Za każdym razem, gdy zostaje wykryte nowe zagrożenie, wdrażany jest nowy mechanizm bezpieczeństwa. W odpowiedzi ktoś odkrywa nowy sposób pokonania tych zabezpieczeń. Ostatnie lata to rozwój zagrożeń APT, łączących różne techniki ataku. Przykładami są koniecz trojańskie z wbudowanymi mechanizmami rozsyłania spamu czy wirusy z modułami szpiegującymi. Rozwój systemów UTM jest w dużym stopniu odpowiedzią na pojawienie się tego typu zagrożeń. Większość produktów bezpieczeństwa koncentruje się na ochronie styku sieci lokalnej z siecią publiczną. Jednak rosnąca liczba mobilnych pracowników powoduje rozmycie dotychczas ostro wyznaczonego brzegu sieci. Wymaga to od producentów zabezpieczeń przemyślenia, jak chronić każdy węzeł w sieci. To jest jeden z kierunków rozwoju produktów UTM.

Sieć i bezpieczeństwo w jednym

Szereg udoskonaleń w zakresie bezpieczeństwa sieci doprowadziło do pojawienia się wszechstronnych rozwiązań, które mogą uodpornić na ataki sieć samą w sobie. W przypadku następnej generacji urządzeń UTM nastąpi integracja funkcji bezpieczeństwa z funkcjonalnościami przełączników dostępowych i rdzeniowych. Dzięki temu możliwa będzie dodatkowa segmentacja sieci, np. dla stref transakcyjnych czy tworzenia barier między poszczególnymi działami. Nowa generacja UTM będzie używać mechanizmu VLAN do zapewnienia granularności aż do poziomu pojedynczych urządzeń, jeśli zajdzie taka potrzeba. Funkcjonalność przełączników w urządzeniach UTM umożliwi stosowanie reguł bezpieczeństwa wykorzystujących informacje z warstwy 2 i 3 stosu protokołów. Strumienie danych, normalne zjawisko w sieci, będą filtrowane z wykorzystaniem dodatkowych funkcjonalności IPS. Przełącznik sieciowy to idealne miejsce do takiego filtrowania. Połączenie z Internetem czy zewnętrznymi lokalizacjami będą realizowane z wykorzystaniem funkcji firewalla wbudowanego w przełącznik.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Zapewne powstaną trzy wcielenia tych superurządzeń UTM. Operatorzy sieciowi i dostawcy usług będą wdrażać je w celu wychwytywania niebezpiecznego ruchu w sieciach szkieletowych. W ten sposób będą w stanie zaproponować klientom bezpieczną komunikację po rozsądnych cenach. Druga kategoria UTM będzie adresowana do wdrażania w rdzeniu sieci korporacyjnych, gdzie te urządzenia będą służyć do segmentacji i ochrony poszczególnych działów. To powinno zdecydowanie podnieść poziom bezpieczeństwa sieci. Największe korzyści pojawią się jednak w małych biurach, np. w zdalnych lokalizacjach. Jedno urządzenie zastąpi nie tylko szereg pojedynczych rozwiązań bezpieczeństwa, ale także router i przełącznik.

Branża będzie musiała zmierzyć się ze sporym wyzwaniem, kiedy nastąpi integracja urządzeń ochronnych z funkcjami sieciowymi. Tradycyjni producenci routerów i przełączników dojdą do wniosku, że ich produkty, budowane zgodnie z zasadami szybkości działania i prostoty obsługi, nie są w stanie realizować głębokiej inspekcji pakietów. Z kolei producenci zabezpieczeń, którzy wyspecjalizowali się w dostarczaniu zapór sieciowych i systemów IPS przekonają się, że ich produkty można zastąpić bardziej elastycznymi urządzeniami łączącymi funkcje bezpieczeństwa i sieciowe.

Rosnąca liczba aplikacji webowych lub działających z wykorzystaniem sieci publicznej sprawia, że rośnie również potrzeba wdrażania zabezpieczeń chroniących przed zagrożeniami internetowymi. Aby spełnić te oczekiwania, producenci pracują nad nowymi technologiami, jak ulepszone mechanizmy filtrowania treści na stronach internetowych w czasie rzeczywistym. Istotne jest również sprawdzanie powiązanych treści, w szczególności pobieranych plików i aktywnych elementów, które są potencjalnym źródłem infekcji. Rozwijane są również funkcje uruchamiania kodu w izolowanym środowisku, tzw. piaskownicy. W przyszłości komunikacja w sieci może odbywać się z wykorzystaniem maszyn wirtualnych, które można bardzo szybko tworzyć, ale także błyskawicznie usuwać przy pierwszych oznakach infekcji lub ataku.

Lepsze zrozumienie aplikacji

Producenci oprogramowania zabezpieczającego, którzy oferują heurystyczne technologie wykrywania zagrożeń, wiedzą, że zrozumienie, jak aplikacje powinna (i nie powinna) się zachowywać jest kluczem do ochrony użytkowników, systemów i zasobów informacyjnych przed atakiem. Możemy się spodziewać szeregu nowych technologii w tym obszarze. Warto podkreślić, że pracuje nad nimi wiele nowych, mało znanych, ale innowacyjnych firm.

Z kolei mechanizm ochrony danych będą bezpośrednio skupiać się na samych danych. Zamiast śledzić rejestry lub próby dostępu do chronionych bibliotek DLL i interfejsów API, mechanizmy wbudowane w UTM będą monitorować próby dostępu do określonych informacji i reagować, gdy wykryją nieautoryzowany lub niespodziewany dostęp. Tego typu rozwiązania będą coraz popularniejsze w systemach zabezpieczeń.

Inteligencja tłumu

Rosnąca liczba producentów zabezpieczeń dostrzega potencjał, jaki stoi za dużymi społecznościami użytkowników, którzy mogą wymieniać się informacjami o zagrożeniach. Daje to możliwość szybkiego rozpowszechniania informacji o nowych zagrożeń, jak tylko te zostaną wykryte, a także opracowania środków zapobiegawczych. Mimo niewątpliwych zalet funkcjonowania takich społeczności na razie praktyczne implementacje są ograniczone. Szansą na istotne zmiany w tym obszarze jest zakończenie prac nad standardem W3C Efficient XML Interchange (EXI).

Mocno powinien przyspieszyć rozwój technologii zapobiegania włamaniom, które będą wykorzystywały różne mechanizmy bezpieczeństwa, aby budować całościowy obraz sytuacji w przypadku włamań i ataków. Taki kierunek rozwoju jest podyktowany ciągłym powstaniem zagrożeń wielowektorowych, które często w sposób skoordynowany atakują wielu systemów jednocześnie. Technologie, które potrafią przeprowadzić inspekcję szyfrowanego ruchu, kontrolować i zarządzać aplikacjami oraz szybciej wykrywać podatności już widać na horyzoncie.

Wielu producentów UTM, którzy dotychczas silnie skupiali się na sprzedaży produktów poprzez kanał dystrybucyjny lub przez dostawców usług zarządzanych, obecnie coraz częściej umieszcza konsolę zarządzania i monitorowania w chmurze. Jest to wygodne rozwiązanie dla producentów, ale część użytkowników na pewno nie zaakceptuje modelu w pełni chmurowego z uwagi na opóźnienia i konieczność dostępu do konsoli podczas ataku (np. DDoS może odciąć dostęp do Internetu). Ponadto w niektórych branżach ograniczone zaufanie do zagranicznych dostawców i obawy dotyczące prywatności również mogą zniechęcać do modelu chmurowego.