Protokoły sieciowe wykorzystywane do transmisji danych przez Internet w założeniach mają być odporne na różnego typu ataki. Ich architektura jest jednak bardzo skomplikowana, co powoduje, że w różnych rozwiązaniach IT są implementowane na różne sposoby. To otwiera drogę cyberprzestępcom. Poszukują drobnych luk, najczęściej w rzadko używanych obszarach protokołów, i starają się wykorzystać je w niestandardowy sposób, aby zwiększyć trudność wykrycia ich działań przez systemy ochronne. Ponadto przesyłany w czasie takiego ataku kod jest obudowywany dodatkowo wytwarzanym, niegroźnym, ale nietypowym ruchem sieciowym, który powoduje „dezorientację” rozwiązań zabezpieczających, a w efekcie często ich zgodę na transfer szkodliwych danych. Tego typu zaawansowane techniki kamuflowania ataków (Advanced Evasion Techniques) nazywane są także technikami unikowymi lub ewazyjnymi.

Metoda ta jest bardzo skuteczna – złośliwy kod dostarczany jest głównie przez niezałatane luki w zabezpieczeniach i z wykorzystaniem błędów dnia zerowego. Atakujący bazują nie tylko na anomaliach w protokołach sieciowych, ale także błędach w ich implementacji, np. w powszechnie używanych aplikacjach internetowych. Ponieważ ataki mogą być kamuflowane w wielu różnych warstwach stosu protokołu TCP/IP, analiza przesyłanych danych powinna odbywać się w każdej z nich.

Gdy organizacja badawcza NSS Labs wprowadziła techniki unikowe do swoich testów, okazało się, że większość oferowanych na rynku firewalli nowej generacji jest zupełnie bezradna. Pionierem w walce z tego typu zagrożeniami były rozwiązania kupionej przez Forcepoint fińskiej firmy Stonesoft.

 

Fizycznie i wirtualnie

Firewalle nowej generacji z oferty Forcepoint zapewniają bardzo skuteczną ochronę danych bez negatywnego wpływu na wydajność sieci. Mają wiele bardzo ciekawych funkcji, których nie ma w rozwiązaniach innych dostawców albo są, ale słabo rozwinięte (np. zaawansowane klastrowanie, multilink, SD-WAN).Producent w swoich firewallach w unikalny sposób połączył mechanizmy kontroli dostępu do infrastruktury sieciowej oraz głębokiej inspekcji przesyłanych danych w celu zapewnienia wysokiego poziomu ich bezpieczeństwa. Służą do tego: szczegółowa kontrola aplikacji, system ochrony przed włamaniami (IPS), wbudowany moduł wirtualnej sieci prywatnej (VPN) oraz aplikacyjne serwery proxy. Dzięki temu możliwe jest analizowanie i rozszyfrowywanie ruchu sieciowego, kiedy podejrzewa się, że został zmodyfikowany w celu ukrycia w nim złośliwego kodu służącego do przeprowadzenia ataku.

Firewalle Forcepoint są oferowane w różnej postaci: sprzętowej (wiele konfiguracji – począwszy od małych urządzeń dla oddziałów firm po duże rozwiązania dla centrów danych), oprogramowania do wdrażania w infrastrukturze chmurowej (Amazon Web Services i Microsoft Azure), a także wirtualnych appliance’ów (dla hypervisorów VMware ESXi, VMware NSX, Microsoft Hyper-V oraz KVM). Zarządzanie nimi wymaga systemu Security Management Center w postaci oprogramowania bądź urządzenia.

Forcepoint – marka z tradycjami

Właścicielem Forcepoint jest firma Raytheon, dostawca rozwiązań militarnych dla amerykańskiego wojska, a także m.in. rakiet Patriot dla polskiej armii. Marka Forcepoint powstała w wyniku połączenia przedsiębiorstw: Websense, Skyfence, Sidewinder, Stonesoft oraz Red Owl.

 

W testach przeprowadzonych przez organizację NSS Labs wśród 10 dostawców rozwiązań ochronnych systemy NGFW i IPS firmy Forcepoint otrzymały najwyższą ocenę w zakresie skuteczności zabezpieczeń.

 

Dodatkowe informacje:
Maciej Pawelczyk, Security Project Manager, Ingram Micro, maciej.pawelczyk@ingrammicro.com.