Обложка I 21 Table of Contents 23 Обложка IV

СТА №3/2017

бы идти в ногу со временем, необходи- мо всё большее участие высоких техно- логий (рис. 2). Взять, например, брандмауэры, кото- рые являются наиболее распространён- ными устройствами в среде корпора- тивной безопасности. Традиционные межсетевые экраны, основываясь на ха- рактеристиках транспортного уровня, используют порт и полевой протокол для идентификации приложения, обна- ружения атак и обеспечения защиты. Область применения Интернета посто- янно расширялась, начиная с памятно- го термина Web 2.0 и приложений на ба- зе Web-архитектуры. Изначально зна- чительное количество систем использо- вало ограниченное число портов для передачи данных (например, порт 80 или 443). В противоположность этому программное обеспечение одноранго- вых децентрализованных и социальных сетей, как правило, использует случай- ный порт, в результате чего традицион- ные методы защиты, которые в основ- ном опираются на порт и полевой про- токол, теряют свою эффективность. По этой причине брандмауэр следующего поколения должен использовать DPI (Deep Packet Inspection) – технологию глубокой инспекции пакетов, чтобы точно определить приложение и выпол- нить соответствующие процедуры по- литики безопасности. В то же время программное обеспечение социальных сетей интегрирует различные функции, в том числе голосовую связь, текстовые сообщения, отправку и получение элек- тронной почты, Интернет-магазины, игры и даже передачу файлов. Все эти функции выполняются одним и тем же ПО и, к сожалению, привносят с собой различные риски. Таким образом, брандмауэр следующего поколения должен быть не только в состоянии идентифицировать приложение, но и определить различные его функции для выполнения более сложного и эффек- тивного сценария безопасности. В эпоху облачных вычислений грани- ца корпоративной сети становится всё более размытой. В то время как пред- приятия интенсивно мигрируют из своей собственной ИТ-инфраструкту- ры в публичные облака, всё большее число сотрудников предпочитают ис- пользовать личные ноутбуки, планше- ты и смартфоны для выполнения по- вседневных производственных задач BYOD (Bring Your Own Device – прине- си собственное устройство). С BYOD они могут подключаться к корпоратив- ным сетям из ненадёжных мест, таких как частный дом, аэропорт или даже пе- реговорная комната в офисе клиента. Таким образом, брандмауэр следующе- го поколения должен быть в состоянии идентифицировать личность пользова- теля и местоположение, а затем на ос- нове этих данных применить политику сетевой безопасности. Брандмауэр сле- дующего поколения должен обеспечи- вать возможность соблюдения полити- ки безопасности для сотрудника в зави- симости от его точки доступа. ACL (Access Control List) – список управления доступом – широко ис- пользуется в традиционном брандмау- эре с IP-технологией фильтрации паке- тов, требующей попакетной проверки. Размер ACL существенно влияет на производительность межсетевого экра- на. Для повышения производительно- сти межсетевых экранов следующего поколения необходимо применять ме- тодику мониторинга состояния потока. Она включает в себя начальную иден- тификацию пакета услуг с использова- нием технологии DPI, а затем опреде- ление возможности прохождения паке- та через брандмауэр и необходимость последующих действий на нём. Впо- следствии, когда на межсетевой экран поступят пакеты, принадлежащие од- ному и тому же служебному потоку, уже непосредственно с ними будет испол- няться то же самое действие. В дополнение к борьбе с известными угрозами на основе существующей по- литики безопасности межсетевые экра- ны следующего поколения также долж- ны иметь возможность использовать са- мые последние методы анализа масси- вов данных для борьбы с APT (Advanced Persistent Threat – развитая устойчивая угроза или целевая кибератака) и други- ми видами неизвестных угроз. APT вы- зывают большое беспокойство в сфере сетевой безопасности, так как они но- сят чрезвычайно скрытный характер, имеют разнообразные средства нападе- ния, действуют в течение длительного времени и имеют непредсказуемые по- следствия. Все эти особенности делают тради- ционные формы защиты в решении проблем АPТ неэффективными. Но есть и хорошие новости: методы обра- ботки Big Data открывают новые воз- можности при решении сложных во- просов безопасности. Во-первых, дан- ные аномальных событий регистри- руются в безопасном домене, для этого используется соответствующая методи- ка их сбора. Далее, эти события обраба- тываются с использованием аналитики Big Data для нахождения шаблонов, взаимосвязей и соотношений. Предо- ставленные результаты анализа позво- ляют найти скрытые APT-угрозы. Через APT-атаки хакер часто распро- страняет вредоносное программное обеспечение. Любое программное обес- печение, которое пытается разрушить 22 СТА 3/2017 ОБ ЗОР / Т Е Х НОЛОГ ИИ www.cta.ru Рис. 2. Тенденции развития и новые требования к оборудованию сетевой безопасности Требования к оборудованию Поддержка аналитики Big Data NFV Полный DPI-анализ SDN п о и д е н т и ф и к а ц и и к о н т е н т а П р и л о ж е н и я о б е с п е ч е н и я б е з о п а с н о с т и П р о г р а м м н ы е с р е д с т в а с о с т о я н и я п о т о к а М о н и т о р и н г к и б е р а т а к ( A P T ) З а щ и т а о т ц е л е в ы х

RkJQdWJsaXNoZXIy MTQ4NjUy