Будущее сетевой безопасности: интервью с Ниром Зуком из Palo Alto Networks 0:00
В этом эксклюзивном материале Нир Зук, технический директор (CTO) Palo Alto Networks, рассказывает о фундаментальных переменах в сфере сетевой защиты. Обсуждение охватывает неэффективность традиционных межсетевых экранов, переход корпоративных приложений в облака и критические угрозы, связанные с неконтролируемым использованием P2P-сетей внутри организаций.
Эволюция и идеология Next Generation Firewall 1:06
Нир Зук, обладающий глубоким опытом в создании систем сетевой безопасности, отмечает, что индустрия долгое время полагалась на устаревшие методы. До прихода в Palo Alto Networks он участвовал в разработке технологий для CheckNet, Juniper и NetScreen.
Ключевые тезисы Зука о текущем состоянии рынка:
- Кризис устаревших подходов: Большинство современных решений по-прежнему используют технологию stateful inspection, изобретенную около 15 лет назад, которая сегодня теряет свою актуальность.
- Идентификация по приложениям, а не по портам: Традиционные межсетевые экраны опираются на IP-адреса и номера портов, что бессмысленно в современных условиях, где приложения не привязаны к жестким портам.
- Контекстный контроль: Решение от Palo Alto Networks способно идентифицировать пользователя через интеграцию с Active Directory, определять конкретное приложение и даже понимать суть действий пользователя внутри этого приложения.
Для глубокого анализа трафика система применяет расшифровку SSL (работающую по принципу man-in-the-middle или через использование доверенных сертификатов компании) и протокольное декодирование, позволяющее «развернуть» многоуровневые протоколы. Для поддержания актуальности базы сигнатур инженеры компании в Саннивейле, Калифорния, еженедельно выпускают обновления, аналогичные базам антивирусов.
Тренды: миграция в облако и веб-ориентированность 4:31
Palo Alto Networks регулярно публикует отчеты о видимости приложений, агрегируя данные 60 крупнейших клиентов. По наблюдениям Нира Зука, компании и их сотрудники всё активнее переносят рабочие процессы за пределы контролируемого IT-периметра:
- Традиционные клиентские приложения (файлообменники, мессенджеры) стремительно замещаются веб-аналогами.
- Наблюдается массовое использование облачных офисных инструментов, таких как Google Docs, и веб-почты, что усложняет традиционный контроль.
Хотя виртуализация серверов меняет ландшафт внутри дата-центров, компания пока фокусируется на периметральной безопасности и защите каналов между пользователями и центрами обработки данных, где природа входящего трафика (от виртуалки или физической машины) для сетевого экрана идентична.
Угрозы безопасности: P2P и зашифрованные каналы 7:33
Одной из самых серьезных угроз для корпоративных сетей Нир Зук считает P2P-приложения. Согласно его данным, 92% сетей клиентов компании используют P2P-трафик.
Риски, связанные с P2P и зашифрованными туннелями:
- Утечки данных: Именно через P2P-сети происходит большинство публично известных инцидентов с потерей конфиденциальной информации, номеров кредитных карт и интеллектуальной собственности.
- Скрытый трафик: Около 20% сетей содержат зашифрованные туннели (SSH, Tor, UltraSurf, Hamachi), содержимое которых сложно проанализировать.
- Неосознанное открытие доступа: P2P-клиент при неправильной конфигурации может предоставить доступ к сетевым дискам всей организации для внешних пользователей, что фактически публикует файлы компании в интернет.
Нир Зук подчеркивает: многие клиенты даже не подозревают о наличии P2P-активности в своих сетях, несмотря на наличие систем защиты от утечек (DLP). Проблема заключается в том, что стандартные DLP-решения часто ограничены анализом email-трафика и веб-серфинга, не видя содержимого внутри P2P-соединений. По мнению Зука, ситуация с утечками — это лишь «верхушка айсберга», и перед индустрией кибербезопасности стоит еще много задач.
