Distributor s přidanou hodnotou Entec, součást SWS, se zaměřuje zejména na bezpečnost. Do Prahy přijel Michael Berg, SonicWall Vice President, EMEA Sales, kterého jsme se mohli zeptat, jak si SonicWall se svými (nejen) Next Generation Firewally ve světě stojí.
SonicWall je firma známá v oblasti bezpečnosti svými firewally. Co všechno SonicWall nabízí?
Podívejme se napřed, co se v oblasti kybernetických hrozeb odehrává, protože to je důležité i pro to, co firmy jako je SonicWall nabízejí. V oblasti kybernetické bezpečnosti SonicWAll působí se svými partnery a zákazníky už 27 let. SonicWall považuje po celou tuto dobu za klíčový prvek data. Pro jejich ochranu používáme i strojové učení, což je v současné době v IT průmyslu buzzword, my jej však máme v našich produktech už delší dobu, od roku 1999. S detekcí hrozeb a ochraně proti útokům malwaru proto máme velké zkušenosti. Každý rok vydáváme o útocích tištěnou zprávu, co se v této oblasti děje, která je velmi jasná a stručná. Každým rokem se počet útoků malwaru i ransomwaru zvyšuje, je třeba se proti nim chránit.
SonicWall nabízí vrstvený bezpečnostní model, vypadá jako radarové vlny. První vlnou je ochrana sítě pomocí NGFW (Next Generation Firewall). S těmi se začalo někdy v letech 2004 až 2005, jsou základní vrstvou správy ochrany sítě proti hrozbám. Docela chytrou věcí, kterou v nich máme, je způsob zachycení hrozeb, který máme ve všech našich produktech včetně firewallů. Jde o Capture Threat Network, globální cloud, založený na senzorech sbírajících informace, vzorky malwaru, kterých každým dnem přibývá do naší databáze 400 tisíc. To je základ, který máme o dění v útocích. Ohledně NGFW je důležité vědět, co je podstatné, a podle toho zvolit jejich výrobce. Na trhu totiž vidíme dva různé druhy NGFW. Prvním je systém založený proxy, který pro jeho jednoduchost někteří výrobci NGFW využívají. Má relativně jednoduchou metodologii, není to však příliš dobré řešení. Vidíme totiž, že téměř 20 % hrozeb využívá nestandardní porty, takže s takovýmto proxy-based systémem pětinu útoků vůbec nevidíte. V SonicWallu proto používáme analýzu založenou na artefaktech. Nebazírujeme na portech, ze kterých provoz přichází, ale prověřujeme všechny pakety za plného provozu, včetně šifrovaného. Tuto technologii jsme si nechali patentovat před nějakými deseti lety, a takových už máme pro kyberbezpečnost přes 290. Umožňuje nám prověřovat každý IP paket. Když přijde soubor přes IP tunel, začneme jej kontrolovat, ještě než přijde celý, což proxy-based systém neumí. Prohlédneme všechny artefakty každého jednotlivého paketu, porovnáme je s tím, co známe a víme, na čem jsme. Tím se od většiny našich konkurentů lišíme.
Dnes je šifrováno 70 % internetového provozu, což můžete zaznamenat jako zavřený zelený zámek na vašem prohlížeči. Na jednu stranu je to dobře pro hodné hochy, ti špatní však šifrování zneužívají. Když si nepřepnete do režimu provozu DPI SSLI (De-packeting of SSL Inspection), neuvidíte, co se děje v šifrovaném provozu. To je další vrstvou námi dodávaného zabezpečení a je velmi výkonná a velmi rychlá, můžeme díky tomu šifrování SSL ihned rozkrýt za pochodu a poslat nezávadný soubor na koncový bod.
Další námi doporučovanou vrstvou je bezpečnost e-mailů, což je také součástí našeho produktového portfolia, protože 80 % všech útoků začíná v e-mailech. Může to být phishing, nebo odkaz v dokumentu vedoucí na stránku s nežádoucím skriptem, například v životopisech ve Wordu nebo v pdf, které mohou proplout do personálního oddělení. Proto musíte prověřit i e-maily, a pro to máme také úplnou sadu řešení, jak pro on-premise e-mailové servery, tak pro virtuální a hostované.
Sandbox je také něco, co musíte mít, protože signatury ve vašem firewallu jsou jen tak dobré, jak dobře je zná. Signatur jsou jen desetitisíce, zato nových malwarových koktejlů miliony až miliardy. Pro těch několik posledních procent (~ 2 %) malwaru, které nakonec projdou, je sandbox pro jejich detekci také nutný. Nabízíme multi-engine sandbox se třemi různými technologiemi. Sandboxy jsou ale známé už více než pět let, proto je znají i zlí hoši. Ti jsou také stále „lepší“ a umějí detekovat, že je jejich malware v sandboxu, takže zůstane „zticha“. Neuvidíte jej a tento druh hrozeb také stále roste. Proto jsme dali do našeho cloudu technologii RTDMI (Real Time Deep Memory Inspection), která můžeme vidět, co každý jednotlivý soubor vykonává na hardwaru. Není to v pravém slova smyslu technologie sandboxu, funguje úplně jinak, umí ale detekovat každý druh malwaru a on ji naopak nerozezná. Tuto technologii jsme nasadili v našem cloudovém Capture Security Center před rokem a půl a vidíme, jak počet takto detekovaných malwarových útoků roste, což předtím nebylo s žádnou jinou technologií možné. Neuměli jsme to předtím ani my, avšak ani žádný z našich konkurentů.
Otázkou tedy je, co můžeme na útocích vidět? Známe dvě věci. První je „bezsouborový“ malware přicházející s rostoucím vektorem hrozby, který musíme najít, což je velmi těžké, a pro ochranu založenou na signaturách témě nemožné. Stáhne si totiž skript, ten zase další skript, pak nějaký dokument, a nakonec spustitelný soubor, který nemusí být spustitelný z pevného disku. A právě to může SonicWall odhalit jako jediný výrobce s technologií Real Time Deep Memory Inspection, která právě podléhá patentovému řízení. V červenci vydáme o počtu nově detekovaných útocích zprávu, bylo jich za první čtvrtletí 173 tisíc. Odkud přicházejí? Většina z nich je z Ruska. Jde o podvodné, velmi nebezpečné útoky. Měli bychom být na pozoru, jsou na velmi nízké hardwarové úrovni mezi CPU a operační pamětí. Exploit sedí v paměti, není šifrovaný, proto jej může naše technologie RTDMI detekovat. Podobné útoky z Číny také od poloviny roku 2017 každým dnem rostly, naštěstí i je umíme s pomocí RTDMI odhalit.
Vezměme teď v potaz datacentra a účinek postranních útoků ze zálohy odvozených ze zranitelností Meltdown nebo Spectre. Z jednoho počítače se mohou rozšířit do celého datacentra. Na IT úrovni je pak nelze zastavit. Můžete udělat jen dvě věci. Buď zastavit multithreading, což (u procesorů Intel, pozn. red.) znamená 50% snížení výkonu CPU (u procesorů s procesory RISC ještě vyšší, protože zpracovávají více vláken, pozn. red.). Technologie SonicWall RTDMI úroky na zranitelnosti Meltdown a Spectre však odhalit umí.
Poslední vrstvou zabezpečení je nakonec bezpečnost koncových bodů. Někdo říká, že potřebuje jen ji, ale nemá pravdu, protože pro úplnou bezpečnost je třeba co možná nejdokonaleji chránit celou síť a vše v ní, jak jsem popsal výše. Zabezpečení koncových bodů je však také důležité, zejména když jste mimo ni. Například na služební cestě, nebo když pracujete z domova, v hotelu, kavárně, přes veřejnou Wi-Fi, kdekoliv. Naše řešení je velmi jednoduché, lze jej nasadit na dvě kliknutí. Nazýváme jej polštář, airbag, zabezpečení nové generace. Pro detekci útoků zkoumá chování koncové stanice před spuštěním programu a po něm a také využívá strojového učení a umělé inteligence. V současnosti jde o jedno z nejpokrokovějších řešení na trhu.
Nabídku SonicWall doplňuje kompletní soubor managementu s dashboardem, který zobrazuje, jak se chovají všechny vrstvy naší ochrany, od virtuální až po on-premise, se všemi našimi produkty, kromě čistě cloudové ochrany a koncových bodů, a dává o tom raport.
Pro jakou velikost infrastruktury je zabezpečení technologiemi SonicWall vhodné?
Bezpochyby jsme jedničkou v zabezpečení pro segment středně velkých firem SMB, a jak říká analytická společnost Gartner, jsme také na páté pozici v segmentu enterprise. Bezpečnostní řešení SonicWall může škálovat od velmi malého až po velmi velké. Také je důležité zmínit, že veškeré naše produkty byly vyvinuty ve společnosti SonicWall, nic jsme nezískali žádnými akvizicemi, takže má vše i stejné uživatelské rozhraní, od malého po velké.
Jakou podporu poskytujete prodejním partnerům a koncovým zákazníkům?
Náš CEO rád říká, že neprodáváme smažené hranolky, ale kompletní technologie, jejichž nasazení je velmi kritické. Dáváme k nim také plnou podporu našim prodejním partnerům, kteří vědí, co my sami ohledně jejich nasazení a použití víme. Poskytujeme jim k tomu školení SonicWall University. V ní je informujeme o nejnovějších aktualizacích, nejlepších praktikách použití, o tom, co se děje. Když vyjde nějaká nová mutace ransomwaru Wannacry, naši zákazníci budou ochráněni do 24 hodin, což je velmi rychlé škálování ochrany online. Navrch toho naši partneři, kteří dosáhnou jisté úrovně, dostanou školení od našeho technického týmu a certifikaci. Distributoři jako je Entec také každý leden procházejí auditem, jak naše technologie sledují a zda mají potřebné znalosti, aby mohli svoje prodejní partnery podporovat u koncových zákazníků.
