Widok z zapory

Z Mikiem Stevensem, odpowiedzialnym w Check Point Software Technologies za strategię rozwoju, rozmawia Tomasz Marcinek.

Z Mikiem Stevensem, odpowiedzialnym w Check Point Software Technologies za strategię rozwoju, rozmawia Tomasz Marcinek.

Na Check Point Security Day w Warszawie mówił Pan o zaporach aplikacyjnych. Skąd pewność, że to dobry kierunek rozwoju zapór sieciowych?

Zapory rozwijają się w takim kierunku, w jakim podążają techniki włamań. To nie tajemnica, że coraz więcej ataków jest związanych z aplikacjami - coraz więcej aplikacji jest udostępnianych w sieciach publicznych w formie portali WWW . Rozwiązania działające wyłącznie na poziomie sieci już nie wystarczą.

Check Point oferuje rozwiązania do ochrony warstwy aplikacyjnej w sumie od niedawna, i to, zdaje się, głównie pod kątem aplikacji internetowych. Jak rzadko daliście się wyprzedzić konkurencji.

I tak, i nie. Proszę popatrzeć na nasze i ich podejście do problemu. Większość dostępnych zapór aplikacyjnych opiera się na koncepcji sygnatur ataków, podobnie jak rozwiązania antywirusowe czy systemy IDS/IPS. Skuteczność takiego podejścia jest ograniczona - badania przeprowadzone w Wielkiej Brytanii pokazują, że infekcje wirusowe wciąż się zdarzają, nawet w dużych firmach.

Problem z sygnaturami polega na tym, że przy ich zastosowaniu bezpieczeństwo zależy od zdolności do ich szybkiej aktualizacji. A z tym wciąż nie jest najlepiej, nawet pomimo wprowadzenia aktualizacji automatycznych. Sygnatury były dobre dziesięć lat temu, ale nie dziś, gdy ataki mają charakter błyskawiczny. Niezależnie od tego, trzeba stwierdzić, że porównywanie coraz większego ruchu z coraz większą bazą wzorców staje się coraz trudniejsze. Wiedząc to wszystko, postanowiliśmy pójść w całkiem innym kierunku.

Nasza zapora aplikacyjna nie prowadzi bazy sygnatur ataków, lecz sprawdza ruch pod kątem zgodności z precyzyjnie określonymi parametrami. Logika jest prosta: jeśli ruch nie spełnia wszystkich warunków ruchu bezpiecznego, nie jest przepuszczany. Takie rozwiązanie jest wydajniejsze oraz łatwiejsze w zarządzaniu. Nie mam poczucia, że jesteśmy "z tyłu".

To interesujące, ale pod warunkiem, że zna się charakterystykę specyfikacji protokołów i charakterystykę ruchu specyficzną dla poszczególnych aplikacji. Jakie aplikacje są obecnie obsługiwane?

W tej chwili kilkanaście, ale pracujemy nad poszerzeniem listy. Skupiamy się przede wszystkim na tych, które są najbardziej "użyteczne" dla atakujących, a więc protokołach bazujących na zdalnym wywoływaniu funkcji, jak RPC, SQL i pochodnych, LDAP i pochodnych, protokołach wykorzystywanych przez systemy pocztowe i komunikatory oraz oczywiście HTTP.

Widzimy coraz większe zapotrzebowanie na zabezpieczanie ruchu głosowego - obsługujemy już H.323 oraz SIP. Trwają prace nad protokołami wideo, ale to twardy orzech do zgryzienia - ruch zajmuje spore pasmo, a ponadto w związku z kompresją jest bardzo losowy. Na razie jest obsługa Windows Media.

Jak zapatruje się Pan na kwestię współpracy poszczególnych rozwiązań zabezpieczających ruch w sieci? Wiele firm zastanawia się, czy inwestować w rozwiązania zintegrowane, czy też pozostać przy rozdzielności funkcji...

Oba modele mają rację bytu. Trudno oczekiwać, aby mała czy średnia firma inwestowała w kilka oddzielnych urządzeń: zaporę, bramkę VPN, filtr antywirusowy, filtr treści itd. W większych firmach pojawia się problem skalowalności i to on przesądza często o fizycznym rozdzieleniu poszczególnych rozwiązań.

Tendencje do integracji rozwiązań są jednak wyraźne. W średnim okresie wielu dostawców będzie oferować podobną funkcjonalność, pytanie tylko, jaka będzie zawartość owych zestawów. W moim odczuciu systemy antywirusowe zostaną połączone z rozwiązaniami antyspamowymi i filtrami treści, zapory firewall z kolei będą raczej oferowane z systemami IDS/IPS oraz bramkami VPN.

Skoro mówimy o filtrach treści - czy Check Point ma w planach budowanie tego rodzaju systemów?

Nie chcemy robić wszystkiego - nie wierzymy, że można robić wszystko i robić to dobrze. To dlatego stworzyliśmy organizację OPSEC, w ramach której partnerzy integrują swoje rozwiązania z naszymi. Jest ich ok. 350.

Skoro rozbudowa funkcjonalności o inne obszary nie jest kierunkiem rozwoju dla Check Point, to czy nie obawiacie się marginalizacji w dłuższym okresie?

Nie. Na rynku od dawna istnieją konkurencyjne systemy firewall i VPN, a mimo to nie zostaliśmy zmarginalizowani. Klienci umieją rozróżnić, co jest dla nich lepsze i wciąż wybierają nasze rozwiązania.

No dobrze, ale Cisco, Juniper i Microsoft budują platformy ochronne, które mają za zadanie kompleksowe kontrolowanie bezpieczeństwa na poziomie każdego węzła sieci. Czy Check Point jest w stanie zaoferować klientom coś równie kompleksowego?

Nie zamierzamy tego robić - będziemy raczej współpracować z nimi przy ich budowaniu. Jestem przekonany, że na obecnym etapie potrzebna jest architektura, w której funkcje bezpieczeństwa są "wszędzie" i my będziemy zajmować w niej ważne miejsce. Plany Cisco nie budzą naszych obaw.

Jak wygląda współpraca Check Point z partnerami sprzętowymi? Było wielkie przymierze z Sunem, które teraz wygląda na luźną znajomość. Nokia stała się konkurentem, a Crossbeam...

Liczą się wszyscy. Sun wciąż ma pozycję w telekomunikacji i dużych instalacjach korporacyjnych wymagających dużej mocy obliczeniowej. Nokia - choć częściowo konkurujemy, wciąż współpracujemy i nasze aplikacje na platformie IPSO sprzedają się świetnie. Crossbeam - tu nie ma żadnych "ale" - współpraca układa się świetnie, a sama platforma jest wyjątkowo wydajna. Od dwóch lat oferujemy oparty na Linuxie system, który instaluje się na każdym markowym sprzęcie x86.