Check Point eXperience 2014: программно-определяемая защита

Ежегодная конференция Check Point на этот раз собрала около 1700 участников, которые прибыли в Барселону со всего Старого Света. Пожалуй, самым важным объявлением, сделанным на этом событии, стала новая концепция построения программно-определяемых систем безопасности.

«Этот опасный, опасный, опасный мир»

Вместе со стремительным расширением киберпространства нарастает и поток вредоносов. Причем, по мере того как к Интернету подключается все больше мобильных пользователей, становится все сложнее обеспечивать безопасность в организациях. Что уж говорить о грядущей эре «Интернета вещей» (IoT — Internet of Things), когда выход в онлайн получат следующие миллиарды клиентских устройств. И ладно бы речь шла о банальных чайниках, хотя, конечно, и с помощью взлома такого электроприбора можно устроить его владельцу массу неприятностей. Но «умные сети» уже начинают обслуживать системы энергоснабжения. А значит, прорыв их обороны чреват весьма серьезными последствиями для инфраструктур если не государств, то отдельных районов или даже городов. Так, по оценкам, представленным в докладе Гила Шведа (Gil Shwed), CEO и основателя компании Check Point, с 2012 по 2013 гг. был зафиксирован рост числа вредоносов с 98000 до 187000. А одним из самых нашумевших в последнее время стал инцидент с заражением кассовых аппаратов в крупной розничной сети в США. Причем, 75% атак выполняются в автоматизированном режиме. Важен и человеческий фактор, так как из обследованных специалистами по безопасности 9240 организаций в 84% были выявлены факты загрузки пользователями файлов с вредоносным кодом. Все эти факты говорят о том, что задача обеспечения безопасности не только не теряет своей актуальности, но и постоянно усложняется, требуя все новых интеллектуальных ресурсов.

Гил Швед: «Использование ThreatCloud IntelliStore позволяет гибко и эффективно настроить систему безопасности с учетом особенностей уже имеющейся инфраструктуры и существующих корпоративных политик безопасности»

По мнению экспертов Check Point, для минимизации угроз для ИТ-системы необходима многоуровневая защита, которая поддерживает анализ всех факторов в реальном масштабе времени и охватывает как локальную сеть и хранилища данных, так и мобильных пользователей. И в связи с тем, что ныне существующие архитектуры систем безопасности не в состоянии на должном уровне справиться с защитой ИТ-инфраструктур от нарастающего потока угроз, на конференции Check Point eXperience 2014 (CPX 2014) было объявлено о новой концепции построения программно-определяемой защиты — Software Defined Protection. Давайте разберемся, в чем же ее суть.

«Найди то, не знаю что»

Новая концепция предусматривает трехуровневую схему организации системы безопасности, куда входят исполнительная часть (enforcement points), которая отвечает за блокирование угроз, уровень контроля (control layer), позволяющий в реальном времени реагировать на возникновение атак, и уровень управления (management layer), обслуживающий всю ИТ-инфраструктуру.

Важной особенностью новой архитектуры, предложенной Check Point, является использование для интеллектуального выявления угроз в реальном времени «облака» ThreatCloud. Этот ресурс появился в активе Check Point два года назад и с тех пор постоянно пополняется сведениями об угрозах, выявляемых системами компании, которые эксплуатируются по всему миру. И отсюда обновления попадают на соответствующие программные блейды в составе всего решения.

Особое внимание руководитель Check Point обратил на необходимость использования многоуровневой защиты, так как современные атаки также являются многовекторными. Причем, не стоит обольщаться, будто даже самые передовые средства противодействия могут полностью защитить ИТ-систему. Потому что наряду с уже известными угрозами, всегда существуют новые, еще не успевшие попасть в базы данных средств обнаружения и противодействия: так называемые, «угрозы 1%». Хотя они и занимают не более 1% в общем числе атак, но их опасность заключается в том, что производители не только не имеют средств борьбы с ними, но и не могут их выявить. Подключившийся к презентации президент Check Point Амнон Бар-Лев (Amnon Bar-Lev) довольно образно дал классификацию типам угроз. В соответствии с ней они делятся на три категории: первая — это те, о которых мы знаем; ко второй относятся те, о которых мы знаем, что мы их не знаем; а в третьей — те, о которых мы не знаем, что мы их не знаем. Первые выявляются и блокируются с помощью антивирусов, брандмауэров и систем IPS. Вторые — это так называемые, атаки «нулевого дня» (zero day attack), с которыми призваны бороться технологии эмуляции угроз (threat emulation). И самые изощренные методы призваны выявлять и блокировать третий тип угроз. Они являются фирменными разработками и зачастую весьма специализованы, так как нацеливаются на какие-то отдельные сферы или типы приложений.

Амон Бар-Лев: «Сегментация ИТ-инфраструктуры — это новый периметр ее защиты, и мы продолжаем работать на этой «линии огня»»

Как видим, ключевой проблемой для систем защиты в реальном времени являются данные об уже выявленных угрозах и методы обнаружения еще не классифицированных. И для того, чтобы упростить доступ к разрозненной информации, необходимой для систем защиты, компания Check Point запустила ThreatCloud IntelliStore — магазин данных о киберугрозах, который позволит организациям выбирать источники данных для автоматического предотвращения кибератак. Он базируется на ThreatCloud и дополняется решениями от партнеров, которые специализируются в различных областях безопасности. При этом выбор и индивидуальная настройка источников данных об угрозах выполняются в соответствии с потребностями, географическим положением, отраслевой принадлежностью и типу защиты каждого конкретного предприятия. В результате, релевантная информация поступает из единого источника и может быть применена для реальной защиты и противодействия угрозам на шлюзах Check Point с учетом особенностей уже имеющейся инфраструктуры и существующих корпоративных политик безопасности.

На первом этапе в ThreatCloud IntelliStore появятся решения от семи партнеров Check Point: iSIGHT, CrowdStrike, IID, NetClean, PhishLabs, SenseCy, ThreatGRID. Среди них стоит отметить SenseCy, которая специализируется на решениях для финансового сектора и правительственных системах. Сфера интересов PhishLabs — фишинг, мошенничество и DDoS-атаки на банковские организации. А CrowdStrike фокусируется на продвинутых угрозах и целенаправленных взломах. Как сообщил глава Check Point на пресс-брифинге во время конференции CPX 2014, магазин ThreatCloud IntelliStore открыт для всех, желающих продвигать через этот канал свои решения. Причем, условия этого сотрудничества индивидуальны для каждого разработчика.

Коль уж мы заговорили о системах защиты, то стоит также отметить, что на CPX 2014 были представлены новые шлюзы Check Point семейства Smart-1, которые разработаны для защиты сетей крупных и средних компаний. Они обеспечивают централизованное управление всеми продуктами Check Point. С помощью консоли SmartDashboard администратор может задавать и менять политики безопасности (для межсетевых экранов, VPN, IPS, конечных точек сети и др.), отслеживать регистрационные записи, вести мониторинг активности в сетях и в отношении безопасности, просматривать отчеты по трендам на основе данной активности, а также централизованно проводить все обновления. Для резервирования системы, восстановления в аварийных ситуациях и соответствия нормативным стандартам, устройства Smart-1 обеспечивают до 12 ТБ интегрированной системы хранения, а также поддержку Storage Area Networks (SAN).

Поскольку в последнее время все больше пользователей корпоративных сетей становятся мобильными, на передний план выходит задача обеспечения защиты как их собственных устройств, так и ИТ-инфраструктуры предприятия в целом от угроз, которые поступают по каналам связи с этими терминалами. Check Point предлагает решить эту задачу в комплексе. Для этого необходимо выделить для бизнес-информации защищенный виртуальный контейнер на терминале, а все данные шифровать еще в источнике. Но при этом пользователь, находящийся за пределами периметра корпоративной защиты, все равно остается подвержен атакам, так как поступающий к нему трафик никак не фильтруется. Чтобы исключить такой канал поступления вредоносов, Check Point организовала «облачный» сервис анализа и фильтрации трафика с помощью собственных вычислительных ресурсов. Такой сервис является, конечно же, платным, но пока еще этот проект находится в начальной стадии развития. Суть схемы в том, что канал выхода в Интернет будет проходить через один из нескольких ЦОД компании, расположенных в разных частях света. Подключение мобильного терминала осуществляется к ближайшему, в зависимости от географического положения. В результате, весь трафик, поступающий на терминал, будет анализироваться в соответствии с корпоративными правилами и договором. Поэтому исчезнет возможность заражения мобильной системы.

Ставка на «облако» не означает отказ от партнеров

Мы обсудили сделанные на CPX 2014 объявления с Эйалом Манором (Eyal Manor), главой подразделения Security Product Management компании Check Point.

— Я посещаю довольно много компаний, где общаюсь со специалистами, которые заняты обеспечением безопасности. И поверьте, даже там, где штат подразделения, специализирующегося на защите ИТ-инфраструктуры, включает до 15 сотрудников, не может быть гарантии от вторжения. Что уже говорить о небольших организациях, не имеющих возможности позволить себе даже одного эксперта в этой области: настолько быстро увеличивается число и разнообразие атак. Поэтому мы поставили перед собой цель создать решение, которое бы позволяло защищать компании самого разного масштаба без привлечения дорогостоящих администраторов, но при этом было достаточно надежно.

Эйал Манор: «Ключевой особенностью нашего подхода является снижение капитальных затрат на создание системы защиты»

У вас есть масса конкурентов, которые заявляют о том, что являются лидерами в своих областях. Что вы им противопоставляете?

Действительно, современные системы защиты являются комплексными, так как включают и антивирусы, и межсетевые экраны , и системы предотвращения утечек данных и т.д. И каждый из этих компонентов может оказаться лучше у той или иной выпускающей его компании. Но Check Point отличает комплексный подход, что позволяет с помощью набора программных «блейдов» полностью закрыть все векторы атак. Сюда входят как традиционные антивирусы, способные по сигнатурам определять вредоносоное ПО, так и системы, следящие за исходящим из организации трафиком для выявления ботов. Есть у нас и решения для борьбы со взломами, где применяется технология «песочницы»: каждый загруженный из Интернета файл помещается в специально выделенную зону для изучения его поведения. Мы считаем, что именно комплексный подход и обеспечивает наилучшую защиту.

На CPX 2014 был объявлен «облачный» магазин, который позволит без лишних усилий создавать специализированные системы защиты с учетом специфики компании. Означает ли это, что вы отказываетесь от работы через партнеров и выходите напрямую на заказчиков?

И речи не может идти ни о каком отказе от продвижения наших решений через партнеров. Новые системы защиты архитектуры SDP, как и прежде, будут создаваться интеграторами, ведь для этого необходима высокая квалификация и знание специфики местного рынка, а также подстройка под каждое конкретное предприятие. Использование «облака» ни в коем случае не говорит о желании выйти напрямую на клиентов, минуя партнеров. Просто в такой форме мы облегчаем последним доступ к более широкому спектру программных компонентов, которые можно установить на наши шлюзы в виде «блейдов». Общее же число наших VAR (Value Added Resellers) во всем мире превысило 5 тыс. А их бизнес включает не только установку решения, но и его поддержку и обучение, так что продажи ПО далеко не единственный способ заработать с Check Point.

Одним из главных преимуществ «облачного» подхода представители Check Point называют снижение общей стоимости решения. Каким образом, в таком случае, компания будет получать прибыль?

Ключевой особенностью нашего подхода является снижение капитальных затрат на создание системы защиты. В отличие от конкурентов, которые продают достаточно дорого отдельные аппаратные платформы с предустановленными на них специализированными пакетами, мы предлагаем подход повременной оплаты услуг с минимальной стартовой ценой устройства. Скажем, если кто-то продает устройства лишь с функцией противодействия взлому, то на нашем шлюзе могут выполняться все «программные блейды», начиная с антивируса и заканчивая IPS и DLP. При этом, скажем, за функциональность «песочницы» в нашем «облаке» будет назначена ежемесячная плата порядка $500. А это вполне могут позволить себе и относительно небольшие компании со штатом порядка 100-200 человек. При этом, конечно же, есть возможность приобрести и мощные шлюзы, которые будут выполнять все задачи, используя собственные вычислительные ресурсы. Но и цена таких решений выше, и предназначены они для крупных корпораций. Поэтому мы стараемся охватить как можно более широкий круг заказчиков, предлагая каждому из них оптимальное по соотношению цены и производительности решение.

До встречи на CPX 2015!

В заключение рассказа о CPX 2014 поделюсь личными впечатлениями от этого события. Конференция проходит уже пятый год подряд. И если в 2012 г году она собрала около 600 участников, то в 2013 году их было 1200, а в нынешнем уже около 1700. Как видим, популярность мероприятия быстро растет. Кроме общего пленарного заседания, занявшего половину первого дня, программа CPX включила два потока, а также массу семинаров по отдельным направлениям. Участники получили возможность изучить решения в нескольких лабораториях, где были развернуты системы нового поколения. А на мини-выставке разместились стенды партнеров Check Point, которые знакомили со своими решениями. Довелось встретить участников конференции и из нашей страны.

На этот раз в зале барселонского Конгресс-центра во время общей сессии еще были свободные места, интересно, будут ли они на CPX 2015? Правда, организаторы не сообщали о том, где именно пройдет это событие. Но, судя по успеху нынешнего, менять место не стоит. Столица Каталонии с ее мягким морским климатом и уникальной архитектурой точно добавляет привлекательности и способствует росту аудитории участников Check Point eXperience.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365