stanie dostarczyć narzędzia gwarantujące dobrą widoczność tego, co dzieje się w sieci. Wygląda na to, że jeszcze mniej firewalli jest w stanie zagwarantować ochronę przed najpoważniejszymi, bo wciąż nieznanymi zagrożeniami.

Testy Firewall: krótki przewodnik po PoC, czyli 10 pytań, na które musisz poznać odpowiedź

Jeżeli jeszcze nie wybrałeś producenta, który będzie chronić Twoją siec przez najbliższe lata, ten przewodnik jest dla Ciebie. Jeżeli przygotowujesz się do zmiany sprawdź, czy gdybyś znał odpowiedź na poniższe pytania, wybrałbyś tak samo.

Pytania:

1. Czy twój firewall integruje się z hostami w całej sieci, by zidentyfikować potencjalnie niebezpieczne lub nieznane aplikacje?

2. Czy jesteś w stanie szybko uzyskać raport zestawiający zidentyfikowany oraz nieznany ruch sieciowy? Większość firewalli pozwala zidentyfikować część aplikacji. Ważniejsza jest jednak kontrola nad tym, co nieznane. Czy testowane urządzenie wskazuje na nierozpoznane aplikacje?

3. Czy jesteś w stanie kontrolować aplikacje dla poszczególnych użytkowników na podstawie zdefiniowanych grup? Możesz szybko tworzyć nowe grupy i nadawać przywileje poszczególnym użytkownikom?

4. Czy rozwiązanie, które rozważasz umożliwia kształtowanie ruchu i zapewnienie właściwego QoS? To kluczowe, aby umożliwić pracownikom swobodną i efektywną pracę. Z pewnością będziesz musiał ograniczać ruch niektórych użytkowników, innym nadając priorytet. Pamiętaj, że to samo tyczy się aplikacji – wyodrębnionych według typu, kategorii, grupy lub reguły.

5. Czy twój nowy firewall, poza blokowaniem nieodpowiednich stron internetowych, zawiadamia administratora o potencjalnie niebezpiecznych adresach, do których użytkownicy wciąż uzyskują dostęp? Czy jesteś w stanie uzyskać wgląd w listę użytkowników, których zachowanie powinno wzbudzić Twoją uwagę? Następnie sprawdź, czy urządzenie pozwala szybko uzyskać raport przedstawiający dane na temat aktywności pracowników korzystających z firmowej sieci. Na początek przyjrzyj się aktywności użytkowników i sporządź listę pytań, które pojawiły się w Twojej głowie. Sprawdź, czy raporty generowane przez firewall dostarczają wyczerpujących odpowiedzi. Następnie rozważ wiele abstrakcyjnych sytuacji.

6. Czy jesteś w stanie oszacować, na podstawie raportowanych danych, poziom ryzyka dla poszczególnych aplikacji? Czy będziesz mógł wykorzystać w analizie dane historyczne? Upewnij sie, że magazynowanie logów i przestrzeń na przechowywanie ich pozwala uzyskać zgodność z wymaganiami odnośnie retencji danych.

7. Czy rozwiązanie blokuje efektywnie nieaktualne certyfikaty i nierozpoznane protokoły SSL i w razie potrzeby możesz tworzyć wyjątki? Czy możesz zapobiegać atakom man-in-the-middle?

8. Czy producent rozwiązania wykorzystuje zróżnicowane dane pochodzące z różnych źródeł i na ich podstawie rozpoznaje zagrożenia takie jak Botnet? Przede wszystkim upewnij się, czy testowane urządzenie nie wykorzystuje jedynie prostej bazy znanych botnetów!

9. Czy ochrona przed nieznanymi zagrożeniami obejmuje zaawansowany sandboxing? Czy jest on gwarantowany w cenie maszyny? Może się zdarzyć, że rozszerzenie funkcjonalności UTM o mechanizmy next-gen wymaga poniesienia dodatkowych kosztów i kolejnych czasochłonnych wdrożeń. Czasami konieczne jest zakupienie kolejnego urządzenia, które pozwoli na analizę nieznanych plików w piaskownicy, a nawet na gromadzenia logów.

10. Czy producent wykorzystuje zaawansowane technologie analizy behawiorystycznej? Pamiętaj, aby uwzględnić bez sygnaturową ochronę antywirusową na liście wymagań, jakie stawiasz przed testowanym rozwiązaniem. Datego dobrze, aby producent wykorzystywał dwa silniki antywirusowe.