Защитната стена от следващо поколение (NGFW) е по същество родена от необходимостта да се осигури по-голяма видимост и контрол върху потребителите и техните приложения.

защитните

И така, защо отчетите за контрол на приложенията изглеждат така?

В скорошна статия на CHRIS MCCORMACK (проблемът със защитните стени) обяснявам защо за много фенове на мрежата защитните стени не изграждат толкова голямо доверие, колкото някога. В тази статия се фокусираме върху това, защо по-голямата част от трафика, преминаващ през съвременна защитна стена, остава неизвестен, неидентифициран или просто твърде общ, за да бъде класифициран или контролиран.

Защо контролът на приложенията е от значение

През годините защитните стени са се развили от периметърни стражи до мрежови пазачи, които предпазват от заплахи както от мрежата, така и отвън.

Тази промяна във фокуса се дължи на заплахата от злонамерен софтуер, опасността, породена от уязвимости в приложенията, риск от загуба и изтичане на данни, задължения за съответствие и необходимостта от оптимизиране на работата на мрежата.

За да постигне това, защитната стена от следващо поколение (NGFW) буквално се издигна над портовете и протоколите на своя предшественик (защитните стени с състояние) до горните слоеве на модела OSI, за да осигури видимост и контрол върху потребителите и техните приложения.

Те използват задълбочена проверка на пакети, за да идентифицират приложенията и да ги свързват с потребители или компютри в мрежата, позволявайки на администраторите да изпълняват задачи като приоритизиране на ERP системата, VoIP трафик или CRM софтуер над поточно предаване (YouTube, радиостанции и т.н.) или блокиране и идентифициране трафикът на P2P на потребителите.

Този вид контрол зависи от възможността вашата защитна стена да може успешно да идентифицира приложения, което прави, като търси модели в трафика, известни като подписи. Някои приложения използват еквивалента на етикет, което прави трафика им лесен за идентифициране, повечето приложения не го правят, а някои дори намират начин да преминат през защитната стена, без да бъдат идентифицирани.

Някои приложения, които много организации смятат за рискови, като клиенти на BitTorrent, могат да се опитат да заблудят вашата защитна стена, като постоянно променят моделите си на трафик и начина, по който се свързват извън мрежата. Други приложения заобикалят откриването чрез криптиране или маскиране като нещо друго, например уеб браузър.

Откриването, базирано на подпис, също може да се провали, когато приложението се актуализира и неговият модел на трафик се промени или когато приложението е по поръчка или просто твърде тъмно, за да има съвпадащ модел.

Ситуация, която не само оставя потенциални рискове неоткрити, вашите основни бизнес приложения, като ERP решения или CRM софтуер, също могат да останат незабелязани, оставяйки трафика ви да бъде смазан или изцеден от тежестта на сърфирането в мрежата или по-малко важни неща или нежелани.

Без съвпадение вашата защитна стена няма представа за какво става въпрос и няма контрол.

Колко голям е проблемът?

Sophos наскоро проведе проучване на средни организации, за да определи каква част от трафика на техните приложения е неидентифициран и неконтролиран.

Почти 70% от анкетираните организации са имали UTM или защитна стена от следващо поколение, знаещи за приложения. Респондентите разкриха, че средно 60% от трафика е неидентифициран ... и много организации съобщават, че до 90% от трафика на техните приложения е неидентифициран.

Ако сте загрижени за безопасността, отчетността или въздействието, което тази липса на видимост оказва върху вашата организация, вие не сте сами ...

  • 82% от анкетираните са загрижени за риска за сигурността
  • 65% са загрижени за въздействието върху производителността на мрежата
  • 40% са загрижени за потенциалните рискове за юридическа отговорност и съответствие

Проучването разкрива и приложенията, които са най-притеснителни за организациите поради висок риск от уязвимости в сигурността, рискове за съответствие, причинени от потенциално неподходящо или незаконно съдържание, въздействие върху производителността или потреблението на честотна лента:

  • Приложения за IM и конференции като Skype и TeamViewer
  • BitTorrent и други P2P клиенти, включително uTorrent, Vuze и Freenet
  • Прокси и тунелни клиенти като Ultrasurf, Hotspot Shield и Psiphon
  • Игри и платформи за игри като Steam

Подписите на защитната стена от следващо поколение няма да ви помогнат да контролирате тези приложения, тъй като в повечето случаи те няма да намерят съвпадение. Трафикът просто ще се покаже като HTTP, HTTPS, TLS, сърфиране в мрежата и други общи категории, които не са полезни във вашите отчети.

За щастие намерихме доста елегантно решение на този проблем. Изтеглете нашата бяла книга Поддържайте мрежата си под контрол: Защо мрежовите администратори се нуждаят от пълна видимост на приложения, за да научат повече.