Основные сценарии применения NGFW | Блог Касперского

Разбираем ключевые свойства Next Generation Firewall и их применение в реальных организациях

Требования к ИБ непрерывно растут по мере цифровизации бизнеса, увеличения стоимости инцидентов и ужесточения регуляторики. Растет и сложность атак на организации. По данным сервиса Kaspersky Incident Response за 2024 год, в 39% расследованных инцидентов эксплуатировались уязвимости в публично доступных серверах компании, а треть атак использовали легитимные учетные данные для проникновения в организацию. Получив начальный доступ, злоумышленники часто стараются «не шуметь». Они не применяют вредоносное ПО, а ограничиваются легитимными сетевыми инструментами: средствами удаленного доступа (AnyDesk, SSH, RDP), утилитами туннелирования (Cloudflare, ngrok), системными службами (PsExec, PowerShell). Для скачивания дополнительных инструментов, выгрузки украденных данных и передачи команд также используются крупные легитимные сервисы — от Amazon S3 и Cloudflare до GitHub и Google Calendar, причем 87% трафика зашифровано.

Чтобы детектировать такие атаки и останавливать их развитие, в распоряжении команды ИБ должны быть современные инструменты, между которыми автоматизирован обмен информацией в реальном времени. Какие возможности будут ключевыми?

Расшифровка трафика и анализ на уровне приложений

Сам факт установки соединения с сервером мало что значит в условиях, когда подавляющее большинство веб-сервисов работает на хостинг-инфраструктуре крупных компаний (Amazon, Microsoft, Google, Cloudflare) и каждым из них так или иначе могут злоупотреблять атакующие.

Вот несколько примеров широко известных атак, в которых злоумышленники опираются на публичные сервисы для загрузки ВПО, С2 и кражи данных.

• Атака на цепочку поставок, в которой было скомпрометировано популярное офисное ПО для VoIP-телефонии 3CXDesktopApp, загружала необходимые компоненты с GitHub.
• Еще одна атака, в ходе которой злоумышленники использовали легитимное ПО виртуализации QEMU, чтобы создать на скомпрометированном хосте RDP-прокси для дальнейшего доступа к другому хосту внутренней сети в обход традиционного файрвола.
• Кампания EastWind с использованием бэкдора CloudSorcerer получает команды с публичных сервисов «Живой Журнал», Quora и Dropbox; также на Dropbox отправляются украденные файлы.
• Многочисленные атаки при помощи шифровальщика ALPHV BlackCat на организации из сферы здравоохранения, в которых для эксфильтрации данных использовались серверы Dropbox и Mega.nz.
• Кампания SERPENTINE#CLOUD, в которой которой загрузка ВПО ведется с серверов WebDAV через туннели Cloudflare — бесплатный сервис trycloudflare позволяет злоумышленникам раздавать любые файлы, не регистрируя хостинг и обходя обычные проверки хостинг-провайдеров.

Во всех этих сценариях базовые правила фильтрации и мониторинга будут малоинформативны: в сетевых логах видны обычные соединения с Cloudflare или Dropbox, на устройстве соединение устанавливает легитимный инструмент.

Чтобы распознать и остановить подобную атаку, межсетевой экран должен:

• расшифровать соединение;
• проанализировать, какому приложению или сервису соответствует трафик, при помощи технологии DPI (Deep Packet Inspection);
• просканировать трафик при помощи IDS/IDPS;
• по необходимости провести взаимодействие с другими компонентами защиты, например передать загружаемый файл в «песочницу»;
• по результатам анализа и вынесенного вердикта разрешить или оборвать соединение и предпринять другие нужные действия, вплоть до блокировки внутреннего хоста или внешнего сервиса.

Для традиционного межсетевого экрана все эти пункты — чистая фантастика, поэтому ИБ-системы, способные воплотить такую защиту, называют NGFW, Next Generation Firewall.

В Kaspersky NGFW, например, возможна классификация и расшифровка трафика TLS 1.3, а расшифрованный трафик анализирует собственный движок, совместимый с синтаксисом Suricata и снабженный более чем 7000 правил. В результате коэффициент обнаружения (detection rate) для сетевых угроз превышает 95%, по данным IXIA BreakingPoint, Strike Level 3 и 5.

Анализ трафика на лету при помощи IDS/IDPS и антивируса

Возможность детально анализировать трафик значительно снижает остроту проблемы с попытками атакующих эксплуатировать известные уязвимости. Все умные устройства в организации — принтер, IoT-камера, промышленное оборудование — зачастую снабжены полноценной ОС и имеют относительно широкие права доступа к сети. Поэтому эксплуатация уязвимостей в таких устройствах дает злоумышленникам удобный плацдарм для распространения атак. Применение NGFW позволяет идентифицировать сетевые эксплойты и оперативно на них реагировать.

Системы обнаружения и предотвращения вторжений в сочетании с глубокой инспекцией трафика очень важны также в сценариях, когда устройство по какой-либо причине не защищено агентом EDR/EPP.

В первую очередь это те же принтеры, камеры, а также сетевые устройства. На них невозможно поставить никакой агент защиты, а уязвимости в таких устройствах зачастую не устраняются годами. Если атакующие вооружились зиродеем, защитники смогут идентифицировать аномальный трафик после эксплуатации. Например, камера, которая всегда "стучалась" только в серверы производителя, начинает загружать файлы с Google Drive, или NAS начинает скачивать почту с сервера Exchange. NGFW поможет обнаружить попытки горизонтального перемещения, например сканирование внутренней сети, и оперативно изолировать пораженное устройство.

Например, в документированной Mandiant атаке UNC3524, злоумышленники развернули специализированный бэкдор QUIETEXIT на сетевых устройствах под управлением старых версий BSD и CentOS, а затем использовали их через SSH-туннель для обращения к Exchange-серверам атакованной организации. В этой атаке NGFW сначала могли бы предотвратить эксплуатацию известных уязвимостей, а затем — коммуникации с С2-серверами злоумышленников и, собственно, аномальную загрузку почты.

Эти возможности NGFW незаменимы, если в организации разрешено использование личных устройств. На BYOD-устройствах возможны работа ВПО, не разрешенных в организации приложений и сервисов, при этом на них почти гарантированно нет EDR-агентов. Компенсировать все это приходится именно на уровне сети. Но NGFW дает здесь большой арсенал. Это не только блокировка нежелательных соединений с известными доменами и адресами, но и предотвращение загрузки вредоносных файлов, поскольку антивирусный механизм может сканировать данные прямо в процессе их передачи на BYOD-устройство.

Кроме детектирования внешних угроз, с помощью NGFW можно блокировать поведение, нарушающее политики организации, например запрещать доступ в WhatsApp или работу с сервисами теневого ИТ. Один из самых популярных сценариев — блокирование сервисов файлообмена, не используемых в компании ("Яндекс Диск", OneDrive и прочие). Это значительно усиливает защиту как от внутренних нарушителей, так и от эксфильтрации данных атакующими.

Связь трафика и учетных записей

При анализе подозрительных событий и автоматическом реагировании важен контекст: приложение, из которого исходит трафик, и пользователь, от имени которого ведется активность.

Например, если с BYOD-устройства поступает трафик на известный управляющий сервер APT-группировки, нужно не только изолировать это устройство, но и временно заблокировать учетную запись пользователя, который с этого устройства аутентифицировался в корпоративных сервисах. Ведь злоумышленники, скорее всего, уже знают его учетные данные.

Иногда сам по себе трафик нельзя квалифицировать как вредоносный, но в сочетании с конкретным пользователем он является аномалией и требует расследования. Например, если пользователь из бухгалтерии обращается к серверам команды разработки или кто-то из адмистративно-хозяйственного управления начинает пользоваться сервисами RDP, как это бывает в атаках Akira ransomware.

Интеграция с XDR и другими системами защиты

В сложных атаках, особенно если злоумышленники используют только легитимные инструменты либо применяют уязвимости нулевого дня и специально адаптированное под жертву вредоносное ПО, единичный защитный инструмент может не видеть полной картины инцидента и только автоматическое взаимодействие нескольких инструментов поможет защитникам остановить атаку.

Например, атакующие заманили сотрудника на вредоносный веб-сайт, откуда он загрузил новое вредоносное ПО, еще не детектируемое антивирусными механизмами. В этом случае Kaspersky NGFW может параллельно отправить неизвестный загруженный файл в "песочницу" Kaspersky Anti-Targeted Attack Platform, где он будет запущен и где его вредоносное поведение будет детектировано. По результатам анализа KATA сообщит вердикт в NGFW и дальнейшие попытки загрузить этот файл уже будут заблокированы.

Поскольку оба компонента интегрированы с XDR-платформой Kaspersky Symphony с помощью Open Single Management Platform, это позволит коррелировать события в сети с событиями на устройствах. Если пользователь за это время успел запустить файл на своей машине, данные о запуске тоже будут отправлены EDR-агентом на платформу XDR, и по результатам срабатывания правил корреляции сработает плейбук автоматического реагирования. Без участия сотрудников SOC учетная запись пользователя будет заблокирована, а системе контроля доступа в сеть (NAC/Radius) будет отдана команда о переводе хоста в карантинную подсеть.

Интеграция с SIEM и XDR позволяет использовать подробные данные о сетевом трафике для анализа аномалий. Резкие всплески и падения трафика, нетипичные соединения хостов и странные сценарии работы учетных записей можно коррелировать и обнаружить таким образом даже очень изощренные атаки, такие как компрометация SolarWinds и операция "Триангуляция".

Входной порог

Хотя такие инструменты, как Kaspersky NGFW, приносят защитникам пользу и сами по себе, достичь наивысшего уровня защищенности позволяет именно совместная работа с решениями SIEM и XDR, инструментами защиты почтовой переписки и "песочницами". Для этого ИБ- и ИТ-командам потребуются значительные усилия. Нужно не просто установить виртуальное или физическое устройство, а создать масштабируемую отказоустойчивую конфигурацию, настроить связи и интеграции, правила корреляции, плейбуки реагирования. Подробно об опыте внедрения глазами сетевого инженера написано в посте на Хабре. В еще одном посте о пилотировании Kaspersky NGFW рассказывают эксперты из внутренней ИБ-команды "Лаборатории Касперского". Тут же приведем только общие выводы: усилия того стоят и масштабирование внедрения продолжается.

29.08.2025