Sophos. Το πρόβλημα με τα firewalls
Έρχεται μία σημαντική εξέλιξη στα firewalls που είναι διαφορετική από οποιαδήποτε προηγούμενη γενιά.
Μεταβολές στο τοπίο των απειλών, η δραματική αύξηση στον αριθμό και στην πολυπλοκότητα των τεχνολογιών που έχουν να αντιμετωπίσουν οι sysadmins και η ροή των δεδομένων που πνίγει το σήμα στο θόρυβο έχουν δημιουργήσει μία επικίνδυνη κατάσταση που θέτει σε κίνδυνο την ασφάλεια:
“Όταν απέκτησα αυτό το ρόλο, παρατήρηση γρήγορα ότι υπήρχε έλλειψη ορατότητας στις τερματικές συσκευές και στο δίκτυο μας. Αν κάποιος μολυνόταν, δεν θα είχαμε ιδέα…” – Διευθυντής τμήματος IT σε εταιρεία τεχνολογίας στον χώρο της υγείας.
Και δεν είναι μόνος του. Μία πρόσφατη έρευνα σε διαχειριστές IT έδειξε ότι τα περισσότερα firewalls που χρησιμοποιούνται σήμερα:
- Αναγκάζουν τους διαχειριστές να ξοδεύουν πολύ χρόνο ψάχνοντας για τις πληροφορίες και τα δεδομένα που χρειάζονται
- Δεν παρέχουν επαρκή ορατότητα σε απειλές και κινδύνους στο δίκτυο
- Καθιστούν πολύ δύσκολο το να καταλάβετε πώς να χρησιμοποιήσετε όλα τα χαρακτηριστικά τους
Η αντιμετώπιση αυτής της κατάστασης σηματοδοτεί την απαρχή μίας νέας και ριζοσπαστικής προσέγγισης στην ασφάλεια δικτύου: μία που να επιτρέπει τη συνεργασία μεταξύ των συστημάτων ασφαλείας, που απλοποιεί και εξορθολογεί τις ροές εργασίας και που καταφέρνει να εντοπίσει τι είναι σημαντικό από τεράστιες ποσότητες δεδομένων.
Πως φτάσαμε ως εδώ;
Πως τα τείχη προστασίας έγιναν χειρότερα στην προσπάθεια να γίνουν καλύτερα
Αρχικά, τα τείχη προστασίας παρείχαν το βασικό φιλτράρισμα δικτυακών πακέτων και δρομολόγηση με βάση τους hosts, τις θύρες και τα πρωτόκολλα. Καθόρισαν και επέβαλλαν τα όρια μεταξύ του δικτύου και του υπόλοιπου κόσμου, και αστυνόμευαν τα όρια εντός του δικτύου.
Αυτά τα τείχη προστασίας ήταν αποτελεσματικά στον περιορισμό της έκθεσης των υπηρεσιών μόνο στους υπολογιστές και στα δίκτυα που ήταν απαραίτητο να έχουν πρόσβαση σε αυτές, μειώνοντας την επιφάνεια επίθεσης που ήταν διαθέσιμη στους χάκερς και στο malware στο εξωτερικό (του δικτύου).
Φυσικά, οι επιτιθέμενοι δεν παραμένουν ακίνητοι οπότε οι επιθέσεις εξελίχθηκαν για να εκμεταλλεύονται (exploit) τις υπηρεσίες που τα firewalls άφηναν εκτεθειμένες: επιτίθονταν σε ευπάθειες σε εφαρμογές και διακομιστές ή χρησιμοποιούσαν τη κοινωνική μηχανική για να αποκτήσουν πρόσβαση στο εσωτερικό ενός δικτύου μέσω ηλεκτρονικού ταχυδρομείου ή μέσω παραβιασμένων ιστοσελίδων.
Η τεχνολογία των firewalls εξελίχθηκε επίσης, ανεβαίνοντας το OSI stack στο Layer 7 όπου και μπορούσαν να αναγνωρίσουν και να ελέγξουν τη κίνηση των δεδομένων με βάση τον χρήστη –από που προήλθαν- ή την εφαρμογή, και όπου οι τεχνολογίες βαθιάς επιθεώρησης μπορούσαν να αναζητήσουν απειλές μέσα στο περιεχόμενο της κίνησης δεδομένων της εφαρμογής.
Αυτή η μεταστροφή από τις θύρες και τα πρωτόκολλα στις εφαρμογές και στους χρήστες δημιούργησε μια νέα κατηγορία προστασίας δικτύων, τα λεγόμενα τείχη προστασίας “επόμενης γενιάς” που περιλαμβάνουν βαθύ έλεγχο πακέτων κρυπτογραφημένης και μη κρυπτογραφημένης κίνησης, πρόληψη εισβολών, καθώς και application-awareness και user-based εφαρμογές που βασίζονται σε χρήστες, παράλληλα με τις παραδοσιακές τεχνικές επιθεώρησης.
Ως αποτέλεσμα, τα σύγχρονα προϊόντα firewall καθίστανται ολοένα και πιο δύσκολα στη λειτουργία και στη διαχείρισή τους, συχνά αξιοποιώντας ξεχωριστές και χαλαρά ολοκληρωμένες λύσεις για την αντιμετώπιση διαφορετικών απειλών και απαιτήσεων συμμόρφωσης.
Η κακή ενσωμάτωση μπορεί να αφήσει τους διαχειριστές συστήματος (sysadmins) με τυφλά σημεία:
“… κατά κάποιο τρόπο δεν είχαμε μία ολοκληρωμένη πολιτική με τη χρήση διαφορετικών προγραμμάτων. Είχαμε ένα πρόγραμμα ως antivirus. Μετά είχαμε έναν διαφορετικό πάροχο για το firewall… δεν ξέρεις πως συνδυάζονται όλα μεταξύ τους”. – Συντονιστής Τεχνολογίας Σχολικής Περιφέρειας Wyoming.
Ο όγκος των δεδομένων που αυτά τα συστήματα μπορούν να παράγουν είναι τεράστιος και το βάρος που έχει πέσει στους ώμους του μέσου διαχειριστή δικτύου έχει φτάσει σε μη βιώσιμα επίπεδα.
Πως πρέπει να βελτιωθούν τα firewalls
Η δικτυακή ασφάλεια απαιτεί μία πιο ολοκληρωμένη προσέγγιση στην ενοποίηση των σύνθετων τεχνολογιών και απαιτείται ένα νέο είδος firewall: κάποιο που έχει αναπτυχθεί από την αρχή για να αντιμετωπίζει τα προβλήματα των σημερινών firewalls παρέχοντας μία πλατφόρμα ειδικά σχεδιασμένη για να αντιμετωπίζει όλες τις προκλήσεις στο σημερινό δικτυακό τοπίο αλλά και τις διαρκώς εξελισσόμενες απειλές.
Αυτός ο νέος τύπος δικτυακής προστασίας πρέπει να αντιμετωπίζει μοντέρνες απειλές που είναι περισσότερο προηγμένες, evasive και στοχευμένες από ποτέ άλλοτε.
Αυτές οι προηγμένες επίμονες απειλές (APTs) χρησιμοποιούν τεχνικές που δημιουργούν από μία νέα zero-day απειλή με κάθε instance, παρουσιάζοντας μία σοβαρή πρόκληση για signature-based ανίχνευση malware.
Τα σύγχρονα τείχη προστασίας πρέπει:
- Να αναγνωρίζουν τη κακόβουλη συμπεριφορά και να σας παρέχουν πρωτόγνωρη ορατότητα σε χρήστες με επικίνδυνη συμπεριφορά, σε ανεπιθύμητες εφαρμογές, σε ύποπτα payloads καθώς και σε επίμονες απειλές.
- Nα συνεργάζονται με άλλα συστήματα ασφαλείας, όπως με λύσεις προστασίας τερματικών συσκευών, για να λειτουργούν σαν να είναι ένα σύστημα, που ανιχνεύει, προσδιορίζει, και ανταποκρίνεται στις επίμονες απειλές ταχύτατα και αποτελεσματικά.
- Να χρησιμοποιεί τεχνολογίες δυναμικού ελέγχου εφαρμογών που μπορούν να εντοπίζουν και να διαχειρίζονται σωστά άγνωστες εφαρμογές που διαφεύγουν από τις signature-based μηχανές.
- Να ενσωματώνει μία πλήρη σουίτα από τεχνολογίες προστασίας απειλών ώστε οι διαχειριστές δικτύου να μπορούν να ορίζουν και να διατηρούν τη στάση ασφαλείας τους με μια ματιά.
Τα firewalls (τείχη προστασίας) θα πρέπει να ανακτήσουν τη θέση τους ως τον αξιόπιστο ρυθμιστή του δικτύου σας, που όχι μόνο αποκλείει και περιορίζει τις απειλές αλλά απαγορεύει και τη μη εξουσιοδοτημένη εξόρυξη δεδομένων.
Κατεβάστε τον Οδηγό Αγοράς Firewall της Sophos για να λάβετε πολύτιμες πληροφορίες που θα σας βοηθήσουν να λάβετε τη σωστή απόφαση πριν αποκτήσετε το επόμενο σας firewall.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.