Заглянуть внутрь трафика: как Kaspersky NGFW видит больше, чем обычный файрвол

Во второй бета-версии Kaspersky NGFW существенно улучшилась производительность решения: скорость обработки трафика в режиме L4 firewall с включённым контролем приложений выросла до 180 Гбит/с. Это результат как архитектурных доработок, так и оптимизации работы модуля DPI (Deep Packet Inspection). Работа над увеличением производительности NGFW «Лаборатории Касперского» продолжается, и к коммерческому релизу ожидаются более высокие показатели.

Один из частых запросов от заказчиков — высокая отказоустойчивость. С учётом этого во второй бета-версии Kaspersky NGFW реализована первая версия кластера Active-Passive. Ставку сделали не на стандартные протоколы вроде VRRP, а разработали собственный — KHCP (Kaspersky High-availability Cluster Protocol). Это даёт полный контроль над стабильностью и позволяет адаптировать поведение кластера под конкретные сценарии. Уже сейчас реализовано почти незаметное для пользователя переключение между нодами кластера, в следующих версиях появится возможность синхронизировать сессии.

На текущий момент в Kaspersky NGFW используются две технологии для детектирования угроз — потоковый и объектный антивирусы. Заказчик может выбрать наиболее подходящий вариант. Высокоскоростной потоковый антивирус, работа которого основана на проверке файлов по базе хэшей, эффективно выявляет вредоносную активность на самых ранних этапах — без влияния на производительность системы. Во второй бета-версии Kaspersky NGFW появился встроенный объектный антивирус, использующий алгоритмы машинного обучения и искусственного интеллекта. Для этого технологии из Kaspersky Endpoint Security были адаптированы под высокую нагрузку в NGFW — чтобы можно было проверять файлы прямо в потоке без серьезного влияния на производительность.

В Kaspersky NGFW используется собственная система обнаружения и предотвращения вторжений в сеть (Intrusion Detection and Prevention System, IDPS). Она детектирует и предотвращает атаки в режиме реального времени. IDPS-движок поддерживает более 6 тысяч сигнатур, которые разрабатываются в «Лаборатории Касперского». Во второй бета-версии NGFW с движком IDPS показатель обнаружения угроз вырос в три раза в тестах IXIA BreakingPoint.

Обеспечение качественной веб-категоризации — нетривиальная задача для производителей NGFW. Например, некоторые решения ограничиваются анализом домена, а не конкретного URL. Такой метод действительно повышает производительность, так как нет необходимости проводить SSL-инспекцию, однако это негативно влияет на точность. Kaspersky NGFW анализирует именно URL, используя механизм SSL-инспекции для расшифровки трафика, чтобы точно определить, к какой категории относится конкретный ресурс — даже если он расположен в рамках большого домена. Веб-категоризатор «Лаборатории Касперского» неоднократно признавался одним из лучших в мире по качеству классификации и детектирования.

DNS Security — это механизм проверки по репутационной базе DNS-трафика, проходящего через Kaspersky NGFW. Если доменное имя или IP-адрес числятся вредоносными или связаны с командными серверами (C&C), система принимает меры: это может быть блокировка запроса, уведомление через SIEM-систему о попытке обращения либо перенаправление запроса на специально настроенный DNS Sinkhole-сервер.

Kaspersky Security Network собирает самые актуальные данные о киберугрозах по всему миру и отправляет их в разные решения «Лаборатории Касперского», в том числе в Kaspersky NGFW. Это открывает NGFW доступ к оперативной базе знаний об угрозах и позволяет выдавать вердикты о безопасности загружаемых объектов в режиме реального времени.

В Kaspersky NGFW есть возможность использовать интеграционные сценарии как с другими решениями «Лаборатории Касперского», так и со сторонними продуктами. Среди них — Kaspersky Symphony XDR и Kaspersky Unified Monitoring and Analysis Platform. Во второй бета-версии также появилась интеграция с Kaspersky Anti Targeted Attack (KATA): теперь файлы из инспектируемого трафика дополнительно проверяются в специальной изолированной среде — песочнице (Sandbox), что позволяет предотвращать в том числе сложные таргетированные атаки. Вкупе все продукты совместно с Kaspersky NGFW будут решать одну задачу — задетектировать угрозу и как можно скорее на неё отреагировать.

Управление Kaspersky NGFW осуществляется централизованно через единый веб-интерфейс — Open Single Management Platform, где в виде дашбордов представлена вся аналитическая информация о том, что происходит в сети организации.