Є думка, що UTM та NGFW – одне й теж. Хочу розвіяти цю думку.

Що було спочатку?

Правильно, спочатку були UTM (Unified Threat Management). Це система все-в-одному. Хтось розумний здогадався поставити на один сервер відразу кілька движків захисту. Безпеки отримали можливість з однієї коробки отримувати одночасно і керування, і роботу кількох двигунів безпеки. Тепер разом заробили між мережевий екран, VPN, IPS, антивірус, вебфільтр та антиспам. Хтось ще навішує інші двигуни, наприклад, DLP. Сьогодні обов'язковим є двигун розшифрування SSL і SSH і двигун аналізу і блокування додатків на всіх 7 рівнях моделі OSI ISO. Як правило, движки беруться від різних вендорів або навіть безкоштовні, наприклад, IPS від SNORT, антивірус clamav або міжмережевий екран iptables. Оскільки міжмережевий екран є ще роутером або свитчем для трафіку, то двигун динамічної маршрутизації також найчастіше якогось виробника. У міру зростання попиту з'явилися великі гравці на ринку, які змогли скуповувати кілька хороших розробок для роботи потрібного двигуна та поєднати їх роботу всередині одного UTM пристрою. Наприклад, Check Pointкупив IPS у компанії NFR, Cisco купила IPS у Sourcefire. Популярні марки видно у квадраті Gartner за UTM. У 2017 році лідерами UTM на думку Gartner є Check Point, Fortinet та Sophos.

Мінуси архітектури UTM. Чому з'явилися NGFW?

Рис 1. Приклад архітектури роботи UTM.

Першою архітектурною проблемою UTMбуло те, що всі двигуни всередині по черзі передавали один одному мережеві пакети і чекали коли попередній двигун закінчить роботу, щоб розпочати свою. В результаті чим більше функцій вбудовує вендор у свій пристрій, тим повільніше він працює. В результаті користувачам таких пристроїв доводиться відключати IPS та антивірус або частину їх сигнатур, щоб трафік взагалі ходив. Тобто начебто платили як за захист, а користуються тільки як роутером. Треба було щось вигадати, щоб двигуни захисту не чекали один одного і працювали паралельно.
Новим ходом виробників NGFW стало те, що в них використовували спеціалізовані чіпи, які одночасно дивляться на той самий трафік. Це стало можливим, оскільки кожен процесор став відповідати за свою функцію: в один прошитий сигнатури IPS, в інший сигнатури антивірусу, в третій сигнатури URL. Можна включати всі сигнатури у всіх двигунах – трафік знаходиться під повним захистом без зниження продуктивності. Програмовані чіпи такого типу називаються ПЛІС (програмована логічна інтегральна схема) або в англійській літературі FPGA. Їхня відмінність від ASIC у тому, що вони можуть перепрограмуватися на ходу і виконувати нові функції, наприклад, перевірку нових сигнатур після оновлення мікрокоду або будь-які інші функції. Цим NGFW і користується – всі оновлення прошиваються безпосередньо у чіпи FPGA.

Рис 2. Приклад архітектури Palo Alto Networks NGFW.

Другою архітектурною проблемою UTMстало те, що всі файлові операції вимагали роботи жорсткого диска. Яка швидкість читання із жорсткого диска? 100 Мегабайт за секунду. А що буде робити UTM, якщо у вас у ЦОД 10Гбіт швидкості? Якщо 300 чоловік у вашій компанії вирішать завантажити татку з файлами по мережі Мікрософт ( протокол SMB), що зробить UTM? Погані UTM просто завантажаться на 100% і перестануть працювати. У розвинених UTM на цей випадок вбудовані різні механізми автовідключення роботи движків захисту: antivirus-bypass, ips-bypass та інші, які вимикають функції безпеки, коли завантаження апаратної частини перевищить її можливості. А якщо потрібно не просто зберегти файл, а ще й розпакувати архів? Швидкість роботи ще знижується. Тому UTM в основному використовуються в невеликих компаніях, де швидкості були неважливі, або де безпека - опція.

Практика показує, що як швидкість мережі збільшується, то в UTM доводиться вимикати всі двигуни крім маршрутизації і пакетного міжмережевого екрану, або просто ставити стандартний міжмережевий екран. Тобто давно вже стояло завдання якось прискорити роботу файлового антивіруса.

Новим архітектурним зрушенням у першого виробника NGFW, що з'явився в 2007 році, стало те, що файли перестали зберігатися на диск, тобто весь розбір трафіку, розкодування та збирання файлів для перевірки антивірусом стали вироблятися в пам'яті. Це сильно підвищило продуктивність пристроїв захисту та відв'язало їх від продуктивності. жорстких дисків. Швидкості мереж зростають швидше швидкостей жорсткихдисків. Лише NGFW врятують безпечників. Зараз за версією компанії Gartner є два лідери у NGFW: Palo Alto Networks та Check Point.

А як працюють із додатками 7 рівня в UTM та NGFW?

З появою NGFW замовники з'явилися нова можливість- Визначення додатків 7 рівня. Мережеві інженери вивчають семирівневу мережеву модель. взаємодій OSI ISO. На 4 рівні цієї моделі працюють протоколи TCP і UDP, що в останні 20 років роботи мереж IP вважалося достатньо для аналізу трафіку та для управління трафіком. Тобто звичайний міжмережевий екран просто показує IP-адреси та порти. А що робиться на наступних 5-7 рівнях? Міжмережевий екран нового покоління бачить всі рівні абстракції і показує, що за програму який файл передало. Це сильно підвищує розуміння мережевих взаємодій ІТ фахівцями та посилює безпеку, оскільки розкриває тунелювання всередині. відкритих додатківі дозволяє блокувати програму, а не просто порт. Наприклад, як блокувати skype чи bittorent звичайним міжмережевим екраном старого покоління? Та ніяк.

Виробники UTM в результаті додали двигун визначення додатків. Однак у них два движки управління трафіком - портовий 4 лише на рівні TCP, UDP і ICMP і лише на рівні пошуку контенту додатків у трафіку типу teamviewer, tor, skype. Вийшло, що UTM кілька політик: одна управляє портами, друга управляє додатками. І це створює дуже багато труднощів, у результаті політикою управління програмами ніхто не користується.

На тему візуалізації на рівні додатків додаю презентацію. Також це стосується теми Shadow IT. Але про це пізніше.

Інтернет Контроль Сервер дозволяє вирішувати понад 80 завдань, розгортати додаткові сервіси мережі. Однак якщо пріоритетною для Вас є гарантія безпеки локальної мережі та стійкість до різних кіберзагроз, Ви можете використовувати в ІКС тільки інструменти захисту даних.

Корпоративна мережа повинна бути захищена від вторгнення, знищення або несанкціонованої зміни, при цьому в робочий час доступна для оперативного отримання даних. Абсолютну надійність локальної мережі може гарантувати лише комплексний підхід для формування системи. інформаційної безпеки. ІКС КУБ здійснює захист:

1. Комп'ютерні мережі або окремі вузли від несанкціонованого доступу (міжмережевий екран).
2. Локальної мережі від проникнення шкідливих файлів. В Інтернет Контроль Сервер інтегровані антивіруси ClamAv (безкоштовний модуль), Kaspersky Anti-Virus, Dr.Web (комерційні модулі).
3. Конфіденційна інформація від витоків (модуль DLP).
4. Корпоративні мережі від ботнетів.
5. Поштовий сервер від спаму, фішинг-атак (модуль Kaspersky Anti-Spam).
6. Телефонія (сервіс fail2ban).

ІКС КУБ – програмно-апаратне рішення, і це дозволяє не лише виключити можливість витрат на додаткове програмне забезпечення та обладнання, а й значно підвищити ступінь захищеності мережі.

Управління та моніторинг

ІКС КУБ із можливістю централізованого управління дозволяє значно полегшити роботу системного адміністратора у багатофілійних організаціях, де структурні підрозділи знаходяться у фізично віддалених офісах. Рішення виконує всі вимоги, що висуваються в момент налаштування системи, робочого процесу та відновлення після збою, дозволяючи фахівцеві виконати всі налаштування з одного інтерфейсу.

Журнали. Звіти

Цей функціонал є особливо важливим для системних адміністраторів, оскільки дозволяє відстежувати активність користувачів за будь-який необхідний період.

Стандартні звіти в ІКС:

• загальний зведений звіт;
• щодо активності користувачів;
• споживання за обсягом трафіку;
• топ 5 IP-адрес та доменів.

Також є можливість перегляду статистики користувачів, що згруповано за категоріями трафіку.

Конструктор звітів дозволяє збирати дані за критеріями, які не представлені в стандартних звітах (за mime типами, протоколами, інтерфейсами, доменами, групами адрес, джерелами трафіку, часом).

Системний журнал в ІКС відображає повідомлення про дії користувачів, зміни у статусах сервісів та помилки системи. Щоб бути в курсі того, що відбувається і оперативно реагувати, адміністратор системи може вибрати тип подій, що цікавить, налаштувати повідомлення на e-mail, в jabber або icq і віддалено управляти за допомогою додаткових команд.

Контроль доступу та облік трафіку

Сьогодні практично будь-яка локальна мережа підключена до інтернету, тому, щоб уникнути нецільового витрачання трафіку в робочий час, необхідно контролювати доступ співробітників до зовнішньої мережі.

ІКС КУБ дозволить:

• призначати різні права доступу окремих співробітників і груп користувачів;
• обмежувати смуги пропускання для окремих сайтів, квотувати трафік за часом та користувачам (наприклад, дозволяти використання мережі в особистих цілях у неробочі години);
• вибирати спосіб авторизації користувачів. ІКС КУБ підтримує авторизацію по IP, MAC, логіну/паролю, через контролер домену, VPN-з'єднання, програму-агент;
• здійснювати фільтрацію трафіку за вбудованими та інтегрованими категоріями, списками Мін'юсту та Роскомнагляду;
• вести системний журнал, складати звіти активності користувачів (є вбудовані стандартизовані + конструктор звітів).

Дані можливості дозволять контролювати мережну активність кожного користувача, зареєстрованого у мережі.

Система виявлення та захисту від вторгнень (IDS/IPS)

В ІКС використовується open source IPS/IDS система - Suricata (багатозадачна, високопродуктивна, підтримує використання GPU в режимі IDS, дозволяє обробляти трафік до 10Gbit). ІКС КУБ дозволяє виявляти факти неавторизованого доступу до мережі чи надмірної підозрілої мережевої активностікористувачів.

Система запобігання вторгненням в ІКС працює через забезпечення доступності до внутрішніх та опублікованих сервісів. Інтернет Контроль Сервер фіксує та зберігає інформацію про підозрілу активність, блокує ботнети, Dos-атаки, а також TOR, анонімайзери, p2p та торрент-клієнти.

Мережевий потік відстежується реальному часі, для виявлення небезпеки застосовуються різні заходи: скидання з'єднання, логування виявлених сигнатур чи пропуск трафіку. IPS дефрагментує пакети, переупорядковує пакети TCPдля захисту від пакетів із зміненими SEQ та ACK номерами.

Безпечний ВНП

VPN в ІКС КУБ – приватна віртуальна мережа, що дозволяє об'єднати в єдину логічну мережу користувачів, які фізично віддалені один від одного (фрилансери, структурні підрозділи в різних офісах, партнери, співробітники, що працюють віддалено). Незважаючи на те, що передача даних здійснюється через зовнішню публічну мережу, безпека підключення та передачі забезпечується за рахунок логічної мережі за допомогою надшифрування.

ІКС КУБ підтримує такі типи віддаленого з'єднання: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.

Стійке та безпечне VPN-з'єднання в Інтернет Контроль Сервер дозволяє вирішувати термінові питання в режимі реального часу навіть у неробочий час.

Нещодавно Rainbow Technologies — дистриб'ютор компанії WatchGuard Technologies на території Росії та країн СНД, оголосила про появу на вітчизняному ринку. нової серії UTM-пристроїв Firebox X e-Series. Нині організації зіштовхуються зі складними і постійно змінними групами загроз, що змінює саме поняття «безпечна мережу». Останнє поколінняпристроїв Unified Threat Management (UTM) від компанії WatchGuard забезпечує просте вирішення цієї проблеми, поєднуючи основні функції захисту в єдиному, доступному високоінтелектуальному пристрої.

Що таке UTM?

UTM – це новий напрямок на ринку засобів інформаційної безпеки. UTM-пристрої поєднують у собі міжмережевий екран, VPN шлюз та багато додаткових можливостей, таких як фільтрація URL, блокування спаму, захист від шпигунських програм, функція запобігання вторгненням, антивірусне програмне забезпечення, система централізованого керування та контролю. Тобто ті функції, які зазвичай реалізуються окремо. Але, щоб бути повноцінним UTM, пристрій має бути активним, інтегрованим та багаторівневим. Тобто. це має бути комплексна система, а не набір різних рішень, зібраних в одному корпусі, з функцією централізованого керування та моніторингу.

Всесвітньо відома аналітична фірма IDC вважає напрямок UTM найбільш швидко зростаючим сегментом ринку пристроїв безпеки для Західної Європи, що енергійно розвивається. На нашому ринку, серед представлених Rainbow Technologies рішень WatchGuard, найбільш популярні UTM-пристрої Firebox X Core e-Series. Вони розраховані на мережі різного масштабу та користуються великою популярністю у підприємств середнього та малого бізнесу за свою економічність, легкість налаштування та високий рівень захисту.

Firebox X Edge e-Series – ідеальне рішення для малих мереж та віддалених офісів. Edge може бути використаний як окремий пристрій, що забезпечує безпеку мережі, а також як рішення для термінування тунелю VPN. Firebox X Edge e-Series включає: міжмережевий екран із запам'ятовуванням станів, VPN, фільтрацію URL, а також розширене управління мережними налаштуваннямита трафіком, що дозволяє збільшити можливості конфігурування мережі. Цей пристрій має інтуїтивно зрозумілий інтерфейс, що значно спрощує процеси впровадження та адміністрування. Централізоване управління за допомогою WSM (WatchGuard System Manager) спрощує адміністрування мережевих оточень, що складаються з кількох пристроїв Firebox. Це модернізовані і розширювані пристрої, які забезпечують 100-мегабітну пропускну здатність міжмережевого екрану і 35-мегабітну пропускну здатність VPN (Virtual Private Network).

Firebox X Peak e-Series випускається з вісьмома гігабітними Ethernet-портами і використовується переважно у складних розгалужених мережах. Також є моделі, що підтримують оптоволоконні інтерфейси. Firebox X Peak e-Series - лінійка UTM-пристроїв з найбільшою продуктивністю. Ці рішення WatchGuard мають справжній захист Zero Day і пропускну здатність міжмережевого екрану до 2-х гігабіт в секунду. Поєднуючи передові технології в галузі безпеки з розширеними можливостями управління мережею, Firebox X Peak e-Series є ідеальним рішенням, що відповідає запитам найвибагливіших політик безпеки.

Серед рішень WatchGuard, які представлені на вітчизняному ринку офіційним дистриб'ютором — компанією Rainbow Technologies, найпопулярнішою є лінійка Firebox X Core e-Series. Ці UTM-пристрої розраховані на мережі різного масштабу і мають великий попит у підприємств середнього та малого бізнесу за свою економічність, легкість налаштування та високий рівень захисту. Розглянемо детально їхні можливості та функціональні характеристики.

Firebox X Core e-Series забезпечують найбільш повну безпеку у своєму класі, поєднуючи в собі безліч засобів захисту: міжмережевий екран, VPN, захист Zero Day, систему запобігання атакам, шлюзовий антивірус, систему протидії шпигунського ПЗ, антиспам та URL-фільтрацію. Такий підхід дозволяє забезпечити надійний захиствід змішаних мережевих атак, а також заощадити фінансові та трудові ресурси, які зазвичай йдуть на управління та налаштування цілого комплексу окремих рішень.

Багаторівневий захист

Firebox X Core e-Series базується на багаторівневій архітектурі ILS (Intelligent Layer Security). Завдяки їй рівні безпеки здійснюють захист спільно, і перевірений на інших рівнях за певним критерієм трафік, за тим самим критерієм повторно не перевіряється. Тому швидкість передачі даних не знижується і чутливі до неї програми залишаються доступними для роботи.

Архітектура WatchGuard ILS складається з шести шарів безпеки, що щільно взаємодіють один з одним, що дозволяє динамічно виявляти, блокувати і повідомляти про шкідливий трафік, при цьому пропускаючи нормальний трафік з максимально можливою ефективністю.

Для подальших міркувань приймемо, що рівень — це логічна конструкція, яка визначає абстрактний кордон між складовими інфраструктури мережевої безпеки. Таким чином, ми розглядатимемо кожен вид технології забезпечення безпеки як окремий рівень.

Багаторівнева архітектура ILS

Двигун ILS є мозком цієї архітектури. Спроектований так, щоб дати можливість кожному шару скористатися інформацією від інших шарів, посилити їх можливості і дати можливість обмінятися інформацією між собою про трафік, що проходить між ними, він забезпечує максимальний захист, надійність і продуктивність. Давайте поглянемо на те, що собою являє кожен шар:

Зовнішні служби безпеки.Забезпечують технології розширення захисту поза межами мережного екрану та інформацію, яка дає можливість більш ефективної роботи кінцевого користувача/адміністратора.

Цілісність даних.Перевіряє цілісність пакетів даних, що проходять, і відповідність пакету протоколу

Віртуальна приватна мережа (VPN).Забезпечує безпеку та конфіденційність зовнішніх з'єднань

Міжмережевий екран із динамічним розбором.Обмежує трафік лише тими джерелами, призначеннями та портами, які дозволені політикою безпеки.

Глибокий аналіз програм.Забезпечує відповідність стандартам протоколу рівня додатків моделі ISO, блокуючи підозрілі файлиза шаблоном або типом файлу, блокуючи небезпечні команди та змінюючи дані, щоб уникнути витоку критично важливої ​​системної інформації.

Безпека вмісту.Аналізує та обмежує трафік у відповідність до вмісту, включає численні служби, такі як: антивірус, систему запобігання вторгненням, захист від шпигунського ПЗ та спаму, фільтрацію URL.

Хоча в описуваній моделі виділено шість рівнів, а двигун приймається за сьомий рівень безпеки, кожен з них включає безліч функціоналів і можливостей. Всі вони легко розширюються, щоб включати нові способи протистояння невідомим загрозам.

Захист Zero Day

На відміну від рішень, які спираються виключно на сканування, засноване на сигнатурах, Firebox X Core має технологію, що дозволяє забезпечувати надійний захист від різних видів атак та їх різноманітних варіацій, не потребуючи сигнатур. Поки інші мережі залишаються відкритими для атак у період дії вікна вразливості (час, потрібний для випуску сигнатур), мережа, в якій використовується Firebox, продовжує залишатися захищеною.

Система централізованого керування

WSM (WatchGuard System Manager) - інтуїтивно зрозумілий графічний інтерфейс користувача, що використовується для керування можливостями UTM-рішень лінійок Firebox X Core, Peak та Edge. WSM надає повне логування, створення VPN у режимі "drag-and-drop", моніторинг системи в режимі реального часу. Оскільки для управління всіма функціями системи безпеки працює єдиний інтерфейс, відбувається значна економія тимчасових та фінансових ресурсів.

Експертний супровід та підтримка

WatchGuard LiveSecurity Service - найбільш повна службапідтримки та супроводу, пропонована сьогодні на ринку. Передплатникам регулярно надаються оновлення ПЗ, технічна підтримка, рекомендації експертів, заходи щодо попередження можливої ​​шкоди від нових способів атак та ін. Вони, у свою чергу, включають технічну підтримку в режимі реального часу, підтримку ПЗ та його оновлення, тренінги та посібники з експлуатації, а також спеціальні повідомлення LiveSecurity Broadcasts — оперативне сповіщення про загрози та методи боротьби з ними.

Додаткові служби безпеки

Кожна служба безпеки на Firebox X Core e-Series працює спільно із вбудованим захистом Zero Day, створюючи оптимальне поєднання всіх необхідних можливостей для ефективного захисту мережевих ресурсів. Ці функції повністю інтегровані в UTM-пристрій, що не потребує додаткового обладнання.

Підписки на всі необхідні служби оформляються на сам пристрій, а не на кожного користувача, що дозволяє уникнути додаткових фінансових витрат. Для безперервного захисту всі служби постійно оновлюються і мають можливість централізованого управління за допомогою системи WSM.

Розглянемо докладніше функціональні характеристики кожної додаткової служби:

SpamBlocker блокує до 97% небажаної електронної пошти у режимі реального часу.

Служба захисту spamBlocker фірми WatchGuard використовують технологію фірми Commtouch® Recurrent Pattern Detection™ (RPD) для захисту від потоків спаму в режимі реального часу з точністю 99,95% без використання сигнатур та фільтрів.

Замість роботи з ключовими словами та вмістом електронної пошти, ця технологія аналізує великі обсяги трафіку інтернету, щоб обчислити повторюваний компонент для кожного потоку, як тільки він з'являється. У день обробляються до 500 мільйонів повідомлень, після чого спеціальні алгоритми обчислюють, ідентифікують та класифікують нові потоки протягом 1-2 хвилин.

Ці ж алгоритми поділяють спам та нормальні повідомлення. SpamBlocker використовує цю технологію для надання захисту від спамерських атак у режимі реального часу, постійно порівнюючи повідомлення, підозрювані на спам із збереженими в центрі виявлення Commtouch (у ньому зберігатиметься близько 20000000 зразків). Ця технологія несе у собі такі переваги:

• Надзвичайно швидкий відгук на нові потоки;
• Практично нульова ймовірність помилки першого роду, що характеризує цю службу як найкращу в галузі за показником поділу нормальних повідомлень від спамерських атак;
• Великий відсотоквизначення спаму – блокується до 97% небажаної електронної пошти;
• Незалежність від мови повідомлень. Завдяки використанню основних характеристик поштового трафікуу режимі реального часу спам ефективно блокується незалежно від мови, вмісту або формату повідомлень.

Грунтуючись на властивостях основної маси повідомлень, а не на конкретному вмісті, мові чи форматі, SpamBlocker забезпечує захист у реальному часі від спаму, у тому числі від фішингових атак і підтримує високу пропускну здатність для решти мережного трафіку.

Шлюзовий антивірус/Служба запобігання вторгненням з протидією шпигунського ПЗ

Система, заснована на постійному сигнатурному захисті на шлюзі, що працює проти вірусів, троянів, шпигунського ПЗ, мережевих експлойтів, Web-канерів, що блокує IM та Р2Р додатки та інші змішані загрози.

Служба запобігання вторгненням фірми WatchGuard забезпечує вбудований захист від атак, які, хоч і відповідають стандартам протоколу, можуть нести небажаний вміст. Заснована на сигнатурах, вона варта захисту від широкого спектру атак, включаючи cross-site scripting, переповнення буфера чи SQL injections (вставки у запити SQL).

Двома основними проблемами, пов'язаними з використанням систем запобігання вторгненням є швидкість роботи та ймовірність помилки першого роду. Тісна інтеграція служби IPS компанії WatchGuard з іншими шарами ILS їх фактично виключає.

Оскільки інші шари ILS блокують 70-80% атак (особливо ефективне застосування глибокого аналізу додатків), сигнатур для їхнього блокування не потрібно. Це зменшує загальну кількість сигнатур і збільшує швидкість обробки даних, одночасно зменшуючи ймовірність помилки першого роду, яка пропорційна кількості даних, що перевіряються, і кількості використовуваних сигнатур. Система запобігання вторгненням фірми WatchGuard використовує лише близько 1000 сигнатур для досягнення порівнянного або навіть кращого рівнязахисту з іншими системами, число сигнатур у яких може досягати 6000.

Шпигунське ПЗ поширюється і багатьма іншими способами крім P2P, включаючи впроваджені файли, cookies і програми, що самоскачуються. Шпигунське програмне забезпечення може відстежувати все, що ви вводите на клавіатурі, копатись у файлах у пошуках паролів та ідентифікаційних даних, заповнювати екран дисплея рекламними оголошеннями. Воно також уповільнює роботу систем та від'їдає мережевий трафік. Служба запобігання вторгненням фірми WatchGuard включає як сигнатурні, так і унікальні скануючі способи блокування шпигунського ПЗ у різних точках його життєвого циклу, включаючи установку, момент зв'язку для звіту з батьківським хостом та післявстановлення активності програми. Все це здійснюється набором взаємопов'язаних процедур:

• Блокування веб-сайтів. Двигун служби запобігання вторгненням блокує доступ до відомих сховищ шпигунського програмного забезпечення або файлових серверів, з яких поширюються шпигунські програми під час HTTP сесій.
• Перевірка вмісту на основі сигнатур. Двигун системи запобігання вторгненням буде постійно сканувати трафік за допомогою постійно оновлюваної бази сигнатур для визначення і блокування шпигунських програм, що завантажуються, включаючи завуальоване самозавантажується ПЗ.
• Зупинка налаштування. Для успішного налаштування шпигунського ПЗ йому необхідно спеціальний додаток, з яким потрібно зв'язатися для передачі даних про встановлення та запиту початкових настроювальних даних із батьківського хоста. Система запобігання вторгненням визначає і блокує цей зв'язок.
• Зупинка під час роботи. Як тільки заражена машина починає працювати у внутрішній мережі, шпигунське програмне забезпечення спробує використовувати мережне з'єднаннядля створення каналу зв'язку для додаткових дій. Система запобігання вторгненням визначатиме і блокуватиме ці процеси, які можуть включати крадіжку інформації, встановлення додаткового шпигунського ПЗ та рекламу.

Двигун системи запобігання вторгненням фірми WatchGuard тісно взаємопов'язаний з іншими функціями міжмережевого екрану та видає звіти, які повністю інтегруються до системи звітності. Це дозволяє системному адміністраторулегко обчислити елемент мережі, заражений шпигунським програмним забезпеченням і видалити його.

WebBlocker збільшує продуктивність та знижує ризик, блокуючи доступ до небезпечних джерел у мережі, а також керує доступом співробітників до Інтернету.

WebBlocker використовує базу даних сайтів та програмні засобисвітового лідера Web фільтрації – компанії SurfControl. Щоб найбільш точно класифікувати та повністю охопити весь спектр Web-сторінок, WebBlocker використовує численні категорії, щоб допомогти блокувати той вміст, який ви не хочете пропустити у свою мережу. Блокуються

відомі сайти, що містять шпигунське ПЗ або небажаний вміст, що допомагає захистити ваші мережеві ресурси; блокуються розважальні сайти, що підвищує продуктивність праці співробітників.

За допомогою налаштованих списків винятків, ідентифікації користувачів та можливостей встановити різні політики для різного часу доби, WebBlocker значно посилює політику безпеки.

Можливості модернізації

Якщо спробувати оцінити підсумкову суму грошових інвестицій, необхідних для розгортання, управління та модернізації комплексу рішень безпеки, покликаного задовольняти широким вимогам сьогоднішніх мереж, стане очевидним, що використання Firebox X Core e-Series вигідніше з фінансової точки зору.

Зі зростанням вимог можна легко розширити можливості UTM — пристрою. Наприклад, для збільшення швидкості та пропускної спроможності пристрій модернізується шляхом придбання спеціальної ліцензії. Також передбачена можливість переходу апаратної платформи більш функціональну операційну систему.

Операційна система

Разом із усіма моделями Firebox X Core e-Series постачається операційна система Fireware. Для складних мережевих оточень може виникнути необхідність модернізації до більш удосконаленої системи Fireware Pro, яка надає такі додаткові можливості:

• Управління трафіком;
• Дає впевненість, що для критичних додатків виділятиметься необхідна смуга пропускання;
• Система відмовостійкості (активний/пасивний режим);
• Можливість побудови відмовостійкого кластера;
• Динамічна маршрутизація ( протоколи BGP, OSPF, RIP);
• Максимальна гнучкість мережі та ефективність її роботи завдяки динамічно оновлюваним таблицям маршрутизації.

Для перевстановлення операційної системи на UTM-пристрої Firebox достатньо придбати спеціальну ліцензію.

Об'єднання та перетворення традиційних засобів безпеки на інтегровані UTM-пристрої дає можливість підприємствам перейти на новий, більш високий рівень захисту своїх локальних мереж. Підхід компанії WatchGuard, заснований на спеціальної технології, Реалізованої в архітектурі ILS, що дозволяє інтегрувати відразу кілька рівнів захисту спільно з додатковими функціями, безсумнівно, є ефективним захистом для будь-якої: як вже сформованої, так і інфраструктури, що розвивається. Використання повноцінних UTM-пристроїв, таких як, WatchGuard Firebox набуває особливої ​​актуальності в справжні дні, коли з частотою, що збільшується, з'являються все більш витончені види загроз.

Сучасний інтернет таїть у собі безліч загроз, тому левову частину свого часу адміни витрачають на безпеку мережі. З'явившись багатофункціональні пристроїзахисту UTM відразу привернули увагу фахівців безпеки т.к. вони поєднують у собі кілька модулів захисту з простотою розгортання та управління. На сьогодні можна зустріти безліч реалізацій, тому вибрати часом не так просто. Спробуймо розібратися з особливостями популярних рішень.

Що таке UTM?

Враховуючи зростання мережевих та вірусних атак, спаму, необхідності в організації безпечного обміну даними, підприємства потребують надійного та простого в управлінні засобу захисту. Особливо гостро стоїть питання у мережах малого та середнього бізнесу, в яких часто немає технічної та фінансової спроможностіу розгортанні різноманітних систем безпеки. Та й підготовлених спеціалістів у таких організаціях зазвичай не вистачає. Саме для цих умов були розроблені багатофункціональні багаторівневі мережні пристрої, що отримали назву UTM (Unified Threat Management, уніфікований захист). UTM, що виросли з міжмережевих екранів, сьогодні об'єднують функції декількох рішень - фаєрвол з DPI (Deep Packet Inspection), система захисту від вторгнень (IDS/IPS), антиспам, антивірус і контентна фільтрація. Часто такі пристрої мають можливості організації VPN, автентифікації користувачів, балансування навантаження, обліку трафіку та ін. Пристрої класу «все в одному» з єдиною консоллю налаштувань дозволяють швидко ввести їх у роботу, а потім також легко оновлювати всі функції або додавати нові. Від фахівця потрібно лише розуміння, що і як треба захищати. Вартість UTM, як правило, нижче, ніж придбання кількох додатків/пристроїв, тому й менші сукупні витрати.

Термін UTM запроваджено Чарльзом Колодги (Charles Kolodgy) з аналітичної компанії IDC (InternationalData Corporation) у документі « World wide Threat Management Security Appliances 2004-2008 Forecast», опублікованому у вересні 2004 року, щоб позначити універсальні пристроїзахисту, які здатні впоратися зі все наростаючим числом мережевих атак. Спочатку малося на увазі наявність лише трьох функцій (firewall, DPI і антивірус), тепер можливості, що надаються, UTM пристроями, набагато ширші.

Ринок UTM досить великий, і показує щорічний приріст на 25-30% (витісняючи поступово чистий firewall), а тому практично всі великі гравці вже представили свої рішення, як апаратні, так і програмні. Який із них використовувати, це часто питання смаку та довіри до розробника, а також наявності адекватної підтримки та, звичайно ж, специфічних умов. Єдиний момент - слід вибрати надійний і продуктивний сервер з урахуванням запланованого навантаження, адже тепер одна система виконуватиме кілька перевірок, а це вже вимагатиме додаткових ресурсів. При цьому потрібно бути уважним, у характеристиках UTM рішень зазвичай вказується пропускна здатністьміжмережевого екрану, а можливості IPS, VPN та інших компонентів часто набагато нижче. Сервер UTM є єдиною точкою доступу, відмова якої фактично залишить організацію без інтернету, тому різноманітні можливості відновлення також зайвими не будуть. Апаратні реалізації часто мають додаткові запитання, що використовуються для обробки деяких видів даних, на кшталт шифрування або аналізу контексту, що дозволяють зняти навантаження з основного CPU. Проте програмну реалізацію можна встановити на будь-який ПК, з можливістю подальшого безпроблемного апгрейду будь-якого компонента. У цьому плані цікаві OpenSource рішення (Untangle, pfSense, Endian та інші), що дозволяють суттєво заощадити на ПЗ. Більшість із цих проектів пропонують також і комерційні версії з просунутими можливостями та техпідтримкою.

Платформа: FortiGate
Сайт проекту: fortinet-russia.ru
Ліцензія: платна
Реалізація: апаратна

Каліфорнійська компанія Fortinet, заснована в 2000 році, сьогодні є одним із найбільших постачальників UTM пристроїв, орієнтованих на різне навантаженнявід невеликого офісу (FortiGate-30) до центрів обробки даних (FortiGate-5000). Пристрої FortiGate є апаратною платформою, що забезпечує захист від мережевих загроз. Платформа оснащена міжмережевим екраном, IDS/IPS, антивірусною перевіркою трафіку, антиспам, веб-фільтром та контролем додатків. Деякі моделі підтримують функції DLP, VoIP, шейпінг трафіку, WAN-оптимізацію, стійкість до відмов, автентифікацію користувача для доступу до мережевих сервісів, PKI та інші. Механізм активних профілівдозволяє виявити нетиповий трафік з автоматизацією реакцію таку подію. Антивірус може перевіряти файли будь-яких розмірів, у тому числі і в архівах, зберігаючи при цьому високий рівень продуктивності. Механізм веб-фільтрації дозволяє встановити доступ до більш ніж 75 категорій веб-сайтів, вказати квоти, зокрема залежно від часу доби. Наприклад, доступ до розважальним порталамможна дозволити лише у неробочий час. Модуль контролю додатків виявляє типовий трафік (Skype, P2p, IM тощо) незалежно від порту, правила traffic shaping вказуються для окремих додатківта категорій. Зони безпеки та віртуальні доменидозволяють розбити мережу на логічні підмережі. Деякі моделі мають інтерфейси комутатора LANдругого рівня та WAN-інтерфейси, підтримується маршрутизація протоколами RIP, OSPF і BGP. Шлюз може бути налаштований в одному із трьох варіантів: прозорий режим, статичний та динамічний NAT, що дозволяє безболісно впровадити FortiGate у будь-яку мережу. Для захисту точок доступу використовується спеціальна модифікація з WiFi – FortiWiFi.
Щоб охопити системи (ПК під керуванням Windows, смартфони Android), які працюють поза мережею, що захищається, на них може встановлюватися програма-агент FortiClient, що включає в себе повний комплект (firewall, антивірус, SSL і IPsec VPN, IPS, веб-фільтр, антиспам і багато іншого). Для централізованого керування декількома пристроями Fortinet та аналізу журналів подій використовуються FortiManager і FortiAnalyzer.
Крім веб- і CLI-інтерфейсу, для базового налаштування FortiGate/FortiWiFi можна використовувати програму FortiExplorer (доступна у версії Win та Mac OS X), що пропонує доступ до GUI та CLI (команди нагадують Cisco).
Одна з фішок FortiGate - спеціалізований набір мікросхем FortiASIC, які забезпечують аналіз контенту та обробку мережного трафіку та дозволяють у реальному часі виявляти мережеві загрози, не впливаючи на продуктивність мережі. На всіх пристроях використовують спеціалізовану ОС – FortiOS.

Платформа: Check Point UTM-1
Сайт проекту: rus.checkpoint.com
Ліцензія: платна
Реалізація: апаратна

Компанія Check Point пропонує 3 лінійки пристроїв класу UTM: UTM-1, UTM-1 Edge (віддалені офіси) та Safe@Office ( невеликі компанії). Рішення містять все необхідне для захисту мережі - фаєрвол, IPS, антивірусний шлюз, антиспам, засоби побудови SSL VPN та віддаленого доступу. Міжмережевий екран вміє розрізняти трафік, властивий більшості програм та сервісів (понад 200 протоколів), адміністратор може легко заблокувати доступ до IM, P2P мереж або Skype. Забезпечується захист веб-застосунків та URL-фільтр, в базі даних Check Point міститься кілька мільйонів сайтів, доступ до яких можна легко блокувати. Антивірус перевіряє потоки HTTP/FTP/SMTP/POP3/IMAP, не має обмежень на розмір файлів та вміє працювати з архівами. Моделі UTM-1 з літерою W випускаються із вбудованою точкою доступу WiFi.
В IPS використовуються різні методи виявлення та аналізу: сигнатури вразливостей, аналіз протоколів та поведінки об'єктів, виявлення аномалій. Механізм аналізу вміє обчислювати важливі дані, тому ретельно перевіряється 10% трафіку, решта проходить без додаткових перевірок. Це дозволяє знизити навантаження на систему та підвищити ефективність роботи UTM. Антиспам-система використовує кілька технологій – IP-репутацію, аналіз вмісту, чорний та білий списки. Підтримується динамічна маршрутизація OSPF, BGP і RIP, кілька методів автентифікації користувачів (пароль, RADUIS, SecureID та ін), реалізовано сервер DHCP.
У рішенні використовується модульна архітектура, так звані Software Blades (програмні блейди) дозволяють при необхідності розширити функціонал до потрібного рівня, забезпечуючи необхідний рівень безпеки та вартість. Так можна дооснастити шлюз блейдами Web Security(Виявлення та захист веб-інфраструктури), VoIP (захист VoIP), Advanced Networking, Acceleration & Clustering ( максимальна продуктивністьта доступність у розгалужених середовищах). Наприклад, технології Web Application Firewall і Advanced Streaming Inspection, що застосовуються в Web Security, дозволяють в реальному часі обробляти контекст, навіть якщо він розбитий на кілька TCP-пакетів, підмінювати заголовки, приховуючи дані про використовувані додатки, перенаправляти користувача на сторінку з детальним описомпомилки.
Віддалене керування можливе засобами Інтернет та Telnet/SSH. Для централізованих налаштуваньКілька пристроїв може застосовуватися Check Point SmartCenter, технологія Security Management Architecture (SMART), що використовується в ньому, дозволяє здійснювати управління всіма елементами Check Point, включеними в політику безпеки. Можливості SmartCenter розширюються за допомогою додаткових модулів, які забезпечують візуалізацію політик, інтеграцію з LDAP, оновлення, звіти та ін. Усі оновлення UTM отримують централізовано за допомогою Check Point Update Service.

Платформа: ZyWALL 1000
Сайт проекту: zyxel.ru
Ліцензія: платна
Реалізація: апаратна

Більшість шлюзів безпеки, що випускаються ZyXEL, за своїми можливостями можна сміливо відносити до UTM, хоча, за офіційним класифікатором, сьогодні в цій лінійці п'ять моделей ZyWALL USG 50/100/300/1000/2000, орієнтованих для невеликих та середніх мереж (до 500 користувачів). У термінології ZyXEL такі пристрої називаються Центр мережевої безпеки. Так, наприклад, ZyWALL 1000 є швидкісним шлюзом доступу, призначений для вирішення завдань мережної безпеки та управління трафіком. Включає потоковий антивірус Касперського, IDS/IPS, контентну фільтрацію та захист від спаму (Blue Coat та Commtouch), контроль смуги пропускання та VPN (IPSec, SSL та L2TP over IPSec VPN). До речі, при покупці варто звернути увагу на прошивку - міжнародну або для Росії. В останній через обмеження митного союзу для тунелів IPsec VPN та SSL VPN використовується ключ DES 56 біт.
Політики доступу ґрунтуються на кількох критеріях (IP, користувач та час). Засоби контентної фільтрації дозволяють легко обмежити доступ до сайтів певної тематики та роботу деяких програм IM, P2P, VoIP, mail та ін. Система IDS використовує сигнатури та захищає від мережевих черв'яків, троянів, бекдорів, DDoS та експлойтів. Технологія виявлення аномалій (Anomaly Detection and Prevention) аналізує проходять через шлюз пакети на 2 і 3 рівнях OSI, виявляючи невідповідності, визначає та блокує 32 типи мережевих атак. Можливості End Point Security дозволяють автоматично перевіряти тип ОС, наявність активного антивірусу та firewall, наявність встановлених оновлень, запущених процесів, параметрів реєстру та інших. Адміністратор може заборонити вихід до мережі для систем, які не відповідають певним параметрам.
Реалізовано множинне резервування доступу до Інтернету та балансування навантаження. Можлива передача VoIP протоколами SIP і Н.323 лише на рівні firewall і NAT, й у VPN тунелях. Передбачена проста організація VLAN та створення віртуальних інтерфейсів-псевдонімів. Підтримується автентифікація засобами LDAP, AD, RADIUS, що дозволяє налаштовувати безпекові політики на основі вже прийнятих в організації правил.
Оновлення баз основних компонентів та активація деяких функцій (антиспам Commtouch, збільшення кількості тунелів VPN) здійснюється за допомогою карт підключення. Налаштування здійснюється за допомогою CLI та веб-інтерфейсу. Початкові установки допомагає зробити майстер.

ОС: Untangle Server 9.2.1 Сruiser
Сайт проекту: untangle.com
Ліцензія: GPL
Реалізація: програмна
Апаратні платформи: x86, x64
Системні вимоги: Pentium 4 або подібний до AMD, 1 Гб RAM, 80 Гб диск, 2 NIC.

Будь-який *nix-дистрибутив можна налаштувати як повноцінне UTM рішення, у репозитаріях пакетів є все необхідне для цього. Але є і мінуси: всі компоненти доведеться встановлювати і налаштовувати самостійно (а це вже вимагає деякого досвіду), і що важливо, так ми втрачаємо єдиний інтерфейс управління. Тому в цьому контексті дуже цікаві готові рішенняпобудовані на базі OpenSource систем.
Дистрибутив Untangle, який випускає однойменна компанія, з'явившись у 2008 році, відразу привернув увагу спільноти своїм підходом. Його основою послужив Debian, всі налаштування виконуються за допомогою простого та зрозумілого інтерфейсу. Спочатку дистрибутив називався Untangle Gateway і орієнтувався для використання у невеликих організаціях (до 300 користувачів) як повноцінна замінапропрієтарному Forefront TMGдля забезпечення безпечного доступув інтернеті та захисту внутрішньої мережі від низки загроз. Згодом функції та можливості дистрибутива стали ширшими і назва була змінена на Untangle Server, а дистрибутив вже здатний забезпечити роботу більшої кількості користувачів (до 5000 і вище, залежно від потужності сервера).
Спочатку функції захисту Untangle реалізовані як модулів. Після встановлення базової системи жодних модулів захисту відсутні, адміністратор самостійно вибирає те, що йому потрібно. Для зручності модулі розбиті по 5 пакетах (Premium, Standard, Education Premium Education Standard та Lite), доступність яких визначає ліцензія, а пакети розділені на дві групи за призначенням: Filter і Services. Всі OpenSource програми зібрані в безкоштовному Lite, який містить 13 додатків, що забезпечують перевірку трафіку на віруси та spyware, контентний фільтр, блокування банерів та спаму, фаєрвол, контроль протоколів, IDS/IPS, OpenVPN, політики доступу (Captive Portal). Модуль Reports, що входить до пакету Lite, дозволяє адміну отримувати звіти з усіх можливих ситуацій - мережевої активності, протоколів, виявленого спаму та вірусів, активності користувачів з можливістю відправки результату по email та експорту до PDF, HTML, XLS, CSV та XML. В їх основі лежать популярні OpenSource програми, такі як Snort, ClamAV, SpamAssasin, Squid і т.д. Крім цього, сервер Untangle забезпечує всі мережеві функції – маршрутизація, NAT, DMZ, QoS, має DHCP та DNS сервери.
У комерційних пакетах доступні: балансування навантаження та Failover, контроль смуги пропускання каналу та програм, модуль для роботи з Active Directory, резервування налаштувань та деякі інші функції. За плату надається і підтримка, хоча відповіді на багато питань можна знайти на офіційному форумі. Окрім цього, проект пропонує готові сервериз встановленим Untangle.
Для налаштування пропонується зручний інтерфейс, написаний на Java, всі зміни та статистика роботи виводяться в реальному часі. При роботі з Untangle адміністратору не потрібно мати глибоких знань *nix, достатньо розуміти, що потрібно отримати в результаті. Установка дистрибутива досить проста, треба просто слідувати за підказками майстра, інший майстер надалі допомагає налаштувати шлюз.
Endian Firewall

ОС: Endian Firewall Community 2.5.1
Сайт проекту: endian.com/en/community
Ліцензія: GPL
Апаратні платформи: x86
Системні вимоги: CPU 500 МГц, 512 Мб RAM, 2 Гб

Розробники Endian Firewall пропонують кілька версій свого продукту, реалізовані як апаратної, так і програмної платформи. У тому числі є версія і для віртуальних машин. Для всіх релізів вказано ліцензія GPL, однак для вільного завантаження доступний лише ISO образ Community Edition та вихідний код. Операційна система побудована на базі CentOS і містить всі специфічні для Linux програми, що забезпечують функції фаєрволу, IDS/IPS, антивірусну перевірку HTTP/FTP/POP3/SMTP трафіку, захист від спаму, фільтр контенту, антиспуфінг та антифішинг модулі, систему звітів. Можливе створення VPN засобами OpenVPN та IPsec з автентифікацією за ключем або сертифікатом. Контентний фільтрмістить готові налаштування для більш ніж 20 категорій та підкатегорій сайтів, є blacklist та функції контекстної фільтрації. Використовуючи ACL, можна вказати параметри доступу для окремого користувача, групи, IP, часу та браузера. Ведеться статистика зі з'єднань, трафіку, роботи користувачів. При настанні певних подій на email адміну надсилається повідомлення. Передбачено локальну автентифікацію користувачів, Active Directory, LDAP та RADIUS. Інтерфейс дозволяє легко створити VLAN, управляти QoS, підтримується SNMP. Спочатку дистрибутив комплектується антивірусом ClamAV, опціонально можливе використання антивірусного двигуна Sophos.
Для налаштувань використовується веб-інтерфейс та командний рядок. Початкові установки виробляються за допомогою майстра, який дозволяє встановити тип підключення до інтернету, призначати інтерфейси (LAN, WiFi, DMZ). Зовнішньому інтерфейсу можна призначити кілька IP-адрес, підтримується MultiWAN. Для зручності налаштувань мережні інтерфейси розбиті на зони - RED, ORANGE, BLUE та GREEN, правила firewallвже містять установки, що визначають обмін між ними. Налаштування розподілені за групами, назви яких говорять самі за себе, при належній уважності розібратися дуже просто.

Висновок

Комплексні системи UTMпоступово витісняють традиційні рішення на кшталт firewall, тому варто придивитися до них уважніше. Залежно від конкретних умов підійдуть різні варіанти. Із захистом невеликих та середніх мереж цілком справляються OpenSource Endian Firewall та Untangle. Звичайно, UTM не замінюють, а доповнюють засоби захисту, встановлені на окремих ПК, створюючи додатковий рубеж захисту на вході до LAN.

За підсумками 2015 року Лабораторія Касперськогопривела невтішну статистику: близько 58% корпоративних ПК зазнавали атак шкідливих програм щонайменше один раз. І це лише успішно відбиті. З них третина (29%) зазнала атак через інтернет. Зазначалося, що втричі частіше загрозам наражаються не домашні комп'ютери, а саме корпоративні, тому бізнес перебуває в небезпеці втрати чи знищення даних.

У 2017 ситуація не стала безпечнішою: згадаємо хоча б нещодавній переполох від сумнозвісних вірусів Petya, WannaCry та BadRabbit. І все-таки близько 80% компаній не займаються оновленням своєї системи безпеки, а близько 30% мають явно видимі вразливості.

Мережева безпека в теорії та насправді

Нещодавно користувачам інтернету було досить простого файрволла. Однак часи змінилися, і тепер потрібне серйозніше рішення – UTM-пристрій, в якому об'єднано весь функціонал, призначений для захисту корпоративних мережвід інвазії. Скориставшись системою комплексного управління загрозами, компанія отримає антивірус, мережевий екран, систему запобігання загрозам, захист від спаму та багато іншого «в одному флаконі».

На відміну від класичного способу, що передбачає покупку ряду окремих пристроїв та їх інтеграцію в єдину систему, це найбільш економічний та продуктивний варіант, що стоїть фактично на трьох китах:

• Багаторівневий захист у реальному часі.
• Універсальний фільтр, що не пропускає шпигунські програми та віруси.
• Захист від спаму та небажаного контенту.

Такий підхід позбавляє необхідності збільшувати витрати на залізо, найм IT-фахівців, здатних змусити працювати всю цю систему коректно, і рятує від проблем з регулярним падінням швидкості трафіку.

На практиці для великих та малих підприємств у пріоритеті буде різний функціонал. Звертаючись до комплексних систем, невеликі організації сподіваються насамперед вирішити проблему безпечного доступу до мережі для співробітників та клієнтів. Для корпоративних мереж середнього рівня складності потрібний стійкий канал зв'язку. Великі компанії стурбовані збереженням секретів. Кожне завдання має суворо індивідуальне рішення.

Практика великих компаній

Наприклад, для компанії "Газпром"і подібних їй організацій, які віддають перевагу російському софту, це зниження ризиків, що виникають під час використання іноземного ПЗ. Крім того, ергономіка диктує необхідність використання обладнання, стандартизованого під апаратну структуру, що вже використовується.

Проблеми, із якими стикається великий бізнес, викликані саме розмірами організації. UTM тут допомагає у вирішенні питань, пов'язаних з величезною кількістю співробітників, великими обсягами даних, що передаються по внутрішній мережі, та необхідністю у маніпулюванні окремими кластерами, які мають доступ до інтернету.

Функціонал, затребуваний великим бізнесом:

• Розширений контроль за роботою користувачів ПК, їх доступом до мережі та до окремих ресурсів.
• Захист внутрішньої мережі від загроз, що включає фільтрацію URL та двофакторну ідентифікацію користувачів.
• Фільтрування контенту, що передається по внутрішній мережі, керування Wi-Fi-мережами.

Ще один приклад із нашої практики. У дирекції залізничних вокзалів компанії «РЗ»(класичний приклад великого бізнес-проекту з обмеженим трафіком) рішення купіювало ряд проблем з безпекою, запобігаючи витоку даних, а також спровокувало прогнозоване підвищення ефективності праці у зв'язку з встановленням внутрішніх блокувань.

Для підприємств банківської сфери, на наш досвід, особливо важливим є забезпечення стабільного, швидкісного та безперервного інтернет-трафіку, що досягається завдяки можливості балансувати та перерозподіляти навантаження. Важливим є також захист від витоку інформації та контроль її безпеки.

Торгові комплекси, зокрема, коломенський "Ріо", також періодично наражаються на загрозу зовнішніх атак на свою мережу. Проте найчастіше керівництво моллів цікавить можливість запровадження внутрішнього контролю за співробітниками, які мають обмеження роботи з Інтернетом залежно від своїх обов'язків. Крім того, інтернет активно лунає на всій площі ТК, що збільшує небезпеку порушення периметра. І для успішного запобігання подібним ситуаціям UTM-рішення пропонує використовувати управління додатками.

В даний час у торговому комплексі «Ріо» активно застосовуються фільтри, різнорівневе блокування та видалення програм та додатків, що потрапили до чорного списку. Основний результат у даному випадку– підвищення ефективності праці та економія часу через те, що співробітники більше не відволікаються на соціальні мережі та сторонні інтернет-магазини.

Потреби сфери послуг

Кафе, ресторани та готелі стикаються з необхідністю вільної роздачі Wi-Fi, що є на даний момент, згідно з відгуками відвідувачів, однією з найбільш затребуваних послуг. Серед проблем, які потребують негайного вирішення, стоять: якісний доступ до інтернету та відповідність законодавству РФ. Крім того, готелі мають деяку специфіку, пов'язану з підвищеними навантаженнями. Соціальні мережі, викладення фото та відеоматеріалів з відпустки та просто серфінг не повинні викликати збоїв та відключення всієї системи.

Всі ці проблеми усуває відповідним чином налаштована UTM-система. Як рішення пропонується введення ідентифікації пристроїв по SMS, фільтрація контенту та трафіку, поділ потоків, на яких сидять клієнти та співробітники, за цензурними та віковими показниками. Також обов'язково встановлюється захист пристроїв, підключених до мережі.

Лікарні, поліклініки та інші медичні закладивимагають уніфікованого комплексу безпеки, який керується з єдиного центру з урахуванням філіальної структури. Російське UTM-рішення є пріоритетним для подібних держустанов у зв'язку з політикою імпортозаміщення та дотримання закону про захист персональних даних.

Вигоди UTM-рішень

Головна очевидна: один пристрій замінює відразу кілька, добре виконуючи функції кожного. Крім того, підключити та налаштувати такий пристрій на порядок простіше, а працювати з ним може будь-хто. Переваг у комплексного рішення кілька:

• Фінансове.Придбання окремо якісних захисних інструментів (система безпеки, антивірусний блок, VPN і проксі-сервер, міжмережевий екран тощо) – це в рази більше витрат на обладнання. Особливо коли мова йдепро імпортні варіанти. UTM-пристрої набагато доступніші, а якісні вітчизняні продукти тим більше.
• функціональне.Загрози запобігають рівні мережевого шлюзущо не перериває робочий процес і не відбивається на якості трафіку. Швидкість стабільна та постійна, чутливі до цього додатки постійно доступні та працюють штатно.
• Простота та доступність.Система на основі UTM не просто швидко встановлюється, а й зручно керується, що спрощує адміністрування. А вітчизняні рішеннявиконані російською мовою, що дозволяє легко розібратися в технічній частині без зайвого колупання у специфічній термінології.
• Централізований моніторинг та управління. UTM-рішення дозволяє керувати віддаленими мережамиз єдиного центру без додаткових витрат на обладнання та персонал.

Загалом UTM-пристрої стають центральним елементом забезпечення ІБ будь-якої компанії з мережею від кількох комп'ютерів до десятків тисяч точок доступу, ефективно запобігаючи неприємностям та допомагаючи уникнути процесу розгрібання наслідків заражень та зломів.

Однак слід враховувати, що UTM не вирішує всіх проблем, оскільки не керує кінцевими пристроями, беззахисними перед несумлінними користувачами. Локальна вірусна загрозавимагає наявності антивірусних програм, крім антивірусного шлюзу, а гарантованого запобігання витоку інформації необхідна установка DLP-систем. Показовою в цьому плані є недавня історія з аеропортом Heathrow, де розпочато розслідування після того, як на одній із вулиць Лондона знайшли флеш-накопичувач із даними, пов'язаними із забезпеченням безпеки та проведення антитерористичних заходів в аеропорту.

Критерії вибору UTM-системи

Система має відповідати декільком параметрам. Це максимальна зручність, надійність, легкість налаштування, зрозуміле керування, постійна техпідтримка від виробника та відносно невисока вартість. Крім цього, є жорстка вимога обов'язкової сертифікації ФСТЕК (ФЗ-149, ФЗ-152, ФЗ-188). Воно поширюється на освітні та держустанови, бізнес, що працює з персональною інформацією, заклади охорони здоров'я, підприємства держсектора За використання несертифікованих систем передбачено жорсткі санкції: штраф до 50 тис. рублів, в окремих випадках – вилучення предмета правопорушення та зупинення діяльності до 90 діб.

Бережіть себе та свої дані, використовуйте сучасні системи інформаційної безпеки та не забувайте ставити оновлення вендорів.