Human firewall что это

Обновлено: 06.07.2024

Брандмауэр, или файервол, — это межсетевой экран, который последовательно фильтрует проходящие через него данные. С помощью определённых правил или шаблонов он анализирует трафик, который поступает со стороны Сети или от вашего компьютера. Если пакет не прошёл проверку, он не сможет пересечь брандмауэр и попасть из интернета на ваше устройство.

Слово «брандмауэр» (от немецкого brand — «гореть», mauer — «стена») позаимствовали у пожарных. Так называют преграду из огнеупорного материала, которая препятствует распространению пламени из одной части здания в другую. И это, в общем‑то, отражает назначение ПО: не пропускать трафик, который может навредить системе.

Межсетевые экраны устанавливают не только на компьютерах пользователей, но и на серверах или на маршрутизаторах между подсетями. Это нужно, чтобы подозрительный трафик не мог быстро распространиться по всей Сети.

Брандмауэры бывают программными (только софт) и программно‑аппаратными (ПО и устройство, на котором оно работает). Первые доступнее, но занимают часть ресурсов компьютера и не так надёжны. Для рядовых пользователей их вполне достаточно. Вторые — это обычно корпоративные решения, которые ставят в больших сетях с повышенными требованиями к безопасности.

От каких видов атак защищает брандмауэр

• Фишинг. Киберпреступники распространяют ссылки на фишинговые сайты, которые как две капли воды похожи на ваш онлайн‑банкинг, социальную сеть или ресурс известного бренда. На таких сайтах предлагается оставить личные данные — с ними преступники могут вывести все деньги с вашего банковского счёта или шантажировать вас интимными фото. Брандмауэр пресечёт подключение к таким ресурсам.
• Доступ через бэкдоры. Так называют уязвимости, которые иногда оставляют — специально или нет — в операционных системах и другом ПО. Это позволяет киберпреступникам или спецслужбам отправлять данные на подключённое к Сети устройство и принимать трафик с него, например персональную информацию, пароли и так далее. Брандмауэр способен оградить от таких утечек.
• Взлом с использованием удалённого рабочего стола. Атаки такого формата позволяют получить доступ к компьютеру по Сети и управлять им. Брандмауэр заметит подозрительный трафик и запретит его передачу.
• Переадресация пакетов. Иногда мошенники меняют маршрут движения трафика в Сети, чтобы обмануть систему — заставить её поверить, что данные приходят из доверенного источника. Брандмауэр отследит такое и перекроет канал трафика.
• DDoS‑атаки. Если брандмауэр обнаружит слишком большое количество пакетов, которые поступают от сравнительно маленького списка IP‑адресов, он попытается отфильтровать их. К слову, если ваш компьютер попробуют использовать для DDoS‑атак, межсетевой экран также заблокирует исходящий трафик.

От каких видов атак брандмауэр не защитит

Чтобы межсетевой экран мог анализировать данные, он должен корректно их распознавать. Как правило, брандмауэры работают на нескольких уровнях модели OSI (The Open Systems Interconnection model): сетевом, канальном, транспортном, прикладном и других. На каждом из них применяются свои фильтры. И если, например, на канальном (более высоком) трафик соответствует правилам, а на прикладном (более низком) он зашифрован, то брандмауэр пропустит такие данные. И это потенциально может привести к проблемам в системе.

Не справляются файерволы и с туннелированным трафиком — тем, который передаётся через VPN и другие подобные программы. В этом случае между двумя точками сети создаётся защищённый туннель, одни сетевые протоколы упаковываются в другие (как правило, более низкого уровня). Брандмауэр не может интерпретировать такие пакеты. И если он работает по принципу «всё, что не запрещено, разрешено», то пропускает их.

Наконец, если на ваш компьютер смог проникнуть вирус, то брандмауэр ничего не сделает с разрушениями, которые тот способен вызвать. Например, если вредоносное ПО зашифрует или удалит файлы или сохранит ваши личные данные, чтобы передать их через зашифрованный мессенджер или другой защищённый канал, файервол вряд ли предупредит это.

Разумеется, брандмауэры «умнеют»: в них используют интеллектуальные алгоритмы и эвристики, которые позволяют обнаружить проблемы даже без заранее подготовленных правил и шаблонов. К тому же в связке с антивирусным ПО файервол блокирует значительную часть атак. С другой стороны, киберпреступники тоже не сидят сложа руки и изобретают всё новые способы обхода защиты.

Какие проблемы может вызвать брандмауэр

Всякая защита имеет свою цену.

Уменьшение производительности компьютера

Брандмауэр фильтрует трафик в режиме реального времени. На это нужны ресурсы: и процессорные мощности, и оперативная память. В результате ПО может замедлить ваш компьютер. А если его производительность невысока, вы ощутите это особенно остро.

Снижение скорости трафика

Брандмауэру нужно время на анализ трафика. А если фильтров много, то задержки бывают значительными. Это не так критично для просмотра сайтов, но в онлайн‑играх может стать причиной поражения.

Ложные срабатывания

Межсетевые экраны нередко принимают допустимый трафик за потенциальную угрозу и не пропускают такие пакеты. Ещё и оповещения создают — с резким звуком, чтобы вы точно обратили внимание. В результате вы не можете спокойно работать и не получаете доступ к нужным интернет‑ресурсам.

Уменьшить количество ложных срабатываний можно, если правильно настроить брандмауэр. Например, включать его только в небезопасных сетях (публичный Wi‑Fi) или для определённых приложений (браузер, мессенджеры).

Стоит ли пользоваться брандмауэром

Если ваш компьютер подключён к интернету, брандмауэр будет полезен. Он заблокирует значительную часть сетевых соединений, которые вы «не заказывали».

Особенно необходим файервол при подключении к бесплатному Wi‑Fi и другим недостаточно защищённым сетям. Злоумышленники нередко используют их для атак, перехвата трафика и подмены данных.

Если же ваш компьютер не подключён к интернету или сеть достаточно надёжно защищена, например корпоративным аппаратно‑программным файерволом, то вы можете не использовать личный. Это позволит вашему ПК работать немного быстрее, а ложные срабатывания не будут вас отвлекать.

Во многих новых моделях роутеров есть встроенный брандмауэр. В нём можно настроить фильтрацию пакетов, разрешить или запретить соединения с определёнными URL- и IP‑адресами и использование портов. Чтобы узнать, есть ли встроенный межсетевой экран в вашем устройстве, поищите пункт вроде Internet Firewall в его панели управления.

Но, говоря объективно, программные файерволы обычно настраиваются более гибко и просто. Поэтому, если вы не до конца понимаете, как обеспечить надёжную фильтрацию трафика с помощью роутера, рекомендуем не отключать брандмауэр, чтобы не остаться без защиты.

Какие брандмауэры встроены в ОС

Они стали частью операционных систем, чтобы защитить пользователей от кибератак.

Windows

Брандмауэр есть в ОС, начиная с версии Windows XP SP2. В Windows 7 он входит в состав Центра обеспечения безопасности Windows, в Windows 10 — Центра безопасности и обслуживания. Он поддерживает фильтрацию на уровне портов, пакетов, приложений и создание различных правил для разных типов сетей (частных, общественных и сетей домена), настройку профилей.

Чтобы проверить состояние защиты в Windows 10, введите слово «брандмауэр» в панели поиска.

Human firewall для улучшения работы технических средств защиты

Большинство современных кибератак достигают цели не благодаря уязвимости операционных систем, программ и сетевого оборудования, а из-за небезопасных действий сотрудников. Социальная инженерия, фишинговые письма с вредоносной нагрузкой и фишинговые ресурсы для кражи учётных данных оказываются эффективнее, чем попытки обойти межсетевой экран или воспользоваться ошибкой удалённого выполнения кода в VPN-сервере.

Воздействуя на эмоции людей, преступники крадут учётные данные, с помощью которых могут проникнуть в сеть под видом легальных пользователей. Но можно обойтись и без кражи, убедив получателя письма открыть вложение и разрешить выполнение макросов. И если аргументы подобраны правильно, пользователь будет рад отключить защищённый режим и, по сути, дать доступ мошенникам «ради важного документа».

Для борьбы с современными атаками технических средств недостаточно. Требуется системная работа по развитию у пользователей навыков противодействия уловкам социоинженеров. В результате компания получит новый уровень защиты в дополнение к техническому, так называемый human firewall, или «человеческий межсетевой экран», который сработает как цифровой иммунитет в организации.

В этой статье мы поговорим о том, почему привычные способы внедрения мер кибербезопасности в бизнес-процессы оказываются малоэффективны и как сформировать работающий human firewall на практике.

ЦИФРЫ И ФАКТЫ

По данным Group-IB, с 2019 года фишинг прочно закрепился в топ-3 векторов первичной компрометации корпоративных сетей ввиду высокой эффективности и значительно меньших затрат на подготовку, чем исключительно технические атаки.

Самые громкие инциденты последних месяцев связаны с вымогательским ПО, причём успех атакам обеспечила эксплуатация человеческих слабостей.

7 мая 2021 года произошла кибератака на оператора крупнейшего в США топливопровода Colonial Pipeline. Злоумышленники использовали фишинговую схему для получения доступа к инфраструктуре компании: один из сотрудников перешёл по ссылке в фишинговом письме и заразил все информационные системы. Заплатив выкуп в размере 5 млн долларов США, компания получила неработающий инструмент для расшифровки данных.

9 июня 2021 года компания JBS, владелец крупнейшего в мире мясоперерабатывающего производства, выплатила преступной группировке Revil 11 млн долларов США за восстановление доступа к зашифрованным в результате кибератаки системам. Для проникновения операторы вымогателя применили комбинацию из фишинговых писем и похищенных с помощью фишинга учётных данных для служб удалённого доступа.

Ещё одна примета времени, которую отмечают эксперты, — это целевой характер кибератак на крупные компании, а также участие в них различных по специализации группировок, каждая из которых выполняет свои задачи:

• сбор информации;
• проведение фишинговых кампаний для кражи учётных данных;
• проведение фишинговых кампаний для загрузки в сеть жертвы вредоносного ПО;
• сбор конфиденциальных данных внутри сети компании, их кража и шифрование;
• переговоры о получении выкупа и распределение полученных средств.

Учитывая суммы выкупов, которые получают вымогатели, к подготовке очередной кибератаки они могут привлечь самые дорогие команды.

Неграмотные и нетренированные сотрудники чрезвычайно уязвимы к атакам с использованием продвинутой социальной инженерии. А это значит, что для защиты необходимо вложиться в формирование корпоративной киберкультуры и выработки у людей навыков безопасного поведения.

Но каким образом можно повысить уровень защищённости сотрудников и снизить вероятность успеха кибератак, построив human firewall?

ШАГ 1. ЗНАНИЯ

Стандартная для компаний практика после инцидентов кибербезопасности — обновление парка технических средств и проведение дополнительного обучения, информирования сотрудников. Некоторые организации приглашают экспертов для проведения тренингов по кибербезопасности, но чаще всё сводится к обучению с помощью электронного курса соответствующей тематики, например курса по безопасной работе с почтой или базового курса по информационной безопасности.

Окончив курс о безопасности электронной почты, сотрудники в лучшем случае будут знать, как действуют мошенники, в идеальном — по каким признакам можно отличить фишинговые письма от настоящих и как правильно действовать в случае, если обнаружена атака.

Для проверки знаний курс содержит итоговый тест, по результатам которого можно определить степень усвоения материала и при необходимости назначить дополнительное обучение.

Однако успешное прохождение итогового теста не означает, что полученные знания найдут применение в ходе реальных инцидентов. Проведённое компанией «Антифишинг» исследование поведения 20 тыс. пользователей различных организаций выявило интересный момент: после прохождения самых разных курсов навыки сотрудников улучшались лишь у 9% сотрудников.

Этот эффект хорошо знаком всем, кто сдавал экзамены в институтах: буквально через неделю после сессии даже у отличников в голове мало что остаётся.

Ещё одна яркая иллюстрация того, что знаний недостаточно для безопасного поведения, — недавний инцидент с генералом МВД, который перечислил телефонным мошенникам более 600 тыс. рублей. Крайне маловероятно, что высокопоставленный силовик не знал о подобных преступлениях, однако в реальной ситуации знания просто не сработали.

Важно, чтобы знания стали умениями и навыками, то есть чтобы сотрудники научились совершать осмысленные действия на базе полученных знаний.

ШАГ 2. УМЕНИЯ И НАВЫКИ

Единственный способ превратить полученные знания в умения и навыки — их отработка на практике. Пример — получение водительского удостоверения. Чтобы стать водителем, необходимо не только сдать теоретический экзамен, но и пройти практический курс вождения. И никого это не удивляет, ведь автомобиль — средство повышенной опасности.

В случае с навыками в сфере информационной безопасности о практической стороне подготовки почему-то вспоминают значительно реже, хотя, как показывают те же инциденты с JBS и Colonial Pipeline, последствия небезопасных действий неподготовленных сотрудников могут быть крайне разрушительными.

Чтобы научить сотрудников правильно распознавать кибератаки и реагировать на них, нужно поместить их в условия, максимально приближённые к реальным. Сделать это своими силами сложно. Для имитации тактик мошенников требуется серьёзная подготовка, как техническая, так и психологическая, методическая и организационная.

Решить проблему с подготовкой имитированных атак можно путём использования специализированных платформ.

Рисунок 1. Редактор имитированной атаки платформы «Антифишинг»

Рисунок 2. Финальная страница с объяснением неправильных действий пользователя во время имитированной атаки

По данным исследования «Антифишинга», формирование навыков с помощью регулярных имитированных атак приводит к тому, что безопасное поведение вырабатывается уже у 49% сотрудников.

ШАГ 3. ПРИВЫЧКА

Если навык можно рассматривать как целенаправленное автоматическое действие в знакомой ситуации, то привычка предполагает, что оно не просто становится автоматическим, а превращается в потребность. Другими словами, пользователь, получивший фишинговое письмо, не только распознаёт его как мошенническое, не только не совершает небезопасных действий, но и ощущает потребность немедленно «отработать» атаку, уведомив ИБ-подразделение.

Для формирования привычки важно, чтобы между желанием и реализацией не было препятствий. В платформе «Антифишинг» эта задача решена с помощью плагина для MS Outlook, с помощью которого пользователь может сообщить об атаке в один клик (рис. 3).

Рисунок 3. Интерфейс плагина «Антифишинга» для MS Outlook

Плагин умеет различать имитированные атаки и не пересылает их на анализ в службу безопасности.

Если же сотрудник выявит реальную атаку, копия письма со всеми заголовками и содержимым будет отправлена на адрес службы безопасности и переместится в папку нежелательной почты в почтовом ящике сотрудника.

Кроме того, сотрудник может дополнительно разметить атаку по психологическим векторам и атрибуции. Положительная обратная связь, предоставляемая плагином, способствует быстрому превращению навыка распознавания атак в привычку.

Благодаря плагину «Антифишинга» ИБ-служба получает максимально актуальный внутренний поток данных об угрозах (Threat Intelligence-фид), который генерируется сотрудниками. Его можно использовать для быстрого реагирования и блокировки активных цифровых атак (рис. 4).

Рисунок 4. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC

По сути, это и есть Humanfire wall в действии:

• Тренированные сотрудники выявляют цифровую атаку.
• Статистика об этих безопасных и корректных действиях сохраняется в «Антифишинге».
• Исходные данные направляются для анализа в корпоративный центр мониторинга и реагирования на инциденты (Security Operations Center, SOC).
• Аналитики проводят расследование и извлекают собственные индикаторы компрометации (IoC).
• SOC блокирует атаки по выявленным IoC на технических средствах защиты до того, как информация об этих IoC станет доступна во внешних фидах.

Таким образом, удобный для пользователей, основанный на привычках процесс выявления атаки и отправки оповещения повышает эффективность работы ИБ-подразделения, создавая тот самый дополнительный уровень защиты.

ПОСТРОЕНИЕ HUMAN FIREWALL: ГЛАВНОЕ

Обучающие курсы, дайджесты, буклеты — важные способы повысить осведомлённость, но они могут дать сотрудникам только знания.

В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).

В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.

1. В начале времён: пакетные фильтры

Изначально термин firewall (брандмауэр, экран) обозначал сетевой фильтр, который ставится между доверенной внутренней сетью и внешним Интернетом (отсюда прилагательное «межсетевой»). Этот фильтр был призван блокировать подозрительные сетевые пакеты на основе критериев низких уровней модели OSI: на сетевом и канальном уровнях. Иными словами, фильтр учитывал только IP адреса источника и назначения, флаг фрагментации, номера портов.

В дальнейшем возможности расширились до шлюзов сеансового уровня, или фильтров контроля состояния канала (stateful firewall). Эти межсетевые экраны второго поколения повысили качество и производительность фильтрации за счет контроля принадлежности пакетов к активным TCP-сессиям.

К сожалению, подобная система защиты практически бесполезна против современных кибер-угроз, где более 80% атак используют уязвимости приложений, а не уязвимости сетевой архитектуры и сервисов. Хуже того: блокирование определенных портов, адресов или протоколов (основной способ работы межсетевых экранов) может вырубить вполне легитимные приложения. Это значит, что защитная система должна проводить более глубокий анализ содержания пакетов — то есть лучше «понимать» работу приложений.

2. Системы обнаружения/предотвращения вторжений (IDS/IPS)

Следующим поколением защитных экранов стали системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны изучать в TCP-пакетах поле данных и осуществлять инспекцию на уровне приложения по определённым сигнатурам. Системы IDS приспособлены к тому, чтобы выявлять атаки не только снаружи, но и внутри сети за счет прослушивания SPAN-порта коммутатора.

Параллельно для борьбы с распространением вирусов появляются прокси-серверы, а для решения задач балансировки нагрузки — обратные прокси-серверы. Они отличаются технически, но главное, что и те, и другие полноценно работают на уровне приложения: открывается два TCP соединения от прокси к клиенту и от прокси к серверу, анализ трафика ведётся исключительно на уровне приложения.

3. Всё в кучу: NGFW/UTM

Следующим шагом эволюции систем обнаружения вторжений стало появление устройств класса UTM (unified threat management, система единого управления угрозами) и NGFW (next generation firewall, экраны нового поколения).

Системы UTM отличаются от NGFW лишь маркетингом, при этом их функционал практически совпадает. Оба класса программных продуктов явились попыткой объединить функции различных продуктов (антивирус, IDS/IPS, пакетный фильтр, VPN-шлюз, маршрутизатор, балансировщик и др.) в одном устройстве. В тоже время, обнаружение атак в устройствах UTM/NGFW нередко осуществляется на старой технологической базе, при помощи упомянутых выше препроцессоров.

Специфика веб-приложений предполагает, что за один сеанс работы пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) идентификатор сессии. Это приводит к тому, что для аккуратной защиты веб-трафика необходима платформа на основе полнофункционального реверс-прокси-сервера.

Но разница в технологической платформе — не единственное, что отличает защиту веб-приложений.

4. Защита Веба: что должен уметь WAF

Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются: по нашим оценкам, в 2014 году 60% атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств.

WAF	IPS	NGFW/UTM
Multiprotocol Security	-	+	+
IP Reputation	±	±	±
Сигнатуры атак	+	±	±
Автоматическое обучение, поведенческий анализ	+	-	-
Защита пользователей	+	-	-
Сканер уязвимостей	+	-	-
Виртуальный патчинг	+	-	-
Корреляции, цепочки атак	+	-	-

Теперь подробнее о том, что означают все эти пункты:

Multiprotocol Security

Кроме того, продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных приложений. В частности, это позволяет противодействовать большинству методов обхода защитного экрана (HPC, HPP, Verb Tampering и др).

IP Reputation

Технология IP-Reputation опирается на внешние чёрные и белые списки ресурсов, и одинаково доступна любым периметровым средствам защиты. Но ценность этого метода несколько преувеличена. Так, в практике наших специалистов случались ситуации, когда крупные новостные агентства в силу своих уязвимостей месяцами раздавали malware пользователям, и при этом не попадали в чёрные списки. К сожалению, вектора проникновения вредоносного ПО очень разнообразны, и в наши дни источником заражения для пользователей могут быть даже сайты органов государственной власти. А возможна и обратная проблема, когда по IP блокируются «невиновные» ресурсы.

Сигнатуры атак

Сигнатурный подход к обнаружению атак применяется повсюду, но только грамотный препроцессинг трафика, доступный для WAF, может обеспечить адекватное применение сигнатур. Недостатки препроцессинга приводят к излишней «монструозности» сигнатур атак: администраторы не могут разобраться в сложнейших регулярных выражениях, весь смысл которых в том, что их авторы, например, всего лишь пытались учитывать возможность передачи параметра как открытым текстом, так и в форме шестнадцатеричного кода с процентом.

Автоматическое обучение и поведенческий анализ

Для атак на веб-приложения злоумышленники активно используют уязвимости нулевого дня (0-day), что делает бесполезными сигнатурные методы анализа. Вместо этого нужно анализировать сетевой трафик и системные журналы для создания модели нормального функционирования приложения, и на основе этой модели выявлять аномальное поведение системы. WAF в силу своей архитектуры может разобрать весь сеанс связи пользователя, и потому способен на более углубленный поведенческий анализ, чем NGFW. В частности, это позволяет выявлять атаки с использованием автоматических средств (сканирование, подбор паролей, DDoS, фрод, вовлечение в ботнеты).

Однако в большинстве случаев обучение поведенческой модели состоит в том, что операторы откуда-то берут «белый трафик» и «скармливают» его средству защиты. Но после сдачи в эксплуатацию поведение пользователей может меняться: программисты дописывают интерфейс по скорректированному техническому заданию, дизайнеры «добавляют красоты», рекламные кампании меняют направление внимания. Нельзя раз и навсегда составить схему поведения «правильного» посетителя. При этом обучаться на реальном, «сером» трафике могут только единицы программных продуктов — и это только WAF’ы.

Защита пользователей

Периметровое оборудование, обсуждаемое в настоящей статье, предназначено для защиты серверов с веб-приложениями. Однако существует класс атак (например, CSRF) направленных на клиента веб-приложения. Поскольку трафик атаки не проходит через защитный периметр, на первый взгляд защитить пользователя оказывается невозможно.

Рассмотрим следующий сценарий атаки: пользователь заходит на сайт банка, проходит там аутентификацию, и после этого в другой вкладке браузера открывает зараженный ресурс. JavaScript, загрузившийся в другом окне, может сделать запрос на перевод денег втайне от пользователя, а браузер при этом подставит все необходимые аутентификационные параметры для осуществления финансовой транзакции, так как сеанс связи пользователя с банком ещё не окончился. В описанной ситуации налицо слабости в алгоритме аутентификации в банковском ПО. Если бы для каждой формы, содержащейся на странице сайта, генерировался уникальный токен, проблемы бы не было.

К сожалению, разработчики ПО практически никогда так не делают. Однако некоторые WAF могут самостоятельно внедрять подобную защиту в веб-формы и защищать, таким образом, клиента – а вернее, его запросы, данные, URL и cookie-файлы.

Взаимодействие со сканерами уязвимостей

На периметровое оборудование возлагается не только задача защиты веб-приложений, но и задача мониторинга атак. При этом грамотный мониторинг основан на понимании слабостей защищаемого ПО, что позволяет отсеять неактуальные попытки атак и выделить только те, которые касаются реальных уязвимостей, имеющихся в системе.

Лучшие образцы WAF имеют в своем распоряжении интегрированные сканеры уязвимостей, работающие в режиме чёрного ящика, или динамического анализа (DAST). Такой сканер может использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники.

Виртуальный патчинг

Даже известные уязвимости невозможно устранить сразу: исправление кода требует средств и времени, а зачастую и остановки важных бизнес-процессов; иногда в случае использования стороннего ПО исправление невозможно вообще. Для парирования таких «частных» угроз в системах IDS/IPS, а по наследству в UTM/NGFW, применяются пользовательские сигнатуры. Но проблема в том, что написание такой сигнатуры требует от пользователя глубокого понимания механизма атаки. В противном случае пользовательская сигнатура может не только «пропустить» угрозу, но и породить большое количество ложных срабатываний.

В наиболее современных WAF используется автоматизированный подход к виртуальному патчингу. Для этого используется анализатор исходных кодов приложения (SAST, IAST), который не просто показывает в отчёте строки уязвимого кода, но тут же генерирует эксплойт, то есть вызов с конкретными значениями для эксплуатации обнаруженной уязвимости. Эти эксплойты передаются в WAF для автоматического создания виртуальных патчей, которые обеспечивают немедленное «закрытие бреши» ещё до исправления кода.

Корреляции и цепочки атак

Традиционный межсетевой экран дает тысячи срабатываний на подозрительные события, в которых необходимо разбираться вручную, чтобы выявить реальную угрозу. Как отмечает Gartner, вендоры систем IPS вообще предпочитают отключить большинство сигнатур веб-приложений, чтобы снизить риск возникновения таких проблем.

Что дальше?

Понятно, что решения разных вендоров WAF всегда будут отличаться набором функций. Поэтому перечислим здесь лишь наиболее известные дополнительные фичи современных защитных экранов уровня приложений:

Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и хакерских атак. Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.

Что такое Брандмауэр (Файрвол) – значение, определение простыми словами.

Простыми словами, Брандмауэр (Фаервол) – это специальные защитные компьютерные программы, которые постоянно сканируют получаемые и отправляемые в интернет данные. Образно говоря, это виртуальные стены, которые защищают компьютер от опасностей интернета: вирусы, руткиты, шпионские программы, и тд. Хотя стоит отметить, что брандмауэр не является единственным или самым надежным источником защиты вашего компьютера. Как правило, для обеспечения наибольшей безопасности, брандмауэр (Файрвол), всегда работает в связке с антивирусом и анти-шпионским программным обеспечением.

В большинстве случаев, брандмауэр устанавливается непосредственно на рабочую машину (ПК), но иногда, как в случаях с различными офисами, где присутствует много компьютеров, файрвол ставится в виде физического устройства ( но об этом позже ). Пользователям операционной системы Windows, нет нужды устанавливать брандмауэр самостоятельно ( отдельно ), так как в ОС изначально присутствует собственный — Брандмауэр Windows .

Брандмауэр – как это работает, простыми словами.

Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую ​​как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран ( файрвол ), где в зависимости от установленных параметров, данные будут пропущены или остановлены.

Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам. Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.

Что такое Аппаратный брандмауэр и способы защиты сети?

Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.

Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.

Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.

Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный IP-адрес для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве прокси сервера. Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.

Основные проблемы с брандмауэрами.

Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми, так как фаервол, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами.

Читайте также:

  
• Как подключить видеорегистратор мио к компьютеру
  
• Игры где нужен графический планшет
  
• Как смотреть кинопаб на компьютере
  
• Кто сформулировал и описал общие принципы функционирования компьютеров
  
• Как считать граф из файла