Máte next-gen firewall? A mohla bych ho vidět?
Společnost je dnes a denně masírována horrorovými příběhy o dalších a dalších obětech kybernetických útoků. Výrobci bezpečnostních řešení se předbíhají v tom, kolik odhalili zločineckých skupin a škodlivých kampaní a přesvědčují zákazníky, že jen jejich „next generation“ produkty je dokážou ochránit před armageddonem.
Bez kvalitních nástrojů pro zabezpečení sítě a koncových bodů se pochopitelně bránit nemůžeme, ale produkt je jen jednou částí skládačky a upřímně, není tou nejdůležitější. V tomto článku se budeme věnovat sice jen síťové bezpečnosti, ale situace v ochraně koncových bodů bude velmi podobná.
Firewall pro klidný spánek
Na trhu dnes najdete desítky výrobců, kteří svoje produkty označují jako next generation firewally. Tito výrobci se předhánějí v tom jaké „next-gen“ funkce jejich produkty umí, kolik unikátních aplikací dokážou identifikovat, nebo jakou mají maximální propustnost. Tyto informace jsou pochopitelně důležité pro zákazníky, když se rozhodují o tom, jaké zařízení si pořídit. Někteří se rozhodují jen na základě parametrů v datasheetech a ceny, v lepším případně poměru cena/výkon. Ti svědomitější si zařízení předem skutečně vyzkouší ve svém prostředí. Pořídí si to pro ně nejvhodnější řešení, nasadí do produkce a mohou v klidu spát, protože jejich prostředí je chráněno tou nejlepší technologií. Je tomu ale skutečně tak?
Co je to next generation firewall (NGFW)?
Společnost Gartner jej definuje jako firewall provádějící hloubkovou inspekci paketů, který nad rámec kontroly protokolů, portů a jejich blokování, přidává inspekci na aplikační úrovni, prevenci narušení a propojuje ji s vnější inteligencí.
Podstatnou funkcí NGFW tedy je poskytování přehledu o provozu v síti a kontrola všech aplikací, tedy i těch, které se snaží vyhnout pozornosti a maskovat se jako legitimní provoz. K maskování mohou používat například přeskakování mezi porty, nebo mnohem častěji šifrování (SSL nebo SSH). Pro správnou identifikaci provozu je tedy zcela zásadní schopnost dešifrování.
Aby NGFW mohl poskytnout ucelený pohled na síťový provoz, musí být schopen identifikovat uživatele, kterému daný provoz náleží. Tím lze nejen snadněji mapovat bezpečnostní politiky k firemním požadavkům, ale je také možné snadno identifikovat a následně informovat uživatele, kteří porušují firemní zásady, nebo se stali obětí kybernetického útoku.
NGFW poskytuje celou řadu dalších rozšiřujících síťových a bezpečnostních funkcí, jako je ochrana před známými i neznámými hrozbami, detekce zranitelností, filtrování webového obsahu na základě URL adres, ochrana před únikem dat (DLP), VPN, SD-WAN, nebo třeba ochrana IoT zařízení.
Jak je to se skutečným použitím?
Zakoupení NGFW je pouze první krok. Tím druhým, a mnohem důlěžitějším, je jeho správné nasazení. Palo Alto Networks nabízí celou řadu nástrojů, které pomáhají zákazníkům potažmo implementačním partnerům ve správném nasazení a také v následném udržení správné konfigurace. Ochrana proti kybernetickým hrozbám je nikdy nekončící boj, útočníci nezahálejí, a tak nemůže usnout na vavřínech ani obránce.
Jedním z velmi užitečných nástrojů je tzv. „Best Practices Assessment“. Jde o analýzu, která porovnává konfiguraci NGFW se sadou obecných doporučení a poskytuje detailní informace o tom, které doporučené funkce jsou nasazeny a kde je prostor pro další zlepšení.
Mnoho partnerů i zákazníků ji pravidelně provádí, ale je zde také poměrně nezanedbatelná část zákazníků, která to nedělá. Požádali jsme tedy naše obchodní partnery, aby u těchto „spících“ zákazníků BPA provedli. Vzhledem k tomu, že ne všichni zákazníci projevili o analýzu zájem, nemůžeme výsledky jednoduše zobecnit na všechny. I když se lze vcelku oprávněně domnívat, že situace u zákazníků, kteří tuto analýzu odmítnuli, nebude výrazně lepší.
Každý zákazník má pochopitelně jiné požadavky a zakoupené jiné bezpečnostní funkce. Abychom srovnávali srovnatelné, zaměřili jsme se pouze na klíčové funkce NGFW, které jsou jeho elementární součástí. Zajímalo nás, v jaké míře zákazníci používají v bezpečnostních politikách identifikaci aplikací, služeb (portů), uživatelů a jak provádějí dešifrování provozu.
Předpokládali jsme, že tyto funkce budou využívat více méně všichni zákazníci, protože bez nich nedává nasazení pokročilejších bezpečnostních technik smysl.
Souhrnná data z analýzy jsou uvedena v tabulce níže:
| App ID |  |
21 % | Průměrný počet bezpečnostních pravidel povolujících provoz s omezením na konkrétní aplikací |
| Service/Port |  |
54 % | Průměrný počet bezpečnostních pravidel, která jsou omezena na konkrétní port (cílový port není „any“) |
| User ID |  |
5 % | Průměrný počet bezpečnostních pravidel se specifikací konkrétních uživatelů |
| SSL Forward proxy |  |
43 % | Poměr zákazníků, kteří dešifrují odchozí provozu od interních uživatelů |
| SSL Inboud inspection |  |
37 % | Poměr zákazníků, kteří dešifrují příchozí provozu na interní servery |
| SSH proxy | |
37 % | Poměr zákazníků, kteří dešifrují SSH komunikaci |
| SSL Decryption profie |  |
12 % | Poměr zákazníků, kteří kontrolují kvalitu SSL komunikace (platnost certifikátů, sílu klíčů apod.) |
Znepokojující výsledky
Výsledky analýzy jsou velmi znepokojující. Očekávali bychom, že tyto základní funkce NGFW budou nasazeny v mnohem vyšší míře. Velmi zarážející je také fakt, že u 17 % zákazníků nebylo nalezeno ani jedno aplikační pravidlo. Tito zákazníci tedy vůbec nepoužívají aplikační inspekci. U 56 % zákazníků není použita identifikace uživatelů. Není až tak překvapivé, že nejhorších výsledků dosahují zejména zákazníci s menšími modely NGFW. Například zákazníci s nejmenším fyzickým modelem PA-220 používají App ID v průměru jen u 8 % pravidel.
Potvrzuje to naši domněnku, že zejména u menších zákazníků, kteří třeba ani nemají vlastní IT, natož pak dedikovaného bezpečnostního specialistu, je řešení bezpečnosti v žalostném stavu. Přestože investovali do pořízení NGFW, nedošlo k jeho kompletnímu nasazení. Když se pak takový zákazník stane obětí kybernetického útoku, každého zajímá, kdo byl dodavatelem jeho bezpečnostního řešení a na dodavatele to vrhá špatné světlo. Přitom skutečná příčina je někde jinde.
Bezpečnost je sdílená odpovědnost
Je nutné si uvědomit, že bezpečnost je sdílenou odpovědností mezi výrobcem, dodavatelem a koncovým zákazníkem. Role výrobce je poskytnout nástroje a řešení, které umožní zákazníkům bojovat efektivně proti hrozbám. Jak (a jestli vůbec) budou tyto nástroje použity, je zodpovědnost zákazníka, potažmo jeho dodavatele (obchodního partnera). Bohužel na skutečných případech si neustále potvrzujeme, že drtivá většina úspěšných kybernetických útoků byla umožněna konfiguračními chybami.
Jak situaci zlepšit?
Možná tyto chyby pramení z nedbalosti a lehkomyslnosti, ale častější příčinou je prostá neznalost. Vzdělávání uživatelů v oblasti kybernetické bezpečnosti je možná tím nejdůležitějším obranným prvkem. Uživatel je totiž tím nejslabším článkem řetězu.
Výrobci si toto uvědomují a snaží se svým obchodním partnerům a koncovým zákazníkům nabídnout pomocnou ruku. Se školeními, e-learningy a webináři se v poslední době roztrhl pytel. Nenahraditelné jsou také analytické nástroje, které mohou snadno ukázat, kde jsou slabá místa v zabezpečení a jak tyto slabiny napravit.
Palo Alto Networks nabízí pro stávající zákazníky službu Best Practices Assessment, kterou si může provést každý zákazník zdarma vlastními silami, nebo může požádat o pomoc svého dodavatele. Vyzkoušejte ji, porovnejte vaše výsledky s naším vzorkem a uvidíte, jak si stojíte ve srovnání s ostatními zákazníky.
Pokud ještě nevlastníte NGFW od Palo Alto Networks, nemusíte věšet hlavu, bezpečnostní audit můžeme provést i ve vašem prostředí. Více informací se dočtete na https://nextgenfw.cz/bezpecnostni-audit/
Nejdůležitější je ale ten následující krok. Tedy nejen prohlédnout si pěkný PDF report s okouzlujícími koláčovými grafy, ale hlavně s jeho pomocí přitáhnout bezpečnostní politiky a minimalizovat tak plochu pro útok. Neusnout na vavřínech a pravidelně kontrolovat stav zabezpečení.