Hvorfor en pålidelig firewall er afgørende for virksomhedens sikkerhed?
Heimdal™ security’s tilgang til firewallsikkerhed
This post is also available in:
English
Der er ingen tvivl i mit sind om, at truslerne er ændret – nye ondsindede aktører, stiger op til overfladen for at skabe kaos, traditionelle (og forældede) modforanstaltninger mislykkes, ML og AI træder op på pladen for at skabe handlingsmæssige mæglingsstrategier (og afhjælpning).
I dette scenario, hvor alt bevæger sig hurtigere end lysets hastighed for at holde trit med udfordringerne, er det ret usandsynligt at finde noget der hinter til “de gamle måder”, som i dette tilfælde, bredt refererer til hele malware-fjernelses maskineriet med rampelyset, selvfølgelig, faldende på antivirus.
Men der er håb for “traditionelle” løsninger, som firewall, eller bedre sagt, den eneste aktør der har bestået tidens test.
I denne artikel vil vi se nærmere på firewalls – hvordan de fungerer, hvorfor de stadig er gode, hvor mange firewalltyper der er, og selvfølgelig hvorfor de skal være en del af din virksomheds cyber resilience plan.
Hvad er en firewall? Nogle tips til, hvordan du vælger den bedste løsning til din virksomhed
Går vil tilbage til det grundlæggende, er en firewall en netværkssikkerheds enhed, der overvåger udgående og indgående trafik. Dybest set er det tilsvarende en bagagekontrollør i lufthavnen, der kontrollerer alle passagerer og deres bagage når de skal igennem lufthavnen.
Firewalls kan være fysiske enheder (dvs. hardwarefirewall), men de installeres også i softwareform (dvs. Microsoft Windows’ Defender Firewalls). Firewalls uanset form, gør mere end at kontrollere indgående/udgående trafik – de sikrer også, at brugerdefinerede regler overholdes.
Her er et eksempel på, hvordan en firewall fungerer: I overensstemmelse med lufthavnscontrollerens metafor, lad os forestille os en tilfældig person, der går gennem checkpointet. Det er betjentens job at tjekke personens id og spørge om destinationen. På it-siden, kan dette oversættes til at firewall spørger om IP og kilden til transmissionen.
På dette tidspunkt, vil jeg introducere to begreber kaldet whitelist og blackliste. Enkelt nok at forstå – hvad der er på whitelist er godt, og hvad der er på blacklist er dårligt. Nu, efter ‘undersøgelses’ fasen, vil officeren kontrollerer personens legitimationsoplysninger mod de to lister. Hvis han er på whitelist, kan han gå igennem. Hvis ikke, ja, så vil han have noget at forklare.
Det samme sker på trafikniveau – indgående pakker bliver kontrolleret. Hvis transmissionen kommer fra en sikker kilde (på whitelist), vil de få lov til at passere. Hvis ikke, vil forbindelsen blive afbrudt.
Selv om udtrykket “firewall” synes at være universelt, er der i virkeligheden flere typer af firewalls, hver designet til at løse (og overvinde) en vis netværkssikkerhedsudfordring. Lad os tage et nærmere kig på de forskellige firewall typer.
Personlig firewall
Endpointcentreret trafikovervågnings- og administrationsløsning. Beskytter et enkelt endpoint (dvs. stationær computer, bærbar computer, tablet eller smartphone) og er normalt en del af en større cybersikkerhedssoftwarepakke. For alle formål og hensigter kan Windows Defender Firewall betragtes som en personlig firewall, der forener sig selv mellem maskinen og internettet. Software-mæssigt, er der en masse valgmuligheder.
Firewall til pakkefiltrering
Bevæger vi os længere ned på listen, har vi endnu en grundlæggende firewall type – pakken eller pakke-filtrerings firewall. Den er lidt mere sikker i forhold til den personlige firewall, pakke-filtreringen tilføjer flere muskler til et multi-enheds netværk, så som dem, der drives af små virksomheder.
Denne type firewall har forudbestemte regler og politikker, som gør det muligt at generere forskellige typer filtreringskriterier: tilladte IP-adresser, pakkeprotokoloverskrifter, portnumre og typerne af databærende pakker.
Pakkefiltrerende firewalls er, hvad vi kalder “in-line forsvar”, hvilket betyder, at de er placeret på samlingspunkter såsom routere eller afbrydere.
Denne type firewall har kun én advarsel: det blot sammenligner de overførte pakker mod en forudbestemt liste, hvilket betyder, at der er ingen måde at omdirigerer nogen, der bliver markeret mistænkelige. Firewalls til pakkefiltrering kasserer blot de pakker, der ikke opfylder kriterierne. Kasserede pakker ophører med at eksistere. Skræmmende perspektiv, er du ikke enig?
Gateway på kredsløbsniveau (firewall)
De metoder, der er opregnet indtil videre, er arkitekturcentrerede, hvilket betyder, at de ikke tager højde for datapakkernes kontekst eller indhold. Gateways på kredsløbsniveau er billige og en noget effektiv måde at give et indblik i, hvad der videresendes under kommunikationen.
Gateways på kredsløbsniveau inspicerer alt (og alle) netværksprotokoller, der bruges under datatransmissionen, for at identificere potentielt skadelige datapakker.
Dette omfatter TCP-håndtryk og efterfølgende krypteringsnøgler. Igen, dette er blot en af de mange instrumenter, der anvendes til at kontrollere konteksten og indholdet. Desværre er det en lidt dårlig en, da kredsløb-niveau gateways ikke kan udføre dybdegående analyser af pakkernes indhold.
Stateful inspektion firewall
Da hele malwareindustrien er fokuseret på at skabe varianter der omgår afsløringsgitre, er der, ja, et behov for en firewall i stand til at inspicere indholdet af hver pakke. Lave stateful inspektion firewall, som mere eller mindre er, it-ækvivalent af en person i tolden, der har ansvaret for at kontrollere hver pakke og kuffert, før ejeren kan hente det og gå videre og fortsætte sin dag.
Stateful inspektion firewalls, omend dyrere og vanskelige at implementere i forhold til de andre punkter på vores liste, kan inspicere indholdet af hver datapakke. Mere end det, kan den undersøge, om denne pakke eller “bundt” er en del af eller er blevet anmodet om at blive del af under en aktiv netværkssession.
En anden advarsel, jeg kom til at tænke på, er, at stateful inspektion firewalls kan sætte sine spor på dit netværks ydeevne, ved at øge ventetiden. Selvfølgelig, har den tendens til at gøre op for dette med den ekstra ‘muskel’ den bringer.
Proxy firewall
I alle aspekter kan proxyfirewallen betragtes som kærlighedsbarnet for pakkefiltreringsfirewallen og gatewayen på kredsløbsniveau. I mere tekniske termer, kan denne pakke-inspektions teknik lægge sig imellem en firewall-aktiveret proxy-server hos klienten (din maskine) og resten af internettet.
Disse typer firewalls, der ofte kaldes gateways på programniveau, har dynamiske filtreringsfunktioner – der kan filtrere pakker i henhold til den tjeneste, de forsøger at få adgang til. Derudover kan de hente yderligere kriterier, f.eks. HTTPS-anmodningsstrenge.
Da det er fænotypisk, har proxy firewall også de samme pakke-inspektionskapaciteter som gateway. På den anden side, ligesom i tilfælde af stateful inspektion firewall, kan proxy firewall påvirke dit netværks ydeevne.
Hybrid firewall
Indbegrebet af firewall-teknologi, hybrider der kombinerer avancerede pakke-scannings teknikker, såsom deep-packet inspektion, med antivirus antimalware software. En hybrid firewall vil inspicere alle aspekter af en web browsing session, helt ned til indholdet af hver transmitteret pakke.
Mere end det, hybrider har evnen til at udføre dybe pakke analyser. For eksempel kan de “finde ud af”, hvis pakkerne kom fra en legitim kilde ved at sammenstykke hele serversvaret, som er lavet af mange flere datapakker.
Som du kan forestille dig, er hybrid firewalls go-to løsningen, hvis du ønsker at sikre, at ingen ondsindede pakker glider igennem. Med den indbyggede AV\AM, kan det give HIDS og HIPS.
Men ligesom de andre typer af dybe pakkeinspektionsfirewalls kan hybrider også påvirke netværkets ydeevne. Mere end det, hybrider kan påvirke din organisations ressourcer meget, da de kræver front-end vedligeholdelse.
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
Forensic analyse af Brute-Force Attack: Mønstrer Før- og Efter-Pandemien
Uanset deres funktionalitet, bør firewalls tilbyde en vis grad af beskyttelse mod ondsindede forbindelses forsøg. Selvfølgelig, kan en firewall ikke alene beskytte maskinen mod avancerede, anden generations e-trusler, men de kan forhindre mindre ‘sofistikerede’ ondsindede forsøg såsom brute-force-angreb.
På trods af at have en mindre succesrate i forhold til andre cyber-angreb (dvs. keyloggers) kan BF-typer af malware blive meget effektive, hvis den slippes løs på usikrede eller dårligt sikrede netværk og / eller maskiner.
Heimdal™ Securitys interne data har afsløret, at antallet af brute-force angreb er steget eksponentielt i kølvandet på “fjernarbejds bølgen”. Vores virksomheds data påpeger, at der har været en 5% stigning i BF angreb efter medarbejderne blev beordret til at overholde selv-karantæne betingelserne.
Kronologisk, er en stigning i BF-lignende aggressioner blevet påvist i eller omkring den 2februar, som falder sammen med WHO’s udtalelser om coronavirus situationen der blæste ud af proportioner.
Indtil begyndelsen af februar, ville netværks beskyttelsesagenten på en enkelt maskine opdage og blokere et gennemsnit på 15 – 20 brute-force angreb om dagen.
Men når vi går videre ind i februar 2020, ser vi en betydelig stigning i de daglige brute-force-angreb. i nogle tilfælde viser vores telemetri en stigning på 700 – 800 % i forhold til de foregående måneder (dvs. december og januar).
En plausibel forklaring kan være, at virksomhederne har haft skalerings problemer – infrastrukturen kunne ikke rumme så mange fjernarbejds anmodninger. Dette førte til, at sysadmins fokuserede mere på måder at løse relaterede problemer (dvs. post-transmission data-kontinuitet, tilbagekaldelse af super-bruger konti, udvide/opgradere hardware), alt imens de nedprioriterede cybersikkerheden.
Som nævnt, er antallet af BF angreb steget siden februar. Vores telemetri viser en stigning mod slutningen af måneden; (ca. 10 % af de fundne og blokerede BF-angreb) omkring den 25’ende. Nedenfor finder du en grafisk repræsentation af, hvordan brute-force angreb fænomenet, udviklede sig i hele februar måned.
I marts erklærer WHO coronavirus-udbruddet for en pandemi. Virksomheder rundt om i verden blev enten tvunget til at lukke deres drift eller sende deres medarbejdere hjem til at arbejde på afstand. Med en stigning i antallet af distancearbejdere er både internetudbydere og infrastrukturer under voldsomt pres. Samtidig observeres en stigning i antallet af brute-force angreb.
I gennemsnit er der i maj registreret ca. 5000 brute-force angrebs forsøg sammenlignet med 3500 i februar (stigning på 42,72 % for tidsrammen februar-marts). Desuden viser vores telemetri en massiv brute-force angrebs spike (ca. 10% af angreb i marts) i eller omkring den 5marts, det falder sammen med begyndelsen af arbejdet-hjemme migrationen. Se grafen nedenfor for at gennemgå marts’ brute-force angrebs evolution.
Outlook
Ifølge Heimdal™ Security’s data, har vi i april registreret et 200% fald i brute-force angreb tilfælde (i forhold til marts). Dette dramatiske fald i tilfælde kan tilskrives med Heimdals avancerede firewall-blokeringsfunktion til angreb, der aktivt overvåger den indgående trafik i søgning efter datapakker, der matcher BFA-profilen.
Funktionen er tilgængelig som en del af vores virksomheds Thor Premium Enterprise cybersikkerheds suite. I forhold til Outlook, viser vores prognoser, at brute-force angreb effektivt vil falde både i antal og styrke. Se grafen nedenfor for at gennemgå april vs marts tendenserne af BFA fænomenet.
Wrap-up
Det er min (mest ydmyge) mening, at firewalls ikke går nogen steder. Selvfølgelig bør vi ikke stole udelukkende på firewalls til at holde e-trusler i skak. Når det så er sagt, er en komplet cybersikkerheds løsning vejen fremad, især i disse forsøgstider. Stay safe!