Что такое Unified Threat Management?

Единая система управления угрозами (Unified Threat Management, UTM) — это решение, объединяющее несколько функций или сервисов безопасности в одно устройство сети. Благодаря UTM пользователи вашей сети защищаются несколькими различными функциями, включая антивирусную программу, фильтрацию контента, электронной почты и веб-сайтов, защиту от спама и многое другое.

UTM позволяет организации консолидировать свои ИТ-службы безопасности на одном устройстве, что потенциально упрощает защиту сети. Благодаря этому решению ваш бизнес может отслеживать все угрозы и связанные с безопасностью действия из одного окна. Таким образом, вы получаете полную и упрощенную видимость всех элементов вашей архитектуры безопасности или беспроводной архитектуры.

Идеальная система UTM должна обладать определенными функциями.

В UTM включена антивирусная программа, которая может контролировать вашу сеть, а затем обнаруживать и предотвращать повреждение вашей системы или ее подключенных устройств вирусами. Это делается путем использования информации в базах данных подписей, которые представляют собой хранилища, содержащие профили вирусов, для проверки активности в вашей системе или попытки получить доступ. 

В список угроз, которые может остановить антивирусное программное обеспечение UTM, входят зараженные файлы, программы-трояны, черви, шпионское ПО и другое вредоносное ПО.

UTM защищает вашу сеть от вредоносного ПО путем его обнаружения и реагирования на него. UTM можно предварительно настроить для обнаружения известного вредоносного ПО, отфильтровывая его из потоков данных и блокируя его проникновение в систему. UTM также можно настроить для обнаружения нового вредоносного ПО с помощью эвристического анализа, который состоит из правил, анализирующих поведение и характеристики файлов. Например, если программа предназначена для нарушения работы камеры компьютера, эвристический подход может отметить ее как вредоносное ПО.

UTM также может использовать «песочницу» в качестве средства защиты от вредоносного ПО. При использовании «песочницы» она ограничивает ячейку внутри компьютера, которая захватывает подозрительный файл. Несмотря на то, что вредоносное ПО продолжает работать, «песочница» предотвращает его взаимодействие с другими программами на компьютере.

Брандмауэр может сканировать входящий и исходящий трафик на наличие вирусов, вредоносного ПО, фишинговых атак, спама, попыток проникновения в сеть и других угроз информационной безопасности. Поскольку брандмауэры UTM исследуют данные, поступающие и исходящие из вашей сети, они также могут предотвратить использование устройств в вашей сети для распространения вредоносного ПО в других сетях, которые подключаются к ней.

UTM-система может предоставить организации возможность предотвращения вторжений, которая затем обнаруживает атаки. Эта функция часто называется системой обнаружения вторжения (IDS) или системой предотвращения вторжения (IPS). Для выявления угроз IPS анализирует пакеты данных и ищет закономерности, которые могут существовать в угрозах. При распознавании одного из этих шаблонов IPS прекращает атаку. 

В некоторых случаях IDS просто обнаруживает опасный пакет данных, и ИТ-отдел сможет выбрать способ устранения угрозы. Действия, предпринятые для остановки атаки, могут быть автоматизированы или выполнены вручную. UTM также регистрирует вредоносное событие. Эти журналы затем могут быть проанализированы и использованы для предотвращения других атак в будущем.

Функции виртуальной частной сети (VPN), которые содержит UTM, работают аналогично обычной инфраструктуре VPN. VPN создает частную сеть, которая предоставляет туннель через общедоступную сеть, чтобы у пользователей была возможность отправлять и получать данные через нее, оставаясь незамеченными. Все передачи зашифрованы, поэтому даже если кто-то перехватывает данные, они будут бесполезны.

Функция веб-фильтрации UTM может помешать пользователям видеть определенные веб-сайты или унифицированные указатели ресурса (URL). Это достигается путем предотвращения загрузки страниц с этих сайтов браузерами пользователей на их устройства. Веб-фильтры можно настроить для определенных сайтов в соответствии с целями вашей организации. 

Например, если вы хотите, чтобы сотрудники не отвлекались на определенные сайты социальных сетей, вы можете предотвратить загрузку этих сайтов на их устройства, когда они подключены к вашей сети.

Функция UTM, предоставляющая защиту от потери данных, позволяет обнаруживать утечки данных и попытки их удаления, а затем предотвращать их. Для этого защита от потери данных отслеживает конфиденциальные данные, и когда злоумышленник пытается их украсть, блокирует попытку.

Несмотря на то, что на первый взгляд, может показаться, что различия между брандмауэрами следующего поколения (NGFW) и UTM семантические, они зависят от того, какой NGFW вы используете. Бесспорно, оба решения обеспечивают защиту сети. Однако при использовании UTM существует вероятность того, что вы получаете услуги, которые вам не нужны. Интеграция с текущей сетью может потребовать дополнительной работы. Это также может привести к трудным решениям и сложному процессу настройки, поскольку вам потребуется объединить функции UTM с уже имеющимися функциями или определить, какое решение лучше.

При использовании NGFW же, например такого как Fortinet FortiGate, вы можете включить необходимые вам функции, что делает его комплексным решением UTM. И наоборот, вы можете использовать его только в качестве брандмауэра или активировать некоторые средства защиты, но не все. Например, если у вас есть FortiGate и вы решили использовать его полностью, то он также будет работать как система UTM.

Еще одно отличие заключается в том, что NGFW является эффективным решением для крупных предприятий, в то время как стандартная UTM может быть перегружена требованиями предприятия.

Компания Fortinet предлагает несколько решений, которые обеспечивают организациям защиту, аналогичную той, которую предоставляет UTM. FortiGate — это NGFW со всеми возможностями UTM. Решение FortiGate поддерживает функции защиты от вредоносного ПО, позволяющие сканировать входящий и исходящий сетевой трафик на наличие подозрительных файлов. Кроме того, Fortinet UTM оснащена системой защиты от проникновения в сеть, которая защищает сеть от атак, пытающихся получить опору внутри сети. Если вредоносный элемент попытается использовать уязвимость в вашей системе безопасности, система предотвращения вторжения FortiGate может обнаружить атакующую активность и остановить ее на своем пути.

Решение FortiGate также оснащено программным обеспечением для предотвращения утечек данных, которое позволяет обнаруживать потенциальные утечки и попытки удаления. Решение FortiGate отслеживает активность вашей сети, затем при обнаружении утечки данных оно блокирует ее, защищая конфиденциальные данные. Такие меры могут защитить данные на оконечных устройствах в сетевом трафике и на устройствах хранения.

Помимо решения FortiGate, Fortinet предлагает обширный набор продуктов, которые можно использовать для обеспечения комплексной защиты всех аспектов сети.