Hála a folyamatos fejlesztéseknek, a tűzfalak megmaradtak a hálózatvédelem legfontosabb elemeinek: követik a hálózati architektúra változásait, és külső adatforrások segítségével hoznak döntéseket. A funkciók gazdagsága miatt nem könnyű megérteni az újgenerációs tűzfalak működését, így azután fontos képességek kerülhetik el az alkalmazók figyelmét.
Hálózatszegmentálás
Hálózatszegmentálásnak azt nevezzük, amikor a fizikai hálózatot több logikai hálózatra osztjuk fel, és minden egyes szegmens úgy viselkedik, mintha külön fizikai hálózat volna. Az egyik szegmens forgalma nem látható másik szegmensből, és nem kerülhet át oda. Ez a megoldás behatolás esetén jelentősen csökkenti a támadási felületet.
Például egy kórház külön szegmensben helyezheti el az orvosi eszközeit, másik szegmensbe kerülhetnek a betegek adatai. Még ha ellenőrzést is szereznének a támadók egy nem megfelelően védett szívpumpa felett, a bizalmas beteginformációkhoz nem fognak hozzáférni.
Fontos megjegyezni, hogy a dolgok internetét (IoT) alkotó eszközök nagy része régi operációs rendszereket használ, eredendően nem biztonságos, s ennek következtében belépési pontként szolgálhatnak a vállalati hálózatba. A dolgok internetének terjedése ezért már önmagában is nyomós ok a hálózatok szegmentálására.
Házirend-optimalizálás
Házirendek és szabályok működtetik a tűzfalakat. A legtöbb biztonsági szakember irtózik attól, hogy eltávolítsa a régebbi házirendeket, mivel nem tudja, hogy azt mikor és miért léptették életbe. Emiatt azután újabb és újabb szabályokat adnak hozzá a rendszerhez, és meg sem kísérlik a házirendek számának csökkentését. Egyes nagyvállalatoknál több milliónyi tűzfalszabály van érvényben, ami feleslegesen növeli a komplexitást, a szabályok ütközésbe kerülhetnek egymással, felügyeletük és frissítésük pedig rengeteg időt vesz igénybe.
A házirend-optimalizálás a meglévő szabályokat alkalmazásalapú szabályokká alakítja át, amelyek attól függően engedélyezik vagy blokkolják a forgalmat, hogy éppen melyik alkalmazás fut. Ez a megoldás úgy növeli az általános biztonságot, hogy csökkenti a támadási felületet, továbbá átláthatóságot biztosít az alkalmazások elérésének engedélyezésekor.
Az optimalizálás azonosítja a portalapú szabályokat, így azok alkalmazásalapú fehérlista-szabályokká alakíthatók, az alkalmazások pedig rendelkezésre állásuk korlátozása nélkül vihetők át portalapú szabály hatálya alól alkalmazásalapú szabály hatálya alá, egyúttal azonosítja a túlprovizionált alkalmazásalapú szabályokat. A házirend-optimalizálás segít annak eldöntésében is, hogy portalapú szabályokat kell-e először migrálni, és elemzi, hogy milyen gyakran használja a rendszer az egyes szabályokat. A portalapú szabályok alkalmazásalapú szabályokká konvertálása javítja az általános vállalati biztonságot, mivel a szervezet megválaszthatja, mely alkalmazásokat tesz fehérlistára, míg az összes többit blokkolhatja.
Bejelentkezési adatok ellopása
Régebben csak a vállalati irodákban használták az alkalmazottak a céges alkalmazásokat. Manapság az irodából, otthonról, akárhonnan hozzáférhetnek a régi programokhoz, az SaaS-appokhoz és más felhős szolgáltatásokhoz. Ez alaposan megnöveli a bejelentkezési adatok ellopásának kockázatát. A Verizon Data Breach Investigations Report című tanulmánya szerint a sikeres hackertámadások 81 százalékát ellopott jelszavakkal vagy gyenge jelszavak feltörésével követték el.
A bejelentkezési adatok ellopásának megakadályozásáért felelő funkció nem engedi, hogy bárki is a vállalati bejelentkezési azonosítóját használja olyan weboldalakon, mint a Facebook vagy a Twitter. A megoldás figyeli, hogy a munkavállalók milyen felhasználónevet és jelszót adnak meg a weboldalakon, majd ezeket összeveti a hivatalos vállalati bejelentkezési azonosítók listájával. Meghatározható, mely webhelyeken engedélyezett a céges bejelentkezési azonosítók megadása, illetve URL alapján blokkolható a hozzáférés egyes webhelyekhez.
Amikor a tűzfal észleli, hogy az alkalmazott korlátozott hozzáférésűnek minősített weboldalon próbálja megadni céges bejelentkezési azonosítóját, blokkoló oldalt jelenít meg, amely vagy megakadályozza a bejelentkezést, vagy figyelmezteti a felhasználót, de végül megengedi a bejelentkezést, ha az alkalmazott ragaszkodik hozzá. A blokkolt oldalakat a biztonságért felelő személyzet testre szabhatja, hogy például figyelmeztesse az alkalmazottakat, ne használják ugyanazokat a bejelentkezési adatokat több (legális) oldalon.
DNS biztonság
Gépi tanulás, analitika és automatizáció együttes alkalmazásával háríthatók el a Domain Name Systemet (DNS-t) kihasználó támadások. Sok vállalat nem védi eléggé a DNS szervereket, így a hackerek át tudják irányítani a felhasználókat az adathalászati célzattal létrehozott weboldalakra. Számos támadás sikere köszönhető annak, hogy a vállalati biztonsági részleg képtelen megállapítani, hogyan érik el a hackerek a szolgáltatást a fertőzött eszközök feletti ellenőrzés megszerzésével. Létezik néhány önálló, mérsékelten hatékony DNS-biztonsági szolgáltatás, de ezek adatok hiányában nem tudják felismerni az összes támadást.
Ha a DNS-biztonságot integrálják a tűzfalakba, gépi tanulás segítségével nagy mennyiségű hálózati adat elemezhető, ami feleslegessé teszi az önálló analitikai eszközöket. A tűzfalba integrált DNS-biztonsági funkció az automatizálásnak és a valós idejű analitikának köszönhetően képes előre jelezni és blokkolni a rosszindulatú doméneket. A gépi tanulási analitika pedig képes semlegesíteni a DNS-tunelling módszert, amely úgy próbál meg kicsempészni adatokat a tűzfalon keresztül, hogy DNS-kéréseken belül rejti el azokat. A DNS-biztonsági funkció ugyancsak megtalálja a rosszindulatú programok parancs- és vezérlőszervereit.
Dinamikus felhasználói csoportok
Létrehozhatók olyan házirendek is, amelyek automatizálják a munkavállalók rendellenes tevékenységeinek orvoslását. Az alapszabály az, hogy az egy csoportba tartozó felhasználók hálózati viselkedésének hasonlónak kell lennie. Feltűnik és behatolásra utal, ha például egy alkalmazott gépére furcsa alkalmazások települnek.
Korábban időrabló feladat volt adott felhasználói csoportot karanténba helyezni, mert minden egyes csoporttagnál külön kellett alkalmazni és betartatni a házirendet. Ezzel szemben a dinamikus felhasználói csoportoknál az anomália észlelése pillanatában a tűzfal olyan házirendet hoz létre, amely a teljes csoportra kiterjed. A teljes csoport állapota frissítődik, nem lesz szükség házirendek manuális elkészítésére és alkalmazására. Például a teljes értékesítési részlegre azonnal automatikusan vonatkozni fog a házirendfrissítés, nem kell az intézkedést az összes érintett felhasználókra egyenként alkalmazni.
Mindig is a kiberbiztonság sarkalatos pontjai voltak a tűzfalak, és azok is maradnak, hiszen az első védelmi vonalat alkotják, és sok támadást megakadályozhatnak, még mielőtt azok behatolnának a vállalati hálózatba. A tűzfalak hatékonyságának maximalizálása azt jelenti, hogy be kell kapcsolni a fejlett funkciókat, amelyek közül néhány már évek óta rendelkezésre áll, de különféle okokból nem használják azokat.
