В последний день весны в Киеве прошла конференция «Актуальные технологии информационной защиты бизнеса». Мероприятие, организованное компанией Brainkeeper, стало первым в Украине «выходом в люди» для Palo Alto Networks после начала ее работы на рынке СНГ в минувшем году.

Palo Alto Networks – достаточно молодая компания, она была основана в 2005 году в США специалистами по безопасности и инженерами, ранее работавшими в Net Screen, Juniper Networks, McAfee, Blue Coat и Cisco. В качестве своей цели команда поставила создание инновационного брандмауэра следующего поколения, отвечающего актуальным требованиям современной ИБ.

По оценкам Gartner компания Palo Alto является одним из лидеров отрасли, если судить по степени инновационности технологий. Ее продукты используются во многих странах, среди заказчиков известные HP, Toyota, BNP Paribas, Ebay, Bank of China и многие другие.

В своем выступлении региональный менеджер Palo Alto Networks в СНГ и EMEA Денис Пешнов объяснил, в чем именно заключаются особенности разработанных компанией продуктов. Дело в том, что большинство брандмауэров, как правило, идентифицируют приложение по используемому TCP-порту.  Например, FTP-клиент стандартно работает через порт 21, SSH — 22, MySQL — 3306, BitTorrent — 6969 и т. д. В свою очередь идентификация пользователей в сети осуществляется по IP-адресам. Однако современные приложения не всегда используют одни и те же порты, более того, некоторые программы динамически меняют номера портов во время коммуникационной сессии (так называемый port hopping). За пользователями сегодня вовсе не обязательно закреплен один и тот же IP-адрес. Ведь сотрудник компании работает не только в офисе, он может выполнять работу дома на ноутбуке или получать доступ к корпоративным данным с планшета.

Компания Palo Alto Networks исследовала поведение приложений и пользователей в более 340 организациях. Оказалось, что приложения веб 2.0, такие как Twitter, Facebook и Sharepoint, все чаще используются для персонального и бизнес-применения. Программное обеспечение данной категории нередко использует туннелирование и port hopping. Таким образом, несмотря на то, что практически каждая компания сегодня использует брандмауэр, большинство предприятий внедрили системы IPS, прокси-серверы и URL-фильтрацию, ни одна из них не в состоянии контролировать какие приложения запускаются в ее сети. Наиболее проблематично выявлять Skype – эта программа использует закрытый алгоритм шифрования и пока никому не удавалось проанализировать ее трафик. Даже идентификация и блокирование Skype в сети вызывают сложности.

Так каким же должен быть современный файрвол? По убеждению Дениса Пешнова, он должен идентифицировать приложения независимо от порта и протокола, определять пользователя вне зависимости от его IP-адреса, противостоять различным угрозам в режиме реального времени и при этом обладать высокой пропускной способностью.

В продуктах Palo Alto Networks интегрированы три ключевые проприетарные технологии, которые позволяют отвечать всем обозначенным требованиям: App-ID, User-ID и Content-ID. Первая отвечает за идентификацию почти тысячи различных приложений независимо от используемого порта, протокола, алгоритма шифрования и поведения. User-ID определяет пользователя, а Content-ID сканирует пересылаемый контент, выявляя вирусы, spyware и другие угрозы.

Спикер остановился и на линейке брандмауэров семейства PA-xxxx. Эти устройства, которые разрабатываются и производятся в США, используют собственную операционную систему PAN-OS и собственное проприетарное ПО.

Внедрением решений Palo Alto в нашей стране занимается компания Brainkeeper. Пока реальных проектов нет, но первых заказчиков ждут значительные скидки.