Jak pomóc klientowi w wyborze systemu zabezpieczeń?
Osoby odpowiedzialne za bezpieczeństwo IT w firmach zastanawiają się, w jaki sposób oceniać rozwiązania ochronne i czym kierować się w wyborze producenta. Rolą integratora jest wskazanie kryteriów, które pozwolą użytkownikowi wyciągnąć w pełni obiektywne wnioski.
Przed zakupem nowych produktów z obszaru bezpieczeństwa IT firmy próbują odpowiedzieć na następujące pytania: czy zakup mieści się w budżecie? Jakie są koszty utrzymania tego rozwiązania? Jakie są jakość produktu i renoma producenta? I wreszcie: czy rozwiązanie zapewnia optymalną wydajność? Odpowiedź na każde z nich wymaga wiedzy, systematycznego śledzenia zmian w ofertach producentów, a jednocześnie praktycznego podejścia.
Budżet
Wydawałoby się, że budżet jest wielkością bezwzględną. Czy na pewno? Zakup każdego produktu, jego wdrożenie, a następnie odnowienie, wiążą się z pewnymi kosztami. Przyjmuje się, że czas amortyzacji rozwiązania i jego pracy nie powinien przekraczać trzech lat. Dłuższy okres naraża klienta na niepotrzebne koszty utrzymania w początkowej fazie, gdy urządzenie pracuje z dużą rezerwą mocy. Najlepiej więc zaplanować wymianę właśnie po trzech latach, z myślą o kolejnym, wydajniejszym systemie. Przy czym należy uwzględnić w odpowiedniej tabeli koszty trade-up oraz samej wymiany. Takie postępowanie przynosi relatywne korzyści osobom odpowiedzialnym za planowanie budżetu z uwzględnieniem rozwiązań, które mają zaspokoić gwałtowny wzrost potrzeb w zakresie przepustowości.
Jeśli dostawca w ramach jednego systemu wdraża unikalne rozwiązania techniczne, które nie są przedmiotem danego projektu, dobrą praktyką przy planowaniu budżetu jest umieszczenie ich w osobnym zestawieniu, zwłaszcza gdy nie są objęte opłatami licencyjnymi. Te dodatkowe moduły (np. kontroler radiowy, moduł dwuskładnikowego uwierzytelnienia) mogą zastąpić dotychczas utrzymywane systemy. Zwiększająca budżet konsolidacja (np. wyłączenie przestarzałego koncentratora VPN) może dotyczyć zarówno wymiany istniejących rozwiązań, jak i przyszłych projektów.
Jak porównać koszty rozwiązań?
Nawet tak wydawałoby się prozaiczna sprawa wymaga odpowiedniego podejścia, ze względu na różną wydajność branych pod uwagę systemów. Bardzo ciekawa jest metodologia przyjęta przez NSS Labs, w której bezwzględne porównanie realnych kosztów rozwiązań ochronnych dotyczy ceny utrzymania 1 Mb/s skanowanego ruchu (przesyłanych danych). Takie podejście daje możliwość porównania rozwiązań z różnych przedziałów cenowych. W ramce poniżej podajemy przykład takiego zestawienia z jednego z testów platform bezpieczeństwa z 2014 r.
Niezależne testy
To cenne źródło wiedzy, pod warunkiem, że przeprowadzająca je instytucja jest wiarygodna. Trzeba wziąć pod uwagę metodologię testu, jeśli to możliwe wraz z komentarzem producenta. Do kluczowych aspektów należą: środowisko, w jakim produkt był testowany, oraz zakres badań. Za przykład niech posłuży pewien sprawdzian skuteczności funkcji firewalli. Wynikało z niego, że rozwiązanie tylko jednego producenta – z pięciu badanych – wykrywa znaną metodę przełamania systemu firewall. Dopiero komentarz jednego z pozostałych czterech producentów wyjaśniał, że atak był wykrywany za pomocą funkcji IPS, od dwóch lat dostępnej w tym samym urządzeniu NGFW.
Integrator systemów – jako doradca – powinien wspierać klienta w ocenie testów i pomagać mu wyciągać właściwe wnioski. Warto również pamiętać, że badania prowadzone są w określonym czasie i na określonej próbce ruchu. To nie pozwala na precyzyjne określenie, jak dane urządzenie zachowa się w innych warunkach. Część instytucji (VB100, NSS Labs) przeprowadza testy rozwiązań zabezpieczających cyklicznie, co zapewnia wyrobienie sobie bardziej miarodajnych opinii.
Badania własne
Testy u klienta to najlepsza metoda sprawdzenia skuteczności określonego rozwiązania. Prowadzący je integrator powinien zadbać o obecność inżyniera znającego prezentowane rozwiązanie, najlepiej certyfikowanego. Wykwalifikowany specjalista wskaże klientowi wszystkie dostępne funkcje, sposób obsługi systemu, poziom skomplikowania konfiguracji. Jeśli integrator nie ma takich kompetencji, powinien skorzystać ze wsparcia producentów lub dystrybutorów.
Testy – na co zwrócić uwagę
Wyniki różnych badań wskazują skuteczność określonego rozwiązania w trakcie testu. Natomiast nie mówią nic o ochronie przed zjawiskami i zagrożeniami, które będą występować na przykład w najbliższej przyszłości. To, że określony produkt nie rozpoznaje jakiegoś starszego zagrożenia lub w ogóle nie jest poddawany niezależnym testom, powinno być ostrzeżeniem dla potencjalnego użytkownika.
Warto zadbać, aby klient wcześniej miał przygotowane scenariusze testowe, według których rozpatrywane produkty będą rzetelnie sprawdzone. W przeciwnym razie dojdzie do „konkursu piękności”, w którym prezentowane będą tylko zalety rozwiązania, a ukrywane niedociągnięcia (np. nieskuteczność systemu antywirusowego przy plikach skompresowanych czy brak trybu pracy High Availability).
Analizy rynkowe i referencje
Analizy rynkowe przeprowadza wiele instytucji, takich jak IDC, Gartner czy Frost & Sullivan. Najbardziej rozpoznawalny jest tzw. magiczny kwadrant Gartnera, wskazujący na liderów danej technologii. Nie należy jednak pomijać komentarzy do raportów Gartnera. Są w nich wyjaśnienia, co wpłynęło na pozycję danego produktu w kwadrancie, jakie są jego wady i zalety.
Trzeba też zwrócić uwagę klienta na to, że samo logo znanej marki obecne w jakimś materiale reklamowym nie oznacza referencji. Zwłaszcza dotyczącej akurat rozwiązań z branży bezpieczeństwa. Producent może dostarczać jednocześnie różne rodzaje rozwiązań, np. switche, routery i firewalle.
Certyfikacja
Firmy certyfikujące przyjmują pewne stałe kryteria, według których oceniają produkty różnych firm. Nie obejmują one tylko i wyłącznie dobrych praktyk projektowych w zakresie samego produktu. Tyczą się również prac badawczych, metod produkcji, świadczenia usług wsparcia dla klientów, sposobu reakcji na sytuacje kryzysowe, standardów technologicznych i skuteczności działania. Wśród najważniejszych instytucji certyfikujących należy wymienić: CC EAL, ICSA, FIPS, IPv6 ReadyPhase 2, DISA APL, NSS Labs, VB100, VB RAP i najnowszy NDPP, który powoli zastępuje EAL. Należy dokładnie sprawdzić, jaki poziom certyfikacji został przyznany określonemu rozwiązaniu. Niejednokrotnie certyfikaty dotyczą podstawowej funkcji firewall, ale nie obejmują już takich elementów jak IPS czy antywirus. Może się zdarzyć, że integrator doradzi klientowi urządzenie NGFW z certyfikacją ICSA, w przypadku którego po przejściu na adresację IPv6 trzeba będzie zrezygnować z bogatego wyboru skanowań, gdyż certyfikacja ich nie obejmowała.
Wydajność
Wydawałoby się, że najprościej jest porównać wydajność rozwiązań, ale to pozory. Jedynie wydajność firewalli można ocenić bezwzględnie, ponieważ pracują z określoną, mierzalną prędkością (inną dla różnej wielkości pakietów). Zawsze trzeba tylko dopytać producenta, przy jakiej konkretnie wielkości pakietów osiągana jest podawana przez niego wydajność. Wszystkie inne prędkości skanowania – jak IPS/AV/WF – zależą od przyjętej metodologii, rodzaju, charakterystyki ruchu i, niestety, są trudne do porównania. Dobrze obrazuje to przykład działania sondy IPS. W prosty sposób możemy osiągnąć lepszą wydajność rozwiązania, zmieniając liczbę sygnatur (IPS, który ma 200 sygnatur, będzie działał znacznie szybciej niż IPS, który ma ich ponad 7000). Urządzenie może być szybsze, co przekłada się na jego cenę, ale nie będzie w stanie wykrywać wszystkich zagrożeń.
Podobnie jest, gdy producent podaje wydajność urządzenia z kilkoma włączonymi modułami ochronnymi. Tutaj jest bardzo duże pole do manipulacji danymi – np. konfiguracja domyślna zakłada, że sonda IPS oraz AV skanują ruch tylko do serwerów, przepuszczając bez skanowania ruch do stacji roboczych. Z pewnością wynik dotyczący wydajności będzie bardzo dobry, ale jednocześnie znacząco zmniejszy to skuteczność ochrony.
Spadek wydajności po włączeniu dodatkowych polityk bezpieczeństwa jest nieunikniony. Jaki ma to wpływ na działanie całego systemu, zależy od architektury rozwiązania, przyjętej konfiguracji i charakterystyki generowanego ruchu. Należy zatem przed testami ustalić z klientem, jakich polityk bezpieczeństwa oczekuje (co i jak chce chronić) oraz jaki procent ruchu ma być poddany określonej kontroli (ruch do/z serwerów, ruch do/ze stacji roboczych, ruch użyczany). Na tej podstawie, znając architekturę danego rozwiązania, możemy dobrać model urządzenia pod kątem wydajności.
Dołącz do globalnej sieci partnerów Fortinet. Więcej informacji o rekrutacji: http://www.fortinet.com/partners/partner_program/fppemea.html.
Sprawdź na żywo ataki w Polsce – zobacz raport z blisko 10 tys. urządzeń Fortigate zainstalowanych w naszym kraju: http://threatmap.fortiguard.com.
Zapraszamy Państwa na platformę webinary.veracomp.pl, gdzie 19 maja o godz. 12.30 odbędzie się prezentacja: „Bezpieczeństwo – fakty, mity, triki” (szkolenie dostępne dla partnerów Fortinet po zalogowaniu się).
Dodatkowe informacje:
Grzegorz Szałański, Product Manager w Dziale Bezpieczeństwa Systemów Sieciowych, Veracomp, grzegorz.szalanski@veracomp.pl
Artykuł powstał we współpracy z firmami Fortinet i Veracomp.
Podobne artykuły
Prawo stwarza szansę dla integratorów
Przedsiębiorcy zgłaszają potrzebę i chęć współpracy z zewnętrznymi zaufanymi ekspertami, aby pokonać bariery i wdrożyć szyfrowanie w kluczowych dla swojego funkcjonowania obszarach.
SASE to przyszłość łączności i bezpieczeństwa
Odpowiedzią na postępujące rozproszenie danych i aplikacji, znajdujących się obecnie nie tylko w firmowej serwerowni, ale także w różnych usługach chmurowych, jest połączenie sieci i aspektów dotyczących bezpieczeństwa w pakiet rozwiązań o wspólnej nazwie SASE.
Dyrektywa NIS2 – rewolucja dla tysięcy firm
Do 17 października 2024 roku państwa UE muszą włączyć przepisy NIS2 do prawa krajowego. Dokument jest odpowiedzią na rosnące uzależnienie od technologii cyfrowych branż o krytycznym znaczeniu dla działania państwa.