עורך: יובל סיני
רקע
מזה שנים רבות, ארגונים מטמיעים באופן קבע מוצרי אבטחת מידע, וביניהם:
- Firewall
- WAF (Web Application Firewall)
- IPS (Intrusion prevention system)
- DLP (Data Lass Prevention)
- Proxy
- Directory Services
- Mail Relay
- Antivirus
- UTM (Unified Threat Management)
למרות שיפור תמידי במוצרי אבטחת המידע, אירגונים רבים נאלצים להתמודד עם מגבלות שונות במוצרים הקימיים:
- עלות תחזוקה גבוהה.
- לצורך השגת רמת אבטחה גבוהה, האירגון נאלץ להשתמש במוצרי אבטחת מידע, מיצרנים שונים – דבר שמחייב רמת התמחות גבוהה בכל מוצר.
- כלל המוצרים אינה ממלאים בד"כ את הציפיות של האנשים הטכניים.
- ולדעתי האישית, המגבלה העיקרית הינה: ישנו קושי למפות תהליכים ברמה אירגונית.
דבר זה יוצר קשיים רבים, וביניהם:
א. העדר יכולת זיהוי פעילות משתמש, באופן חד ערכי ברשת המיחשוב.
ב. העדר יכולת הצלבת נתונים ממערכות אבטחת מידע שונות.
- ראוי לציין שלמרות קיום מערכות SIM/SOC בחלק מן האירגונים כיום, המגבלות השונות בביצוע הצלבת נתונים (ואיסופם), הינה מגבלה המצמצמת את אפקטיביות מערכות אלו בצורה משמעותית.
הדור הבא של מוצרי ה Firewall ("חומת אש")
ב 12 לאוקטובר 2009, פירסמו האנליסטיםJohn Pescatore ו Greg Young מחברת Gartner מאמר בשם "Defining the Next-Generation Firewall", ובו הם סוקרים את שוק מוצרי ה Firewalls, וממליצים על אירגונים להתחיל בהטמעת מוצרי Next-Generation Firewall (NGFW).
לפני שנסקור את היתרונות העיקריים של הדור הבא של מוצרי ה Firewall, מומלץ שנראה את הדמו של חברת Palo Also Networks, המציג באופן ברור מספר יכולות מעניינות:
http://www.paloaltonetworks.com/literature/video/demo/demo.html
לאחר עיון קצר בדמו הנ"ל, נוכל לראות כי מוצרי הדור הבא של מוצרי ה Firewall הינם הכלאה של מספר רב של טכנולוגיות מוכרות, שהיו מבוזרות בעבר – במוצרים שונים.
שילוב טכנולוגיות זה מאפשר לרכיב ההגנה לתת מענה משולב:
א. זיהוי יישומים – בניגוד לשיטה המסורתית שבה מוגדרים חוקים לפי שירותים\פרוטוקולים, ניתן להחיל כיום חוקים ברמת היישום עצמו.
לדוגמא: נוכל להגדיר חוק ב Firewall שמאפשר שימוש ב Microsoft Messenger בגרסה 14 ומעלה, לדוגמא.
אומנם יצרנים שונים הטמיעו יכולות שונות ברמת המוצרים אותם הם מוכרים, אך מעולם לא היתה אפשרות להגדיר חוקים ברמת חוק פשוט ונוח.
- ראוי לציין כי הדור הבא של מוצרי ה Firewall יכול לזהות יישומים המשתמשים בתעבורה מוצפנת (SSL).
ב. בדיקת תוכן – התעבורה המועברת ברשת נסרקת בהתאם לאופי העבודה המתאים ליישום הרצוי.
- Threat Prevention – זיהוי פגיעויות של פרוטוקולי תקשורת, ומידע מועבר בהתאם לפרמטרים:
Protocol anomaly detection
Stateful pattern matching
Statistical-based analysis
Heuristic-based analysis
Block invalid or malformed packets
IP defragmentation and TCP reassembly
- URL Filtering – סינון URL לפי רמות סיכון\קטגוריות.
- File and Data Filtering – סינון מידע מועבר לפי סוגי קבצים, תוכן מידע מועבר (כגון: מספרי כרטיסי אשראי) וכולי.
- Antivirus – איתור וירוסים המנסים להיכנס לרשת האירגונית.
- ראוי לציין כי הדור הבא של מוצרי ה Firewall יכול לבצע בדיקת תוכן ליישומים המשתמשים בתעבורה מוצפנת (SSL).
ג. זיהוי משתמשים – אימות גישה משתמש למשאב ע"י ביצוע אימות מקדים מה Directory Services מאפשר זיהוי חד ערכי של המשתמש.
ד. מערכת שו"ב (שליטה ובקרה) – מערכת השו"ב מאפשרת:
- קבלת מידע ב Real Time על איומים, תוך שימוש בפרופילים מוגדרים מראש (כגון: עשרת המשתמשים המנסים להוציא דוחו"ת המכילים מספרי כרטיסי אשראי).
- מערכת ניטור ודיווח – מערכות זו מאפשרת איסוף מידע היסטורי, וכן הכנת דוחו"ת שונים.
- ראוי לציין כי שמירת מידע היסטורי הינה דרישה רגולוטורית, הנובעת מתקנים שונים כגון: SOX.
- מערכת ניהול מדיניות, המאפשרת הגדרת חוקים על אובייטיבי המערכת (וביניהם: יישומים).
Allow and Deny
Allow but scan
Allow based on schedule
Decrypt and inspect
Apply traffic shaping
Any combination
Allow certain application function
Allow certain users or groups
ה. יכולת ביצוע QoS ברמת היישום (ולא הפרוטוקול כמקובל במוצרי ה Legacy).
ו. יכולת עבודה במוד Layer 2 or Layer 3.
- יכולת עבודה במוד Layer 2 (In Line) "חוסכת" את הצורך בשינוי טופולוגית הרשת הקיימת.
ז. מתן הגנה ליישומי VOIP ו VOD.
סיכום
למרות שעדיין שוק מוצרי אבטחת המידע אינו ערוך באופן מלא לשיווק מוצרי הדור הבא של מוצרי ה Firewall, ישנן חברות שונות שהחלו בשיווק של מוצרים אלו.
ניתן להסיק כי שימוש ב Firewall "מסורתי" יקטן במהלך הזמן, וראוי לשקול מעבר לדור הבא של מוצרי ה Firewalls.
ניתן אף להסיק כי כניסת הדור הבא של מוצרי ה Firewall, תאפשר הכנסת שחקנים חדשים למגרש שנשלט שנים רבות ע"י חברות ענק, כגון: Check Point Juniper Networks, , Cisco.
למידע נוסף, אנא עיין ב:
קביעת טראקבק