Привет, Habr! Меня зовут Сергей, с февраля 2023 года работаю экспертом по информационной безопасности в «Лаборатории Касперского». До этого я около 10 лет занимался защитой финансовых организаций на схожей позиции. В мои обязанности входит развитие и поддержка ИБ-инфраструктуры, обеспечение безопасности при работе с ИИ, импортозамещение сетевых средств защиты и повышение уровня сетевой безопасности. С момента присоединения к компании также занимаюсь развитием нашей SIEM KUMA для внутренних целей. Одной из задач в рамках поддержки ИБ-инфраструктуры является внедрение и администрирование фаерволов. Хочу рассказать об опыте пилотирования собственного решения компании — Kaspersky NGFW — с точки зрения специалиста по информационной безопасности.

В тестировании мне помогала моя коллега Виктория Семерикова, в чьи обязанности в компании входит все связанное с инфраструктурой ИБ. Это закупка и установка серверов, тестирование, введение в эксплуатацию, бэкапы, мониторинг ИБ-сервисов и администрирование фаерволов. Также Виктория ведет проект по расшифровке сетевого трафика. И, конечно, помогала мне работать над этим текстом :)

Статья написана с расчетом на то, что полученный нами опыт поможет коллегам из информационной безопасности убедиться, что импортозамещение не проблема, а челлендж. Несмотря на все сложности, в конечном итоге, помимо выполнения требований 250-го указа, в том числе можно повысить уровень защиты организации и эффективность митигации киберрисков.

Особенности нашей инфраструктуры ИБ

Управление информационной безопасности — это своего рода мини-компания внутри «Лаборатории Касперского». Мы — полноценный внутренний заказчик и постоянно участвуем в тестировании продуктов, разработанных в компании. У нас есть свои сети, серверы и сервисы, которые требуют защиты, и, соответственно, одним из применяемых нами средств защиты является аппаратный NGFW. Ранее мы пользовались оборудованием зарубежного производства, а когда появилась необходимость провести импортозамещение — наша команда протестировала несколько отечественных решений и даже заменила небольшую часть кластеров. Однако результаты пилотирования других вендоров в очередной раз подтолкнули нас к выводу, что необходимо делать свой NGFW. 

Теперь к делу.

Для задач пилотирования мы выбрали две сети управления ИБ, до этого не изолированные аппаратным NGFW. В одной из сетей расположены тестовые серверы и сервисы, а во второй — небольшое количество продуктивных серверов низкого уровня критичности. Эти две сети мы и решили закрыть с помощью разрабатываемого Kaspersky NGFW, чтобы в реальном времени проводить тестирование требований, релевантных конкретно для наших целей. Даже если вы уверены в качестве собственного продукта, при тестировании новых разработок всегда присутствует риск того, что что-то может пойти не по плану. Именно поэтому на случай нештатной ситуации у нас всегда была возможность с помощью коллег из отдела телекоммуникационной инфраструктуры (далее Телеком) оперативно вывести все обратно в открытые сети.

Первые впечатления и тестовый стенд

Первоначальное знакомство с продуктом решили провести, установив его виртуальную версию. Мы, конечно, удивились, что для управления всего одним экземпляром NGFW требуется развернуть отдельную консоль управления Open Single Management Platform (OSMP), которая используется для централизованного управления нашими корпоративными продуктами. Поскольку у нас до этого уже был опыт по развертыванию решения Kaspersky XDR, компонентом которого является консоль OSMP, то проблем с повторной установкой не возникло. При этом локальный веб-интерфейс для управления standalone-инсталляциями NGFW коллеги из RnD пообещали сделать в 2026 году.

В итоге виртуальный Kaspersky NGFW был подключен к консоли OSMP, но развернут локально, без коммутации и подачи на него сетей — можно сказать, витринный образец. Посмотрели, что собой представляет продукт и как он управляется, но для полноценного тестирования с целью дальнейшей замены нескольких кластеров NGFW в ИБ-инфраструктуре нам необходим был Kaspersky NGFW в аппаратном исполнении.

Пришли к коллегам из RnD с этим вопросом. Мы знали, что есть свободное устройство с версией beta-1, но тогда же с нами поделились новостью о скором выходе beta-2 с исправлениями, доработками и новыми фичами. Мы решили дождаться ее, чтобы начать пилотировать продукт, который стал намного ближе к коммерческой версии. Спустя некоторое время получили NGFW, подключились к нему прямо на рабочем месте и провели первоначальный запуск.

Как и практически любое «стоечное» железо, Kaspersky NGFW оказался достаточно шумным. На шум пришли наши коллеги, внимания к новинке было много от всего этажа, прямо как к визиту VIP-гостя на вертолете. Правда, через пару часов коллеги уже начали уточнять, когда VIP-гость уедет в дата-центр. Затем коллеги из группы сопровождения серверной инфраструктуры прикрутили NGFW в стойку, и мы начали базовую настройку устройства. Подключили монитор и периферию, запустили NGFW, совместно с коллегами из Телекома настроили коммутацию и сконфигурировали статическую маршрутизацию, так как в beta-2 еще не было динамической (в 1.0 уже есть BGP).

После этого подключили Kaspersky NGFW к консоли для администрирования OSMP и настроили базовые сетевые политики. В целом настройка сложностей у нас не вызвала, несмотря на то что осуществлялась в основном вручную по инструкциям и PoC-гайдам. Но коллеги из RnD всегда были рядом и оперативно консультировали в случае каких-либо вопросов.

Параллельно мы занимались составлением ПМИ. В ходе обсуждений поняли, что в рамках пилота нужно дополнительно развернуть виртуальные машины (см. рисунок ниже) для возможности тестирования всех функций безопасности Kaspersky NGFW.

Одну виртуальную машину разместили в тестовом сетевом сегменте и использовали для имитации атак со стороны условного злоумышленника. Вторая имитировала пользователя и его действия, а также использовалась как атакуемая система. В итоге мы могли не только смотреть, проходит или не проходит через фаервол определенный трафик, но и отработать сценарии по тестированию функций безопасности, таких как IDPS, DNS security, SSL-инспекция, веб-мониторинг с категоризацией, антивирусная проверка трафика и другие, что затем были включены в список ПМИ.

Особенности тестирования в ИБ: задачи, ПМИ, группы сценариев

Лучше всего картину и задачи нашего тестирования проиллюстрирует сравнение с пилотом у коллег из Телекома. Так как у них на поддержке достаточно объемный парк NGFW, то они в первую очередь обращают внимание на удобство администрирования, сетевой функционал (пропускная способность, агрегация портов, маршрутизация и прочие сетевые настройки), отказоустойчивость и стабильность работы. Мы в ИБ смотрим больше на функционал, непосредственно связанный с обеспечением информационной безопасности, особенно с учетом возможностей уже имеющихся NGFW, которые мы планируем заменять. Конечно, совсем не обращать внимание на удобство администрирования не получается и у нас: в конце концов, нам же эти фаерволы потом и администрировать.

Поскольку у управления ИБ есть своя отдельная инфраструктура, мы при пилотировании ориентировались на проработку нужного нам и заявленного к релизу ИБ-функционала. Одной из основных задач NGFW для нас является сегментация сети. Нужно было понять, подойдет ли продукт в его текущем состоянии для замены уже установленного оборудования. Помимо этого, одной из важнейших задач пилотирования для нас является возможность непосредственно влиять на формирование бэклога, приоритизировать различные исправления, доработки и развитие нового ИБ-функционала. Это, само собой, отразилось и в итоговом наборе ПМИ. Мы в пилоте хотели помочь сделать ИБ-функционал Kaspersky NGFW лучше, стабильнее и разнообразнее.

Табличка наших ПМИ выглядела вот так:

Сценарии тестирования группировались по категориям: аутентификация/авторизация, логирование и уведомления, фильтрация трафика (L3/L4), фильтрация приложений (L7/Appcontrol), IDPS, DNS Security и др. Отдельным разделом шли сценарии, которые изначально не заявлялись в функционале, но которые хотелось бы видеть в будущем, например различные респонс-сценарии и использование AI. Для данных требований мы завели Feature Requests для коллег из разработки.

Теперь немного подробнее про само тестирование, конфигурацию и результаты. Описывать результаты работы L4-фаервола мы не будем, так как это базовый функционал и без него дальнейшая разработка и пилотирование NGFW не имели бы смысла. Данный функционал работает корректно, и отличие от других вендоров NGFW, по сути, только в интерфейсе и способе настройки правил. Однако в beta-2 нам не хватило преднастроенного списка сервисов с портами (RDP, SSH, SMB, AD и т. д.), поэтому пришлось достаточно большое количество сервисов добавить вручную. В будущих версиях коллеги из RnD пообещали это исправить.

Более подробно хотелось бы остановиться на функциях безопасности, которые были наиболее релевантны для нас в рамках пилота, а именно L7 Firewall, IDPS и DNS Security.

L7 Firewall (Application control)

Этот функционал позволяет контролировать сетевой трафик на прикладном уровне, используя технологию DPI (Deep Packet Inspection). L7-фаервол обеспечивает защиту от более сложных угроз (атаки на уязвимые веб-приложения, DDoS на прикладном уровне), а также позволяет настраивать различные правила доступа для трафика прикладных протоколов и клиентских приложений. На скриншотах ниже представлен процесс тестирования модуля L7 Firewall (Application control).

IDPS (Intrusion Detection and Prevention System)

Система обнаружения и предотвращения вторжений анализирует трафик для выявления разного типа атак или угроз на основе имеющейся регулярно обновляемой базы сигнатур. В Kaspersky NGFW для IDPS используется движок собственной разработки. В случае обнаружения угроз трафик можно разрешать (режим IDS), блокировать, а также блокировать с обрывом TCP-соединения в обе стороны. В следующих версиях Kaspersky NGFW можно будет добавлять свои сигнатуры. На скриншотах ниже представлен процесс тестирования модуля IDPS.

Одна из интересных функций модуля IDPS — защита от сетевого сканирования. Защита от сетевого сканирования не зависит от профилей безопасности, не требует инспектирования трафика, в отличие от основного функционала IDPS, и включается глобально для всего транзитного пользовательского TCP- и UDP-трафика. Защита от сетевого сканирования применяется ДО проверки трафика на соответствие правилам фильтрации. На скриншотах ниже представлен процесс тестирования защиты от сетевого сканирования.

DNS Security

DNS-трафик часто разрешен в различных сетевых сегментах, так как требуется для работы компонентов многих сервисов. По этой причине множество вредоносных программ используют DNS-протокол для подключения к C&C-серверам. 

Использование механизма безопасности DNS Security позволяет предотвратить переход на вредоносные домены на этапе DNS-запроса.

Также, как видно на скриншоте настройки модуля DNS Security, помимо блокировки доступа к вредоносным доменам, эти DNS-запросы можно перенаправлять на специальный сервер DNS sinkhole.

В базе Kaspersky Threat Intelligence есть множество вредоносных и фишинговых IOC (IP-адреса, домены, различные url и хеши), и они регулярно пополняются. Поэтому интеграция Kaspersky NGFW с этой базой позволяет эффективно работать модулю DNS Security.

Однако некоторое ВПО может генерировать случайные имена доменов и затем пытаться подключаться по нужному ему DNS-имени в определенный момент времени. Этот алгоритм называется Domain Generation Algorithm (DGA). Для обнаружения подобных сгенерированных доменов в некоторых зарубежных NGFW применяются алгоритмы машинного обучения. В Kaspersky NGFW защиту от DGA планируется реализовать в версии 1.2.

Мы также проверили работу антивирусного модуля и модуля Web-control. Модули отработали штатно, согласно ожидаемым результатам, но так как мы для контроля доступа пользователей в Интернет используем специализированные решения, а в рамках нашей ИБ-инфраструктуры пользовательский доступ в Интернет не требуется, модуль Web-control для нас был менее актуален. Для организаций, которые не хотят приобретать специализированные решения по защите доступа в Интернет, данный модуль безопасности на NGFW может стать отличной альтернативой. Модуль Web-control имеет множество преднастроенных категорий, есть возможность создавать свои категории или добавлять исключения, можно использовать облачную службу для категоризации сайтов KSN. Вы можете сразу блокировать доступ или предупреждать пользователя перед предоставлением доступа. В beta-2 функционала UserID еще не было, поэтому связку Web-control для доступа конкретных пользователей мы пока не протестировали.

Описанные выше модули безопасности позволяют при необходимости собрать дамп трафика в виде pcap-файла для дальнейшего анализа.

За поиск различных сетевых событий отвечает компонент Threat Hunting (или SIEM KUMA, встроенная в XDR). Все показанные выше рисунки с различными событиями безопасности являются скриншотами из данного модуля. В интерфейсе OSMP также можно посмотреть или создать собственные дашборды Detection & Response по обнаруженным угрозам. Эти дашборды гибко конфигурируются и формируются на основе SQL-запросов в SIEM KUMA. 

Возникшие вопросы, помощь от ИТ и RnD

В статье о тестировании в Телекоме моя коллега упоминает нюансы с подключением и администрированием через OSMP как один из челленджей для себя. В нашем с Викторией случае установка и работа в этой системе не стали проблемой. Но должен заметить, что здесь нам во многом помог уже имеющийся опыт взаимодействия с этой платформой.

Некоторые вопросы у нас возникли с первоначальной сетевой конфигурацией. В версии Kaspersky NGFW beta-2 была реализована только статическая маршрутизация, поэтому нужно было, чтобы коллеги из Телекома у себя на оборудовании прописали статические маршруты с последующим анонсированием. Также во второй бете еще отсутствовала корректная конфигурация различных VRF. Например, менеджмент-интерфейс был вместе с дата-интерфейсами, то есть нужно было создавать отдельный кастомный VRF и уже туда подавать настроенные интерфейсы передачи данных. Нам не пришлось ждать релиза 1.0 — RnD оперативно поправили этот момент выпуском патча, который мы затем установили на наш пилотируемый фаервол.

В beta-2 управление сетевой конфигурацией было возможно только через CLI, что не всегда удобно, но начиная с версии 1.0 данные настройки уже вынесены в веб-интерфейс OSMP. Иногда в ходе тестирования встречались баги и проблемы, не касающиеся информационной безопасности. Мы их все равно подсвечивали разработчикам, но, как оказалось, о большинстве проблем они уже были в курсе на момент пилотирования и их исправление было запланировано к версии 1.0.

Совместное администрирование (останется только один)

С некритичными замечаниями закончили, расскажу об одном более весомом. Пожалуй, единственное, что было бы невозможно просто «перетерпеть», это реализация совместного администрирования NGFW. В решениях других вендоров при одновременном администрировании с разных машин как под одной, так и под разными учетками попытка применить изменения в настройках приводит к сообщению вроде «кто-то уже внес другие изменения». При этом обновления настроек можно как объединить, так и отменить, чтобы согласовать изменения с коллегой и решить — применять их или нет. В некоторых решениях они могут даже на лету подхватываться, при этом не перетираясь между собой.

При работе с Kaspersky NGFW мы столкнулись со следующим. У двух админов была открыта консоль. При этом один человек в течение продолжительного времени что-то менял и настраивал, создавал объекты и правила, затем сохранив изменения. А второй ничего не менял и не настраивал, но применил политику последним. Настройки первого администратора без всяких уведомлений перетерлись настройками второго, и несколько часов работы пошли насмарку. Конечно, организации, в которых один администратор, с этой проблемой могут вообще никогда не столкнуться. Но вот для крупных компаний, где админов обычно несколько, проблема вполне актуальна. По информации от R&D, этот момент будет исправлен уже в ближайших релизах продукта.

Что понравилось: функционал, комплексность, общая готовность продукта

Говоря о положительных впечатлениях от пилотирования Kaspersky NGFW, в первую очередь хочется обратить внимание на XDR и OSMP. Это многофункциональный ИБ-комбайн, в котором есть единая консоль, полноценное логирование со встроенной SIEM KUMA, различные респонс-сценарии и другой функционал для управления безопасностью в целом. А теперь он еще включает и систему управления Kaspersky NGFW. С точки зрения ИБ выглядит как то, что нужно большим компаниям для построения надежной киберзащиты в распределенной и постоянно растущей инфраструктуре — достаточно удобно, функционально и перспективно.

Вдобавок коллеги из RnD сразу взяли высокую планку по количеству инструментов и модулей ИБ. Они не стали делать базовую коробочку, чтобы потом добавлять в нее с каждым релизом по одной функции. Во многом это стало финальным аргументом в пользу главного вывода по этому пилоту.

Выводы: готово, дальше — только лучше

Главный вывод по пилоту такой: под наши задачи информационной безопасности и, в частности, для сегментации внутренней ИБ-инфраструктуры Kaspersky NGFW подходит. Beta-2 оказалась вполне жизнеспособной, и продукт был готов к использованию еще до выхода релизной версии 1.0.

Есть моменты, которые требуют улучшений. Интерфейсы других решений местами выглядят более привычно и удобно. На фоне действительно широкого набора функций по информационной безопасности не хватало определенных базовых и привычных возможностей по удобству администрирования. Но многое из этой области или уже поправили к выходу версии 1.0, или поправят в ближайших обновлениях.

Дальнейшие планы

По плану у нас непрерывное тестирование, переходящее прямо в продуктивную эксплуатацию. Сейчас мы уже получили более производительный NGFW на новой аппаратной платформе и обновили его до версии 1.0.

По результатам тестов версии 1.0, после выхода 1.1 планируем заменить один из нескольких действующих продуктивных кластеров NGFW ИБ-инфраструктуры на кластер Kaspersky NGFW. Оставшиеся кластеры рассчитываем заменить в 2026-м.  

Фокус, ход и выводы тестирования Kaspersky NGFW в ИБ ощутимо отличаются от таковых в отделе телекоммуникационной инфраструктуры. О пилоте в данном подразделении рассказала моя коллега — сетевой инженер команды Телеком. Кому интересен взгляд на продукт под другим углом — вам сюда.

Спасибо! Надеюсь, было интересно. И до новых встреч.