CiscoのファイアウォールがCyberRatingsから"注意"評価

いつもご覧いただきありがとうございます。

この記事は、2024年6月27日のSDxCentralの以下の記事を意訳したものになります。意訳後に記事に関する考察を述べています。

Cisco’s enterprise firewall receives ‘caution’ rating from CyberRatings
CiscoのエンタープライズファイアウォールがCyberRatingsから「注意」評価を受ける

CiscoがCyberRatingsから"注意"評価

CyberRatings.orgは、サイバーセキュリティ製品とサービスに対する信頼を提供するための研究とテストプログラムに専念する非営利団体です。

最近のCyberRatingsのテストで、Cisco の Firepower 2130 Threat Defense v7.3.1ファイアウォールは"注意"（Caution）の評価を受けました。これは、市場をリードする他の7つのエンタープライズファイアウォール製品が得た”推奨”（Recommended）」評価とは非常に対照的です。

非営利団体のテストラボであるCyberRatingsは、主要メーカーのエンタープライズファイアウォール 8 製品を対象に広範な評価を実施しました。8 製品とは、Check Point、Cisco、Forcepoint、Fortinet、HPE Juniper Networks、Palo Alto Networks、Sangfor、Versa Networks になります。

これらのベンダーはそれぞれ、約10Gb/sのスループットを持つエンタープライズファイアウォール製品をCyberRatingsに提出しました、とCyberRatingsの会長兼CEOであるVikram Phatak氏はSDxCentralに語りました。

目的は、信頼されたネットワークを未信頼のネットワークから保護しながら、許可された通信を許可するこれらのファイアウォールの有効性を評価することでした。テスト結果は、テストされたファイアウォールの保護率、評価されたスループット、保護されたMbpsあたりの価格を明らかにしました。

CyberRatingsの評価結果は以下です。

Check PointのQuantum Force 19200 plus R81.20ファイアウォールは98.41%の保護率、12,281 Mbpsのスループット、保護されたMbpsあたり$11.28のコスト効率を持っています。

Forcepoint 3410次世代ファイアウォール（NGFX）バージョン7.1.1ビルド29059は、96.89%の保護率、14,961 Mbpsのスループット、保護されたMbpsあたり$7.93のコストがかかります。

FortinetのFortiGate-900G v7.4.4は、98.21%の保護率、14,096 Mbpsのスループット、保護されたMbpsあたり$3.25の経済的なコストを提供します。

Juniper NetworksのSRX4600 JUNOS 22.4X3.1は、99.54%の保護率、7,772 Mbpsのスループット、保護されたMbpsあたり$13.74のコストです。

Palo Alto NetworksのPA-450 v11.1.1は96.36%の保護率、1,026 Mbpsのスループット、保護されたMbpsあたり$6.52のコストです。

Sangfor NGAF 5300 AF 8.0.85.1029 Build 20240423は97.48%の保護率、5,719 Mbpsのスループット、保護されたMbpsあたり$1.57の経済的なコストを持っています。

Versa Networks CSG5000 versa-flexvnf-22.1.4-Bは99.87%の保護率、15,811 Mbpsのスループット、保護されたMbpsあたり$2.15の経済的なコストを持っています。

CiscoのエンタープライズファイアウォールがCyberRatingsから「注意」評価を受ける

Ciscoのファイアウォールが"注意"評価を受けた理由

テストされた8つのファイアウォールの中で、Csico のFirepower 2130 Threat Defense v7.3.1（ビルド19）ファイアウォールは、CyberRatingsのテストで唯一"注意"評価を受けました。
報告によると、37.01%の低い保護率、1,040 Mbpsの評価されたスループット、保護されたMbpsあたり$77.34のコストでした。

Phatak氏は、この Cisco のファイアウォールが2つの重要な側面、つまり暗号化と回避に苦労していることを指摘しました。これらは評価で大きく重視される主要な指標の2つです。

「暗号化は重要な要素であり、現在80%のウェブトラフィックが暗号化されているため、ウェブトラフィックを解読しないと見えなくなります」と彼は述べ、企業がファイアウォール内の機能を有効にするよう促しました。解読はデフォルトでは有効ではありません。

回避技術に関しては、脅威アクターがそれらを使用して攻撃を偽装し、セキュリティ製品による検出を避けるために攻撃を変更します。「ある種類の回避を見逃すと、ハッカーはセキュリティ製品を回避するための全クラスのエクスプロイトを使用できる」と述べました。

良好なネイティブブロック率にもかかわらず、Cisco のFirepower 2130 Threat Defense v7.3.1ファイアウォールは「100以上の回避を見逃し、それをすべてまとめると、攻撃者がシステムを突破する多くの方法があることを意味しました」とPhatak氏は述べました。

彼はさらに、Cisco がこれらの問題を認識していることを指摘しました。「彼らが直面している課題の1つは、必ずしも人材や技術がないわけではなく、企業の組織構造の運営方法によって非常に制約を受けていることです」と述べました。

現在 Cisco のFirepower 2130 Threat Defense v7.3.1ファイアウォールを使用している企業に対して、Phatak氏はレポートの推奨製品の1つに置き換えるか、現行システムの調整を検討するよう提案しています。回避に対する性能を向上させることは挑戦的ですが必要なステップであり、アンチエベーション防御を有効にする方法を見つけることが重要です。

エンタープライズファイアウォール購入者への重要なポイント Phatak氏はエンタープライズファイアウォールの購入者に対し、このCyberRatingsレポートを製品選定のショートリストとして使用することを勧めています。

「ベンダーと話し、その製品を見てみてください。ユーザーインターフェースが気に入るかどうか、どのようなサポート契約を提供してくれるのか、どのようなプロフェッショナルサービスがあるのか、その他の製品は何があるのかを確認してください」と提案しています。

ファイアウォールの選択は、製品の単独の能力だけでなく、他のセキュリティ能力やプラットフォーム、例えばゼロトラストネットワークアクセス（ZTNA）やセキュリティサービスエッジ（SSE）との統合の良さも考慮する必要があります。

6月28日更新：Csico は、エンタープライズファイアウォール製品をCyberRatingsに提出してテストを受けたことを否定しました。Csico のスポークスパーソンはSDxCentralに対し「シスコは広範なセキュリティ研究コミュニティと積極的に協力しており、これらの関係を顧客のセキュリティ確保に不可欠だと考えています。残念ながら、今回のテストに提供する製品は古いファイアウォールモデルと旧バージョンのソフトウェアを使用しており、テストの詳細や結果については一切関与していませんでした」と述べました。

と、以上が SDxCentral の記事の意訳になります。

この記事に関する考察

Ciscoのファイアウォールが他と比較して、飛ぶ抜けて低い評価”注意”となりました。
オンプレミスの３大ファイアウォール Cisco、Fortinet、Palo Alto Networks のひとつである Cisco が有名なCyberRatingsから"注意"評価とは正直なところ驚きです。

ご存知の通り、現在 Web通信の大半はHTTPSで暗号化されており、ファイアウォールで通信の中身をチェックするには、暗号されたトラフィックの復号化する処理が必須になります。
この復号化処理がCiscoのファイアウォールではデフォルトでOffになっているとのことで、お客様で復号化のOnをせずに利用されている場合には、通信の大半はチェックされていないと言うことになります。
ちなみに、ランサムウェアについても、感染した場合に外部のC&Cサーバとの通信を行い不正なプログラムをダウンロードするのですが、この通信についてももちろんHTTPSで暗号化されていますので、復号化処理が行われていなければ、容易にランサムウェア被害を拡大させるということになります。

そもそもオンプレミスのセキュリティ機器（UTMやProxyなど）では、このような暗号化通信を復号化しセキュリティ検査を行う、いわゆる「TLS（SSL）インスペクション」の性能上限がある場合が殆どです。
特に、古い機器をお使いのお客様では、数十Ｍbps、数百ＭbpsしかTLSインスペクションできないため、TLSインスペクションをしていない（できない）ケースも散見されます。TLSインスペクションをOnにするとレスポンスが劣化し、エンドユーザからクレームが来るため。

今回の記事は、10Gbpsのスループットで、TLSインスペクションを実行するのは、Ciscoを含めて非常に困難であるということを示しています。また、10Gbpsのスループットのファイアウォールは、もちろんですが、非常に高価になります。

境界型防御や、データセンター集約型のネットワークアーキテクトを採用している企業は、このようなファイアウォールや通信機器を、1Gbps→10Gbpsと、どんどん増速していく必要があるので大変です。

境界型防御や、データセンター集約型アーキテクトは、すでにレガシーです。非常に非効率であり、コストパフォーマンスも悪いです。

クラウドサービスの利⽤の増加、リモート ワーク・ハイブリッドワークの増加、ゼロトラストアーキテクト採用の⾼まりにより、SASE（Secure Access Service Edge、サッシー）に対するニーズが爆発的に増加しています。

サーバのクラウド移行、ネットワーク・セキュリティのSASEへの移行により、境界型防御をやめ、さらにデータセンター利用をやめる企業も増えてきています。

そろそろオンプレミスのセキュリティ機器を増強し続けるのはやめて、SASEの検討をされてはどうでしょうか？
SASEについては、以下の記事をご覧ください。