Межсетевые экраны, или файрволы, с момента своего появления стали одним из ключевых инструментов в обеспечении кибербезопасности. Изначально их основная задача заключалась в фильтрации трафика, но с ростом киберугроз технологии значительно эволюционировали. Рассказываем, как файрволы изменялись, чтобы отвечать на вызовы современного цифрового мира.

Первые шаги: простые фильтры пакетов

На заре эпохи интернета файрволы выполняли функцию простого фильтра пакетов. Они проверяли заголовки сетевых пакетов, чтобы блокировать или разрешать трафик на основе IP-адресов, портов и протоколов.

Увы, без ошибок не обошлось: разработчики не учли полное отсутствие проверки содержимого трафика и уязвимость перед спуфингом или простой подделкой IP-адресов. Поэтому первые файрволы были недостаточно эффективными особенно против сложных атак, таких как вирусы или вредоносные программы.

Впрочем, в этом и был их замысел — девайсы должны были фильтровать пакеты для базовой маршрутизации, а не анализировать данные.

Динамическая проверка: stateful-фильтрация

В 90-х годах файрволы стали «умнее» с появлением технологий stateful inspection. Эти системы отслеживали состояния соединений, анализируя весь контекст трафика. Главные их преимущества заключилась в проверке не только исходных, но и входящих данных. Кроме того, такая технология позволяла блокировать подозрительные или несоответствующие запросы.

Прогресс был очевиден, но даже такие решения всё ещё были ограничены: они не могли анализировать содержимое пакетов или учитывать прикладной уровень. Со временем хакеры научились обходить и эту защиту. Стоит отметить, что stateful-фильтрация ограничена из-за фокуса на соединениях, а не на содержимом трафика, что делает её уязвимой для сложных атак, таких как межсегментные или прикладные угрозы.

Переход к уровню приложений: proxy-файрволы

С развитием веб-приложений появилась необходимость защищать более высокие уровни сетевого взаимодействия. Proxy-файрволы стали ответом на эту задачу. Ключевые особенности такого типа межсетевых экранов — полный анализ данных на уровне приложений и возможность фильтрации запросов на основе содержимого, а не только заголовков.

Само собой, и тут не обошлось без своих нюансов. В недостатки такой технологии можно включить низкую производительность при высоких нагрузках и ограниченную совместимость с некоторыми протоколами. Почему так? Всё связано с необходимостью перенаправления всего трафика через прокси-сервер, что увеличивает задержки и требует больше ресурсов.

Эпоха Unified Threat Management (UTM)

Появление концепции UTM ознаменовало новый этап эволюции. Файрволы объединили несколько функций в одном устройстве:

• Фильтрация трафика;
• Защита от вирусов и спама;
• Встроенные системы предотвращения атак (IPS).

Это шаг имел огромное значение для развития многоуровневой защиты, однако возможности UTM были также ограничены относительно современных угроз, таких как сложные APT-атаки, поэтому сетевым экспертам пришлось проработать и другие варианты. Кроме того, UTM-системы сильно зависят от масштабируемости аппаратной части, и их производительность может страдать при высоких нагрузках.

​NGFW: новая эра файрволов

Next-Generation Firewall (NGFW) появился как ответ на недостатки предыдущих технологий. Они сочетают в себе все плюсы всех предшествующих поколений брандмауэров, но при этом в них исключены основные минусы прошлых решений. Вдобавок они вобрали в себя механизмы Deep Packet Inspection (DPI), что позволило анализировать данные приложений и обнаруживать угрозы.

 Межсетевые экраны нового поколения предложили:  

• Глубокий анализ трафика — NGFW анализируют данные вплоть до уровня приложений, включая их содержимое и поведение;
• Гибкость настроек — устройства поддерживают создание уникальных политик для разных групп пользователей или приложений;
• Интеграцию с системами предотвращения атак (IPS) — что позволяет NGFW обнаруживать и блокировать попытки проникновения в сеть в режиме реального времени;
• Поддержку автоматизации NGFW — автоматическое реагирование на угрозы и регулярные обновления баз данных;
• Расширенную аналитику — отчёты всех систем о подозрительной активности и анализ рисков.

Современные вызовы: искусственный интеллект и облака

Сегодня NGFW продолжают активно развиваться. В борьбе с новыми угрозами активно используются технологии машинного обучения, которые помогают обнаруживать аномалии и адаптироваться к ранее неизвестным атакам.

Кроме того, важным направлением становится интеграция NGFW с облачными инфраструктурами, что позволяет обеспечивать безопасность в гибридных и мультиоблачных средах.

Что в итоге?

Эволюция файрволов — это путь от простых фильтров к многофункциональным NGFW, способным защищать сети от самых сложных угроз. NGFW стали незаменимым инструментом кибербезопасности, и их развитие продолжает задавать стандарты защиты в цифровом мире.

Заключенные в сеть угрозы сегодня представляют собой крупнейшую опасность для обычных пользователей, бизнеса, игровых серверов, онлайн-кинотеатров и даже государственных структур. Особенно выделяются DDoS-атаки (распределенные атаки отказа в обслуживании), которые порождают серьёзные проблемы для деятельности компаний во всех отраслях. Мы рассмотрим различные типы атак, свежую статистику и эффективные способы защиты с учетом специфики отраслей.

Что такое DDoS-атаки и почему они опасны

DDoS (Distributed Denial of Service) — это тип кибератаки, при которой злоумышленники стремятся сделать целевой сервер, сеть или услугу недоступными для пользователей, перегружая их пустыми запросами. Атаки проводятся с использованием ботнетов — сетей из тысяч или даже миллионов зараженных устройств, управляемых удалённо.

Последствия DDoS могут быть ощутимыми: например, интернет-магазин теряет часть выручки или рекламного бюджета (если пользователи с рекламных каналов не могли зайти на ресурс). Например, в 2023 году один из крупных ритейлеров потерял миллионы долларов из-за многодневной недоступности своего интернет-магазина, а финансовая организация оказалась под угрозой из-за утечки данных в результате атаки. Такие случаи демонстрируют, как критично обеспечить надежную защиту от подобных угроз.

Виды атак: разнообразие угроз

Объемные атаки. Такие атаки направлены на перегрузку канала связи жертвы, например, с помощью UDP-флуда или ICMP-флуда. Их цель – исчерпать пропускную способность.

Протокольные атаки. Такие атаки используют уязвимости сетевых протоколов. Примеры: SYN-флуд, Ping of Death, Smurf-атаки.

Атаки на уровне приложений. Эти угрозы нацелены на конкретные приложения: например, HTTP-флуд, который перегружает веб-серверы запросами.

Гибридные атаки. Злоумышленники комбинируют разные типы атак для достижения максимального разрушительного эффекта.

Статистика и тренды кибератак за последние годы

По данным глобальных исследований, число DDoS-атак выросло на 1885% в последнем квартале 2024 года по сравнению с аналогичным периодом предыдущего года. Средняя продолжительность атаки составляет от 5 до 20 минут, однако мощные атаки могут длиться часами. По данным Cloudflare, в 2024 году крупнейшая зафиксированная атака использовала более 13 000 IoT-устройств, а пик нагрузки составил 5,6 Тбит/с.

Сектора, наиболее подверженные атакам:

• Банковский сектор – цель для атак с целью вымогательства.
• Ритейл – страдает от атак во время пиковых распродаж.
• ЦОДы – атакуются ради вывода из строя масштабных инфраструктур.

При этом в число популярных среди хакеров отраслей также оказались операторы связи, интернет-провайдеры, рекламные агентства, онлайн-казино, игровые сервисы и онлайн-телевидение.

Какие риски несут DDoS-атаки?

Банкинг: атаки этой отрасли зачастую имеют финансовую мотивацию — от вымогательства до попыток отвлечь внимание от более сложных кибератак, таких как проникновение в системы хранения данных.

Офисы и малый бизнес: для этих компаний атаки опасны из-за ограниченных ресурсов для восстановления работы.

Производство: прерывание производственных процессов из-за атак может привести к значительным убыткам, особенно в высокотехнологичных и автоматизированных отраслях.

Ритейл: киберугрозы в этой сфере особенно активны в периоды высокого спроса, такие как сезон распродаж. Перегрузка онлайн-магазинов может вызвать падение продаж и снижение доверия клиентов.

ЦОДы (центры обработки данных): масштабные атаки на ЦОДы могут вызывать цепные сбои в работе крупных компаний, зависящих от их услуг. Из-за таких атак пользователи не могут часами заказать такси, доставку продуктов, воспользоваться мессенджерами или другими приложениями.

NGFW — лучшее решение против DDoS и других атак

Мы уже рассказывали про Next-Generation Firewall (NGFW), тут всего лишь напомним. Файрволы следующего поколения — продвинутая версия обычного межсетевого экрана, которая объединяет функции глубокого анализа трафика, IDS/IPS (системы обнаружения и предотвращения вторжений), контроля приложений и фильтрации URL.

NGFW помогает справляться с киберугрозами благодаря своим колоссальным возможностям:

• Интеллектуальная фильтрация трафика: NGFW способен анализировать не только заголовки пакетов, но и содержимое трафика. Это позволяет выявлять аномалии и блокировать вредоносные запросы.
• Автоматическое обнаружение ботнетов: система NGFW использует поведенческий анализ для выявления и блокировки устройств, входящих в ботнеты.
• Защита на уровне приложений: NGFW может предотвращать атаки, направленные на конкретные сервисы — например, веб-серверы.
• Гибкость настройки: политики безопасности можно адаптировать под потребности конкретной отрасли.

Рекомендации по защите от киберугроз

Рассмотрим базовые вещи, которые помогают в защите от DDoS-атак и других видов угроз в сети:

• Обновление инфраструктуры: использование современных решений, таких как NGFW, гарантирует защиту от новых видов угроз.
• Постоянный мониторинг сети: регулярное отслеживание трафика помогает оперативно реагировать на подозрительные активности.
• Создание резервных копий: регулярный бэкап данных минимизирует потери в случае успешной атаки.
• Обучение сотрудников: человеческий фактор — одно из слабых звеньев в защите, поэтому обучению персонала всегда должно уделяться особое внимание.

Для отраслей с высокими рисками, таких как банковский сектор и ЦОДы, рекомендуется внедрение дополнительных мер, включая системы распределенного мониторинга и резервные каналы связи.

Что в итоге?

DDoS-атаки остаются одной из ключевых угроз современного цифрового мира, и в ближайшее время ситуация в лучшую сторону явно не изменится. Защита от них требует комплексного подхода, включающего использование технологий, таких как NGFW, мониторинг трафика, обновление инфраструктуры и обучение сотрудников. Только интегрированная стратегия безопасности может гарантировать защиту бизнеса от киберугроз и минимизацию их последствий.

Не заметить активный рост и бурное развитие искусственного интеллекта в последние несколько лет было попросту невозможно. Эти два слова стали настолько трендовыми, что даже британский словарь Collins сделал огромное исключение, признав искусственный интеллект словом (хотя это сочетание) 2023 года.

Действительно, нейросети становится всё более мощным инструментом, но их используют не только для законных целей. Например, в руках киберпреступников современные нейросети могут выполнять задачи, которые значительно упрощают организацию и реализацию атак. В этой статье мы подробно разберём, как ИИ используется в киберпреступности, и как NGFW (Next-Generation Firewall) помогает бороться с такими угрозами.

ИИ и киберпреступность: инструменты, меняющие правила игры

Современные нейросети обладают широкими возможностями, которые преступники используют для нескольких целей.

Сбор информации — ИИ помогает находить и обрабатывать огромные объёмы данных, упрощая сбор информации о жертвах (организациях). Например, хакер может собрать данные с публичных страниц в соцсетях для персонализации атак, а нейросеть ему поможет мгновенно выявить контакты, предпочтения и рабочие связи нужного человека. В чём опасность? Данные становятся основой для целевых атак, таких как spear-phishing.

Анализ и сжатие данных — ИИ обрабатывает огромные объёмы информации и формирует сжатые отчёты. Такие функции сегодня есть даже в смартфонах. Например, вы можете попросить свой девайс предоставить краткую выжимку из этой статьи, а злоумышленники просят ИИ выявить уязвимости в инфраструктуре компании на основе открытых данных. В чём тут опасность? Это ускоряет подготовку к сложным атакам.

Создания фишинговых писем — генеративные нейросети пишут убедительные фишинговые письма, которые трудно отличить от реальных. Если раньше защита почтового ящика зачастую могла выявить такие письма, то сейчас текст, стилистика и данные не отличаются от того, как пишут люди. Хакеры используют инструменты для генерации текста письма с персонализированными данными, чтобы получить доступ к аккаунту жертвы. Почему это опасно? При определённом подходе и автоматизации один хакер может совершать массовые атаки на миллионы пользователей без особых усилий.

Написания вредоносного кода — ИИ помогает создавать и безопасно тестировать вредоносное ПО, например, вирусы и трояны. Злоумышленник может попросить нейросетей найти эксплойт уязвимостей. В чём опасность? Это снижает барьер для входа в киберпреступность, так как требуется меньше знаний и навыков. Если раньше хакеры изучали тысячи строк кода, чтобы научится хоть что-то делать, сейчас за них код может написать ChatGPT, останется только протестировать его и при необходимости откорректировать. 

Примеры использования ИИ в атаках

Если ещё 5 лет назад сюжет «Чёрного зеркала» нам казался фантастикой, то сегодняшние нейросети могут максимально точно имитировать речь и даже внешний вид человека. В последние годы злоумышленники стали всё чаще подделывать голосовые сообщения или видеоролики, используя технологии deepfake для условной имитации звонка руководителя с просьбой о срочном переводе денежных средств со счёта компании.

Как NGFW борется с ИИ-угрозами

Из других наших материалов вы уже знаете, что межсетевые экраны нового поколения — Next-Generation Firewall — используют передовые технологии для защиты от сложных угроз. Но может ли файрвол противостоять искусственному интеллекту?

Анализ поведения трафика (DPI)

NGFW использует технологии Deep Packet Inspection (глубокий анализ пакетов), чтобы отслеживать аномальное поведение в сети. Это помогает выявлять подозрительные фишинговые письма или вредоносный трафик. Поэтому если нейросеть попробует взломать сеть, создавая аномалии, NGFW сможет это выявить.

Системы предотвращения вторжений (IPS)

Интеграция с IPS позволяет NGFW обнаруживать атаки ещё до их реализации. Например, подозрительная активность, связанная с перебором паролей, будет заблокирована автоматически. Поэтому даже самый умный брутфорс на базе ИИ с этой задачей не справится.

Искусственный интеллект в самом файрволе

Не стоит забывать и такой момент: NGFW использует собственные нейросети для анализа сетевых логов и выявления потенциальных угроз. Это помогает оперативно реагировать на атаки, которые невозможно отследить вручную. Исключаем человеческий фактор — получаем максимальную защиту.

Обновляемые базы данных угроз

По своему определению NGFW регулярно обновляет базы данных, включая списки вредоносных IP-адресов, используемых для рассылки фишинговых писем или запуска вирусов.

Интеграция с SIEM и SOC

Файрволы нового поколения легко интегрируются с системами информационной безопасности, что позволяет централизованно анализировать данные и выявлять сложные угрозы. Но не все файрволы обладают одинаковыми функциями. Например, интеграция с SIEM и использование ИИ доступны только в премиальных решениях.

Профилактика атак с использованием ИИ

• Обучение персонала: сотрудникам нужно постоянно предоставлять наглядные материалы, демонстрирующие как выглядят современные фишинговые письма и чего стоит избегать;
• Усиление политик доступа: регулярное обновление паролей, использование двухфакторной аутентификации;
• Регулярный аудит безопасности: проверка инфраструктуры на наличие уязвимостей;
• Использование современных решений: установка и правильная настройка NGFW и других инструментов для автоматизации защиты.

Заключение

ИИ стал мощным инструментом не только в легальных сферах, но и в руках киберпреступников. Его использование позволяет автоматизировать атаки, находить уязвимости и запускать фишинговые кампании с высокой эффективностью. Однако современные NGFW, интегрированные с ИИ, предоставляют компаниям возможности для борьбы с этими угрозами, делая киберпространство более безопасным.

Аппаратный файрвол выступает своего рода фильтром между внешними источниками и вашей внутренней сетью. Но его эффективность зависит от правильных настроек. Какие ошибки чаще всего допускают при настройке? 

Отсутствие ограничений входящего трафика

Да, это удивительно, но такое бывает. Даже базовый сценарий защиты рабочих станций предполагает блокировку всего входящего трафика кроме тех соединений, что уже открыты (в белом списке). Таким образом доступ к станции извне для злоумышленников будет заблокирован. Оставлять доступными все порты и не фильтровать трафик — главная ошибка. 

Отсутствие типовых прав доступа

Разграничение доступа сотрудников — принципиально важная задача. Конечно, можно давать доступы каждому персонально. Но лучше настроить фильтры так, чтобы была возможность формировать групповые ограничения. Например, для менеджеров по продаже или бухгалтеров. Так меньше шанс ошибиться и предоставить сотруднику больше прав, чем нужно. 

Отсутствие сегментации

Разделять нужно не только пользователей, но и оборудование. Хотя бы с помощью подсетей. Поскольку настройки для рабочих станций и серверов принципиально разные. Причем прописать нужно не только внешние настройки, но и правила взаимодействия сегментов между собой. 

Отсутствие мониторинга

Даже если ваш файрвол отлично выполняет задачи, вы должны понимать, как именно он работает, с какими вызовами ему приходится справляться. Для этого нужно настроить уведомления о подозрительной активности и взять за правило отслеживать логи. Любая аномальная активность должна насторожить, даже если все работает исправно.  

А с каким ошибками приходилось сталкиваться вам?