Klasyfikacja stron

Jedna z najważniejszych opcji, obecna w większości zapór sieciowych. W ten sposób można zablokować dostęp do stron, których przeglądanie w firmach jest niezalecane ze względów bezpieczeństwa lub produktywności pracy. Czasami nawet taka prosta technologia umożliwi odsianie wielu ataków polegających na przekierowaniu przeglądarki na serwer, z którego hostowane jest złośliwe oprogramowanie.

Inspekcja ruchu SSL

Najważniejsze usługi sieciowe, w tym sieci społecznościowe, działają w połączeniach HTTPS. Już rok temu więcej niż jedna czwarta ruchu w USA była szyfrowana, a kolejne badania prowadzone przez kanadyjskiego dostawcę Sanvine udowadniają, że odsetek ruchu SSL wzrósł dwukrotnie w USA i czterokrotnie w Europie i Ameryce Łacińskiej. Analitycy Gartnera przewidują, że w 2017 r. ponad połowa ataków będzie wykorzystywać połączenia szyfrowane. Niemal wszystkie połączenia złośliwego oprogramowania do serwerów kontroli botnetu są szyfrowane za pomocą SSL, by maksymalnie utrudnić wykrycie i zablokowanie aktywności malware'u.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Powszechność SSL oznacza w praktyce konieczność wprowadzenia obrony także wewnątrz połączeń szyfrowanych. Niezbędna będzie inspekcja wewnątrz ruchu SSL, by wykrywać i blokować prowadzone tą drogą ataki. Inspekcja powinna objąć nie tylko ruch do firmowych serwerów, ale także połączenia wychodzące do serwisów usługowych. Ruch SSL/TLS musi podlegać takiej samej inspekcji jak ten, który nie jest szyfrowany.

Offload SSL

Nowoczesne procesory serwerów mają instrukcje projektowane pod kątem SSL, ale nadal obciążenie serwerów można zmniejszyć, przenosząc koncentrację ruchu na zewnętrzne urządzenie. Nowoczesne firewalle mogą być dodatkowo wyposażone w sprzętowy generator liczb losowych, dzięki czemu minimalizuje się ryzyko ataków wykorzystujących podatności generatora liczb pseudolosowych realizowanego programowo. Terminowanie ruchu SSL (a także VPN) na firewallu umożliwia prowadzenie inspekcji szyfrowanego ruchu.

Rozpoznawanie aplikacji

HTTP staje się najważniejszym protokołem komunikacji. Starsze firewalle nie potrafiły prowadzić inspekcji wewnątrz samego protokołu, by odróżnić akcje wewnątrz aplikacji. Dzisiejsze firewalle potrafią odróżnić nie tylko aplikacje na podstawie zawartości pakietów, ale mogą również wyróżnić akcje prowadzone wewnątrz samej aplikacji. Firewall nowej generacji potrafi odróżnić logowanie do Facebooka i przeglądanie informacji od publikowania informacji, rozmów głosowych lub czatu. Dzięki możliwościom nowoczesnych zapór można zezwolić na przeglądanie Facebooka, ale należy wyłączyć wprowadzanie statusów lub czat. To samo dotyczy innych sieci społecznościowych i aplikacji webowych. Rozpoznawanie aplikacji i blokowanie niepożądanych połączeń jest przydatne również w klasycznym środowisku, szczególnie w sieciach technologicznych wykorzystujących automatykę przemysłową.

Ochrona aplikacji webowych na firmowych serwerach

Razem z rozpoznawaniem ruchu do różnych aplikacji webowych nowoczesny firewall potrafi obronić firmowe oprogramowanie z interfejsem webowym przed atakami wstrzyknięcia kodu, nadużyć interfejsów API, a także aplikacyjnych ataków DDoS. W ten sposób można wprowadzić ograniczenia na parametry, które znajdują się w wywołaniach aplikacji, i zablokować możliwość nadużyć. Metoda ta bardzo dobrze nadaje się również do tymczasowego zablokowania pewnej podatności aplikacji, do usunięcia luki w bezpieczeństwie.

Niektóre zapory umożliwiają ingerowanie w to, co aplikacja webowa dostarcza klientom. Jeśli atak odmowy obsługi obejmuje jeden z modułów oprogramowania, można na firewallu wprowadzić dodatkowe uwierzytelnienie za pomocą obrazków CAPTCHA i zmniejszyć w ten sposób obciążenie serwera. Obrazki CAPTCHA wprowadza nawet jeden z największych potentatów – Google.

Rozpoznawanie tożsamości

Aktywność obserwowana jedynie z punktu widzenia przepływu pakietów nie daje pełnej widoczności tego, co naprawdę dany użytkownik robi w sieci. W epoce złośliwego oprogramowania oraz rosnącej roli ruchu maszyna-maszyna szczególnego znaczenia nabiera możliwość odróżnienia aktywności zalogowanych użytkowników. Identyfikacja użytkowników na podstawie firmowych systemów uwierzytelnienia umożliwia wyróżnienie aktywności złośliwego oprogramowania działającego przed zalogowaniem operatora danej stacji roboczej, a także wykrycie różnych nadużyć.

Obrona przed nieznanym złośliwym kodem

Dzisiejsze ataki są prowadzone przy użyciu złośliwego oprogramowania, które charakteryzuje się dużą zmiennością. Włamywacze testują wykrywanie kodu przez najważniejsze narzędzia antywirusowe i potrafią wdrożyć techniki jego omijania. W praktyce oznacza to, że oprogramowanie antywirusowe ma ograniczoną skuteczność przy ochronie przed nieznanym złośliwym kodem. Nowoczesne firewalle potrafią przechwycić przesyłany plik i poddać go analizie w kontrolowanym środowisku piaskownicy. Aktywność uruchomionego w badanym środowisku pliku jest analizowana po to, by wykryć malware nie tyle na podstawie samego kodu, ile jego zachowania w testowym środowisku. Metoda ta charakteryzuje się dużym prawdopodobieństwem wykrycia złośliwego oprogramowania nawet wtedy, gdy nie potrafi go wykryć żaden z antywirusów na rynku.

Rozpoznawanie wykorzystania podatności

Napastnicy w atakach wykorzystują wielką różnorodność złośliwego oprogramowania, ale eksploitów, czyli fragmentów kodu odpowiedzialnych za przełamanie zabezpieczeń, jest znacznie mniej niż wszystkich wariantów malware'u. Symptomów wykonania danego eksploita oraz szczegółowych instrukcji procesora skutkujących przełamaniem zabezpieczeń jest jeszcze mniej. Jeśli zapora zawiera moduł detekcji wykorzystania podatności, za pomocą jednego zestawu informacji może wykryć wiele próbek malware'u.

Obrona przed atakami odmowy obsługi

Atak odmowy obsługi może mieć różne oblicza – najgłośniejsze są wolumetryczne ataki, które polegają na zalewie żądań i wysyceniu łącza. O wiele mniejszy ruch wywołują ataki powolne, w których serwis jest obciążany wieloma wolnymi połączeniami zajmującymi zasoby. Groźne są również ataki wykorzystujące słabość aplikacji internetowych. Ataki wolumetryczne można blokować po stronie operatora, ale nadal trzeba blokować połączenia, które są powolnym DDoS albo przeszły niezauważone przez proces filtrowania prowadzony przez operatora chmurowego. Obrona przed DDoS po stronie data center uzupełnia usługi chmurowe i charakteryzuje się wysoką skutecznością także wobec tych ataków, których operator zablokować nie umie.

Obsługa sieci definiowanej programowo

Sieci definiowane programowo (Software Defined Network) charakteryzują się bardzo dużą zmiennością konfiguracji. Połączenia, w tym tunele VPN, są zestawiane na żądanie aplikacji i po zakończeniu jej pracy są automatycznie dekonfigurowane. Aby ochronić takie środowisko, firewall musi być zintegrowany z SDN, by odpowiednio reagować na zmiany konfiguracyjne spowodowane pracą aplikacji w firmowej sieci. Chociaż obecnie wdrożenia sieci SDN nie są zbyt częste, warto mieć firewall, który będzie mógł z nimi współpracować w przyszłości.