Czy firewalle są wciąż niezbędne do zabezpieczenia firmowej sieci? Jak zabezpieczyć firmę przed atakami zero-day? Z Michałem Jurczakiem, Product Managerem w Veracomp, rozmawiamy o walorach firewalli nowej generacji marki WatchGuard. Zapraszamy do lektury.
Z rozwiązań WatchGuard korzysta w Polsce około dwóch tysięcy klientów. Dlaczego przedsiębiorcy zaufali rozwiązaniom WatchGuard?
Michał Jurczak: Nasze rozwiązania szybko zyskują popularność, ponieważ rozwiązują aktualne problemy klientów. Zagrożenia w zakresie bezpieczeństwa sieciowego, na które jesteśmy dziś narażeni szybko ewoluują, a sami cyberprzestępcy używają coraz bardziej wymyślnych technik, by osiągnąć swoje cele. WatchGuard od lat konsekwentnie rozwija się w kierunku wykrywania nowych zagrożeń, dostosowując się do aktualnych potrzeb klientów. Jako jeden z pierwszych dostawców wprowadził do oferty inteligentne i zautomatyzowane systemy ochrony danych (Detection & Response), mechanizmy bezpieczeństwa oparte o uczenie maszynowe czy chmurowe rozwiązania uwierzytelniania wieloskładnikowego. Co ważne, misją firmy od zawsze było dostarczanie rozwiązań klasy korporacyjnej również dla małych i średnich przedsiębiorstw. Oferowane rozwiązania dobrze się skalują, a ich ceny nie są oderwane od rzeczywistości tego sektora rynku. Niezależne testy szanowanych w branży podmiotów jak np. NSS Labs, czy Miercom, pokazały liczne przewagi technologiczne nad konkurencją. Dzięki temu producent był wielokrotnie nagradzany przez międzynarodową społeczność i cieszy się dużą, wciąż rosnącą popularnością na całym świecie.
Czy obecnie firewall/UTM są niezbędne do zabezpieczenia firmowej sieci? W jakich firmach sprawdzą się te rozwiązania?
Firewalle nowej generacji i UTM-y wciąż są najchętniej wybieranym zabezpieczeniem brzegu firmowej sieci. Wynika to z faktu, że przy okazji jednej platformy sprzętowej możemy zwiększyć bezpieczeństwo na co najmniej kilku płaszczyznach. Dzisiaj prawie każdy dostępny na rynku produkt oferuje podstawowe usługi bezpieczeństwa takie jak zapora sieciowa, ochrona antywirusowa, zapobieganie wtargnięciom (IPS), filtrowanie adresów URL, kontrolę aplikacji czy ochronę przed spamem. To, co dodatkowo przemawia za tymi rozwiązaniami to również wygoda w zarządzaniu, która odbywa się z jednego miejsca. Są to na tyle uniwersalne elementy, że sprawdzają się w zasadzie w każdej firmie czy instytucji, zwiększając poziom bezpieczeństwa pracujących tam użytkowników, a tym samym firmowych danych.
Obecnie 59% złośliwego oprogramowania to zero-day. Czy WatchGuard skutecznie zapobiega tego typu atakom?
Myślę, że bardzo skutecznie. Pojęciem „zero-day” określana jest świeżo zidentyfikowana luka bezpieczeństwa w oprogramowaniu, o której istnieniu wcześniej nie wiedział producent, a więc miał zero dni na przygotowanie łatającej ją poprawki. Takie zagrożenia są niezwykle skuteczne, ponieważ wspomniane przy okazji poprzedniego pytania usługi bezpieczeństwa bazują na sygnaturach, a skoro zagrożenie było wcześniej nieznane, to nie ma sygnatur, które by przed nim chroniły. WatchGuard to platforma rozwijana pod kątem wykrywania nowych zagrożeń. Zdarzają się miesiące, w których ataki zero-day stanowią nawet 70% wszystkich zablokowanych podatności. Te dane pochodzą bezpośrednio z urządzeń WatchGuard z całego świata. Skuteczność naszych Fireboxów jest tak wysoka, bo oprócz podstawowych funkcji bezpieczeństwa, zapewniamy również zaawansowaną ochronę. Można powiedzieć, że każde zagrożenie przechodzące przez UTM ma kilka stopni do pokonania. Dla przykładu, któryś z użytkowników w sieci firmowej pobiera z Internetu plik PDF. Rozwiązanie najpierw sprawdza, czy ruch nie pochodzi z listy niebezpiecznych adresów URL, potem jest skanowane sygnaturowym i behawioralnym silnikiem antywirusowym, następnie wpada w moduł InteligentAV, który sprawdza przy wykorzystaniu sztucznej inteligencji i metod uczenia maszynowego, czy dany plik na pewno jest PDF-em i czy nie zawiera niebezpiecznych danych. Jeśli nadal żadne zagrożenie nie zostało rozpoznane plik może jeszcze trafić do komory detonacyjnej, czyli sandboxa, gdzie zostanie uruchomiony w kilku różnych środowiskach i systemach operacyjnych. Dopiero po przebyciu takiej drogi trafia do użytkownika. Ale na tym nie kończy się jeszcze nasze bezpieczeństwo, gdyż razem z UTM-em dostarczamy również rozwiązanie Threat Detection & Response, które pilnuje bezpieczeństwa na stacjach końcowych użytkowników i automatycznie podejmuje wszelkie akcje naprawcze w razie wykrycia zagrożenia, np. ransomware. Warto tutaj dodać, że platforma jest tak zaprojektowana, że przy całym opisanym wyżej procesie zachowuje bardzo wysoką wydajność pracy, również przy analizie ruchu szyfrowanego, co pokazują różne zewnętrzne testy.
Jak przebiega wdrożenie WatchGuard?
Mamy tutaj kilka możliwości, ale chyba najbardziej komfortową opcją jest użycie RapidDeploy. Jest to wydajne, oparte na chmurze narzędzie do wdrażania i konfiguracji, które jest standardowo dołączane do urządzeń WatchGuard Firebox. Wdrożenie polega na tym, że plik konfiguracyjny przygotowujemy wcześniej i wgrywamy na specjalnie przygotowany i zabezpieczony serwer. Klient po prostu podłącza urządzenie do prądu i do Internetu, a ono pobiera sobie ten plik. Nie ma znaczenia czy wdrażamy zabezpieczenia w wielu lokalizacjach, czy oferujemy SD-WAN jako dostawca usług MSSP, w każdy przypadku możemy pominąć wysyłanie administratorów na miejsce w celu konfiguracji urządzeń.
Czy to prawda, że firewalle WatchGuard skonfigurujemy za pomocą iPhone'a? Czy łatwość obsługi to jedyny wyróżnik rozwiązań WatchGuard na rynku?
Oczywiście jest taka możliwość, jednak większość naszych Partnerów i Klientów wybiera dedykowane i darmowe narzędzie do konfiguracji naszych urządzeń, czyli WatchGuard System Managera. Cieszy się on dużą popularnością, ponieważ pozwala przygotować pliki konfiguracyjne, również w trybie offline i dopiero potem wysłać je na urządzenie. Produkty łączą zaawansowane bezpieczeństwo z łatwością obsługi i jest to wyróżnik, chociaż na pewno niejedyny 😊
Jeśli miałbym wymienić tylko kilka innych mocnych stron tych produktów to bez zbytniego rozpisywania się byłyby to: zaawansowana ochrona przed zagrożeniami typu zero-day i phishingiem (TDR, IntelligentAV, DNSWatch), największa wydajność UTM-a w danym przedziale cenowym czy darmowa analityka i raportowanie w cenie każdego Fireboxa, ale jest tego dużo więcej 😊
Czy WatchGuard umożliwia rozbudowę systemów wraz z rozwojem firmy i wzrostem potrzeb w zakresie bezpieczeństwa?
Tak, WatchGuard bardzo dobrze się skaluje, pojedyncze urządzenia UTM świetnie się sprawdzają od 5 do 7500 użytkowników, a liczne programy i promocje pozwalają łatwo i tanio „przeskoczyć” na wyższe modele. Możemy też rozszerzyć bezpieczeństwo na sieci bezprzewodowe, w ofercie mamy punkty dostępowe, które nie dość, że zapewniają bezprzewodowy dostęp do sieci to jeszcze automatycznie chronią ją przed różnego rodzaju zagrożeniami, jak np. „Evil Twin” czy „wrogi AP”. Co ważne nie trzeba wymieniać już istniejącej infrastruktury, wystarczy dołożyć jeden AP na 3-4 już posiadane, po to, by zapewnić im bezpieczeństwo. Kontroler zlokalizowany jest w chmurze co pozwala w niezwykle prosty sposób dodawać nowe punkty dostępowe i zarządzać już istniejącymi. Warto też wspomnieć o niezwykle szybko rozwijającej się gałęzi rynku, jaką jest uwierzytelnianie wieloskładnikowe (MFA) – to dziś najłatwiejsze i najbardziej przystępne cenowo rozwiązanie zmniejszające ryzyko kradzieży danych; albo systemach EDR i innych zaawansowanych zabezpieczeniach urządzeń końcowych, które producent również posiada w portfolio.
Czy urządzenia WatchGuard mogą współpracować z konkurencyjnymi urządzeniami typu firewall/UTM, które klient dotychczas wykorzystywał w swojej organizacji?
Oczywiście, że tak – w wielu przypadkach jest to wręcz wskazane. Homogeniczne środowisko bardziej narażone jest na ataki mogące wykorzystać nieznane luki w jego oprogramowaniu. WatchGuard stawia na różnorodność i rozwój całego „ekosystemu”, nie tylko NGFW/UTM. Na portalu producenta w dziale Technology Partners można znaleźć gotowe integracje z wieloma popularnymi na rynku rozwiązaniami jak np. Fortinet, BlackBerry (dawniej: BlackBerry ), WithSecure (dawniej F-Secure), Wallix i wiele, wiele innych. To wszystko w łatwy, szybki i bezbolesny sposób pozwala zintegrować WatchGuarda z już istniejącą infrastrukturą sieciową.
