UTM Firewalls – H πρόταση της Watchguard

Τα UTM firewalls εμφανίστηκαν κάτι περισσότερο από 2 δεκαετίες πριν. Από τότε μέχρι σήμερα οι απειλές έχουν αλλάξει σημαντικά σε είδη και πλήθος, δημιουργώντας τη διαρκή  ανάγκη αφενός για την εξέλιξη των υπαρχόντων μηχανισμών ασφάλειας και αφετέρου για τη δημιουργία νέων.

Αντώνης Καλοχριστιανάκης –Διευθυντής Πωλήσεων
Digital Sima

Είναι μάλλον αδύνατο να μαντέψει κανείς τις νέες επιθέσεις που θα υπάρχουν σε μερικά χρόνια από σήμερα, όπως και τους αντίστοιχους μηχανισμούς άμυνας. Μπορούμε όμως να προβλέψουμε με ασφάλεια, ότι θα είναι πολύ διαφορετικοί από τους σημερινούς. Ποιος μπορούσε να προβλέψει πριν από 15 χρόνια το ransomware?  Ή πριν από 10 χρόνια τις fileless επιθέσεις?

Τις 2 τελευταίες δεκαετίες οι περισσότεροι νέοι μηχανισμοί άμυνας δημιουργούνται και αρχικά εξελίσσονται από εξειδικευμένους κατασκευαστές, ενώ συνήθως απευθύνονται – λόγω κόστους – στα μεγάλα δίκτυα. Όμως σταδιακά βλέπουμε αυτούς τους μηχανισμούς να ενσωματώνονται στα UTM firewalls τα οποία λόγω του πολύ μεγαλύτερου εύρους πωλήσεων που τα χαρακτηρίζει μπορούν και προσφέρουν αυτές τις τεχνολογίες σε μικρομεσαία δίκτυα με χαμηλότερο κόστος. Έτσι οι 3-4 μηχανισμοί ασφάλειας που είχε ένα μεγάλο δίκτυο πριν από λίγα χρόνια, έχουν σήμερα ενσωματωθεί σε ένα UTM firewall που μπορεί να προμηθευτεί και να διαχειριστεί ένα μικρομεσαίο δίκτυο.

Τέτοιου είδους τεχνολογίες  είναι το URL filtering και το Application control οι οποίοι είναι από τους πρώτους μηχανισμούς που ενσωματώθηκαν στα UTM firewalls πριν από περίπου 18-20 χρόνια. Λίγο αργότερα το Gateway Antivirus, το Antispam  και το Multiwan (το οποίο πλέον εξελίχθηκε σε SD-WAN) άρχισαν να προσφέρονται από τα firewalls, Ακολούθησε το IPS, τα SSL portals, το sandboxing κ.λ.π.

H Watchguard είναι o κατασκευαστής που παρουσίασε το 1996 το πρώτο firewall σε μορφή appliance (κάτι που πλέον είναι η κυρίαρχη τάση) και έκτοτε πρωτοπορεί στην τεχνολογία, ενώ παράλληλα προσφέρει σταθερά προϊόντα φιλικά στη διαχείριση.

Ορισμένες από τις νέες UTM υπηρεσίες που προσφέρονται μέσω των firewalls της Watchguard ακολουθούν παρακάτω.

Intelligent Antivirus

To παραδοσιακό Gateway Antivirus που ενσωματώνεται στα firewalls είναι signature based. Αυτό σημαίνει ότι αποκρούει τις ήδη γνωστές απειλές. Από την άλλη οι υπάρχοντες μηχανισμοί Advanced Threat Protection με sandboxing αντιμετωπίζουν τις νέες απειλές καθώς λειτουργούν με ανάλυση της συμπεριφοράς, αλλά η εκτέλεση των αρχείων στο σύννεφο προσθέτει -ολιγόλεπτη- καθυστέρηση. Το πρόβλημα έρχεται να λύσει το Intelligent Antivirus το οποίο στην πραγματικότητα λειτουργεί με τεχνολογία Artificial Intelligence και  Machine learning. Τα εισερχόμενα πακέτα αναλύονται στα blocks από τα οποία αποτελούνται και παράλληλα ελέγχονται τα APIs που πρόκειται να καλέσουν. Έτσι ο κακόβουλος κώδικας σταματάει στο firewall, πριν εισέλθει στο δίκτυο. To Intelligent Antivirus μπλοκάρει zero-day απειλές καθώς δεν λειτουργεί με signatures ενώ το κάνει σε πραγματικό χρόνο, χωρίς καθυστέρηση. Προς το παρόν δεν θεωρείται τόσο ώριμη τεχνολογία ώστε να μπορεί με ασφάλεια να αντικαταστήσει το παραδοσιακό Gateway Antivirus και το Sandbox, όμως σε συνδυασμό με αυτά προσφέρει σαφώς πιο ολοκληρωμένη προστασία.

DNS Watch

Οι Hackers βασίζονται στο DNS για να πραγματοποιήσουν επιθέσεις σε ανυποψίαστα θύματα. Το DNS Watch είναι μία cloud-based υπηρεσία οι οποία εκτελεί ελέγχους στο DNS για να μπλοκάρει πιθανές επικίνδυνες συνδέσεις. Οι αναλυτές της WatchGuard ταξινομούν τις κρίσιμες ειδοποιήσεις και αποστέλλουν κατανοητές στους χρήστες  ενημερώσεις (που όμως περιλαμβάνουν ανάλυση σε βάθος), της δυνητικής μόλυνσης. Όταν η επίθεση χρησιμοποιεί phishing και ένας εργαζόμενος κάνει κλικ στο link, το DNSWatch τον ανακατευθύνει αυτόματα μακριά από το κακόβουλο site ενώ παράλληλα του προσφέρει εκπαίδευση και ενημέρωση ώστε να είναι κατά το δυνατό ασφαλής στο μέλλον και σε μη  προστατευμένα περιβάλλοντα. Η υπηρεσία λειτουργεί εξ ολοκλήρου στο σύννεφο.  Έτσι έχει εύκολη υλοποίηση, ενώ δεν απαιτεί πόρους από το firewall ή το δίκτυο.

Threat Detection & Response

Οι περισσότερες μελέτες συγκλίνουν στο ότι ο μέσος χρόνος από τη στιγμή που ένα μεσαίο δίκτυο μολυνθεί από malware, μέχρι να το αντιληφθεί το τμήμα μηχανογράφησης, κυμαίνεται σε περίπου 5-6 μήνες.

Ο μηχανισμός TDR που προσφέρεται από τα firewalls της Watchguard προϋποθέτει την εγκατάσταση ενός agent σε κάθε Η/Υ και server του δικτύου. Αυτός ο agent από μόνος του μπορεί να εκτελέσει 3 λειτουργίες: Μπορεί να σβήσει στοιχεία από το registry του Η/Υ, μπορεί να τοποθετήσει κάποια αρχεία σε καραντίνα και τέλος μπορεί να κάνει kill κάποιο process (όπως παράδειγμα το process της κρυπτογράφησης). Πάντως η βασική λειτουργία του agent είναι να στέλνει τα ύποπτα συμβάντα προς αξιολόγηση. Η αξιολόγηση γίνεται στο σύννεφο όπου βρίσκεται και η διαχείριση της συγκεκριμένης υπηρεσίας. Παράλληλα και το ίδιο το firewall στέλνει ύποπτα γεγονότα στην κονσόλα στο σύννεφο. Τα ύποπτα γεγονότα που στέλνει το firewall προκύπτουν από τις UTM υπηρεσίες του όπως antibot, url filtering, application control, IPS κ.λ.π. Στο σύννεφο γίνεται συσχετισμός των δικτυακών events του firewall τους H/Y από τους οποίους προέρχονται. Τα events αξιολογούνται με βάση 3 μηχανισμούς: ο ένας είναι μηχανισμός signature based (σύγκριση με ήδη γνωστές επιθέσεις), ο άλλος είναι μηχανισμός behavior analysis και ο τρίτος χρησιμοποιεί τεχνολογία Threat Intelligence. Από το συνδυασμό αυτών των μηχανισμών το κάθε event λαμβάνει μία βαθμολογία, εάν η βαθμολογία περάσει κάποιο κατώφλι που έχουμε ορίσει, υπάρχει ειδοποίηση στο διαχειριστή για την αντίδραση που απαιτείται. Εάν η βαθμολογία είναι οριακή, ή το αποτέλεσμα των ελέγχων ασαφές, μπορεί ο διαχειριστής να στείλει το συμβάν για επιπλέον αξιολόγηση σε ένα τέταρτο μηχανισμό ο οποίος είναι το Sandboxing του οίκου Lastline. Έτσι μπορεί να έχει πιο ολοκληρωμένη εικόνα για το είδος της απειλής και την επικινδυνότητά της. Το TDR της Watchguard προσφέρει και τρόπους αποκατάστασης ή περιορισμού  του προβλήματος τύπου «one klick response» όπου προσφέρονται έτοιμα σενάρια αντίδρασης όπως παράδειγμα η δικτυακή απομόνωση συγκεκριμένου H/Y ή υποδικτύου

SD-WAN

Παρόλο που ο όρος SD-WAN είναι σχετικά νέος, η Watchguard είναι ίσως ο πρώτος κατασκευαστής που άρχισε να προσφέρει διαχείριση πολλαπλών κυκλωμάτων με δυνατότητες προτεραιοτήτων και δεσμευμένου bandwidth πριν από περίπου 15 έτη. Επόμενο είναι ότι μετά από τόσα χρόνια εξέλιξης η προσφερόμενη τεχνολογία και λειτουργικότητα είναι κορυφαίες. Όλα τα μοντέλα της Watchguard υποστηρίζουν δυνατότητα διασύνδεσης έως 10 internet κυκλωμάτων στη βασική άδεια χωρίς αναβάθμιση. Πλέον το SD-WAN προσφέρει δυνατότητα αναγνώρισης της ποιότητας των γραμμών (με κριτήρια όπως bandwidth, latency κ.λ.π.) και κατάλληλης δρομολόγησης της πληροφορίας ανάλογα με την προτεραιότητά της η οποία μπορεί να καθοριστεί με αναγνώριση εφαρμογής, πρωτοκόλλου και source, ή συνδυασμό αυτών. Μία άλλη εφαρμογή του SD-WAN είναι η αναβάθμιση της VPN επικοινωνίας μεταξύ firewalls με την ενοποίηση πολλαπλών γραμμών από το ένα ή και τα δύο άκρα.

Οι ανωτέρω υπηρεσίες και μερικές ακόμη όπως wireless προστασία μέσω του Wireless Intrusion Prevention, το Data Loos Prevention και το SSL portal, σε συνδυασμό με τις «παραδοσιακές» υπηρεσίες του URL filtering, Gateway Antivirus, Application Control, Antispam, IPS, συνθέτουν τις βασικές UTM υπηρεσίες που προσφέρει η Watchguard.

Στην αναζήτηση μίας UTM λύσης τα βασικά ζητούμενα είναι:

• Πληρότητα χαρακτηριστικών. Τα μεσαία δίκτυα θέλουν το σύνολο της δικτυακής ασφάλειας να υλοποιείται σε ένα σημείο για λόγους διαχείρισης και κόστους. Επομένως το UTM firewall πρέπει να μπορεί να προσφέρει σε υψηλό επίπεδο το σύνολο των μηχανισμών ασφάλειας που απαιτούνται.
• Σταθερότητα. Κάτι που συχνά παραβλέπεται είναι η σταθερότητα και η έλλειψη προβλημάτων η οποία πιστοποιείται από την προϊστορία του κατασκευαστή και τους πόρους που διαθέτει.
• Ξεκάθαρη τιμολογιακή πολιτική χωρίς κρυφές χρεώσεις. Στα κόστη θα πρέπει να υπολογίζονται και οι μελλοντικές ανανεώσεις, όπως και τυχόν αναβαθμίσεις (που κάποιοι κατασκευαστές χρεώνουν, ενώ άλλοι όχι) π.χ. αριθμού SSL VPNs, εργαλείων διαχείρισης, κ.λ.π.
• Ευκολία διαχείρισης με ανάλυση σε βάθος. Τα μεσαία δίκτυα στα οποία απευθύνονται τα UTM firewalls δεν μπορούν να διαθέτουν πολλούς (ανθρώπινους) πόρους. Πρέπει να προσφέρουν αναλυτικό reporting σε βάθος με φιλική και εύκολη διαχείριση.

Σε κάθε περίπτωση σημαντικοί παράγοντες είναι το σωστό sizing και η επαγγελματική  ενσωμάτωση στο δίκτυο. Είναι τετριμμένο να πούμε ότι είναι καλύτερο να έχουμε ένα μέτριο firewall με σωστή εγκατάσταση, παρά ένα κορυφαίο firewall με πλημμελή εγκατάσταση. Ωστόσο κανείς δε θα πρέπει να επιλέξει μεταξύ κακών υλοποιήσεων τη λιγότερο κακή. Υπάρχουν λύσεις UTM που προσφέρουν υψηλού επιπέδου ασφάλεια, ενώ και στη χώρα μας υπάρχουν αρκετές πιστοποιημένες εταιρείες που προσφέρουν επαγγελματικές υπηρεσίες υλοποίησης.