Fortinet: Традиционные подходы к информационной безопасности уже неактуальны
Методы киберпреступников меняются, и для эффективной защиты требуются новые подходы, которые позволяют не только создавать комплексную, глубокоэшелонированную защиту, но и проводить расследования инцидентов, чтобы не допустить их повторения. Подробно об актуальных инструментах ИБ в интервью CNews рассказал глава представительства Fortinet в России Михаил Родионов.Для противодействия таким вторжениям разработано решение из трех основных компонентов. Во-первых, это, конечно, межсетевые экраны FortiGate. Во-вторых, это защита почты – антиспам-система FortiMail, объединенную с «песочницей» FortiSandbox, в которой проверяется поведение всех непонятных файлов, как правило это подозрительные вложения. Проверяется и адрес источника – не «засветился» ли он в списке адресов, с которых шли атаки. И третий компонент – программное обеспечение FortiClient, которое устанавливается для защиты рабочих станций и мобильных устройств пользователей и включает антивирус, механизм URL-фильтрации, встроенный VPN и механизм взаимодействия с «песочницей» для проверки подозрительных файлов. В комплексе эта концепция позволяет большинству компаний не беспокоиться по поводу таргетированных атак.
CNews: Что отличает «Фабрику безопасности» от традиционных решений?
Михаил Родионов: «Фабрика безопасности Fortinet» включает множество решений, которые Fortinet развивала много лет. Это вышеописанные системы – FortiGate, FortiMail, FortiSandbox, и FortiClient. Кроме них, сеть могут защищать web-application firewall для защиты веб-серверов, Internal Segmentation Firewall и целый ряд других систем.
предоставить решения для ИБ такого уровня
Что еще изменилось с переходом к концепции «фабрики безопасности»? Раньше эти решения были относительно разрозненными. Сейчас же они интегрированы друг с другом и представляют собой единое целое. Например, установив межсетевой экран FortiGate, администратор может перенаправлять трафик сразу на другое наше решение, которое этот трафик будет обрабатывать. Если это почтовый трафик, то он пойдет на почтовую систему, если веб-трафик, то им займется web-application firewall. Подозрительные файлы отправляются в «песочницу». То есть все эти элементы начинают работать друг с другом и действительно превращаются в «фабрику», создавая непрерывную сегментацию, поскольку у нас есть решения для каждого сегмента сети.
Такого не предлагает больше ни одна компания на нашем рынке информационной безопасности. Мы видим, что многие другие поставщики сконцентрировали свои усилия на межсетевом экранировании, а часть тех продуктов, которые есть у нас, у них отсутствует: web-application firewall или защита от DDoS есть далеко не у всех, а эти элементы необходимы для обеспечения непрерывности бизнеса.
Еще один важный аспект заключается в том, что весь наш спектр средств защиты поставляется одним производителем. Это означает, во-первых, что заказчик получает наивысший уровень защищенности, потому что все элементы «фабрики» взаимодействуют между собой и образуют непрерывную систему защиты. Во-вторых, значительно облегчается внедрение правил и политик безопасности, и они становятся унифицированными для всей компании. А если бы мы делали систему безопасности разрозненную, из решений разных поставщиков, то этот подход, очевидно, не позволил бы нам добиться единого уровня безопасности для всей компании.
Здесь необходимо остановиться на таком аспекте, как удобство использования. Возьмем FortiGate как основной продукт компании. Ключевыми показателями любого межсетевого экрана являются производительность, эффективность и удобство управления. Высокую производительность наших решений мы обеспечиваем в том числе за счет аппаратных ускорителей, которые оценили многие наши заказчики. Если говорить об эффективности, то последние исследования Gartner и NSS Labs показывают, что Fortinet обеспечивает наивысший уровень безопасности с помощью своих решений. И, наконец, третий элемент – интерфейс – не менее важен. Мы уже видели в истории ИБ, как решения, обладающие прекрасной функциональностью, не смогли выйти на рынок, потому что у них было неудобное и нелогичное управление. А в нашем случае новая операционная система FortiOS 5.4 обзавелась еще более понятным графическим интерфейсом, в котором можно разобраться, имея минимальную подготовку для работы с нашим оборудованием.
CNews: Если какой-то бизнес всерьез заинтересует киберпреступников, они найдут способ проникнуть за защиту, если, конечно, будут обладать соответствующими ресурсами. Что делать, когда вторжение состоялось?
Михаил Родионов: Действительно, компания может уделять самое серьезное внимание вопросам информационной безопасности и благодаря этому избегать многих проблем, но однажды все-таки стать жертвой злоумышленников. И обычно происходит это не потому, что преступники придумали какие-то новые суперэффективные инструменты, а просто потому, что по отношению к ее сотрудникам использовали методы социальной инженерии, то есть добивались от них нужных хакерам действий.
Недавно я присутствовал на семинаре, организованном нашим партнером, в ходе которого руководству одной компании был предложен эксперимент: партнер обещал взломать ее систему ИБ уже до конца семинара. И это было произведено буквально в течение 1,5 часов как раз с помощью методов социальной инженерии.
Для того чтобы расследовать произошедший инцидент, сделать корреляцию связанных с ним событий и разобраться в ситуации, необходимы уже другие механизмы, отличающиеся от тех, про которые мы говорили выше. Это работа для системы класса SIEM. Наше решение называется FortiSIEM, и оно применяется как раз для того, чтобы собрать информацию о событии, проследить весь путь вредоносного кода и помочь предотвращать инциденты.
FortiSIEM может автоматически строить топологию сети компании и работать на больших сетях – она масштабируется в большом диапазоне и способна обрабатывать до одного миллиона событий в секунду – это очень высокий показатель для таких систем. В FortiSIEM внедрены мощные механизмы корреляции и анализа логов, которые развивались компанией AccelOps и хорошо зарекомендовали себя в реальных условиях.
Мы сейчас добавляем FortiSIEM в состав нашей «Фабрики безопасности Fortinet» в качестве одного из ключевых элементов, что позволит нам значительно усилить свои позиции на рынке информационной безопасности.
CNews: Насколько сложен FortiSIEM во внедрении?
Михаил Родионов: Разработчики уделили большое внимание тому, чтобы минимизировать время внедрения, и они создали инструмент Network Auto Discovery, который упрощает настройку системы. За примерами не надо далеко ходить: некоторые российские банки развернут FortiSIEM уже до конца года в «боевом» режиме, при том, что продавать эту систему мы начали только в сентябре. Это говорит о том, что решение действительно адаптировано к быстрому разворачиванию на сетях заказчиков, и о том, что российский рынок заинтересован в решениях, которые мы предлагаем.