Kaspersky Industrial CyberSecurity for Nodes представляет собой средство антивирусной защиты серверов, рабочих станций оператора и инженерных станций в автоматизированных системах управления технологическими процессами (АСУ ТП) от информационных угроз. KICS for Nodes обеспечивает защиту как от внутреннего, так и от внешнего нарушителя и покрывает основные типы угроз для рабочих станций и серверов в технологической сети АСУ ТП. Программное обеспечение ведет контроль подключаемых устройств, запускаемых приложений и соединений с сетями Wi-Fi, контролирует целостность файлов и папок, анализирует события системных журналов Windows, защищает от вредоносных программ, шифровальщиков и вирусных эпидемий, а также проверяет проекты программируемых логических контроллеров (ПЛК) на целостность. ВведениеОсновные составляющие Kaspersky Industrial CyberSecurity for NodesУстановка и предварительная настройка Kaspersky Industrial CyberSecurity for NodesРабота с консолью Kaspersky Industrial CyberSecurity for Nodes4.1. Настройка доверенной зоны с помощью Kaspersky Industrial CyberSecurity for Nodes4.2. Управление задачами Kaspersky Industrial CyberSecurity for Nodes4.3. Постоянная защита промышленных рабочих станций оператора с помощью Kaspersky Industrial CyberSecurity for Nodes4.4. Постоянная защита промышленной сети с помощью Kaspersky Industrial CyberSecurity for Nodes4.5. Контроль активности рабочих станций в промышленной сети с помощью Kaspersky Industrial CyberSecurity for Nodes4.6. Диагностика системы с помощью Kaspersky Industrial CyberSecurity for Nodes4.7. Обновление баз и модулей Kaspersky Industrial CyberSecurity for NodesВыводы ВведениеВ наши дни восприятие АСУ ТП как чего-то априори защищенного и недоступного для других извне является большим заблуждением. Исследование «Лаборатории Касперского» подтверждает это и, более того, явно показывает, что в промышленной инфраструктуре основными векторами распространения вредоносных программ являются интернет, съемные носители и электронная почта.В то же время использование традиционного корпоративного антивируса в производственной среде способно вызвать ряд потенциальных проблем. К их числу можно отнести, например, следующие: отсутствие поддержки старых операционных систем, необходимость выполнять перезагрузку операционной системы после установки и обновления антивируса, высокое потребление ресурсов защищаемой системы, которое может привести к ее отказу; повышение вероятности ложного срабатывания из-за специфичности защищаемых ресурсов; несовместимость корпоративных систем обнаружения вторжений (IDS) с промышленными протоколами, необходимость подключения к облачным репутационным базам. Предотвращая негативное воздействие на защищаемую систему, эксплуатанты таких средств защиты иногда просто отключают компоненты антивирусной программы, поскольку она видит в некоторых составляющих АСУ ТП признаки вредоносных объектов. Названные недостатки определяют потребность в том, чтобы защищать рабочие станции и серверы, используемые в промышленном сегменте (далее — «промышленные компьютеры») с помощью специализированного программного обеспечения, которое не только адаптировано к работе в подобной среде, но и способно обеспечить передовое качество защиты производственных узлов от вредоносного и неправомерного воздействия, не допустив при этом ложных срабатываний.Программное обеспечение от «Лаборатории Касперского» под названием «Kaspersky Industrial CyberSecurity for Nodes» (далее — KICS for Nodes) закрывает вышеуказанные потребности. Оно представляет собой промышленный антивирус для защиты серверов и рабочих станций в АСУ ТП, который в сравнении с обычным корпоративным антивирусом потребляет меньше системных ресурсов, поддерживает возможность установки, обновления и удаления без перезагрузки, работы в полностью неблокирующем режиме, а также обнаружения угроз нулевого дня. Основные составляющие Kaspersky Industrial CyberSecurity for NodesПротиводействие угрозам безопасности серверов и рабочих станций в промышленных системах с помощью KICS for Nodes осуществляется на основе контроля и проверки рабочих станций, а также ряда дополнительных компонентов.Контроль рабочих станций включает следующие функции и технологии:контроль запуска программ;контроль запоминающих устройств и CD/DVD-дисководов;контроль подключения к сетям Wi-Fi;проверку целостности проектов программируемых логических контроллеров (ПЛК), используемых в промышленной сети.Проверка и защита рабочих станций осуществляется с помощью следующих компонентов:файловый антивирус (постоянно находится в оперативной памяти рабочей станции и проверяет все открываемые, сохраняемые и запускаемые файлы);управление брандмауэром Windows (позволяет настраивать сетевой экран Windows, управлять политиками и блокировать любые возможности настройки брандмауэра извне);защита от шифрования (позволяет обнаруживать и блокировать активность, связанную с вредоносным шифрованием сетевых файловых ресурсов на защищаемой рабочей станции со стороны корпоративной сети);мониторинг файловых операций (имеет особую значимость в АСУ ТП, так как любое изменение в файлах может говорить о нарушении режима безопасности);анализ журналов (отвечает за контроль целостности защищаемой среды, изучая журналы событий Windows).Помимо основных компонентов, обеспечивающих защиту промышленных рабочих станций от информационных угроз, KICS for Nodes содержит ряд служебных функций, предусмотренных для того, чтобы поддерживать защиту в актуальном состоянии, расширять возможности использования продукта, оказывать помощь в работе. К их числу относятся:отчеты, предоставляющие статистику касающуюся защищаемых устройств, а также выборки событий, содержащие кастомизированные списки событий и всех выполненных программой операций;управление карантином (содержит потенциально опасные файлы или вирусы), резервным хранилищем (в него помещаются копии вылеченных и удаленных файлов);защита от эксплуатации процессов Windows с помощью Агента защиты, внедряемого в них;блокировка удаленных рабочих станций, которые пытаются получить доступ к общим сетевым ресурсам, при обнаружении вредоносной активности с их стороны;доверенная зона, представляющая собой список исключений из области защиты или проверки, подготовленный администратором KICS for Nodes;поддержка, включающая доступ к обновлению баз и модулей KICS for Nodes, а также консультации специалистов по телефону и электронной почте по вопросам, связанным с установкой, настройкой и использованием программного обеспечения.KICS for Nodes может взаимодействовать с Kaspersky Security Center (или KSC) – утилитой, которая используется как единая точка мониторинга и управления решениями «Лаборатории Касперского».Также существует возможность подключения к Kaspersky Security Network (KSN) — облачной базе данных, в которой хранится общедоступная информация о репутации файлов, веб-ресурсов и программного обеспечения от всех узлов, на которых установлены средства защиты «Лаборатории Касперского». Поскольку работа с KSN требует наличия доступа в интернет, а в промышленных инфраструктурах подобное встречается крайне редко, есть возможность использования локальной облачной репутационной базы (Kaspersky Private Security Network, или KPSN). Установка и предварительная настройка Kaspersky Industrial CyberSecurity for NodesУстановка KICS for Nodes может выполняться как из сервера администрирования Kaspersky Security Center, так и с помощью отдельного установочного файла, который включает основные и вспомогательные компоненты: консоль, плагин управления, обеспечивающий интеграцию с KSC для централизованного администрирования KICS for Nodes, утилиту Kaspersky Virus Removal Tool, предназначенную для предварительной проверки и лечения зараженных рабочих станций под управлением операционных систем семейства Microsoft Windows до начала установки KICS for Nodes, а также комплект документации. Рисунок 1. Начальное окно установки KICS for Nodes  Первым инсталлируемым компонентом является само программное обеспечение KICS for Nodes. Можно выбрать определенную функциональность компонента. Основные составляющие будут более подробно рассмотрены ниже. Рисунок 2. Окно выбора компонентов установки KICS for Nodes  Таблица 1. Рекомендуемые аппаратные и программные требования к установке KICS for NodesПроцессорPentium 3 — для 32-разрядных операционных систем Microsoft Windows;Pentium 4 — для 64-разрядных операционных системОперативная память256 МБ — при установке компонента «Контроль запуска программ» на устройстве под управлением 32-разрядных операционных систем Microsoft Windows XP Embedded / Windows XP / Windows Embedded POSReady 2009;512 МБ — при установке всех компонентов программного обеспечения на устройстве под управлением 32-разрядных операционных систем Microsoft Windows XP Embedded / Windows XP / Windows Embedded POSReady 2009;1 ГБ — при установке всех компонентов программного обеспечения на устройстве под управлением других 32-разрядных операционных систем Microsoft Windows;2 ГБ — при установке всех компонентов программного обеспечения на устройстве под управлением 64-разрядных операционных систем Microsoft WindowsСвободный объем на жестком дискеДля установки компонента «Контроль запуска программ» — 50 МБ; для установки всех компонентов Kaspersky Industrial CyberSecurity for Nodes — 500 МБОперационные системыWindows XP Professional SP2 и выше x86; Windows Vista SP2 x86/x64; семейство Windows 7: Professional x86/x64, Enterprise / Ultimate x86/x64, Professional SP1 и выше x86/x64, Enterprise / Ultimate SP1 и выше x86/x64; семейство Windows 8: Pro x86/x64, Enterprise x86/x64, 8.1 Pro / Enterprise x86/x64; семейство Windows 10: Pro x86/x64, Enterprise x86/x64, Redstone 1 / Redstone 2; серверные операционные системы Windows Server: 2003 Standard/Enterprise SP2 и выше x86/x64, 2008 Standard / Enterprise SP1 и выше, 2008 R2 Standard / Enterprise, 2008 R2 Standard / Enterprise SP1, 2012 Essentials / Standard / Foundation / Datacenter x64, 2012 R2 Essentials / Standard / Foundation / Datacenter x64, 2016; встраиваемые системы: Windows XP Embedded x86, Windows Embedded Standard 7 x86/x64, Windows Embedded 8.1 Industry Pro x86/x64, Windows Embedded 8.0 Standard x86/x64Индустриальные системы (ПЛК)Siemens™ SIMATIC™ series S7-300, Siemens SIMATIC series S7-400, Schneider Electric Modicon M340, Schneider Electric Modicon M580 Стоит отметить, что с помощью KICS for Nodes осуществляется контроль состояния безопасности промышленных компьютеров. В случае возникновения инцидента информационной безопасности на защищаемом устройстве его статус защищенности изменяется. Статус защищенности устройства отображается в Kaspersky Security Center. Информация об изменении статуса также может передаваться в SCADA-систему. Специальная утилита Kaspersky Security Gateway в данном случае выступает промежуточным звеном, соединяющим Kaspersky Security Center со SCADA-системой. В данном случае требуется настроить в SCADA-системе получение информации об угрозах. Обмен информацией о состоянии АСУ ТП осуществляется с помощью Kaspersky Security Gateway по протоколу OPC 2.0 DA или IEC 60870-5-104.Таким образом, становится возможным создать процедуру работы с инцидентами ИБ, позволяющую оперативно реагировать на обнаруженные угрозы даже в условиях недостаточного количества специалистов по информационной безопасности. Типовой сценарий интеграции KICS for Nodes и SCADA-системы выглядит следующим образом: на SCADA-системе программируется «сигнальная лампа», которая отображает статус защищенности промышленных машин на объекте. В случае возникновения инцидента «сигнальная лампа» меняет свой цвет (например, на «красный»), что сообщает оператору о необходимости вызвать специалиста по информационной безопасности. Рисунок 3. Пример интеграции KICS for Nodes с HMI SCADA-системы. «Сигнальная лампа»  Рисунок 4. Пример интеграции KICS for Nodes с HMI SCADA-системы. Информация о статусе защищенности устройств  Перед рассмотрением основной функциональности необходимо представить типовую схему развертывания KICS for Nodes, где оно является одним из компонентов комплексного решения Kaspersky Industrial CyberSecurity, также включающего модули KICS for Networks, Kaspersky Security Gateway и Kaspersky Security Center. Рисунок 5. Пример развертывания KICS for Nodes в составе комплексного решения KICS  KICS for Nodes устанавливается на узле производственной сети, защищает промышленные компьютеры от киберугроз, неправомерных воздействий, а также контролирует целостность прошивок на ПЛК, включенных в область проверки. Кроме этого, оно отслеживает инциденты безопасности и передает их в консоль KICS for Nodes и сервер администрирования KSC для обработки сотрудником, наблюдающим за безопасностью технологического процесса на предприятии, а также специалистом по ИБ.Управление задачами и функциональными возможностями KICS for Nodes может осуществляться как из сервера администрирования KSC, так и из консоли KICS for Nodes. В данном обзоре будет рассмотрена работа с консолью KICS for Nodes. Работа с консолью Kaspersky Industrial CyberSecurity for NodesКонсоль KICS for Nodes представляет собой средство управления доступной функциональностью, которое может быть установлено как на защищаемой рабочей станции, так и на другом узле в сети организации.Настройка доверенной зоны с помощью Kaspersky Industrial CyberSecurity for NodesДоверенная зона является списком исключений из области защиты или антивирусной проверки, который формируется вручную или из предустановленных шаблонов (записи, рекомендованные Microsoft и «Лабораторией Касперского»). В доверенную зону можно включать как файлы, так и процессы (в том числе и процессы резервного копирования). Рисунок 6. Настройка доверенной зоны в консоли KICS for Nodes  Исключения содержат объекты, указанные по их местоположению. В KICS for Nodes реализована поддержка маски not-a-virus, которая позволяет пропускать во время проверки легальные программы и веб-ресурсы.Вкладка «Доверенные процессы» содержит работающие процессы, которые необходимо исключить из задач антивирусной проверки.Опция «Операции резервного копирования» позволяет исключить из проверки действия по чтению файлов, если эта активность осуществляется установленными на рабочей станции средствами резервного копирования.Управление задачами Kaspersky Industrial CyberSecurity for NodesВ виде задач в KICS for Nodes реализованы следующие функции: постоянная защита, проверка по требованию, контроль запуска программ, контроль устройств, контроль подключения к сетям Wi-Fi, управление сетевым экраном Windows, защита от шифрования, мониторинг файловых операций (контроль целостности файлов и папок), анализ системных журналов Windows, контроль целостности проектов ПЛК и обновление. Также задачи делятся на локальные и групповые. Стоит отметить, что они поддерживают гибкую настройку различных прав доступа для их запуска, а также старт / приостановку / возобновление / завершение по расписанию.KICS for Nodes поддерживает экспорт в конфигурационный файл и импорт из него всех своих параметров. Такой конфигурационный файл можно использовать в качестве шаблона и/или резервной копии настроек KICS for Nodes. При управлении KICS for Nodes с помощью Kaspersky Security Center возможно создать иерархию политик, содержащих параметры работы продукта. В этом случае параметры родительской политики наследуются дочерними политиками.Постоянная защита промышленных компьютеров с помощью Kaspersky Industrial CyberSecurity for NodesДанный модуль включает защиту файлов, противодействие вредоносным программам, вирусным эпидемиям и эксплуатации уязвимостей, а также компонент «Использование KSN».Компонент «Постоянная защита файлов» предназначен для проверки антивирусным ядром объектов, к которым происходит обращение во время работы компьютера. KICS for Nodes проверяет файл на наличие угроз и в зависимости от настроек может оповещать о найденной угрозе, не совершая блокирующих действий и не удаляя потенциально вредоносный файл, либо блокировать подозрительный объект не удаляя его, либо выполнять стандартные действия (лечение, перемещение на карантин или удаление). Настройки задачи позволяют использовать один из предустановленных профилей защиты или настроить свой профиль защиты, подходящий под требования отдельной компании. Программа проверяет не только файлы, но и те объекты, которые потенциально могут содержать признаки вредоносной активности: альтернативные потоки файловых систем (NTFS streams), главную загрузочную запись и загрузочные секторы локальных жестких дисков и внешних устройств, а также файловые операции, которые исполняются в контейнерах Windows Server 2016 (изолированная среда, где программное обеспечение может работать без взаимодействия с операционной системой). В связи с тем, что компоненты данной задачи для каждой системы индивидуальны, в KICS for Nodes существует ряд изменяемых параметров: область защиты, уровень безопасности, режим защиты объектов, уровень тщательности проверки эвристическим анализатором, применение доверенной зоны, использование служб KSN, расписание запуска задачи, а также возможность блокировки компьютеров, с которых ведется вредоносная активность.Возможность блокирования компьютеров (например, при пересылке вредоносных программ) позволяет избежать вирусных эпидемий. Важно отметить, что описанная функциональность дает возможность блокировать SMB-сессию, препятствуя распространению злонамеренных программ через сетевые папки промышленных компьютеров, в то время как связь по остальным протоколам остается неизменной. Это позволяет сохранить работоспособность SCADA-системы, так как не нарушается взаимодействие между HMI и SCADA-сервером. Блокировка компьютеров, с которых ведется вредоносная активность, опциональна и зависит от пожеланий заказчика. Рисунок 7. Настройка компонента «Постоянная защита файлов» в консоли KICS for Nodes  Компонент «Использование KSN» (Kaspersky Security Network) позволяет получить оперативные данные о проверяемых объектах. KSN – это совокупность онлайн-служб, предоставляющих доступ к базе знаний «Лаборатории Касперского», информация из которой существенно повышает эффективность работы компонентов KICS for Nodes, увеличивает скорость реакции на неизвестные угрозы, а также помогает выявить источники их возникновения. Для обращений к KSN необходимо предоставить доступ в интернет. В промышленных инфраструктурах доступ в интернет часто отсутствует; специально для защиты закрытых контуров разработана локальная версия KSN – Kaspersky Private Security Network (KPSN). KPSN располагается локально на площадке заказчика и не передает данные за пределы его инфраструктуры. Рисунок 8. Настройка компонента «Использование KSN» в консоли KICS for Nodes  Компонент «Защита от эксплойтов» представляет собой внешний агент, динамически подгружаемый модуль, который внедряется в защищаемые процессы и решает задачи по контролю их целостности, сводя к минимуму возможность эксплуатации уязвимостей в них. Если обнаружены признаки атаки эксплойта на защищаемый процесс, KICS for Nodes выполняет определенную операцию: завершает его или сообщает о факте компрометации. Рисунок 9. Настройка компонента «Защита от эксплойтов» в консоли KICS for Nodes  В связи с популярностью вредоносной криптографии в KICS for Nodes реализован компонент «Защита от шифрования», который проверяет обращения удаленных машин к файлам, расположенным в общих сетевых папках защищаемой рабочей станции. Если в действиях удаленного узла обнаружены признаки злонамеренного шифрования, программа блокирует его доступ к общим сетевым папкам на указанное в настройках KICS for Nodes время. Так же, как и в работе компонента постоянной защиты, блокировке подвергаются только SMB-сессии, а связь по другим протоколам не нарушается. Рисунок 10. Настройка компонента «Защита от шифрования» в консоли KICS for Nodes  Проверка целостности прошивок ПЛК с помощью Kaspersky Industrial CyberSecurity for NodesВ функцию защиты промышленной сети входит проверка целостности проектов программируемого логического контроллера. Проект ПЛК представляет собой микропрограмму, хранящуюся в памяти контроллера и выполняющуюся в рамках технологического процесса.Для работы данной функции необходимо сначала получить сведения об имеющихся ПЛК. После успешного подключения к контроллеру информация о его проекте будет принята за эталонную. В дальнейшем контрольная сумма проекта ПЛК будет сравниваться с эталонной моделью. Рисунок 11. Настройки получения данных о проектах ПЛК в консоли KICS for Nodes  После успешной инвентаризации ПЛК следует настройка параметров задачи: учетной записи, с которой будет осуществляться проверка, расписания и интервала опроса, области защиты. Рисунок 12. Настройка задачи «Проверка целостности проектов ПЛК» в консоли KICS for Nodes Контроль активности рабочих станций с помощью Kaspersky Industrial CyberSecurity for NodesВ связи с тем, что программное обеспечение АСУ ТП отличается от традиционного, а риски, связанные с нарушением работы промышленного объекта, несоизмеримо высоки, традиционные подходы к защите офисных машин не подходят для обороны промышленных компьютеров. В KICS for Nodes существует функциональность, которая позволяет в автоматическом режиме контролировать запуск программ, работу сетевого экрана Windows и беспроводные соединения, а также отслеживать подключаемые по USB внешние устройства.Компонент «Контроль запуска программ» работает по принципу белого списка и автоматически оповещает и/или блокирует (в зависимости от настроек) запуск приложений, которые в нем не содержатся. Старт какой-либо программы также можно разрешить на основании репутации в KSN. Рисунок 13. Настройка правил контроля запуска программ в консоли KICS for Nodes  Компонент содержит следующие параметры:режим работы задачи («статистический», при котором KICS for Nodes не будет блокировать запуск программ, даже если они не содержатся в белом списке, но будет формировать соответствующее сообщение, и «активный», который позволяет использовать только приложения, содержащиеся в белом списке);область применения правил (исполняемые файлы, скрипты и MSI-пакеты, DLL-модули);использование Kaspersky Security Network (привлекать или не привлекать данные о репутации программ из KSN);элемент «Контроль пакетов установки», который позволяет осуществлять инсталляцию программ и обновлений без необходимости перенастраивать белый список приложений;возможность запретить запуск командных интерпретаторов без исполняемых команд. Рисунок 14. Настройка компонента «Контроль запуска программ» в консоли KICS for Nodes  Компонент «Контроль устройств» управляет использованием внешних носителей информации, защищая рабочую станцию от угроз безопасности, возникающих по причине использования неразрешенных устройств, подключаемых через USB-разъем: флеш-накопителей или внешних приводов другого типа (например, считывателей гибких дисков или мобильных устройств MTP). Рисунок 15. Настройка правил контроля устройств в консоли KICS for Nodes  При попытке подключения внешних устройств к защищаемой рабочей станции данный компонент блокирует их, если не находит для них разрешающих правил. Соответственно, в таком случае устройство получает статус недоверенного. «Контроль устройств» также имеет два режима работы: блокирующий и неблокирующий. Также KICS for Nodes содержит отдельный модуль, осуществляющий антивирусную проверку подключаемых USB-устройств. Это позволяет задать отдельную, более жесткую политику для проверки внешних устройств передачи данных. Рисунок 16. Настройка компонента «Контроль устройств» в консоли KICS for Nodes  Компонент «Контроль Wi-Fi» служит для отслеживания попыток подключить защищаемую рабочую станцию к беспроводным сетям. Он также работает по принципу белого списка и блокирует соединения с любыми сетями Wi-Fi, если они не разрешены в параметрах задачи. Контроль может осуществляться в одном из двух режимов: активном, который описан выше, и в режиме регистрации, который только сообщает о подключениях к сетям Wi-Fi и фиксирует данную информацию в журнале выполнения задачи, не блокируя подключение защищаемой машины к беспроводным сетям. Рисунок 17. Настройка компонента «Контроль Wi-Fi» в консоли KICS for Nodes  Компонент «Управление сетевым экраном», который не входит в набор рекомендуемой инсталляции и не устанавливается по умолчанию, позволяет передать KICS for Nodes монопольные права на управление встроенным межсетевым экраном Windows. Важно отметить, что эта часть продукта не выполняет фильтрацию сетевого трафика, а принимает на себя контроль параметров и правил сетевого экрана операционной системы и не допускает возможность его настройки другими способами. Раз в минуту KICS for Nodes опрашивает брандмауэр и контролирует статус его работы, а также проверяет состояние правил, добавленных после установки решения. Если параметры не совпадают, программа форсированно передает конфигурацию задачи сетевому экрану Windows.Диагностика системы с помощью Kaspersky Industrial CyberSecurity for NodesДиагностика включает два компонента: мониторинг файловых операций и анализ системных журналов Windows. Рисунок 18. Настройка правил мониторинга файловых операций в консоли KICS for Nodes  Компонент «Мониторинг файловых операций» предназначен для отслеживания действий, выполненных с указанными файлами или папками. Мониторинг файловых операций осуществляется путем анализа USN-журнала файловой системы NTFS. Благодаря этому KICS for Nodes может сообщить о проводившихся операциях с файлами или папками, даже если они были сделаны в момент, когда продукт был отключен. Кроме того, анализ USN-журнала потребляет гораздо меньше ресурсов защищаемой машины, чем расчет хешей, а также дает больше информации о производимых действиях над наблюдаемыми объектами. Опционально возможно включить расчет хешей для выбранных пользователем файлов. Потребность в мониторинге файловых операций обусловлена тем, что в АСУ ТП некоторые объекты должны оставаться условно неизменными во время нормальной работы системы — например, проекты и файлы SCADA или лог-файлы, записи из которых нельзя удалять. Рисунок 19. Настройка мониторинга файловых операций в консоли KICS for Nodes  Компонент «Анализ журналов операционной системы» обеспечивает дополнительную защиту промышленных компьютеров за счет анализа журналов Windows. Функциональные возможности компонента можно условно поделить на две части. С одной стороны, он позволяет решить проблему анализа системных журналов. Анализ записей журналов Windows является хорошей практикой, но часто у специалистов по информационной безопасности не хватает на него времени. KICS for Nodes может отправить сообщение в консоль, если в анализируемых журналах появилось интересное пользователю событие. С другой стороны, встроенные механизмы корреляции способны найти в большом количестве событий взаимосвязи, сигнализирующие о вредоносной активности на защищаемом устройстве. Рисунок 20. Настройка правил анализа журналов в консоли KICS for Nodes  Рисунок 21. Настройка компонента «Анализ журналов» в консоли KICS for Nodes Обновление баз и модулей Kaspersky Industrial CyberSecurity for NodesОбновление является одной из самых важных задач для антивирусной защиты рабочей станции. В KICS for Nodes поддерживаются четыре задачи такого рода: актуализация сигнатурных баз, обновление модулей программного комплекса, копирование обновлений (загружает сигнатуры в указанное место без их установки; по умолчанию не активирована) и откат обновления баз (предназначена для тех случаев, когда, например, обновление завершилось с ошибкой; по умолчанию не активирована).Для того чтобы не допустить ситуации, при которой новые версии баз не смогут корректно работать с уже установленным программным обеспечением, обновления KICS for Nodes тестируются на совместимость с разработками ведущих производителей АСУ ТП.Задача «Обновление баз программы» копирует сигнатуры из источника обновлений на защищаемую рабочую станцию и мгновенно их использует в выполняющейся задаче постоянной защиты, т.е. не нуждается в перезагрузке узла и самого KICS for Nodes.Задача «Обновление модулей программы» проверяет, доступны ли новые версии функциональных блоков программного комплекса. Изменения такого рода могут быть срочными (устраняют ошибки и уязвимости в компонентах KICS for Nodes) и плановыми (добавляют новые / улучшают существующие функции). В отличие от обновления баз, они могут требовать перезагрузки рабочей станции и / или перезапуска KICS for Nodes в зависимости от каждого конкретного обновления.Обновление баз и модулей может выполняться одним из следующих способов.Локальная загрузка данных с помощью специальной утилиты Kaspersky Update Utility на компьютер, имеющий доступ в интернет. Затем базы копируются на переносной носитель информации и передаются в промышленный сегмент для обновления KICS for Nodes. Каждая машина может быть обновлена отдельно; также возможно централизованное обновление через Kaspersky Security Center.Загрузка через интернет — либо сразу на KICS for Nodes, либо на KSC, используемый для управления продуктом.По этому поводу стоит отметить, что KSC поддерживает иерархию инсталляций. Один из наиболее распространенных сценариев развертывания заключается в том, чтобы расположить родительский KSC в зоне общего пользования, а дочерний — в промышленном сегменте. Обновления в этом случае скачиваются родительским KSC и передаются на дочерний. Рисунок 22. Настройка компонента «Обновление баз программы» в консоли KICS for Nodes  Помимо общей оптимизации, характерной для всего комплекса KICS for Nodes, в модуле обновления баз и компонентов также поддерживается важная для промышленных систем функция, рассчитанная на оптимизацию использования дисковой подсистемы: при выполнении задачи «Обновление баз программы» файлы размещаются на виртуальном диске в оперативной памяти. ВыводыKaspersky Industrial CyberSecurity for Nodes является одним из компонентов комплексного решения Kaspersky Industrial CyberSecurity, предназначенного для защиты промышленных систем от современных киберугроз. KICS for Nodes является промышленным антивирусом для защиты промышленных компьютеров, но со множеством специализированных надстроек, которые способны обеспечить надлежащий уровень защиты производственной инфраструктуры.ДостоинстваЗащита от традиционных угроз компьютерной безопасности: заражения вредоносным программным обеспечением, запуска несовместимых программ, несанкционированного удаленного управления и т.д.Защита от целевых атак на АСУ ТП: компрометации SCADA, HMI, изменения проекта ПЛК и т.д.Гибкие настройки исключений для недопущения ложных срабатываний.Установка и удаление без перезагрузки системы.Обновление баз сигнатур без перезапуска системы и KICS for Nodes.Возможность работы в полностью неблокирующем режиме, в том числе с обнаружением угроз нулевого дня.Минимальное потребление ресурсов.Быстрая установка и интуитивно понятная конфигурация каждого модуля.Возможность централизованного администрирования через Kaspersky Security Center.НедостаткиОтсутствие кроссплатформенности на момент написания обзора (в конце декабря выйдет KICS for Nodes для Linux).

Центральным объектом внимания любой современной DLP-системы является информационное сообщение в сети электронных коммуникаций. В силу этого главным артефактом на выходе DLP по сей день остаются одномоментные несвязанные события (инциденты) безопасности. Главная же причина всех нарушений — человек, его поступки, мотивы, роль, цели, окружение — остается на втором плане. Решить эту проблему призвана новая разработка «Ростелеком-Солар»: модуль UBA для системы предотвращения утечек Solar Dozor 7. ВведениеЧто собой представляет Solar Dozor UBA?Технические и отраслевые условия применения Solar Dozor UBAФункциональные возможности Solar Dozor UBA4.1. Мониторинг групп риска и опасных тенденций4.2. Выявление уязвимых персон и персон с подозрительным поведением4.3. Расследование в отношении персоны Выводы ВведениеСбор досье на каждого сотрудника вручную, особенно в средних и крупных организациях, — колоссальный труд, который требует непозволительно много человеческих ресурсов высокой квалификации. Если при этом учесть, что такое досье должно поддерживаться в актуальном состоянии и учитывать любые изменения в деятельности сотрудника, то задача становится невыполнимой без использования средств автоматизации.Современные технологии обработки и анализа больших данных позволяют решать вышеозначенные задачи. Так в 2013 году в справочнике Gartner появился термин «человекоцентричная безопасность» (People-Centric Security), а на рынке корпоративных систем защиты всё активнее стали развиваться решения класса U(E)BA — User (Entity) Behavior Analysis, что обычно переводится как «анализ поведения пользователей и сущностей». Главные перспективы специалисты Gartner видят в интеграции решений UBA и традиционных систем DLP / SIEM / IAM.Интенсивное внедрение средств защиты от утечек в России аналогичным образом породило спрос на решения класса UBA и предоставляемые ими инструменты выявления аномалий — в дополнение к уже существующим средствам мониторинга событий и инцидентов.Более подробно о решениях класса UBA, тенденциях их развития и ситуации с ними на российском рынке можно узнать из нашей статьи. Что собой представляет Solar Dozor UBA?8 октября 2019 года на пресс-конференции в МИА «Россия Сегодня» «Ростелеком-Солар» представила новый модуль поведенческого анализа Solar Dozor UBA, входящий в состав DLP-системы Solar Dozor 7.Solar Dozor UBA — высокотехнологичный аналитический инструмент, позволяющий формировать поведенческие портреты, искать пользователей по паттернам (характерным особенностям их активности), строить профили устойчивого поведения и выявлять аномальные отклонения от них.Модуль анализа поведения решает задачи по профилактике угроз безопасности, по реагированию на негативные тенденции в организации, по мониторингу сотрудников, деятельность которых связана с повышенными рисками. Он также содержит функции для предотвращения утечек информации, для оценки рисков безопасности и управления ими, для выявления действий сотрудников, наносящих ущерб организации либо имеющих признаки корпоративного мошенничества, коррумпированности, конфликта интересов, аффилированности. При необходимости с его помощью можно проводить тщательные расследования нарушений. Рисунок 1. Направления использования Solar Dozor UBA Solar Dozor UBA решает все главные задачи систем своего класса:использование в качестве источников данных различных каналов почтовых коммуникаций сотрудников;мониторинг и анализ различных характеристик поведения сотрудников;обогащение сведений о сотрудниках развернутыми данными об их поведении — формирование поведенческого портрета;определение устойчивых характеристик деятельности — построение профиля поведения;детектирование отклонений от устойчивого поведения — выявление аномалий с расстановкой приоритетов для них;анализ выявленных аномалий во взаимосвязи с событиями безопасности, зафиксированными «родительской» DLP-системой;ретроспективный анализ ранее накопленных данных для обнаружения аномалий поведения в прошлом;выявление интересных с точки зрения обеспечения безопасности взаимодействий сотрудников — особых контактов — с их детальным анализом и переходом к коммуникациям, которые являются их первоисточником;ежесуточное вычисление и предоставление результатов анализа для обеспечения оперативного реагирования;использование временной шкалы для представления полученных результатов анализа во времени;автоматическая адаптация используемой аналитической модели при изменении поведения сотрудников;использование встроенных моделей — паттернов поведения, под которые подпадают персоны с определенными поведенческими особенностями;отслеживание негативных тенденций в поведении сотрудников в разрезах паттернов, к которым они отнесены;использование инструментов гибкой фильтрации и сортировки для проведения расследований. Рисунок 2. Применения модуля анализа поведения Solar Dozor UBA для решения задач UBA Ключевые принципы и идеология Solar Dozor UBAДо начала разработки модуля на протяжении почти 2-х лет проводились аналитические работы, в ходе которых исследовались реальные данные коммуникаций пользователей в ряде компаний, анализировались требования сотрудников безопасности к системам класса UBA, отрабатывались реальные кейсы безопасности в части применения к ним инструментария UBA.Перечислим основополагающие принципы анализа поведения в Solar Dozor UBA:Поведение необходимо постоянно анализировать в реальном времени.Поведение должно описывать деятельность человека (персоны) в свете рисков ИБ.Поведение может быть устойчивым и неустойчивым.Анализ устойчивого поведения позволяет находить аномалии поведения.При анализе поведения одновременно должны учитываться собственные показатели человека (персоны) и их сопоставление с другими персонами — как по всей компании, так и в рамках своего подразделения.Понятийный аппаратГруппа аналитиков и математиков компании «Ростелеком-Солар» наряду с моделью анализа поведения разработала соответствующий понятийный аппарат. Для того чтобы лучше понимать идеологию и устройство модуля Solar Dozor UBA, целесообразно ознакомиться с основными тезисами этого аппарата.Поведение сотрудника проявляется через особенности его коммуникаций с коллегами внутри компании и с внешним миром.Поведение сотрудника рассматривается в виде набора характеристик — показателей поведения. Были подобраны такие показатели поведения, которые, с одной стороны, отражают устойчивые особенности поведения персоны, а с другой стороны, являются чувствительными к существенным поведенческим изменениям.Показатели поведения сотрудника могут быть сильно изменчивыми — неустойчивыми, а могут быть и устойчивыми. Устойчивые показатели описывают характерное поведение сотрудника или его профиль.Профиль поведения человека всегда изменяется в определенных рамках, но, как правило, не выходит за них.Выход любого из устойчивых показателей поведения за рамки профиля фиксируется как отклонение, или аномалия. Аномалии различаются между собой по видам, уровню серьезности и продолжительности.К показателям поведения относятся:активность — интенсивность отправки сообщений сотрудником внутри компании и за ее пределы, с учетом числа получателей;популярность — интенсивность получения сотрудником сообщений внутри компании;отправка и получение информационных объектов — интенсивность приема и передачи сотрудником значимых для бизнеса артефактов или информационных активов;круг общения — интенсивность коммуникации сотрудника с коллегами в различных подразделениях.Все показатели проходят процедуру скоринга, то есть измеряются не сами по себе, а на фоне всех сотрудников компании. В организациях различных отраслей понятия «много» и «мало» могут отличаться. Так, например, в конструкторском бюро обмен десятью сообщениями в день с внешним миром — это уже много, а для PR-агентства такое значение будет свидетельствовать, напротив, о низкой активности сотрудника. Скоринг помогает решить эту проблему.Индекс уязвимости — особый показатель, который обобщает все показатели поведения. Он указывает, насколько сотрудник подвержен различным рискам.У сотрудников могут обнаруживаться особые связи. К ним относятся неизвестные контакты, приватные эго-сети, рабочие эго-сети.Если сотрудник компании отправляет письмо на адрес, с которым никто никогда не переписывался, или получает сообщение от такого корреспондента, то это — неизвестный контакт. Рисунок 3a. Особые контакты: неизвестные контакты и приватные эго-сети в Solar Dozor UBA  Если сотрудник регулярно переписывается с какой-то внешней персоной, с которой в компании больше никто не общается, то эта персона попадет в приватную эго-сеть сотрудника.По рабочей эго-сети можно определить, с кем регулярно взаимодействует сотрудник внутри компании или во внешнем мире. Персоны из рабочих эго-сетей сотрудников участвуют в коммуникациях с различными людьми в компании. Рисунок 3b. Особые контакты: рабочие эго-сети в Solar Dozor UBA  Сотрудники компании похожи по поведению, возникающим аномалиям, особым контактам. По этим признакам работники выделяются в отдельные группы, называемые паттернами.Для каждого из паттернов можно отслеживать тенденции по изменению численности сотрудников, относящихся к ним. Негативные тенденции, такие как резкое увеличение числа персон с определенными особенностями поведения, могут свидетельствовать о критически значимых процессах, происшествиях и нарушениях безопасности в компании.Технические и отраслевые условия применения Solar Dozor UBAРациональные требования к мощностямРешение UBA работает совместно с DLP-системой, которая в свою очередь требует определенных ресурсов. Поэтому требования к дополнительным ресурсам должны быть рациональными и соразмерными персоналу организации. Вследствие этих ограничений UBA опирается на метаданные сообщений и событий политики ИБ, сведения об информационных объектах и материалы из досье персон. Канал коммуникаций — корпоративная почта. В планах развития — подключение остальных каналов коммуникаций.Для модуля Solar Dozor UBA рекомендуется использовать отдельный сервер. Рекомендуемые технические характеристики оборудования: операционная система — CentOS 7.0; количество ядер процессора — от 8; объем оперативной памяти — от 48 ГБ; место на жестком диске для хранения расчетных данных — от 100 ГБ и больше; пропускная способность канала между продуктивным сервером и сервером с Solar Dozor UBA — от 1 ГБ/с.Благодаря способности адаптироваться под размеры (численность сотрудников) и объемы трафика заказчика модуль Solar Dozor UBA способен полноценно функционировать как в малых организациях, так и в крупных компаниях. Совместно с модулем предоставляется возможность интеграции с отраслевыми политиками DLP Solar Dozor, что позволяет учитывать специфику отрасли и эксплуатирующей организации.Solar Dozor UBA требуется относительно малый период сбора исторических данных, которые необходимы для полноценной работы и получения корректных результатов. Этот период составляет 2 месяца. Стоит отметить, что уже через 1 месяц Solar Dozor UBA способен предоставлять офицерам безопасности информацию для анализа, а именно сведения об особых контактах сотрудников. Есть возможность загрузить в модуль анализа поведения накопленные данные из архива глубиной в 60 дней на функционирующих площадках с DLP Solar Dozor; тогда Solar Dozor UBA заработает сразу.За счет бесшовной интеграции с «родительской» DLP-системой развертывание модуля Solar Dozor UBA осуществляется в рамках общего комплекса работ по внедрению DLP или ее обновлению до необходимой версии. Модель поведения, заложенная в Solar Dozor UBA, использует принципы самообучения, что исключает потребность в длительном предварительном конфигурировании модуля анализа поведения. Таким образом, настройки Solar Dozor UBA сводятся к минимуму.За счет того, что модель расчетов Solar Dozor UBA автоматически адаптируется под изменения в поведении пользователей, снимается необходимость периодического ручного сопровождения модуля в целях перерасчета данных.Следствием минимизации настроек модуля является то, что резко возрастают требования к снижению числа ложных срабатываний. В модуле Solar Dozor UBA все выводы объясняются максимально понятным для бизнеса языком; существует возможность посмотреть, на основании каких данных и срабатываний DLP-системы они были сделаны. Функциональные возможности и сценарии использования Solar Dozor UBAЦелевая аудитория Solar Dozor UBA:экономическая безопасность,информационная безопасность,мониторинг персонала и управленцы.Также модуль может быть использован для целей риск-менеджмента.Среди основных сценариев использования Solar Dozor UBA выделяются следующие.Мониторинг групп риска и опасных тенденций по паттернам поведения.Выявление уязвимых персон и персон с подозрительным поведением внутри паттерна поведения.Расследование в отношении персоны. Совместный анализ аномалий поведения, подозрительных особенностей и связанных событий безопасности.За первый сценарий отвечает функциональность работы с паттернами поведения. Второй сценарий реализуется с помощью функциональности работы с выборками (группами) персон в отдельно взятом паттерне поведения. Третий сценарий (проведение расследований) осуществляется непосредственно в карточке поведения персоны. Функциональность работы с паттернами в Solar Dozor UBAНачиная работу с Solar Dozor UBA, следует взять на вооружение возможность автоматического мониторинга сотрудников, относимых системой в группы повышенной уязвимости. Для этого предусмотрена функциональность работы с паттернами поведения.Пользовательские возможности:получение актуальных данных по группам риска и поведенческим особенностям сотрудников компании;получение сведений об опасных массовых тенденциях в организации.В Solar Dozor UBA паттерном называется определенный набор особенностей поведения сотрудника, требующий контроля со стороны безопасности. Любой сотрудник может автоматически попасть в тот или иной паттерн либо, напротив, выйти из него.В настоящее время в модуле предустановлено 19 паттернов поведения, по которым ведется ежедневное отслеживание по всей организации. Для каждого паттерна контролируются опасные тенденции, требующие особого внимания при их появлении.Разные паттерны поведения отвечают за разные аспекты риска ИБ. Одни сигнализируют о наличии признаков случайных нарушений ИБ, другие — о признаках намеренных утечек значимой информации. В некоторые паттерны попадает значительный круг персон, в ряд паттернов — лишь единицы.Паттерны поведения доступны в основном разделе «Анализ поведения UBA» и представлены в интерфейсе в виде плашек. На каждой плашке указано название паттерна, его краткое описание, количество персон в паттерне на текущий момент и недельное изменение этого количества — тенденция. Рисунок 4. Плашки паттернов поведения в Solar Dozor UBA  По каждому паттерну ведется постоянный мониторинг изменений содержания — анализ массовых тенденций в поведении. Если изменение по объему паттерна значительно, то такие тенденции окрашиваются особым образом. Имеется трехуровневая градация тенденций: нейтральные отмечаются серым цветом, а опасные — желтым и красным.Тенденции внутри паттернов делятся на 4 типа: сильное снижение, снижение, рост, сильный рост.Тип тенденции учитывает текущий объем паттерна и зависит от него нелинейно. К примеру, если в паттерне находятся 5 человек, то прирост на 40% (2 человека) не инициирует никакой опасной тенденции. В то же время в паттерне из 100 человек такое изменение будет сразу отмечено как сильный рост. Мониторинг групп риска и опасных тенденций в Solar Dozor UBAРешаемые задачи:своевременное выявление уязвимостей в бизнес-процессах компании и опасных тенденций, за которыми стоят нарушения безопасности случайного или намеренного характера.Прежде всего на основном экране модуля Solar Dozor UBA необходимо просмотреть тенденции по паттернам поведения и сопоставить их с реальными факторами, которые могли повлиять на их возникновение.Стоит иметь в виду, что факторы случайного характера (технические проблемы, проблемы бизнес-процессов, ошибки пользователей и тому подобные) обычно отражаются на тенденциях в следующих паттернах: «Работа ночью», «Работа в выходные дни», «Распространители информации», «Контакты с неизвестными», «Мертвые души», «Отсутствие».Напротив, появление опасных тенденций, связанных с неслучайными факторами, обычно наблюдается в паттернах «Наличие серьезных аномалий», «Всплеск внешней активности», «Всплеск отправки информации», «Всплеск получения информации», «Сверхактивные», «Сверхпопулярные», «Преобладание внешней активности», «Возможные инсайдеры», «Потребители ИО», «Генераторы ИО», «Наличие приватных эго-сетей».Наряду с мониторингом опасных тенденций рекомендуется проводить отслеживание групп паттернов «Аномальное поведение». Одновременное наличие опасных тенденций в этой группе и опасной тенденции в другом паттерне повышают вероятность того, что был совершен умышленный вывод ценной для компании информации.Остановимся на конкретном примере. При беглом просмотре тенденций мы замечаем резкий прирост (на 9 персон) в паттерне «Потребители ИО»; это — те, кто получает и накапливает максимальное количество защищаемых информационных объектов на фоне других сотрудников в компании. Переходим в этот паттерн и выясняем, что вызвало рост. Рисунок 5. Пример резкого изменения числа персон, попадающих в паттерн поведения Solar Dozor UBA  Внутри паттерна «Потребители ИО» можно заметить, что сотрудники, попавшие в него и вызвавшие опасную тенденцию, относятся к одному подразделению — «Отдел технического сопровождения». Все они занимаются техническим сопровождением корпоративных систем и имеют схожие профили поведения и профили особых контактов. Одновременно бросается в глаза крайне высокий уровень получения ИО у всех сотрудников отдела. Рисунок 6. Пример сравнения поведения сотрудников компании из одного подразделения в Solar Dozor UBA  Рассмотренная тенденция часто связана с нарушениями в бизнес-процессах компании. В данном случае рабочая система приема и обработки заявок стала недоступной ввиду аварийной ситуации в аппаратном обеспечении, и инженеры были вынуждены переключиться (частично или полностью) на прямую обработку заявок по почте.Здесь сотрудник безопасности своевременно обнаружил уязвимое место в организации рабочих процессов компании и определил причины его появления. Как правило, в таких случаях принимаются управленческие меры по снижению рисков, а соответствующие сотрудники переводятся на особый контроль. Эта возможность также предусмотрена при работе внутри отдельного паттерна.Анализ паттернов и опасных тенденций самодостаточен для быстрой оценки обстановки, и его можно проводить ежедневно без использования прочей широкой функциональности зоны Solar Dozor UBA. Если обстановка не позволяет определить причины опасных тенденций, то необходимо перейти к следующей функциональной области — «Работа с группами персон». Функциональность работы с группами персон Solar Dozor UBAНа следующем шаге анализа проводится более детальное исследование особенностей поведения сотрудников, заключающееся в работе с выборками персон внутри отдельного паттерна поведения.Пользовательские возможности:сравнение поведения персон,фильтрация персон по аномалиям поведения и особым контактам,поиск персон, похожих по поведению и аномалиям,постановка персон на особый контроль,анализ статистики по структурным подразделениям внутри паттерна. Рисунок 7. Детальное исследование особенностей поведения в Solar Dozor UBA  Интерфейс этого раздела включает:основную область с карточками поведения персон,раздел статистики,всплывающий фильтр по аномалиям поведения и особым контактам.Карточки с информацией о поведении персон, выводимые в виде списка, могут отображаться как в компактном, так и в развернутом виде. Для экспресс-мониторинга используется компактный вид карточек поведения. Он позволяет быстро оценить соответствие вхождения персоны в паттерн и сфокусировать внимание на самых важных аспектах безопасности. В компактном виде для каждого сотрудника отображаются ФИО, информация о должности и подразделении, индекс уязвимости и два флажка — наличие у персоны критичных аномалий и событий безопасности за 2 последних месяца. Рисунок 8. Основные сведения для экспресс-мониторинга персон в Solar Dozor UBA  Одну или несколько компактных карточек можно развернуть, так же как и все карточки поведения.Для просмотра ключевых аспектов поведения и сравнения персон предусмотрена возможность развертывания карточки локально. В развернутом виде отображаются:зафиксированные системой аномалии на оси времени,события ИБ на оси времени,индекс уязвимости,особые контакты персоны,показатели нормального для персоны поведения по пятибалльной шкале. Рисунок 9. Информация о поведении персоны в развернутом виде в Solar Dozor UBA  Все аномалии поведения имеют всплывающую подробную легенду с пояснением и временными границами. Рисунок 10. Всплывающая подсказка с детальной информацией о поведенческих аномалиях в Solar Dozor UBA  Во время просмотра карточек поведения можно выявить персон с подозрительным поведением и с несвойственным своей роли профилем. Их можно отметить и поставить на особый контроль.Часто возникает потребность сравнить поведение нескольких персон. Для этого можно также отметить их и воспользоваться командой сравнения. После этого все неотмеченные карточки скрываются; взамен выводятся развернутые карточки выбранных лиц. Выявление уязвимых персон и персон с подозрительным поведением в Solar Dozor UBAРешаемые задачи:выявление персон с подозрительными особенностями в поведении для постановки на особый контроль и/или последующего выявления инцидента;определение проблемных мест в организации — уязвимых персон со схожими признаками риска.Этот сценарий предполагает выявление персон, требующих внимания со стороны офицера безопасности. Ключевыми точками в этой области являются должность и подразделение сотрудника, индекс уязвимости, наличие критичных аномалий и событий ИБ. Персоны, деятельность которых содержит большое число аномалий или интерпретируется как несущая высокие риски, нуждаются в повышенном внимании.Проиллюстрируем этот сценарий использования на примере паттерна «Преобладание внешней активности». Этот паттерн выявляет персон, для которых устойчиво наблюдается преобладание исходящей переписки с контактами из «внешнего мира». Рисунок 11. Поведенческий паттерн «Преобладание внешней активности» в Solar Dozor UBA  Данные особенности поведения обычно характерны для сотрудников PR-службы, рекламных и маркетинговых отделов, отделов продаж и подобных им. Такие подразделения располагаются на вершине перечня «Статистика по группам». Поэтому уже на этапе первичного беглого анализа можно заметить, что какие-либо сотрудники с совершенно нехарактерной деятельностью попали в данный паттерн. На это сразу стоит обратить внимание. Рисунок 12. Анализ статистики по группам персон, попавшим в паттерн поведения в Solar Dozor UBA  На следующем шаге офицер безопасности может отфильтровать персон из заинтересовавшего его нехарактерного отдела и проверить соответствие должностей и паттерна поведения. Например, персона, занимающая должность младшего аналитика, явно не должна принадлежать к паттерну «Преобладание внешней активности». Помимо этого, наличие у сотрудника высокого индекса уязвимости сигнализирует о том, что с данной персоной, помимо прочего, связан повышенный риск безопасности.Проверим гипотезу и посмотрим на профили остальных аналитиков в компании. Для этого можно воспользоваться сортировкой по должности. Рисунок 13. Анализ поведения персон в списке в Solar Dozor UBA  Можно заметить, что профили аналитиков ожидаемо схожи — у всех отсутствует внешняя активность и наблюдается почти нулевой обмен коммерческой информацией. У всех, кроме выявленного ранее младшего аналитика Галкина Касьяна Антониновича. Более высокий индекс уязвимости, наблюдаемый у подозрительного сотрудника, обусловлен в том числе внешней активностью, а также наличием неизвестных контактов и приватных эго-сетей. Последние отсутствуют у его коллег, занимающих такую же должность.Дополнительным обстоятельством, важным для офицера безопасности, является наличие серьезной аномалии — скачка в получении и отправке информационных активов, защищаемых компанией. Можно также заметить сравнительно малую рабочую эго-сеть персоны — явный признак того, что сотрудник очень мало общается с коллегами из собственного подразделения.Наличие неизвестных контактов, а тем более внешней приватной эго-сети вкупе с аномалией сбора информационных активов может говорить о подготовке к прямому сливу информации, служить поводом поставить персону на особый контроль. В первом случае мы переходим в карточку поведения, работу с которой рассмотрим ниже. Во втором случае рассмотренную персону тут же можно поставить на контроль с помощью соответствующей опции. Рисунок 14. Постановка персоны на особый контроль при обнаружении подозрительных аспектов поведения в Solar Dozor UBA  Далее в качестве предупредительных мер рекомендуется найти в паттерне «Преобладание внешней активности» персон с аномалией сбора информационных объектов компании. Для этого предусмотрен фильтр по всем типам аномалий и наличию событий ИБ. Рисунок 15. Сужение выборки в ходе проведения аналитических действий в Solar Dozor UBA  Мы сузили поисковую выборку с 40 до 3 человек. Одну из трех персон мы уже рассмотрели. Подобным образом, просматривая показатели поведения, особые контакты, серьезные аномалии и события ИБ, мы проверяем оставшихся двух сотрудников.Работа с карточкой поведения в Solar Dozor UBAВ карточку поведения можно попасть двумя путями: из раздела «Анализ поведения (UBA)» или из досье персоны. Соответственно, этот переход выполняется либо в сценарии мониторинга аномалий поведения внутри паттерна или определенной выборки персон, либо при работе с основным функционалом Solar Dozor, где так или иначе используется досье.Пользовательские возможности:вывод полной информации и исторической справки о поведении персоны,вывод профилей поведения и особых контактов,представление ретроспективы событий ИБ и аномалий поведения,вывод динамики (истории изменения) всех показателей поведения,раскрытие аналитических показателей через переход к конкретным сообщениям,вывод переписки с особыми контактами: приватные эго-сети, неизвестные контакты, рабочие эго-сети,создание событий и инцидентов ИБ.В карточке поведения собрана вся информация о поведении персоны:профиль нормального поведения персоны,профиль особых контактов персоны: рабочие эго-сети, приватные эго-сети, неизвестные контакты,паттерны поведения персоны,совместная ретроспектива аномалий поведения и событий ИБ (а также инцидентов ИБ),динамика показателей поведения,специальные зоны детализации.Остановимся на каждом из пунктов подробнее. Состав карточки поведения в Solar Dozor UBAПрофиль нормального поведенияПрофиль нормального поведения включает 6 числовых показателей. К ним относятся внешняя и внутренняя активность, круг общения, популярность, получение и отправка информационных объектов. Числовые показатели, согласно модели поведения, могут быть устойчивыми или неустойчивыми. Устойчивость — это свойство показателя держаться на одном уровне достаточно продолжительное время. Она изменчива: поведение по отдельным показателям может становиться более или, напротив, менее хаотичным. Рисунок 16. Профиль поведения в Solar Dozor UBA  Профиль особых контактовСреди всех контактов персоны особый интерес с точки зрения ИБ представляют тесные рабочие связи, наличие неизвестных контактов и приватные эго-сети. Такие контакты рассматриваются отдельно по внутреннему контуру организации и за его пределами. Тем самым для каждой персоны постоянно анализируется 6 типов особых контактов. Рисунок 17. Профиль особых контактов в Solar Dozor UBA  Паттерны поведенияО паттернах поведения (группах персон со специфическими для безопасности особенностями) детально говорилось выше. На плашке карточки поведения выводятся все паттерны, которым соответствует персона. Рисунок 18. Типы поведения персоны в Solar Dozor UBA  Ретроспектива аномалий поведения и событий ИБВ этой области на оси времени расположены события и инциденты ИБ, а также аномалии поведения. Ее назначение — визуально показать связь между ними, отследить подозрительные серии и цепочки событий и аномалий. Работа с этой областью помогает восстановить картину поведения персоны вокруг связанных с ней событий и инцидентов ИБ, дополняя их новыми отягчающими или смягчающими признаками.Каждому показателю поведения и особому контакту отведена отдельная вкладка. В ней отражены динамика показателя за период и интерактивная детализация. Динамика показателей поведенияИзменение показателей поведения отслеживается за исторический период в 60 дней. Каждый показатель ежедневно анализируется и оценивается по пятибалльной шкале в сопоставлении со всеми персонами. В интерфейсе это реализовано в виде графика линии поведения на временной оси, где выводятся линия изменения показателя, линия ожидаемого поведения и аномалии. Если показатель перестает быть устойчивым, линия ожидаемого поведения отображается пунктиром. Рисунок 19. Показатель поведения в динамике в Solar Dozor UBA  Зона детализацииК зоне детализации относятся:исторические температурные карты,исторические диаграммы,списки особых контактов.Зона детализации служит для раскрытия подробностей, связанных с аномалиями и подозрительными особенностями поведения. С помощью этой области пользователь может однозначно определять причины аномалий и интерпретировать значения показателей поведения. Реализуют представление деталей трафика температурные диаграммы в сочетании с осью времени. На таком графике отражается суточная интенсивность по количеству сообщений на протяжении длительного периода времени (30 суток). По оси времени можно двигаться назад и вперед. Рисунок 20. Температурная диаграмма показателя поведения в Solar Dozor UBA  Еще одной важной ключевой функциональностью зон детализации является интерактивность с возможностью создания события или инцидента ИБ. Пользователь может раскрыть любые нюансы трафика, связанные с аналитическими показателями и аномалиями. Для этого следует указать щелчком мыши в точку любой диаграммы — откроется интерактивный всплывающий список с соответствующей выборкой сообщений. Рисунок 21. Переход от детализации к исходным сообщениям в Solar Dozor UBA  На легенде области отображаются ключевые атрибуты каждого сообщения: тема, получатели, время. Пользователь может щелкнуть по любому подозрительному сообщению и открыть большую карточку, где представлены все параметры и содержимое. Тут же для сообщения можно создать событие ИБ или инцидент. Рисунок 22. Создание события или инцидента ИБ в ходе анализа поведения в Solar Dozor UBA  Детализация особых контактов также подразумевает раскладку отправленных и полученных сообщений по каждому особому контакту. Здесь тоже без потери контекста можно вызвать всплывающий список сообщений и открыть любое из них. Рисунок 23. Переход от особых контактов к исходным сообщениям в Solar Dozor UBA  Проведение расследования в отношении персоны в Solar Dozor UBAРешаемые задачи:посредством анализа поведенческих особенностей и аномалий выявить инциденты ИБ или их ранние признаки;при разборе инцидента или события ИБ найти отягчающие или смягчающие факторы, выяснить причины и мотивы инцидента, определить возможные последствия.Первой точкой входа является предыдущий сценарий по выявлению подозрительного поведения персон в ходе работы с паттернами. Если мы выявили сотрудников с подозрительными особенностями в поведении, необходимо подробнее разобраться с причинами подозрений и либо подтвердить их — с последующими мерами по устранению рисков, — либо снять.Второй точкой входа является разбор определенного события или инцидента ИБ, когда необходимо проанализировать отягчающие или смягчающие поведенческие факторы:предшествующие событию или последовавшие за ним аномалии и их причины,наличие неизвестных контактов и приватных эго-сетей, содержание переписки между ними,соответствие рабочей эго-сети ожидаемому кругу общения персоны,подозрительный профиль поведения, не соответствующий должности или выполняемой деятельности.Вспомним участника предыдущего сценария — младшего аналитика Галкина Касьяна Антониновича — и рассмотрим его карточку поведения. Напомним, что это был аналитик с очевидно подозрительным (относительно других коллег) профилем поведения, с наличием серьезной аномалии всплеска получения защищаемых информационных объектов и наличием особых — неизвестных — контактов.При открытии карточки поведения предоставляется основная информация, а именно:профиль нормального поведения персоны,профиль особых контактов персоны: рабочие эго-сети, приватные эго-сети, неизвестные контакты,типы поведения персоны,совместная ретроспектива аномалий поведения и событий ИБ (а также инцидентов ИБ).Здесь можно заметить у рассматриваемого сотрудника наличие событий ИБ по отправке за пределы компании критичной информации. Также ранее наблюдалась аномалия падения внутренней активности. Рисунок 24. Сведения о поведении и поведенческих аномалиях в досье сотрудника в Solar Dozor UBA  Перейдем на вкладку активности, чтобы разобраться с причинами и изменениями в поведении сотрудника. Рисунок 25a. Анализ показателей поведения сотрудника: внутренняя активность в Solar Dozor UBA  Здесь мы наблюдаем явное снижение внутренней активности и наличие активности только в дневные часы, хотя ранее она наблюдалась на протяжении всего дня. Можно также заметить постепенное снижение популярности персоны.Теперь взглянем на внешнюю активность сотрудника и воспользуемся подручным фильтром коммуникаций с неизвестными контактами. Рисунок 25b. Анализ показателей поведения сотрудника: внешняя активность в Solar Dozor UBA  Напомним, что у коллег персоны внешняя активность, как правило, отсутствует. Тут же при просмотре исходящих внешних сообщений можно заметить подозрительную переписку с внешним неизвестным контактом — по всей видимости, личным ящиком. Рисунок 25c. Внешняя активность: детализация в Solar Dozor UBA  Перейдем на вкладку «Информационные объекты». Здесь наблюдаются две аномалии. Сначала персона получила аномальное количество защищаемой информации, а затем отправила аномальное ее количество. Рисунок 26. Анализ отправки сотрудником ценных информационных активов в Solar Dozor UBA  Совсем недавно сотрудник снова собрал с коллег значительное число данных. Рисунок 27. Анализ получения сотрудником ценных информационных активов в Solar Dozor UBA  Перейдем в особые контакты персоны. Здесь среди внешних неизвестных контактов бросается в глаза ранее показавшийся подозрительным адрес из числа внешних коммуникаций, по всей видимости являющийся личным почтовым ящиком. Рисунок 28. Внешние особые контакты персоны в Solar Dozor UBA  Напомним, что неизвестным является контакт, с которым в компании за всю историю мониторинга никто не взаимодействовал. Просматривая переписку по этим контактам, можно сделать вывод о том, что персона ведет теневую трудовую деятельность и отправляет на неизвестный внешний ящик и на свой личный адрес программный код — интеллектуальную собственность компании. Это является серьезным инцидентом безопасности.Попробуем проверить, что еще может стоять за этим инцидентом. Мы помним, что у рассматриваемой персоны (младшего аналитика) по сравнению с его коллегами была крайне малая рабочая эго-сеть (круг тесного делового общения). Рисунок 29. Рабочая эго-сеть персоны в Solar Dozor UBA  Это говорит о слабой вовлеченности сотрудника в выполнение задач и в бизнес-коммуникации. Посмотрим на его переписку с единственным коллегой из рабочей эго-сети. По ней видно, что они обсуждают руководство и сетуют на график работы и зарплату. Рисунок 30. Подозрительная переписка в рабочей эго-сети персоны в Solar Dozor UBA  Все эти факторы — аномалии поведения и ближайшие по времени события ИБ, подозрительный профиль поведения, наличие неизвестных контактов и приватных эго-сетей и, конечно же, подтверждение конкретными сообщениями из трафика — говорят нам о том, что сотрудник, вероятнее всего, планирует увольняться и «сливает» данные, которые составляют коммерческую тайну и интеллектуальную собственность компании. Кроме того, он отрицательно влияет на своего коллегу, провоцирует его на халатное отношение к выполнению обязанностей и возможное дальнейшее совместное увольнение.В таких случаях необходимо принимать срочные меры: проводить беседы с руководством сотрудника, с самим сотрудником, определять пути взаимодействия работодателя и работника для сохранения кадров в том случае, если специалист является высококвалифицированным и ценным для бизнеса. ВыводыЗрелые DLP-системы должны содержать инструменты, которые могли бы обрабатывать большие объемы данных в режиме, близком к реальному времени, анализируя поведение и предотвращая как известные, так и ранее неизвестные угрозы безопасности.Solar Dozor UBA входящий в состав Solar Dozor 7 способен решать все основные задачи, которые рынок ставит перед системами и модулями класса UBA.На фоне разработок конкурентов Solar Dozor UBA выделяется тем, что он нацелен на решение широкого спектра задач поведенческого анализа в целях безопасности, а не сфокусирован на смежных вопросах психологического портретирования или узких задачах по выявлению конкретной группы неблагонадежных персон.Преимущества:Многофункциональность модуля в сравнении с другими представленными на рынке решениями класса UBA.Наличие предустановленных поведенческих паттернов, сформированных на основе аналитического опыта в сфере безопасности.Наличие инструмента отслеживания тенденций по паттернам.Наличие развитого инструментария расследования по группам риска и группам, интересным с точки зрения безопасности.Наполнение карточек персон детальными данными о поведении.Наличие показателей, отражающих стабильные стороны поведения сотрудников и являющихся чувствительными к существенным поведенческим изменениям.Наличие интегрированного показателя поведения, указывающего, насколько сотрудники подвержены различным рискам.Наличие механизмов скоринга, определяющих уровни показателей поведения относительно всех персон компании.Наличие механизмов выявления особых контактов персон — взаимодействий, интересных с точки зрения безопасности.Наличие механизмов классификации и учета длительности аномалий.Наличие разнообразных визуальных представлений данных.Наличие возможности перехода от особых контактов непосредственно к коммуникациям с подозрительными персонами.Возможность анализировать поведение в разрезах групп на особом контроле и групп организационно-штатной структуры.Возможность объяснения используемой аналитической модели.Недостатки:Невозможно напрямую перейти к контексту, т.е. к исходным сообщениям, на основании которых были сделаны аналитические выводы, из тех областей интерфейса, где отображаются результаты обработки данных. Сейчас эта возможность обеспечивается за счет использования функций поиска в «родительской» DLP.Отсутствует отчетность. Последующее использование результатов работы модуля возможно только посредством снятия скриншотов.Отсутствует возможность консолидации аномалий — автоматического выявления цепочек и групп аномальных отклонений и событий безопасности.Отсутствует возможность оповещения пользователей в случае выявления серьезных аномалий поведения.Поддерживается только один канал коммуникаций — электронная почта. 

Решение Kaspersky Industrial CyberSecurity for Networks 2.8 предназначено для анализа трафика в промышленной сети с целью обнаружения вторжений, несанкционированных сетевых устройств, новых сетевых взаимодействий, запрещенных системных команд и прочих аномалий в технологическом процессе промышленного предприятия. Продукт работает с копией трафика, не оказывая активного воздействия на защищаемые объекты АСУ ТП. Использование KICS for Networks не несет рисков для промышленной инфраструктуры. ВведениеОсновные возможности Kaspersky Industrial CyberSecurity for NetworksАрхитектура Kaspersky Industrial CyberSecurity for NetworksПоддерживаемые протоколы и устройства в Kaspersky Industrial CyberSecurity for NetworksУстановка и предварительная настройка Kaspersky Industrial CyberSecurity for NetworksРабота с Kaspersky Industrial CyberSecurity for Networks6.1. Мониторинг промышленной сети с помощью Kaspersky Industrial CyberSecurity for Networks6.2. Контроль устройств в промышленной сети с помощью Kaspersky Industrial CyberSecurity for Networks6.3. Контроль технологических процессов с помощью Kaspersky Industrial CyberSecurity for Networks6.4. Обнаружение вторжений с помощью Kaspersky Industrial CyberSecurity for Networks6.5. Обновление баз и модулей Kaspersky Industrial CyberSecurity for NetworksВыводы ВведениеСовременные киберугрозы АСУ ТП давно перестали ограничиваться случайными заражениями вредоносными программами. Сейчас предприятия всё чаще сталкиваются с целенаправленной зловредной активностью, будь то заражения шифровальщиком с целью получения выкупа, целевые атаки или неправомерные действия подрядчиков. Отчет об угрозах для систем промышленной автоматизации в первом полугодии 2019 года, выпущенный Kaspersky ICS CERT (Kaspersky Industrial Control Systems Cyber Emergency Response Team), говорит о том, что с каждым днем средствами защиты последней блокируется всё больше атак на объекты промышленной инфраструктуры, и даже если некоторые из угроз могут казаться незначительными, они могут вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура, что является недопустимым.Промышленная инфраструктура состоит из различных устройств. Помимо серверов, операторских и инженерных станций, на производстве присутствует сетевое оборудование, сенсорные панели, ПЛК и другие уязвимые компоненты, которые нельзя защитить антивирусной программой. Также существует ряд угроз, которые не могут быть однозначно распознаны антивирусом как вредоносная активность. Например, подключение подрядчика в несогласованное время, попытка негативного влияния на технологический процесс с операторской станции и т.д. Для защиты от подобного рода угроз важно понимать, что для сохранения целостности технологического процесса заложенная в ПЛК программа должна оставаться условно неизменной, а взаимодействие с контроллером не должно выходить за рамки сформированных регламентов. Таким образом, обнаружить зловредное воздействие возможно, анализируя сетевой трафик в промышленном сегменте.Специально для этого «Лаборатория Касперского» разработала средство мониторинга промышленной сети и обнаружения вторжений под названием Kaspersky Industrial CyberSecurity for Networks (далее для краткости – «KICS for Networks»). Основные возможности Kaspersky Industrial CyberSecurity for NetworksВ отличие от корпоративной инфраструктуры, где грамотно сконфигурированное решение в виде IPS и NGFW может закрыть потребность в обеспечении сетевой безопасности, в промышленной инфраструктуре необходимо использовать совершенно иные средства защиты сети. Использование корпоративных средств защиты невозможно из-за высокой вероятности ложного срабатывания, отсутствия специфичного функционала анализа промышленного трафика и риска добавления чрезмерных задержек.KICS for Networks создан для защиты промышленных сетей и способен анализировать любое Ethernet-общение. Анализ трафика исключительно пассивен, что позволяет полностью исключить возможность негативного влияния не технологический процесс. Алгоритмы обнаружения сетевых атак адаптированы под специфику АСУ ТП. Разбор промышленных протоколов до уровня тегов и команд к контроллеру, а также способность контролировать целостность сети позволяют уведомить ответственного специалиста предприятия об отклонении состояния технологического процесса от нормального.KICS for Networks выполняет следующие функции.Контролирует:целостность промышленной сети, оповещая о появлении новых устройств, обнаруживая ранее неизвестную сетевую активность;операции чтения и записи проектов ПЛК, сохраняя полученную информацию о проектах и сравнивая эту информацию с ранее полученной.Анализирует:трафик промышленной сети на наличие системных команд, передаваемых или получаемых устройствами, которые участвуют в автоматизации технологического процесса на предприятии (позволяет обнаружить попытки влияния на технологический процесс), а также на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя, с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки сетевых пакетов;передаваемые в трафике значения тегов, что позволяет обнаружить факты изменения уставок и критические изменения в работе технологического процесса;зарегистрированные события, фиксируя инциденты по встроенным правилам корреляции при обнаружении определенных последовательностей событий.Отображает сетевые взаимодействия между устройствами промышленной сети в виде карты сети, выделяя при этом проблемные объекты и сетевые взаимодействия.Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.Поддерживает работу через графический интерфейс пользователя и через интерфейс прикладного программирования (API).Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля, сообщая о фактах нарушения целостности промышленной сети.Внедрение KICS for Networks для защиты промышленной инфраструктуры позволяет получить следующие возможности:обнаружение устройств и контроль целостности сети посредством пассивного выявления устройств и взаимодействий между ними, визуализации с помощью карты сети, белого списка сетевых взаимодействий;интеграция промышленной и корпоративной безопасности путем взаимодействия с Kaspersky Security Center, Syslog- и SIEM-сервером, а также путем интеграции через API;управление инцидентами за счет отображения наиболее важных событий, корреляции событий и управления их историей;мониторинг технологического процесса с помощью анализа значений передаваемых тегов и обнаружения попыток нелегитимного вмешательства в технологический процесс;мониторинг команд к ПЛК (Authentication on PLC, Start/Stop PLC, Read/Write PLC, Read/Write PLC configuration и др. в зависимости от используемого на объекте промышленного протокола). Архитектура Kaspersky Industrial CyberSecurity for NetworksKICS for Networks состоит из следующих компонентов: сенсора, выполняющего мониторинг и анализ трафика промышленной сети, сервера, получающего от сенсоров информацию о трафике, консоли, устанавливаемой на рабочую станцию с сервером и реализующей графический интерфейс пользователя, и веб-сервера, отвечающего за подключение к серверу через веб-браузер.Сенсор KICS for Networks выполняет следующие функции:анализ трафика промышленной сети и выделение данных о взаимодействиях устройств и о технологических параметрах, а также выявление признаков атак в трафике;регистрация событий по результатам анализа трафика, передача событий и информации о трафике и о технологических параметрах на сервер.Сервер KICS for Networks выполняет следующие функции:получение и обработка информации от сенсоров KICS for Networks и сохранение в базу данных (СУБД PostgreSQL);обработка поступающих запросов от консоли и веб-сервера и предоставление запрашиваемых данных;передача событий в Kaspersky Security Center и сторонние системы (например, в SIEM-систему).Консоль KICS for Networks предоставляет пользователю следующие возможности:настраивать правила контроля процесса, передачу событий в сторонние системы, а также правила обнаружения вторжений;формировать список регистрируемых типов событий.Веб-сервер обеспечивает работу веб-интерфейса путем взаимодействия с сервером KICS for Networks. Он предоставляет следующие возможности:настраивать список контролируемых устройств и правила контроля сети;анализировать активность в защищаемом сегменте с помощью карты сети;обрабатывать зарегистрированные события, просматривать сведения об устройствах и событиях, значения технологических параметров.Таким образом, консоль KICS for Networks позволяет производить часть настроек решения, а с помощью веб-интерфейса оператор системы может просматривать в онлайн-режиме сведения об устройствах и их взаимодействиях, события и значения параметров технологического процесса, а также управлять работой компонентов решения.Основные опасения при внедрении сторонних решений и наложенных средств защиты информации в АСУ ТП связаны с тем, что они могут негативно влиять на технологический процесс. При внедрении KICS (всех его компонент: KICS for Nodes, KICS for Networks, KSC) стоит учитывать, что компоненты решения будут активно обмениваться между собой событиями, политиками и пр. Поэтому рекомендуемый вариант внедрения KICS предполагает создание выделенного сегмента сети для обмена служебным трафиком KICS. Это полностью исключает возможность влияния на технологический процесс.На рисунке 1 представлен типичный вариант установки KICS for Networks. Рисунок 1. Пример установки KICS for Networks в выделенной сети Kaspersky Industrial CyberSecurity  Компоненты выделенной сети Kaspersky Industrial CyberSecurity отмечены на рисунке справа зеленым цветом, а компоненты промышленной сети — слева синим цветом. KICS for Networks анализирует поступающую на сенсоры копию трафика промышленного сегмента сети. Копия трафика снимается с используемых в сегменте коммутаторов. Поддерживаемые протоколы и устройства в Kaspersky Industrial CyberSecurity for NetworksВ KICS for Networks поддерживаются как открытые, так и закрытые промышленные протоколы, разбор которых является ноу-хау «Лаборатории Касперского»:ABB SPA-Bus;Allen-Bradley EtherNet/IP;BECKHOFF ADS/AMS;CODESYS V3 Gateway;DCE/RPC;DMS для устройств ABB AC 700F;DNP3;Emerson ControlWave Designer;Emerson DeltaV;FTP;General Electric SRTP;IEC 60870: IEC 60870-5-101, IEC 60870-5-104;IEC 61850: GOOSE, MMS (включая MMS Reports), Sampled Values;Mitsubishi MELSEC System Q;Modbus TCP;OMRON FINS;OPC UA Binary;Siemens Industrial Ethernet;Siemens S7comm, S7comm-plus;Yokogawa Vnet/IP;релематика BDUBus;модификация протокола MMS для устройств ABB AC 800M;модификация протокола Modbus TCP для устройств ЭКРА серии 200;протокол взаимодействия устройств Moxa серии NPort IA 5000;протокол начальной настройки устройств «Прософт-Системы»;протокол устройств с системным ПО Siemens DIGSI 4.Поддерживаемые устройства:устройства с установленным серверным ПО (FTP-сервер, сервер OPC DA, сервер OPC UA);сетевое оборудование (Moxa серии NPort IA 5000, устройства ввода-вывода, поддерживающие протоколы DCE/RPC, FTP, IEC 60870-5-101, IEC 60870-5-104, Modbus TCP, OPC UA Binary).Поддерживаемые устройства ПЛК:ABB AC 700F, 800M;Allen-Bradley серий ControlLogix, CompactLogix;BECKHOFF серий CX;Emerson DeltaV серий MD, MD Plus, MQ;Emerson серии ControlWave;General Electric RX3i;Mitsubishi System Q E71;OMRON серии CJ2M;Schneider Electric серии Modicon: M580, M340, Momentum;Siemens SIMATIC серий S7-200, S7-300, S7-400, S7-1200, S7-1500;Yokogawa ProSafe-RS;Yokogawa серий AFV10, AFV30, AFV40;ПЛК с системой исполнения для CODESYS V3;Прософт-Системы Regul R500.Поддерживаемые интеллектуальные электронные устройства (Intelligent Electronic Device, IED):ABB серии Relion: REF615, RED670, REL670, RET670;General Electric серии MULTILIN: B30, C60;Schneider Electric Sepam серии 80 NPP;Siemens серии SIPROTEC 4: 6MD66, 7SA52, 7SJ64, 7SS52, 7UM62, 7UT63;релематика ТОР 300;ЭКРА серий 200, БЭ2502, БЭ2704;устройства, поддерживающие протокол DNP3;устройства, поддерживающие протоколы стандарта IEC 60870: IEC 60870-5-101, IEC 60870-5-104;устройства, поддерживающие протоколы стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS), IEC 61850-9-2 (Sampled Values);устройства, поддерживающие протокол Modbus TCP.Список поддерживаемых протоколов и устройств постоянно пополняется.Установка и предварительная настройка Kaspersky Industrial CyberSecurity for NetworksKICS for Networks поставляется как программное обеспечение для Linux-платформ, которое можно установить как на «железный», так и на виртуальный сервер.KICS for Networks поддерживает вариант распределенной установки, которая требует нескольких серверов (на одном из них устанавливаются сервер KICS for Networks, консоль и веб-сервер, а на остальных — сенсоры, которые будут получать копию трафика из распределенных сегментов промышленной сети), и вариант установки всех компонентов на одном сервере. В зависимости от требований и архитектурных особенностей промышленной инфраструктуры возможно выбрать наиболее подходящую архитектуру внедрения KICS for Networks.Пассивный мониторинг сети осуществляется с помощью анализа зеркалированной копии трафика (SPAN). В случае если используемое коммутационное оборудование не позволяет зеркалировать трафик, рекомендуемым вариантом является замена коммутаторов на более функциональные. Также есть возможность анализировать трафик, поступающий через TAP-устройство. Этот способ не является рекомендуемым так как в данном случае KICS for Networks имеет активное включение в промышленную сеть. Кроме того, видимость трафика в данном случае сильно ограничена, так как TAP устройство передает копию трафика только одного канала связи.Итак, установка программного обеспечения KICS for Networks подразумевает наличие выделенного сервера. Рекомендацией «Лаборатории Касперского» является использование операционной системы CentOS 7 или Astra Linux. Рисунок 2. Окно установки образа операционной системы CentOS 7 с набором пакетов, необходимых для работы KICS for Networks  Таблица 1. Рекомендуемые аппаратные и программные требования к установке сервера и сенсоров KICS for Networks ПроцессорIntel Core i7 (для сенсоров при распределенной установке возможен Core i5)Оперативная память32 ГбСвободный объем на жестком диске750 ГБ и дополнительно по 250 ГБ для каждого сенсора Установка KICS for Networks, включая все вышеперечисленные компоненты, выполняется с помощью одного скрипта на языке bash, распаковывающего и устанавливающего необходимые части программного обеспечения.В целях разграничения доступа пользователей к функциональным возможностям программного комплекса в KICS for Networks реализована модель управления доступом на основе ролей (Role Based Access Control, RBAC) для подключения к серверу KICS for Networks через веб-интерфейс. Существует роль администратора, которую рекомендуется назначать учетным записям специалистов по информационной безопасности предприятия, а также роль оператора (для учетных записей специалистов, наблюдающих за состоянием технологического процесса на предприятии). Рисунок 3. Работа с учетными записями в веб-интерфейсе KICS for Networks  Работа с Kaspersky Industrial CyberSecurity for NetworksМониторинг промышленной сети с помощью Kaspersky Industrial CyberSecurity for NetworksМониторинг в режиме реального времени предоставляет сведения об устройствах, событиях и инцидентах.Событие в KICS for Networks представляет собой запись, содержащую информацию об обнаружении в трафике промышленной сети определенных изменений или условий, которые требуют внимания специалиста по безопасности АСУ ТП.Инцидент, в свою очередь, регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.В блоке «Устройства» предоставляется информация о количестве известных KICS for Networks устройств по категориям, а также список категорий с объектами, требующими внимания (т.е. состояние безопасности устройства отличается от стандартного).Блок «События» позволяет отследить информацию о последних происшествиях и инцидентах, зарегистрированных с помощью KICS for Networks. События отображаются в виде гистограммы, показывающей распределение событий и инцидентов по уровням важности за выбранный период, а также в виде списка. События и инциденты имеют 3 уровня важности: информационные (сведения справочного характера, которые не требуют немедленной реакции), важные (сведения о событиях, на которые нужно обратить внимание; могут потребовать реакции) и критические (сведения о событиях и инцидентах, которые могут оказать критическое влияние на технологический процесс и требуют немедленной реакции). Рисунок 4. Мониторинг состояния безопасности промышленной системы с помощью KICS for Networks  В KICS for Networks, помимо отображения во вкладке «Мониторинг промышленной сети», события выведены отдельно для более подробного отображения и фильтрации. KICS for Networks регистрирует события посредством следующих технологий:контроль технологического процесса (DPI) — события, связанные с анализом значений тегов;контроль целостности сети (NIC) — события, связанные с нарушением целостности промышленного сегмента сети: появление новых устройств, новых сетевых взаимодействий;обнаружение вторжений (IDS) — события, свидетельствующие об обнаружении зловредной сетевой активности. Сюда относятся как распространенные сетевые атаки (типа brute force, networks scan и др.), так и целевые атаки, разработанные специально для АСУ ТП;контроль системных команд (CC) — события, связанные с появлением в трафике подозрительных команд к ПЛК. Это могут быть либо не встречавшиеся ранее команды, или факты обращения к ПЛК устройств, которые никогда до этого к нему не обращались;внешние системы (EXT) — инциденты и события, которые поступают в KICS for Networks через API;контроль устройств (AM) — события, связанные с активностью устройств и изменением сведений об устройствах. Рисунок 5. Работа с событиями в промышленной сети с помощью KICS for Networks  Рисунок 6. Управление технологиями с помощью KICS for Networks  Через веб-интерфейс также возможно отследить сведения о состоянии KICS for Networks (общее и эффективное время работы, скорость поступления входящего трафика и обработки тегов), а также увидеть информацию о наблюдаемых тегах (имя тега, значение, идентификатор и краткое описание). Рисунок 7. Контроль тегов с помощью KICS for Networks  KICS for Networks контролирует взаимодействия между устройствами промышленной сети по соответствующим правилам. Правило контроля сети может применять одну из двух технологий: NIC (контроль целостности сети) или CC (контроль системных команд).В общем случае правило контроля сети содержит информацию о сторонах, принимающих участие в сетевом взаимодействии, а также о разрешенных протоколах или системных командах.Компоненты «Контроль целостности сети» и «Контроль системных команд» могут работать как в режиме «обучения», так и в режиме «наблюдения». В режиме «Обучения» информация о всех сетевых взаимодействиях и командах к ПЛК заносится в «белый список». Этот режим нужен для предварительной настройки KICS for Networks. При переводе указанных компонент в режим «наблюдения» все новые сетевые взаимодействия и команды к ПЛК будут восприниматься как неразрешенные. Будут сформированы соответствующие события. Рисунок 8. Контроль промышленной сети с помощью веб-интерфейса KICS for Networks Контроль устройств в промышленной сети с помощью Kaspersky Industrial CyberSecurity for NetworksKICS for Networks позволяет контролировать устройства в промышленной сети, а именно — отслеживать их активность и изменение сведений о них.В таблице устройств представлены следующие сведения: имя, идентификатор, статус устройства в промышленной сети (разрешенное, неразрешенное, неиспользуемое), адресная информация (MAC- и / или IP-адрес), категория (ПЛК, IED, HMI / SCADA, инженерная станция, сервер, сетевое устройство, рабочая станция, мобильное устройство, другое), состояние безопасности (разделяется в зависимости от уровней значимости событий и инцидентов: критические, важные и информационные), а также последнее появление устройства, последнее изменение сведений о нем, дата и время добавления устройства в таблицу, установленная операционная система, производитель, модель, сетевое имя.Данные об устройствах заносятся в таблицу автоматически в результате анализа копии трафика. Также существует возможность изменения/дополнения характеристик устройств вручную. Рисунок 9. Контроль устройств в промышленной сети с помощью KICS for Networks  Контроль устройств и сетевых взаимодействий также осуществляется через просмотр карты сети, которая формируется автоматически. Карта сети — это визуальное отображение устройств и обнаруженных взаимодействий между ними. Соединения между узлами также несут различную информацию: линия может быть окрашена в серый (взаимодействие не вызвало регистрацию событий либо уровень зарегистрированного события — информационный) или красный цвет (взаимодействие вызвало регистрацию событий с уровнем значимости «Важный» / «Критический»). Кроме того, отображается информация о том, по каким протоколам происходило общение и в каком объеме.Карта сети поддерживает функционал «машины времени». Возможно посмотреть, как устройства взаимодействовали ранее. Также можно изменять продолжительность периода наблюдения. В нижней части карты сети отображается паттерн трафика. Рисунок 10. Карта промышленной сети, контролируемой KICS for Networks  Стоит отметить, что в KICS for Networks применяются два метода получения информации об устройстве: обнаружение активности (отслеживает операции в трафике по полученным MAC- и / или IP-адресам устройств) и обнаружение сведений (автоматически получает и обновляет информацию об устройствах на основе полученных данных об их взаимодействиях).Компонент «Обнаружение активности устройств» может работать в одном из двух режимов: обучения и наблюдения. В режиме обучения KICS for Networks считает разрешенными все устройства, активность которых обнаружена в трафике. Данный режим включается на определенное время и предназначен для первичной настройки KICS for Networks. Для постоянного использования применяется режим наблюдения, в котором KICS for Networks будет считать все новые устройства неразрешенными и оповещать об их появлении.Контроль технологических процессов с помощью Kaspersky Industrial CyberSecurity for NetworksKICS for Networks позволяет контролировать технологический процесс. Функциональные возможности актуальны для поддерживаемого оборудования (см. список выше). Необходимо задать устройства (например, ПЛК) для которых будут анализироваться полученные и переданные команды, а также теги, значения которых необходимо отслеживать. Теги можно использовать для создания правил, описывающих технологический процесс. Для этого доступны следующие условия сравнения тега: равно/не равно (численному значению или другому тегу), больше/меньше чем (численное значение или другой тег), превышение допустимого отклонения значения тега, выход значения тега за заданные пределы, изменение значения тега, изменение значения бита тега и т.д. Всё это позволяет описать в виде правила критическую ситуацию в технологическом процессе. В этом случае срабатывание правила приведет к генерации соответствующего сообщения и будет сигналом о критически важном изменении в работе АСУ ТП.На вкладке «Контроль процессов» отображаются две таблицы: слева — «Правила контроля процесса», описывающие условия для регистрации событий, а справа — таблица «Устройства и теги», отображающая связь соответствующих элементов технологического процесса. Рисунок 11. Настройка параметров контроля процессов в консоли KICS for Networks  Итоговые списки с правилами, устройствами и тегами входят в политику безопасности.Формирование тегов для промышленных устройств в политиках безопасности является одним из самых сложных процессов при настройке KICS for Networks, так как требует экспертных знаний в предметной области и привлечения специалиста по работе с АСУ ТП. Альтернативой ручной настройке правил, содержащих теги, является решение от «Лаборатории Касперского» под названием «Машинное обучение для обнаружения аномалий» (Machine Learning for Anomaly Detection, MLAD). MLAD содержит нейронную сеть, которая собирает значения тегов, заведенных в политику безопасности KICS for Networks, изучает их полугодовую историю, строит по ним модель технологического процесса и в конечном счете может предсказывать аномалии на основе принимаемого от KICS for Networks трафика.Как отмечалось ранее, в случае регистрации события KICS for Networks отображает событие в консоли и оповещает о произошедшем путем его передачи в сторонние системы (адресаты), в роли которых могут выступать SIEM-сервер, Syslog-сервер, электронная почта и Kaspersky Security Center. Тип события представляет собой отображаемый текст с переменными, значения которых подставляются сервером.Кроме того, KICS for Networks предоставляет возможность сохранения копии трафика для отдельного события. Для выбранных в настройках типов событий обрезается файл с дампом трафика (.pcap), который доступен пользователю через Веб-консоль. Этот файл можно передать группе расследования инцидентов для детального анализа. Рисунок 12. Настройка событий в консоли KICS for Networks Обнаружение вторжений с помощью Kaspersky Industrial CyberSecurity for NetworksВ KICS for Networks встроена IDS Suricata, которая позволяет использовать правила (сигнатуры) для обнаружения сетевых атак. Кроме того, существуют дополнительные методы обнаружения вторжений по встроенным алгоритмам, действующим независимо от используемых сигнатур.Решение поставляется с набором сигнатур. Это правила детектирования таких «стандартных» зловредных сетевых активностей как, например, сетевые сканирования, попытки перебора паролей, следы троянской активности и т.д. Стоит отметить, что наборы сигнатур сильно отличаются от «офисных», так как последние имеют большое количество ложных срабатываний при анализе промышленного трафика. Поставляемый с KICS for Networks набор сигнатур адаптирован для работы с промышленным трафиком. Кроме того, решение содержит набор сигнатур, наполняемых Kaspersky ICS CERT и содержащих описания целевых атак на АСУ ТП, расследованных командой экспертов «Лаборатории Касперского».Также пользователю предоставляется возможность загружать дополнительные наборы сигнатур на его усмотрение. Рисунок 13. Настройка параметров обнаружения вторжений в консоли KICS for Networks Обновление баз и модулей Kaspersky Industrial CyberSecurity for NetworksСвоевременное обновление баз и программных модулей обеспечивает максимальную защиту промышленной сети с помощью KICS for Networks. Актуализация доступна для системных правил обнаружения вторжений, правил получения сведений об устройствах и протоколах взаимодействий, правил корреляции событий для регистрации инцидентов, а также для модулей обработки протоколов прикладного уровня при контроле технологического процесса.В связи со специфичностью промышленной инфраструктуры может возникнуть потребность в локальном обновлении баз и модулей. Поэтому KICS for Networks может получать обновления не только через интернет. Доступна возможность локального обновления. В этом случае базы скачиваются с помощью специальной утилиты Kaspersky Update Utility, копируются на USB-накопитель и доставляются на сервер KICS for Networks. ВыводыПрограммное обеспечение Kaspersky Industrial CyberSecurity for Networks 2.8 входит в состав комплексного решения Kaspersky Industrial CyberSecurity и отвечает за защиту промышленной сети от угроз информационной безопасности без нанесения ущерба защищаемым объектам, а также способствует сохранению непрерывности технологического процесса. Путем пассивного анализа трафика KICS for Networks выполняет основные функции обеспечения безопасности промышленной сети: обнаружение устройств и контроль целостности сети, управление инцидентами, мониторинг технологического процесса и команд к ПЛК.Достоинства:Автоматическое обнаружение новых устройств в промышленной сети.Контроль технологических параметров (тегов) и команд к ПЛК на предмет аномальных отклонений.Интеграция с Kaspersky MLAD для прогнозирования аномалий в технологическом процессе.Приоритизация событий и инцидентов по степени важности.Поддержка широкого спектра промышленных протоколов и устройств.Работа в режиме пассивного мониторинга, не вызывающая задержек и не нарушающая работу технологической сети.Обнаружение вторжений по базам различных сигнатур (включая базу Kaspersky ICS CERT), а также поддержка пользовательских сигнатур.Поддержка иерархической структуры устройств и тегов.Передача информации о событиях по электронной почте, в SIEM- систему, Syslog-сервер или в Kaspersky Security Center.Недостатки:Наличие двух консолей (локальная консоль и веб-интерфейс) на момент написания обзора, что может быть не совсем удобно в ходе эксплуатации решения (на будущее запланирован релиз, в котором всё управление KICS for Networks будет организовано через веб-интерфейс).Отсутствие возможности управления через Kaspersky Security Center (на момент написания обзора KICS for Networks может только передавать события в KSC).

В обзоре рассматривается новая версия российского решения класса Unified Threat Management (UTM) — Ideco UTM 7.9 (ранее Ideco ICS), предназначенного для предотвращения большинства современных кибератак. Программный продукт обеспечивает комплексную защиту периметра, а также ряд корпоративных сервисов, таких как электронная почта и организация удалённого доступа к ресурсам компании. В обзоре рассмотрены способы установки шлюза, затронуты вопросы, касающиеся реализации функций безопасности и особенностей его функционирования. ВведениеФункциональные возможности шлюза безопасности Ideco UTM 7.9Схемы развёртывания шлюза безопасности Ideco UTM 7.9Системные требования шлюза безопасности Ideco UTM 7.9Установка Ideco UTM 7.9Работа с Ideco UTM 7.96.1. Межсетевой экран6.2. Контроль приложений6.3. Контентный фильтр6.4. Ограничение скорости6.5. Предотвращение вторжений6.6. Антивирусная проверка сетевого трафика6.7. Аутентификация пользователей6.8. Мониторинг и отчётыВыводы ВведениеШлюз безопасности Ideco UTM 7.9 — многофункциональное программное и программно-аппаратное UTM-решение для организации защищённого доступа в интернет в корпоративных и ведомственных сетях. Ideco UTM 7.9 собран на базе операционной системы Linux с версией ядра 2.6.32-754.17.1, модифицированного разработчиком. Мы уже делали обзор версии 7.3; в сравнении с ней версия 7.9 претерпела ряд как видимых, так и «невидимых» изменений: был разработан новый модуль межсетевого экрана, переработан метод подключения удалённых пользователей к локальной сети по VPN-протоколу SSTP, обновлён модуль DPI (теперь он может эффективнее отслеживать трафик приложений). Также шлюз получил расширенные функции, позволяющие системным и сетевым администраторам более эффективно управлять политиками безопасности, возможность работы с несколькими доменами Active Directory, аутентификацию по журналам безопасности контроллеров домена и поддержку авторизации до трёх пользовательских устройств. В обзоре будут освещены «тонкие» моменты функционирования данного решения с точки зрения информационной безопасности. Функциональные возможности шлюза безопасности Ideco UTM 7.9Шлюз безопасности Ideco UTM 7.9 — полноценное решение класса UTM, обладающее широкими возможностями по организации безопасного доступа в интернет.Следует особо отметить следующие основные функциональные возможности решения:межсетевое экранирование — пакетная фильтрация сетевого трафика до 4-го уровня модели OSI включительно;контроль приложений — определение используемых программ независимо от используемого сетевого порта на 7-ом уровне модели OSI;контентная фильтрация — анализ посещаемых пользователем интернет-страниц (URL) с целью предотвращения доступа к запрещённым или вредоносным ресурсам; ограничение скорости — установка персонального лимита или распределение пропускной способности канала связи между пользователями;анализ сетевого трафика на предмет вторжений — сигнатурный и статистический поиск активности вредоносных агентов или попыток эксплуатации уязвимостей программного обеспечения, в том числе на уровне веб-приложений;аутентификация пользователей при сетевом доступе в интернет;антивирусная проверка передаваемых файлов — сигнатурный анализ объектов файловой системы на предмет вредоносных образцов;встроенный почтовый сервер;встроенный VPN-сервер — обеспечение возможности подключения удалённых пользователей к корпоративной сети. Схемы развёртывания шлюза безопасности Ideco UTM 7.9Способы развёртывания от версии к версии не меняются, шлюз безопасности Ideco UTM 7.9 устанавливается на границе корпоративной сети и интернета. Устройство может выступать как в роли шлюза по умолчанию для сетевых устройств, так и в роли прокси-сервера.Последний вариант позволяет устанавливать Ideco UTM 7.9 внутри локальной сети и при этом использовать все возможности решений класса UTM. Рисунок 1. Схемы развёртывания Ideco UTM 7.9 При разворачивании большого количества шлюзов существует возможность централизованного управления. По поводу отказоустойчивости необходимо отметить, что она обеспечивается только средствами гипервизора, функциональность кластеризации средствами самого шлюза отсутствует. Системные требования шлюза безопасности Ideco UTM 7.9Минимальные требования, предъявляемые программным комплексом к оборудованию, представлены в таблице ниже. Таблица 1. Минимальные аппаратные требованияПроцессорIntel Pentium G / i3 / i5 / i7 / Xeon E3 / Xeon E5 с поддержкой SSE 4.2Оперативная память4 ГБ (до 30 пользователей)8 ГБ — для использования системы предотвращения вторжений, антивирусной проверки трафика и большего числа пользователейНакопительЖёсткий диск или SSD объёмом 64 ГБ или больше с интерфейсом SATA / SAS или совместимый аппаратный RAIDСетьДве сетевые карты (или два сетевых порта) 10 / 100 / 1000 Mbps. Рекомендуется использовать карты на чипах Intel, Broadcom. Поддерживаются Realtek, D-Link и другиеГипервизорыVMware, Microsoft Hyper-V (1-го поколения), VirtualBox, KVM, Citrix XenServerДополнительноМонитор, клавиатураЗамечанияНе поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жёсткого диска. Установка Ideco UTM 7.9Установка осуществляется с помощью ISO-образа. Программа установки обладает интуитивно понятным интерфейсом; учитывая наличие kickstart-файла, во время установки задаются только IP-адрес внутреннего интерфейса, часовой пояс, дата и время.Для запуска процесса установки необходимо не менее 3800 МБ оперативной памяти, в противном случае процесс установки не начинается. Рисунок 2. Необходимый объём оперативной памяти для установки Ideco UTM 7.9 После завершения установки происходит перезагрузка, и в диалоговом окне возникает требование установить пароль пользователя root. Рисунок 3. Установка пароля пользователя root в Ideco UTM 7.9 Пароль должен содержать не менее 10 символов. Требования к сложности либо не предъявляются совсем, либо не очень строги, так как пароль «1111111111» программу вполне устроил. Однако здесь стоит отметить, что удалённый root-доступ в систему не включён (из локальной сети в том числе). Работа с Ideco UTM 7.9После инсталляции управление устройством осуществляется через локальное меню или веб-интерфейс, доступный по IP-адресу, который был указан во время установки.Локальное меню служит для мониторинга состояния устройства и для управления его конфигурацией, в которую входят:сетевые параметры локального интерфейса,управление резервными копиями,параметры доступа к устройству по протоколу SSH,управление электропитанием,включение / отключение пользовательских правил межсетевого экранирования,разрешение / запрет «Всем» доступа в интернет. Рисунок 4. Локальный интерфейс управления сервером в Ideco UTM 7.9 Веб-интерфейс служит для конфигурирования правил доступа пользователей через шлюз безопасности и для настройки сервисов, обеспечивающих борьбу с угрозами.При первом входе в веб-интерфейс возникает ошибка сертификата; это связано с тем, что для защиты соединения используется самоподписанный сертификат. Рисунок 5. Вход в веб-интерфейс управления Ideco UTM 7.9 В веб-интерфейсе управления представлен ряд разделов с настройками.Пользователи — раздел для управления пользователями и группами (создание, редактирование, удаление).Мониторинг — информация о текущем состоянии шлюза безопасности (активные пользователи, аудит событий, текущее состояние системных служб, информация о системных ресурсах, системные журналы).Правила доступа — раздел для настроек правил межсетевого экрана, контент-фильтра, антивирусной проверки, правил обнаружения вторжений, пользовательских квот и ограничения скорости.Сервисы — раздел с настройками подсистем, обеспечивающих безопасность маршрутизации, типов авторизации пользователей, интеграции с Active Directory, DNS, VPN-сервера и других вспомогательных служб.Отчёты — набор предустановленных отчётов о посещаемых пользователями интернет-ресурсах.Для корректной работы необходимо в меню «Сервисы» — «Интерфейсы» добавить внешний интерфейс. В качестве такового может выступать Ethernet-адаптер или туннель: PPTP, L2TP, PPPoE.После добавления сетевого интерфейса необходимо применить конфигурацию нажатием одноимённой кнопки; шлюз перезагрузится. Стоит отметить, что нажатие приводит к перезагрузке даже в том случае, если конфигурация не изменилась.  Рисунок 6. Конфигурация сетевых интерфейсов в Ideco UTM 7.9 В версии 7.9 веб-интерфейс управления стал более логичным и менее нагруженным: например, все правила фильтрации находятся в одном месте.Межсетевой экранМежсетевой экран служит для фильтрации сетевого трафика по определённым критериям. Настройки межсетевого экрана доступны в меню «Правила доступа» — «Файрвол». В данной версии нет правил в профиле пользователя; вместо этого в качестве критерия в правилах можно применять пользователя или группу.Логика написания правил полностью идентична таковой в Linux:правила делятся на цепочки;правила применяются для новых соединений в порядке следования в таблице до первого совпадения.Через веб-интерфейс доступно редактирование следующих цепочек:FORWARD — правила фильтрации пакетов, проходящих через шлюз безопасности, например сетевые пакеты между пользователем и внешним сервером;DNAT — правила преобразования IP-адресов назначения в сетевых пакетах (проброс портов);INPUT — правила фильтрации сетевых пакетов, предназначенных для шлюза безопасности;SNAT — правила преобразования IP-адресов источника в сетевых пакетах.Предустановленных правил в цепочках не видно, но если посмотреть настройки iptables, то окажется, что их не так уж и мало. В их число входят проверка службой fail2ban, которая не позволит осуществить перебор паролей (bruteforce) к сервисам шлюза безопасности, и правила, повышающие уровень безопасности самого шлюза. Рисунок 7. Настройка правил межсетевого экрана в Ideco UTM 7.9 В качестве критериев могут использоваться следующие параметры:IP-адрес, URL-адрес, пользователь или группа;сетевой порт;сетевой протокол (4-го уровня модели OSI);временной интервал;размер сессии;сетевой интерфейс.Стоит отметить, что при создании правил с критерием «URL-адрес» или «домен» формируется список IP-адресов (IPset), и фильтрация происходит на основании IP-адреса. Элементы списка в IPset при этом автоматически обновляются в соответствии с текущим DNS-разрешением домена.Полный перечень правил межсетевого экранирования доступен через консоль; мы остановимся только на тех из них, которые так или иначе влияют на информационную безопасность.Для начала рассмотрим правила фильтрации трафика, предназначенного для самого шлюза (цепочка INPUT). Рисунок 8. Правила цепочки INPUT в Ideco UTM 7.9 Для того чтобы предотвратить попытки перебора паролей, перед обработкой сетевого пакета сервисом происходит фильтрация по правилам fail2ban. Также запрещены почти все подключения через внешний интерфейс.Особое внимание стоит уделить следующим правилам:-A input_sys_rules -m mark --mark 0x2a -j smart_drop;-A input_sys_rules -p tcp -m tcp --dport 33 -m condition  ! --condition "remote_assistance" -j smart_drop.Первое правило говорит о том, что если пакет имеет метку 0x2a, то его надо отбросить. Метка ставится правилом:-A nat_prerouting_sys_rules -i E+ -m set --match-set local_nets dst -j nat_prerouting_markТаким образом, все пакеты, поступающие на внешний интерфейс и имеющие в качестве адреса назначения какой-либо IP из адресного пространства локальных сетей, будут промаркированы меткой 0x2a и впоследствии отброшены. Данная настройка необходима для того, чтобы не было возможности маршрутизироваться через шлюз во внутреннюю сеть.Второе правило открывает возможность внешнего подключения к устройству, если будет выполнено условие «remote assistance», т.е. включён режим удалённого помощника. При активации этого режима разрешается подключение извне по протоколу SSH к сетевому порту 33 под учётной записью remsup, обладающей правами суперпользователя (root); шлюз безопасности становится доступным из сети «Интернет» независимо от настроенных параметров подключения по протоколу SSH.Рассмотрим правила цепочки FORWARD. Рисунок 9. Правила цепочки FORWARD в Ideco UTM 7.9 Как видно, явно запрещающих правил нет: если пользователь прошёл аутентификацию, то ему можно инициировать любые соединения.Нас интересуют следующие правила:-A forward_sys_rules -m condition  --condition "emergency_internet_access" -j ACCEPT-A forward_sys_rules -m mark --mark 0x2a -j smart_dropПервое правило говорит о том, что если в локальном меню включён режим «Разрешить интернет всем», то трафик в сеть «Интернет» будет разрешён.Второе правило, как и в случае с цепочкой INPUT, отбросит сетевые пакеты с IP-адресом назначения внутренней сети, поступившие на внешний интерфейс. При этом блокирующее правило находится ниже разрешающего, так что при включении режима «Разрешить интернет всем» попытка маршрутизироваться во внутреннюю сеть через внешний интерфейс будет успешной.Особенности реализации:существуют правила фильтрации, повышающие безопасность самого устройства, которые не видны в веб-интерфейсе;если сетевой пакет не попал ни под одно правило фильтрации, он пропускается;правила фильтрации с критерием «Пользователь» отрабатывают только в том случае, если параметр локального меню «Правила доступа» — «Пользовательский файрвол» включён;когда трафик маршрутизируется через внешний интерфейс, по умолчанию осуществляется трансляция сетевых адресов (SNAT);если использовать критерий «домен», то фильтрация осуществляется по IP-адресу этого домена, взятому из DNS-сервера (по умолчанию — 127.0.0.1), что заблокирует / разрешит сразу все домены на данном IP-адресе. При смене IP-адреса, с которым связан домен, обновление происходит автоматически, но с некоторой задержкой из-за кеширования запросов встроенным DNS-сервером;счётчик срабатывания правил доступен только через консоль;для фильтрации групп IP-адресов используются списки, что увеличивает производительность и уменьшает потребление ресурсов;в веб-интерфейсе не доступна цепочка OUTPUT, что делает невозможной фильтрацию сетевых соединений, инициированных шлюзом.Контроль приложенийКонтроль приложений осуществляет глубокий анализ сетевого трафика (DPI) и используется для блокировки активности приложения независимо от используемого сетевого порта. При использовании технологии DPI необходимо учитывать, что следует пропустить какое-то количество пакетов перед тем, как приложение определится; это влияет на написание правил. Например, если в «Межсетевом экране» заблокировать 80-й порт, но при этом в «Контроле приложений» разрешить протокол HTTP, то «Контроль приложений» не сможет определить программу, так как первый SYN-пакет на 80-й порт будет заблокирован межсетевым экраном. Судя по перечню доступных программ, контроль приложений реализован на открытой библиотеке nDPI. Контроль приложений работает только в редакции Enterprise у пользователей с активной подпиской на обновления и техническую поддержку, а также в бесплатной редакции Ideco SMB с приобретённым модулем.Настройки контроля приложений доступны в меню «Правила доступа» — «Контроль приложений». Рисунок 10. Настройка контроля приложений в Ideco UTM 7.9 Настроек контроля приложений не очень много: выбор области применения правила, выбор протокола и действие.Особенности реализации:для определения доступно около 250 приложений;действие указывается для конкретного правила, т.е. нельзя запретить всё, кроме разрешённых протоколов;разрешённые приложения работают по всем разрешённым межсетевым экраном портам — например, нельзя разрешить HTTP-протокол только по порту 80, а SSH — только по порту 22, если в межсетевом экране разрешены и тот, и другой;протоколы никак не сгруппированы, что не очень удобно, если надо запретить их совокупность по какому-нибудь признаку, например «Игры».Контентный фильтрКонтентный фильтр используется для ограничения доступа к веб-ресурсам по URL. Контентная фильтрация осуществляется встроенным прокси-сервером на базе открытого решения Squid. Настройки прокси-сервера доступны в меню «Сервисы» — «Прокси». Рисунок 11. Настройка прокси-сервера в Ideco UTM 7.9 Из настроек прокси-сервера доступны:игнорирование ошибок модуля ICAP;включение кеширования и возможности соединяться напрямую (по умолчанию прокси-сервер работает в прозрачном режиме, и прямые подключения к нему невозможны).Правила контентной фильтрации настраиваются в меню «Правила доступа» — «Контент-фильтр».Интерфейс настройки в данной версии тоже облегчили — все параметры задаются в одном правиле. Рисунок 12. Настройка правил контентной фильтрации в Ideco UTM 7.9 Помимо пользовательских категорий в шлюз безопасности Ideco UTM 7.9 производителем предустановлено 176 категорий веб-сайтов и 9 типов потенциально опасных файлов, которые доступны в редакциях Enterprise и Middle. В качестве отдельного модуля категории предоставляются только в SMB-версии.Стоит отметить, что в качестве параметра фильтрации могут выступать следующие условия:обращение по IP-адресу;некатегоризированный запрос;любая категория.При добавлении правила настраиваются следующие параметры:название правила;пользователь / группа, для которых его следует применять;категория сайтов;действие.Варианты действий:разрешить;запретить;расшифровать (передаваемые по зашифрованным протоколам данные станут доступны для анализа модулям антивирусной защиты и ICAP-сервисам). Рисунок 13. Добавление правила контентной фильтрации в Ideco UTM 7.9 Особенности реализации:категоризация возможна без подмены сертификата (анализ поля «Server Name Indicator»);контентная фильтрация не будет выполняться, если сетевой трафик не попадёт в прокси-сервер (например, нестандартный HTTP-порт, отличный от 80 и 443);отсутствует возможность загрузить / выписать собственный сертификат;при добавлении домена блокируются также и его поддомены;если осуществляется подмена недоверенного сертификата, то пользователь также увидит недоверенный сертификат;возможно заблокировать протокол QUIC.Ограничение скоростиВ данном разделе находятся настройки ограничения скорости передачи данных для конкретных пользователей или их групп.  Рисунок 14. Настройка ограничения скорости в Ideco UTM 7.9 Для настройки ограничений необходимо создать правило.В качестве критериев при создании правила выступают:пользователь или группа, для которых будет действовать ограничение;ограничение скорости (в Мбит/с);тип ограничения (общее / персональное).При персональном ограничении скорость будет назначаться конкретному пользователю, при общем — делиться между всеми участниками группы.Особенности реализации:для ограничения скорости необходимо, чтобы Ideco UTM использовался в качестве шлюза, т.е. трафик проходил через него. В режиме прямого подключения к прокси ограничение скорости не работает;общее ограничение делит скорость пропорционально количеству сессий, а не пользователей; таким образом, при многопоточной закачке файлов (например, торрент) практически вся пропускная способность достанется одному пользователю. Рисунок 15. Создание правила ограничения скорости в Ideco UTM 7.9Предотвращение вторженийВстроенная система предотвращения вторжений осуществляет анализ сетевого трафика с целью обнаружения активности вредоносных программ или попыток эксплуатации уязвимостей программного обеспечения.Обнаружение вторжений осуществляется на базе открытой IDS Suricata.Настройки системы предотвращения вторжений размещены в меню «Правила доступа» — «Предотвращение вторжений». «Из коробки» доступны 40 категорий, которые можно либо включить, либо выключить. Система предотвращения вторжений реализована таким образом, что проверяет весь сетевой трафик сразу по всем включённым группам. Рисунок 16. Настройка правил предотвращения вторжений в Ideco UTM 7.9Особенности реализации:при срабатывании правила сетевой пакет блокируется, режим обнаружения не предусмотрен;нельзя создать исключение для определённого IP-адреса, например для сканера безопасности, предусмотрено только исключение правила целиком;для запуска системы предотвращения вторжений необходимо не менее 8 Гб оперативной памяти.Антивирусная проверка сетевого трафикаШлюз безопасности Ideco UTM 7.9 осуществляет антивирусную проверку файлов, передаваемых по протоколам HTTP и HTTPS, а также в сообщениях электронной почты. По умолчанию активирован бесплатный антивирусный движок ClamAV. Производителем также предусмотрена возможность активировать средства антивирусной защиты производства «Лаборатории Касперского». Настройки антивирусной защиты доступны в меню «Правила доступа» — «Антивирусы веб-трафика». Рисунок 17. Настройка модулей антивирусной защиты в Ideco UTM 7.9 В данном меню возможно только включить / отключить антивирус; настройки параметров проверки файлов через веб-интерфейс недоступны. Помимо встроенных антивирусных движков шлюз безопасности Ideco UTM 7.9 может интегрироваться со сторонними средствами защиты информации, такими как DLP или сетевые песочницы, по протоколу ICAP. Настройка ICAP осуществляется в меню «Сервисы» — «Прокси» — «ICAP».В настройках ICAP доступны следующие параметры:адрес отправки запросов / ответов;действие при недоступности сервиса;действие при перегрузке сервиса;максимальное количество подключений к сервису. Рисунок 18. Настройка ICAP в Ideco UTM 7.9 Особенности реализации:не предусмотрена настройка антивирусных средств из веб-интерфейса;антивирусная проверка осуществляется только в отношении файлов, передаваемых по протоколам HTTP и HTTPS, и только при условии попадания трафика в прокси-сервер.Аутентификация пользователейШлюз безопасности Ideco UTM 7.9 аутентифицирует любого пользователя, пытающегося получить доступ в сеть, которая находится за внешним интерфейсом, определённым в меню «Сервер» — «Интерфейсы». Доступ неаутентифицированного пользователя через внешний интерфейс запрещён. Настройка пользователей доступна в меню «Пользователи». Рисунок 19. Настройка пользователей и групп в Ideco UTM 7.9 Шлюзом безопасности Ideco UTM 7.9 поддерживаются следующие механизмы аутентификации:по IP-адресу;по PPPoE;при помощи агента (Ideco Agent);на веб-портале (Captive Portal);связки IP+Agent, IP+Web — в этом случае аутентификация должна быть произведена с IP-адреса, указанного в профиле пользователя.В качестве базы данных пользователей может выступать сам шлюз безопасности Ideco UTM 7.9 или Microsoft Active Directory. Настройка интеграции с Active Directory (AD) осуществляется в соответствующем разделе меню «Сервисы»; возможна как сквозная аутентификация пользователей (SSO), так и аутентификация по журналам контроллера AD. Рисунок 20. Настройка интеграции с Active Directory в Ideco UTM 7.9  Для интеграции с Active Directory необходимо указать имя домена, DNS-сервер AD, имя сервера в AD, реквизиты учётной записи с правами добавления компьютеров в домен.Особенности реализации:аутентификация пользователей, работающих на сервере терминалов, возможна посредством протокола Kerberos или Ideco Agent (с использованием Remote Desktop IP Virtualization на терминальном сервере). Один пользователь одновременно может авторизовать до трёх устройств.Мониторинг и отчётыОтслеживание работы системы происходит в меню «Мониторинг». В разделе представлена информация о текущем состоянии шлюза безопасности.Авторизованные пользователи — меню, где представлен перечень аутентифицированных на шлюзе пользователей.  Здесь также возможно отключить пользователя. Рисунок 21. Мониторинг аутентифицированных пользователей в Ideco UTM 7.9 Журнал — меню, в котором представлены журналы системных служб, таких как:служба защиты от подбора паролей,почтовый сервер,ядро операционной системы,VPN-сервер,Web Application Firewall,IMAP/POP3-cервер,прокси-сервер,DHCP-сервер,служба интеграции с Active Directory. Рисунок 22. Журнал событий в Ideco UTM 7.9 Графики загруженности — меню, где представлена визуализация ряда контрольных параметров. В их число входят:количество авторизованных пользователей,загрузка процессора,занятая память,количество соединений,загруженность сетевых интерфейсов,загруженность жёсткого диска. Рисунок 23. Графики загруженности в Ideco UTM 7.9 Монитор трафика — меню, где представлена таблица текущих сетевых соединений. По каждому соединению имеется следующая информация:имя пользователя, инициировавшего соединение,IP-адреса источника и назначения,исходящая и входящая скорость передачи данных,протокол. Рисунок 24. Монитор трафика в Ideco UTM 7.9 SNMP — раздел для настройки мониторинга состояния по одноимённому протоколу. Рисунок 25. Настройка SNMP в Ideco UTM 7.9 Syslog — раздел для настройки передачи журналов на удалённый коллектор или SIEM-систему по одноимённому протоколу. Рисунок 26. Настройка Syslog в Ideco UTM 7.9 Zabbix-агент — раздел для настройки интеграции с соответствующей системой мониторинга. Рисунок 27. Настройка интеграции с Zabbix в Ideco UTM 7.9 Помимо мониторинга доступны также отчёты по посещаемым пользователями веб-страницам. Рисунок 28. Отчёт о веб-активности в Ideco UTM 7.9 Отчёты в разделе могут быть представлены различным образом: по пользователям, по категориям, по сайтам, по трафику. Отчёты генерируются постранично, блоками по 40 строк, что позволяет отображать их быстро. При необходимости отчёт можно экспортировать в форматах HTML, CSV или XLS. ВыводыШлюз безопасности Ideco UTM является активно развивающимся продуктом. Разработчики прислушиваются к мнению сообщества, и в продукте оперативно появляются новые возможности. Учитывая то, что Ideco UTM фактически собран из решений с открытым кодом, он ориентирован скорее на начинающих администраторов; однако с учётом политики лицензирования решение вполне может «прижиться» и у опытных IT-специалистов. Версия 7.9 в сравнении с прошлыми выпусками имеет более логичный веб-интерфейс управления, а также более широкую функциональность. Отдельно можно отметить обновлённый модуль DPI, в который были добавлены больше десяти новых протоколов — TikTok, WhatsApp Video, DNS over HTTPS, DTLS (TLS over UDP), WireGuard VPN, Zoom.us и другие, — а также новый подход к реализации файрвола.Достоинства:Наличие как программного, так и программно-аппаратного исполнения.Возможность работы в виртуальной среде.Лёгкая интеграция с Active Directory.Возможность аутентификации пользователей по журналам домен-контроллера.Возможность аутентификации пользователей терминальных серверов.Возможность централизованного управления.Наличие интеграции с системой мониторинга Zabbix.Возможность интеграции с внешними ICAP-сервисами.Возможность выгрузки журналов во внешние сборщики и SIEM-системы.Возможность мониторинга системы по протоколу SNMP.Многопоточный анализ сетевого трафика на предмет вторжений.Возможность применять имя пользователя в правилах межсетевого экранирования.Возможность администрирования как через веб-интерфейс, так и через консоль.Русскоязычный интерфейс и русскоязычная встроенная отчётность.Быстрое формирование отчётов.Адаптированная под российский сегмент сети база контентной фильтрации.Наличие встроенного почтового сервера.Недостатки:Разработчик предлагает обеспечивать отказоустойчивость средствами виртуализации, но неясно, что делать с аппаратными платформами и в случаях отсутствия vCenter, CEPH и т.д.Отсутствует условная маршрутизация (VRF), что часто востребовано на периметровых устройствах.Не хватает настроек антивирусной проверки, задающих параметры проверки файлов (размер, глубину, максимальное время).Отсутствие возможности работы модуля предотвращения вторжений в режиме обнаружения.Расшифровывается трафик только по протоколу HTTPS и только по портам 80 и 443 (судя по правилам перенаправления в Iptables).В шейпере сетевого трафика не хватает функциональности по «заимствованию» пропускной способности других очередей, а также возможности делить скорость по количеству потребителей вместо сессий, чтобы обеспечить «честное» разделение ширины канала.

Продукт PT Network Attack Discovery компании Positive Technologies относится к новой для российского рынка категории продуктов — системам анализа трафика (network traffic analysis, NTA). По мнению аналитического агентства Gartner, NTA-системы необходимы для построения центров мониторинга SOC и для обнаружения сетевых аномалий, дают прозрачность сети. PT Network Attack Discovery (PT NAD) способен выявлять атаки не только на периметре, но и внутри корпоративной сети. Это важно, поскольку часто злоумышленникам удаётся проникать внутрь — несмотря на защиту периметра. По данным исследования Positive Technologies, в сеть каждой второй компании можно проникнуть всего за один шаг. ВведениеКак работает PT Network Attack DiscoveryЧто может PT Network Attack DiscoveryОтличия от IDS / IPSВарианты применения PT Network Attack DiscoveryЗнакомство с PT Network Attack DiscoveryПрактические сценарии работы с PT Network Attack Discovery7.1. Пример 1. Выявляем передачу паролей в открытом виде7.2. Пример 2. На каком этапе находится злоумышленник? Выявляем атаки с определением тактики и техники MITRE ATT&CK7.3. Пример 3. Threat Hunting. Как охотиться на киберугрозы с PT Network Attack DiscoveryЛицензирование и варианты поставки PT Network Attack DiscoveryВыводы ВведениеДля анализа трафика создано большое количество технологий и классов решений. Первые IDS-системы появились ещё в 80-х годах прошлого столетия. NTA-продукты стали логичным развитием популярного направления: с одной стороны, они включают в себя функциональность IDS, с другой — содержат элементы решений для сетевой киберкриминалистики (network forensics).За рубежом рынок NTA развивается с 2016 года, и на нём уже представлено 17 вендоров. Некоторые из них работают в России. Однако на нашем рынке есть и отечественные продукты, в частности решения компании Positive Technologies, которая 17 лет занимается разработкой средств защиты информации и имеет большой опыт в исследовательской деятельности.Система PT NAD интересна тем, что «ловит» вредоносную активность в зашифрованном трафике без его расшифровки, обнаруживает нарушения регламентов ИБ, сопоставляет атаки с техниками и тактиками злоумышленников по матрице MITRE ATT&CK и позволяет раскрыть цепочку действий киберпреступников. В обзоре мы расскажем о том, как в целом работает продукт, посмотрим на его функциональность и архитектуру, а также разберём три практических сценария его применения. Как работает PT Network Attack DiscoveryPT NAD анализирует данные на уровнях модели OSI от L2 (канальный уровень) до L7 (уровень приложений) с разбором содержимого пакетов. Продукт работает с зеркалированной копией трафика и поэтому не влияет на производительность сети. Компания Positive Technologies рекомендует подавать трафик из внешней и внутренних сетей: это позволит выявлять активность злоумышленника на разных этапах развития атаки. Рисунок 1. Схема работы PT NAD Архитектурно продукт состоит из ядра и сенсоров. Рисунок 2. Логическая архитектура PT NAD Сенсоры разбирают сетевые протоколы, проводят анализ трафика с помощью правил и выполняют роль хранилища «сырого» трафика.Захват трафика ограничен пропускной способностью: не более 10 Гбит/с от одного сенсора. Количество сенсоров не ограничено.Диссекторы протоколов — собственные. Сейчас их — 30 штук, и они покрывают самые распространённые сетевые стандарты обмена данными, в частности SMB, DCE/RPC, Kerberos, LDAP. Список диссекторов постоянно пополняется.Анализ трафика на сенсоре происходит с помощью правил детектирования. На сегодня в базе знаний PT NAD — более 5 000 правил. Продукт выявляет горизонтальное перемещение злоумышленника внутри периметра, активность вредоносных программ, попытки скрыть выполняемые действия от средств защиты, эксплуатацию уязвимостей и использование хакерского инструментария.«Сырой» трафик хранится в файлах формата PCAP. Их можно выгружать для более подробного анализа в сторонних системах и использовать в качестве доказательной базы при расследовании инцидента.С сенсоров разобранный трафик передаётся в ядро. Там он исследуется с применением машинного обучения, ретроспективного анализа и индикаторов компрометации. Здесь же хранятся метаданные — обогащённая информация о сетевых взаимодействиях, необходимая для понимания контекста атаки. Что может PT Network Attack DiscoveryИзучив «вживую» продукт и его документацию, мы обратили внимание на следующие особенности PT NAD:Видит активность злоумышленников даже в зашифрованном трафике. Этого удаётся достичь с помощью пассивного метода анализа через побочные каналы. Признаки вредоносной активности выявляются благодаря анализу длин пакетов и порядка их следования, которые затем сопоставляются с закономерностями, выявленными аналитиками при исследовании определённых инструментов.Выявляет модифицированные вредоносные программы. Одно правило срабатывает на целое семейство вредоносных образцов, с учётом модификации, повторной сборки и переупаковки.Хранит записи трафика. Это позволяет понять контекст атаки для её расследования, выстроить процесс проактивного поиска угроз (Threat Hunting), собрать доказательную базу.Выявляет отклонения от нормативных требований (нарушения сетевого комплаенса). Система обнаруживает использование протоколов удалённого администрирования, анонимайзеров и других стандартов обмена данными, которые могут являться нелегитимными в рамках политики безопасности конкретной организации. Также PT NAD отслеживает использование открытых протоколов (LDAP, HTTP, SMTP и т. п.) и отображает все учётные данные, которые передаются по ним.Помогает выполнить требования к защите информации, в том числе к безопасности объектов критической информационной инфраструктуры (Федеральный закон № 187-ФЗ). Таблица 1. Функциональные возможности PT NADФункцияХарактеристики PT NADОсновные возможностиЗахват и хранение необработанного трафикаПропускная способность от 100 Мбит/с до 10 Гбит/сОбнаружение угрозСигнатурный, эвристический и поведенческий методы анализа позволяют выявить подозрительную и вредоносную активность, применение хакерского инструментария, эксплуатацию уязвимостей, угрозы в зашифрованном трафике, попытки сокрытия активности хакеров от средств защитыРеконструкция сессий. Извлечение метаданныхСетевые протоколы (например, IPv4, IPv6, ICMP, TCP, UDP, HTTP, DNS, NTP, FTP, TFTP), извлечение их метаданныхИзвлечение и хранение файловИзвлечение объектов, передаваемых на прикладном уровне (например, через HTTP, FTP, POP3, SMTP, SMB, NFS), их дальнейшее сохранениеВизуализация данныхВозможность не только использовать встроенные панели мониторинга («дашборды»), но и подключить GrafanaДополнительные возможностиРетроспективный анализАвтоматическая проверка проиндексированного трафика с учётом новых индикаторов компрометацииПоддержка открытого HTTP APIПодключение сторонних приложенийОтправка данных в SIEMПередача в MaxPatrol SIEM или через syslog в сторонние системы анализа событий ИБИнтеграция с PT MultiScanner и песочницейДля передачи извлечённых файлов на антивирусную проверку PT NAD не только умеет взаимодействовать с продуктами Positive Technologies, но и поддерживает интеграцию со средствами мониторинга сети, построения графиков и анализа метрик:взаимодействие с Graphite и Grafana может добавить возможность обрабатывать и визуализировать статистические данные от компонентов компьютерных систем. В данной схеме Grafana используется вместо стандартного графического интерфейса Graphite;интеграция с Zabbix позволяет обеспечить прозрачный мониторинг с гибкой визуализацией состояния компонентов PT NAD. Отличия от IDS / IPSС точки зрения обработки данных, получаемых из сетевого потока, или файлов с ранее сохранёнными пакетами (PCAP) PT NAD в чём-то может напоминать традиционные системы обнаружения вторжений (IDS) или ставшие уже привычными для специалистов по ИБ снифферы (например, Wireshark). Однако, поработав со стендом и изучив техническую документацию вместе с аналитическими исследованиями Gartner, мы увидели чёткие отличия от традиционных средств защиты. Эти отличия, по сути, являются ключевыми характеристиками решений класса NTA. Мы проанализировали критерии Gartner, которые они предъявляют к NTA-решениям, и применили их к PT NAD (см. таблицу ниже).Зелёным выделены критерии, которым функциональность PT NAD соответствует полностью. Жёлтым — те пункты, которые используются как вспомогательные, поэтому говорить, что из-за них PT NAD не относится к NTA, нельзя. Красным — те, которым возможности PT NAD не соответствуют. Таблица 2. Отличительные характеристики средств класса NTA (PT NAD)Критерии отнесения к классу NTAКритерии исключения из класса NTAСпособность анализировать сетевой трафик или NetFlow в режиме реального времениНе может полноценно выполнять свои функции без дополнительной информации из SIEM или межсетевых экрановВозможность анализировать перемещение трафика за периметр (north / south), а также внутри корпоративной сети (east / west)Работает только на основе захваченного трафика и журналов IP-пакетовУмение строить эталонные модели сетевого трафика и выделять аномальный трафикВ первую очередь отрабатывает обнаружение по репутационным спискам и индикаторам компрометацииПрименение поведенческих методов обнаружения (без использования репутационных списков), например, машинного обучения или расширенного анализаВыявление злоумышленников осуществляется в основном на основе анализа пользовательских действий и процессов (UBA)Способность определять фазу атаки, на которой находится злоумышленник, а не просто проводить криминалистический анализ по ранее собранным даннымСредства защиты, «заточенные» под обнаружение в среде интернета вещей, или сбор статистики на основе мониторинга состояний программно-аппаратных компонентов В итоге мы пришли к выводу, что PT NAD отвечает ключевым критериям для средств защиты класса NTA. Варианты применения PT Network Attack DiscoveryЕсть четыре основных сценария использования продукта, которые актуальны для внутренних подразделений ИБ и для команд SOC.1. Выявление атак внутри инфраструктуры и на периметре. PT NAD обнаруживает атаки с помощью технологии машинного обучения, глубокого анализа содержимого пакетов, ретроспективного анализа, собственных правил детектирования и индикаторов компрометации.Технология машинного обучения в PT NAD выявляет соединения с автоматически сгенерированными доменами (DGA-доменами). Злоумышленники используют их для обхода систем защиты, которые полагаются на репутационные списки: усовершенствованные вредоносные программы генерируют доменные имена командных серверов динамически с помощью специальных алгоритмов. PT NAD распознаёт соединения с DGA-доменами, которые свидетельствуют об активности вредоносных программ в сети.Правила и индикаторы еженедельно поставляются в продукт специалистами экспертного центра безопасности Positive Technologies. Ключевая информация об атаках отображается на панели мониторинга («дашборде»). Рисунок 3. «Дашборд» PT NAD с информацией об атаках 2. Расследование атак. Чтобы дать возможность «раскрутить» цепочку атаки, понять, что предшествовало подозрительному событию, PT NAD хранит данные о сетевых взаимодействиях. Можно фильтровать их по 1200 параметрам и изучать подробности событий в прошлом. Для ещё более детального анализа PT NAD сохраняет записи «сырого» трафика, который можно выгружать в формате PCAP и включать в состав доказательной базы.3. Охота на киберугрозы и уязвимости (Threat Hunting). Данные о сетевых взаимодействиях — полезный источник данных для проактивного поиска угроз, которые не обнаруживаются традиционными средствами безопасности. Оператор системы может проверять гипотезы о присутствии хакеров по трафику, выявлять скрытые угрозы и таким образом предотвращать развитие атаки.4. Контроль соблюдения регламентов ИБ. Разбирая сетевые протоколы, PT NAD видит ошибки конфигурации устройств, передачу паролей в незашифрованном виде, применение инструментов сокрытия активности (Tor, VPN) и утилит для удалённого доступа: в крупных компаниях всё это часто запрещено внутренними политиками ИБ. Подобные нарушения упрощают задачу хакеров. Перехватив пароли пользователей и используя RAT, они могут быстро развить атаку, не вызывая подозрений у систем защиты. Знакомство с PT Network Attack DiscoveryТестовый стенд, который мы использовали для написания обзора, был развёрнут по принципу «все компоненты на одном устройстве» (All-in-One), настроен на работу с копией трафика по SPAN.Главное меню PT NAD интуитивно понятно и обеспечивает доступ к основным функциям:«дашборды» (страница со статистическими данными в наглядном представлении);сессии (страница со списком сессий и информацией о них);атаки (страница с информацией о зафиксированных атаках);сетевые связи (страница топологии сети и связи между узлами);элементы управления (находятся в правой части). Рисунок 4. Меню PT NAD Если оператор системы использует несколько продуктов Positive Technologies, то благодаря технологии single sign-on после авторизации в одном продукте можно переходить в интерфейсы других без повторного ввода логина и пароля. Практические сценарии работы с PT Network Attack Discovery Пример 1. Выявляем передачу паролей в открытом видеPT NAD разбирает 30 распространённых сетевых протоколов на уровнях L2–L7 по модели OSI. Поэтому он видит происходящее в сети в деталях, в том числе ошибки и нарушения политик ИБ. Самые популярные из них:передача паролей в открытом виде,передача незашифрованных почтовых сообщений,использование утилит для удалённого доступа,применение широковещательных протоколов, подверженных спуфингу, например LLMNR и NetBIOS,ошибки в конфигурации сети,применение Tor, VPN-туннелей и других инструментов сокрытия активности в сети,нецелевое использование IT-инфраструктуры: майнеры, торренты и онлайн-игры.Рассмотрим пример того, как с помощью PT NAD можно найти логины и пароли, передаваемые в открытом виде внутри корпоративной сети заказчика. Для этого необходимо проверить сетевые взаимодействия по фильтрам полнотекстового поиска:credentials.login (поиск по логину, выявленному в незашифрованной сессии);credentials.password (поиск по паролю, выявленному в незашифрованной сессии);credentials.valid (фильтрация по валидным учётным записям).PT NAD проверяет все сохранённые сессии на наличие в них логинов и паролей и выдаёт список тех, которые соответствуют заданному критерию. Рисунок 5. Поиск переданных паролей в незащищённом виде  Результаты фильтрации можно вывести на панель мониторинга в виде виджета. Так пользователь будет отслеживать все логины и пароли с указанием количества сессий, в которых они передавались. Рисунок 6. Виджет с открытыми логинами и паролями Данные в виджете интерактивны: если нажать на логин или пароль, то в строку поиска добавится фильтр с таким признаком, и тогда, перейдя на страницу «Сессии», можно изучить все сеансы связи, в которых этот логин или пароль передавался. Например, нажав на «proxyuser» и перейдя на вкладку с сессиями, мы увидели все 74 сеанса, в которых такой логин передавался в открытом виде. Рисунок 7. Фильтрация списка сессий по логину «proxyuser» Выбрав первую из сессий, мы «провалились» в карточку сессии. В ней в текстовом виде отображены данные учётной записи. Рисунок 8. Карточка сессии с передачей логина «proxyuser» Пример 2. На каком этапе находится злоумышленник? Выявляем атаки с определением тактики и техники MITRE ATT&CKДля оперативного мониторинга подозрительных событий данные об атаках отображаются на «дашбордах». Панели мониторинга индивидуализируются: можно выбрать нужные данные для вывода их на главную страницу. Сейчас пользователю доступны 53 стандартных виджета; набор регулярно пополняется. Рисунок 9. Выбор виджетов для отображения на «дашборде»  Для получения подробностей переходим на вкладку «Атаки». Здесь отображается список подозрительных событий. Рисунок 10. Вкладка «Атаки» со списком нападений за сутки Атакам автоматически присваиваются уровень опасности (от низкого до высокого) и класс. Уровень опасности можно менять в настройках правил в зависимости от политик ИБ компании либо от важности события для сети. Рисунок 11. Изменение уровня опасности правила Класс атаки поменять нельзя: его задают специалисты PT Expert Security Center. Это — центр безопасности Positive Technologies, который проводит расследования инцидентов, исследует угрозы и создаёт способы их обнаружения: правила детектирования и индикаторы компрометации. Соответствующие обновления поступают в базу знаний PT NAD еженедельно.Вернёмся к списку атак. Нажав на интересующее вас событие, вы увидите подробную карточку атаки. В карточке отображаются данные о задействованных узлах, о времени события, о сессии, а также об использованных тактиках и техниках по матрице MITRE ATT&CK. Имеется также описание атаки и рекомендации по реагированию от специалистов PT ESC. Это помогает понять, на какой стадии атаки находятся злоумышленники и что следует делать. Рисунок 12. Пример карточки атаки Нам не хватило визуализации данных об атаках с учётом знаний о приёмах и тактике нарушителя. Выбрав из списка конкретную обнаруженную атаку, хочется посмотреть на условной матрице MITRE ATT&CK, насколько глубоко продвинулся злоумышленник. Представители Positive Technologies говорят, что уже в начале года появится виджет с наиболее распространёнными техниками и тактиками, которые выявил PT NAD в сети заказчика. Параллельно прорабатываются другие идеи визуализации.Пример 3. Threat Hunting. Как охотиться на киберугрозы с PT Network Attack DiscoveryThreat Hunting — это процесс проактивного поиска угроз в сети, когда специалисты строят гипотезы о взломе инфраструктуры и проверяют их, анализируя релевантные данные. Таким специалистам нужно быть немного параноиками, чтобы регулярно придумывать гипотезы и внимательно искать им подтверждение или опровержение. Но результаты оправдывают такой подход: Threat Hunting позволяет выявлять компрометацию, находить уязвимые места в сети до возникновения инцидента и заодно лучше узнавать свою инфраструктуру.Проверим гипотезу, что сервер базы данных скомпрометирован и злоумышленники украли с него чувствительную информацию. Для этого нужно посмотреть, соединялся ли сервер с внешними узлами в интернете. Такие узлы могут оказаться командными центрами злоумышленников.Перейдём на вкладку «Сессии» и изучим все обращения сервера вовне. Для этого отфильтруем трафик по источнику соединения: в данном случае это — исследуемый нами сервер db.company.com. Рисунок 13. Исходящие соединения с сервера базы данных Проанализировав сессии, мы обратили внимание на одно HTTP-соединение, которое ведёт на some-trusted-host.com — некий доверенный внешний веб-сайт. Это вызывает подозрения, поскольку сервер базы данных — консольный, без графического интерфейса, так что вряд ли кто-то пытался просмотреть с него сайт. Более того, заметно явное преобладание загруженного контента над полученным, что говорит о выгрузке информации с сервера. Рисунок 14. Объём отправленных данных превышает объём полученных в 56 раз Изучим сессию подробнее. Во время этого сеанса передавалось большое число POST-запросов, которые направлены на выгрузку содержимого. За счёт анализа сессии целиком PT NAD не только отобразил все такие запросы, но и предоставил возможность увидеть в явном виде переданный контент: были выгружены большие CSV-файлы (размер каждого — от 163 до 233 МБ). Рисунок 15. С сервера были выгружены четыре CSV-файла и отправлены POST-запросы Скачаем для примера файл file_1.csv. Рисунок 16. Содержимое файла file_1.csv В файле оказались персональные данные клиентов компании. Это значит, что гипотеза подтверждена: сервер скомпрометирован. Нужно заблокировать доступ к сайту online-store.com и устранить вредоносную программу, которая установила связь с командным сервером. Лицензирование и варианты поставки PT Network Attack Discovery Продукт поставляется в двух вариантах: в виде программно-аппаратного комплекса или ПО для развёртывания на виртуальной машине. Лицензирование — годовое. Права на использование продукта включают базовую лицензию (по пропускной способности трафика) и инфраструктурные лицензии на ядро системы и сенсоры.Объясним на примере архитектуры внедрения. Есть три коммутатора; подключаем к ним три сенсора с общей пропускной способностью до 16 Гбит/с. Для обработки трафика с пропускной способностью 16 Гбит/с понадобятся два ядра. Рисунок 17. Пример архитектуры продукта Лицензируется такая конфигурация следующим образом:базовая лицензия на 20 Гбит/с,2 лицензии на ядро системы,1 лицензия на сенсор до 1 Гбит/с,1 лицензия на сенсор до 5 Гбит/с,1 лицензия на сенсор до 10 Гбит/с.Количество сенсоров можно постепенно увеличивать (вместе с количеством ядер). Это позволяет масштабировать PT NAD при росте корпоративной сети организации. ВыводыPT NAD в умелых руках способен на многое. С его помощью можно реализовать разнообразные задачи: от контроля выполнения регламентов ИБ до полноценных расследований. Компетенция специалистов ИБ для этого должна быть высокой. По словам представителей Positive Technologies, они понимают, что не в каждой компании есть специалисты со знаниями в области сетевой безопасности и киберкриминалистики, поэтому они предоставляют двухдневное обучение для пользователей продукта, регулярно проводят на мероприятиях мастер-классы и отвечают на вопросы в чате через «Телеграм». Перед командой разработки сейчас стоит задача по снижению входного порога для работы с продуктом; с этой целью появились, в частности, рекомендации и описания атак.Достоинства продукта:может детектировать действия злоумышленников в зашифрованном трафике;способен выявлять даже модифицированные вредоносные программы;выявляет нарушения регламентов ИБ: использование нелегитимных и открытых протоколов, передачу учётных данных в открытом виде и т.п.;даёт описания и рекомендации по реагированию на атаки, определяет техники и тактики атакующих по матрице MITRE ATT&CK;сертифицирован ФСТЭК по профилю «обнаружение вторжений уровня сети 4-го класса»;может обеспечивать защиту в рамках выполнения требований по безопасности критической информационной инфраструктуры Российской Федерации;интегрируется с внешними системами безопасности и другими решениями Positive Technologies: с PT MultiScanner — для антивирусной проверки пересылаемых по сети файлов, с MaxPatrol SIEM — для передачи событий и данных о сетевой конфигурации IT-активов.Недостатки:не хватает визуализации действий атакующих по матрице MITRE ATT&CK;для полноценной работы с продуктом необходимы знания в сфере сетевой безопасности;для антивирусной проверки передаваемых по сети файлов нужно подключать сторонние решения, например PT MultiScanner.

Программный продукт StaffCop Enterprise, разработанный российской компанией ООО «Атом безопасность», — комплексная DLP-система для защиты от действий инсайдеров и утечек конфиденциальных данных. В StaffCop Enterprise версии 4.6 много нового: перехват входящей почты через IMAP, перехват веб-версий мессенджеров, осциллограмма аудиофайлов, упрощение работы с аналитикой данных в веб-интерфейсе, перехват файловых операций для отмеченных информационных объектов, большое обновление Linux-агента и многое другое. ВведениеАрхитектура StaffCop EnterpriseФункциональные возможностиЧто нового в версии StaffCop Enterprise 4.6?4.1. Извлечение писем по протоколу IMAP4.2. Поддержка популярных веб-мессенджеров4.3. Отслеживание операций с «помеченными» файлами4.4. Перехват печати и удаленное администрирование на GNU/Linux4.5. Видеостена из веб-камер4.6. Работа со звуковыми файлами4.7. Поиск по близлежащим событиям4.8. Срабатывания по порогуВыводы ВведениеВы когда-нибудь оценивали, сколько стоят ваши риски? В современном мире есть множество угроз безопасности ваших данных. Иногда утрата информации может обесценить многолетнюю работу, лишить вас потенциальной прибыли или даже привести к банкротству. Вместо того чтобы переживать о потенциальных угрозах, подозревать своих коллег в краже данных и пытаться усложнить жизнь рядовым сотрудникам, ограничивая их в работе, можно выделить часть бюджета на средство борьбы с утечками (DLP-продукт) и не только выявить соответствующие инциденты, но и посмотреть изнутри на то, как устроены ваши бизнес-процессы.Обычно DLP-система предлагает следующие возможности:анализ инцидентов информационной безопасности,получение информации о внутренних рабочих процессах,осуществление ненавязчивого контроля продуктивности работы сотрудников,осуществление помощи в системном администрировании.Современные продукты этого класса далеко продвинулись в функциональности, позволяющей автоматизировать ручной анализ инцидентов информационной безопасности. Распознавание документов, поиск по словарям ключевых слов, анализ переписки — всё это позволяет получать актуальные отчеты об интересующих вас каналах утечки информации без больших затрат и без необходимости увеличивать штат службы безопасности. Достаточно настроить систему и получать отчёты по настроенным фильтрам.Что предлагает нам StaffCop Enterprise?Во-первых, контроль рабочего времени: руководители компаний, сотрудники службы безопасности и администраторы сетей, использующие StaffCop Enterprise, могут отслеживать практически все подозрительные события, происходящие на компьютерах предприятия, причём как в реальном времени, так и в ретроспективе. С помощью этого решения можно оценить эффективность работы коллег и узнать, на что они тратят рабочее время. Во-вторых, анализ инцидентов информационной безопасности. Доступен полный мониторинг сетевого трафика (в том числе шифрованного), корпоративной электронной и веб-почты (с вложениями), интернет-мессенджеров, посещения веб-сайтов. Имеются также функциональность по отслеживанию работы с файлами (файловая система, буфер обмена, копирование на внешние носители, сетевые диски, анализ данных в архивах), детектор аномалий поведения пользователей, система оповещения о нарушении политик безопасности предприятия, гибкая система настройки сбора информации.В-третьих, помощь в системном администрировании. В эту группу входят блокировка сайтов и приложений, настройка белого списка USB-устройств, мониторинг печати документов и удалённое подключение к рабочему столу. Эти инструменты заменяют множество других специализированных продуктов IT-отдела.Для работы StaffCop Enterprise необходим только один сервер под управлением ОС семейства GNU/Linux, предназначенный для сбора, хранения, анализа и просмотра информации об активности пользователей. Архитектура StaffCop EnterpriseStaffCop Enterprise является клиент-серверным приложением и состоит из двух основных частей: сервера и агентов.Серверная часть предназначена для обработки информации, поступающей от агентов. Она устанавливается на машину под управлением ОС Ubuntu Server и использует СУБД PostgreSQL и Clickhouse.Доступ к данным и управление мониторингом осуществляются через веб-интерфейс (веб-консоль). Работа с консолью возможна с любого компьютера, способного подключиться к серверу через интернет или локальную сеть. Для загрузки веб-интерфейса разработчик рекомендует использовать современный браузер Chrome или Firefox.Агент представляет собой службу, запущенную на рабочей станции или терминальном сервере с операционной системой Windows, Linux и macOS. Он отслеживает действия сотрудника и события на его компьютере, передаёт их на сервер, а также реализует различные блокировки и запреты доступа.Установка агента для ОС семейства Windows производится локально или удалённо с помощью встроенной утилиты. Возможна также инсталляция через групповые политики (GPO) Active Directory. Для установки требуются права локального (доменного) администратора.Установка Linux-агента выполняется путём запуска инсталлятора с правами суперпользователя (root).Работа агента происходит в скрытом режиме незаметно для пользователя. Данные накапливаются в локальной базе, а после передачи на сервер автоматически удаляются. Если связи с сервером нет, то сбор продолжается, но по достижении максимального разрешённого размера локальной базы агент начинает циклично перезаписывать информацию, затирая самые старые данные.Подключение к серверу осуществляется по защищённому соединению. Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы. Агент StaffCop Enterprise может работать и на удалённом компьютере, не находящемся в локальной сети компании.Всю собранную информацию StaffCop визуализирует с помощью наглядных отчётов и диаграмм. Отчёты создаются в режиме реального времени. Можно воспользоваться предустановленными формами отчётов либо определить собственные шаблоны.Настройка конфигурации пользователей, параметров системы, политик безопасности происходит в единой консоли управления; настройки пользователей могут быть как групповыми, так и индивидуальными. Функциональные возможности Рисунок 1. Визуализация функциональных возможностей StaffCop Enterprise Спектр возможностей StaffCop Enterprise можно разделить на следующие группы (таблица 1). Таблица 1. Функциональные возможности StaffCop EnterpriseГруппа возможностейСостав группы1. Контроль отправки информации посредством электронной почтыПерехват почтовых сообщений по протоколам SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, MAPI;перехват и анализ файлов-вложений почтовых сообщений;мониторинг почтовых сообщений и вложений с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям.2. Мониторинг отправки информации посредством IM-клиентовПерехват текстовых сообщений по протоколам (Skype, Telegram, ICQ\QIP, Jabber, Mail.ru Agent) и отправляемых файлов (Skype, Telegram).3. Контроль информации, передаваемой по HTTP/HTTPSПерехват и анализ сообщений и файлов, отправляемых в блоги, форумы, файлообменные сервисы и иные веб-службы;перехват входящих и исходящих данных веб-коммуникаций (переписки в чатах, публикация статусов, комментарии) на веб-ресурсах: Facebook, Одноклассники, Twitter;перехват исходящих сообщений ВКонтакте, исходящих электронных писем и вложений, переданных или полученных через почтовые веб-сервисы (mail.yandex.ru, mail.google.com, mail.rambler.ru, e.mail.ru, outlook.com);перехват и мониторинг поисковых запросов пользователя;сохранение адресов всех страниц (URL), посещённых пользователем;мониторинг сообщений и файлов с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;поиск по тексту и атрибутам сообщений и файлов, переданных и перехваченных по протоколу HTTP(S);блокировка посещения веб-ресурсов;исключение мониторинга сайтов по чёрным и белым спискам;мониторинг всех посещённых сайтов и времени, проведённого на веб-страницах.4. Контроль информации, отправляемой на печатьПерехват документов, отправляемых на печать;извлечение и анализ их текста.5. Контроль внешних накопителейТеневое копирование файлов, отправляемых на внешние носители (съёмные жёсткие диски, карты памяти, съёмные флеш-накопители, CD / DVD);контроль подключений и отключений USB-устройств;настройка правил доступа для USB-устройств по их уникальным идентификаторам, в том числе с разрешением только для чтения;блокировка CD-накопителей;настройка правил блокировки USB-устройств по чёрным или белым спискам, по классам устройств и по группе;перехват листинга и теневое копирование файлов при подключении внешних носителей с возможностью настройки правила для перехвата по указанным расширениям типов файлов.6. Контроль облачных хранилищКонтроль информации, передаваемой в облачные хранилища OneDrive, Dropbox, Google Drive, Yandex Disk, O-disk (файловый канал);теневое копирование файлов, отправляемых в облачные хранилища с рабочей станции сотрудника с установленным агентом;мониторинг случаев передачи файлов в облачные хранилища с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;аудит событий отправки файлов в облачные хранилища (фиксируются имя файла, пользователь, дата, время и имя облачного сервиса);поиск по тексту и атрибутам перехваченных файлов, отправленных в облачные хранилища;настройка размера хранилища для теневых копий на локальных компьютерах пользователей.7. Контроль файлов и файловой активностиКонтроль файловых операций (запись, копирование, оглавление диска, отключение, очистка корзины, перезапись, переименование, перемещение, переименование и перемещение, подключение, создание, удаление, чтение);теневое копирование файлов, отправленных за информационный периметр контролируемой рабочей станцией;поиск по тексту и атрибутам перехваченных файлов;особый контроль путей и файлов (для создания теневых копий при любых файловых операциях).8. Скриншоты (снимки экрана рабочего стола сотрудника)Снятие скриншотов с заданным интервалом;возможность снятия скриншотов по переключению активного окна;настройка для определённых приложений и сайтов с более частым интервалом снятия скриншотов.9. Кейлогер (перехват нажатий клавиш на клавиатуре)Регистрация нажатий сотрудником клавиш на клавиатуре с фиксацией приложения, в котором пользователь вводил данную информацию, и времени;мониторинг информации, вводимой на клавиатуре, с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;индивидуальные политики контроля перехвата нажатий клавиш для отдельных пользователей и рабочих станций;поиск по тексту, вводимому пользователями с клавиатуры;перехват паролей в диалоговых окнах Windows;запрет / разрешение отслеживания при помощи кейлогера по чёрным или белым спискам приложений;перехват пароля при входе в Windows (низкоуровневый кейлогер).10. Аудиомониторинг и запись звукаЗапись звука с обнаруженных микрофонов или колонок на локальной станции сотрудника с установленным агентом;настройка длительности записываемых отрывков записи звука, качества записи, шумового порога, при котором будут игнорироваться звуки, интервала тишины, после которого запись звука будет приостановлена, записи звука по децибелам;воспроизведение файла записи средствами системы веб-интерфейса;возможность скачать записи;осциллограмма записей для визуального определения моментов разговоров.11. Видеомониторинг и запись видеоПодключение к монитору компьютера сотрудника и просмотр изображения в режиме реального времени;мониторинг рабочих столов нескольких пользователей одновременно;вывод окна просмотра на отдельный экран;запись видео с рабочих столов сотрудников;настройка длительности отрывка для записи видео;сохранение записей нескольких пользователей одновременно;воспроизведение файла записи средствами системы.12. Распознавание изображений и документовНаличие встроенного модуля OCR Tesseract4;распознавание перевёрнутых изображений;возможность выбора языков – русский, английский и казахский;распознавание форматов PDF, JPEG, PNG;возможность подключения облачного ABBYY Cloud OCR SDK.  Что нового в версии StaffCop Enterprise 4.6?Извлечение писем по протоколу IMAPЕсли у вас есть настроенный IMAP-сервер для зеркалирования писем, то StaffCop теперь сможет загружать оттуда любые сообщения. Классическая схема для контроля почты там, где это нельзя сделать иначе. Рисунок 2. Настройка сборщика почты по IMAP в StaffCop Enterprise 4.6Поддержка популярных веб-мессенджеровСтала возможной работа с веб-версиями Skype, ICQ и Агента Mail.Ru. Также добавлена поддержка агрегатора облачных дисков Disc-O и механизм перехвата данных веб-форм в нестандартных кодировках. Рисунок 3. Отображаемое окно веб-версии мессенджера SkypeОтслеживание операций с «помеченными» файламиПри помощи нового атрибута для файлов — «метка» — теперь можно получить сведения обо всех файловых операциях. Ничто не пройдёт бесконтрольно! Рисунок 4. Блокировка операции с файлом, имеющим метку «Конфиденциально» в StaffCop Enterprise 4.6Перехват печати и удалённое администрирование на GNU/LinuxОперационные системы на базе GNU/Linux завоёвывают всё больше места в разных организациях, а StaffCop совершенствует возможности контроля сотрудников. Была добавлена функциональность удалённого рабочего стола и перехвата печати на принтере. Рисунок 5. Перехват файла, отправляемого на печатьВидеостена из веб-камерЭта функциональность позволяет оперативно проверить, находится ли сотрудник на рабочем месте, и исключить ситуации, когда один работник «прикрывает» отсутствие коллег. Рисунок 6. Видеостена в консоли управления StaffCop Enterprise 4.6Работа со звуковыми файламиТеперь все звуковые файлы снабжены осциллограммой, которая ощутимо экономит время прослушивания микрофонных записей. Рисунок 7. Визуализация звуковых файлов в виде осциллограммыПоиск по близлежащим событиямНовая функциональность позволяет быстро проанализировать события, расположенные рядом с тем, которое привлекло ваше внимание. Например, вы увидели информацию о создании файла, и теперь необходимо посмотреть полную видеозапись данного события. Рисунок 8. Функция «События рядом» в интерфейсе StaffCop Enterprise 4.6 Срабатывания по порогуЭта возможность необходима для настройки ключевых оповещений. Например, в целом вас не интересует копирование данных на USB-носители. Но если в течение получаса произошло 100 таких операций, то это — повод проанализировать отчёт. Рисунок 9. Настройка функции срабатывания по порогу в StaffCop Enterprise 4.6 ВыводыStaffCop Enterprise активно улучшает свою позицию на рынке DLP-систем, охватывая всё больше каналов утечки данных и операционных систем пользователей, повышая удобство использования.Применение системы существенно снижает риск возникновения утечек информации, вызванных внутренними нарушителями. Взаимодействие с другими продуктами посредством встроенных модулей интеграции и API позволяет легко внедрить данный продукт в уже работающую систему безопасности.Высокая скорость получения отчётов и автоматизация снижают нагрузку на службу информационной безопасности и IT-отдел, а возможности гибкой настройки позволяют с головой погрузиться в систему тем, кто неравнодушен к информационной безопасности в организации.Достоинства:простота и скорость формирования отчётов;единая консоль управления;масштабируемость;качество технической поддержки.Недостатки:на момент написания обзора отсутствуют клиенты под Android и iOS;необходимость установки сервера под Linux (можно обойти при помощи облачного решения StaffCop Sky).

Платформа кибербезопасности Varonis — мощное средство борьбы с внутренними и внешними угрозами, основанное на классификации, мониторинге и защите конфиденциальных данных в сочетании с анализом поведения пользователей. Платформа даёт понимание того, где хранятся и как используются конфиденциальные данные; гарантирует, что доступ к данным имеют только те сотрудники, которым он действительно нужен; выявляет и предотвращает внутренние угрозы и продвинутые кибератаки; автоматизирует процессы управления информационной безопасностью без необходимости «ручного» вмешательства. Введение. Подход Varonis к кибербезопасностиСостав платформы кибербезопасности VaronisКак работает платформа кибербезопасности Varonis3.1. Категоризация и классификация конфиденциальных данных, составление картины их использования3.2. Выявление нарушений доступа к данным и аномалий в поведении пользователей3.3. Устранение нарушений правил доступа к данным3.4. Постоянный мониторинг и поддержание порядка в автоматизированном режимеТехнические условия работыВыводы Введение. Подход Varonis к кибербезопасностиРост количества утечек информации в 2019 году показал, что риск злоупотребления правами доступа остаётся актуальной проблемой, в том числе — для корпораций с высокотехнологичной защитой периметра. Даже при строгом регулировании политик и правил любая крупная организация рано или поздно сталкивается с ростом числа уязвимостей, связанных с постоянным увеличением объёмов неструктурированных данных (т.е. таких, по отношению к которым непонятно, какую именно информацию они содержат) на файловых серверах и в других хранилищах.По мнению аналитиков Gartner, доля неструктурированных и полуструктурированных информационных ресурсов в компаниях достигает 80%. Подобным образом хранятся активы всех подразделений, выгрузки из баз данных и промышленных систем, журналы банкоматов и другие конфиденциальные сведения. Проблема их защиты состоит также и в том, что они пластичны (то есть постоянно изменяются и перемещаются из одного места хранения в другое).При создании файловых ресурсов ИТ-департамент руководствуется принципами удобства пользователей и не предопределяет, может ли в них содержаться конфиденциальная информация. IDM-продукты не решают эту проблему, поскольку они лишь обозначают роли пользователей, ничего не зная о том, какая роль должна быть у пользователя и к какой именно информации он получает доступ (контекст данных). Соответственно, ролевая модель для неструктурированных данных не работает, поскольку они хаотично перемещаются и постоянно изменяются.Varonis, в свою очередь, сопоставляет матрицу доступа с контекстом данных (их содержанием) и показывает, кто из пользователей не должен иметь доступ к определённым файлам или папкам. Разрозненные отчёты о правах доступа и статистике использования информационных активов собраны в единую базу с общим динамическим интерфейсом.Varonis — пионеры в области классификации метаданных и анализа реально используемых прав доступа к неструктурированным материалам, поэтому возможности их продукта принципиально отличаются от решений класса IDM. Современный подход Varonis к кибербезопасности выходит за пределы управления неструктурированными данными, дополнительно охватывая задачи выявления сложных усовершенствованных кибератак и противодействия им. Рисунок 1. Подход Varonis к выявлению комплексных кибератак Злоумышленники обычно проникают внутрь компании путём взлома периметра сети либо используя наиболее уязвимые каналы — например, почту (фишинг). После этапа разведки киберпреступник компрометирует реквизиты легитимной учётной записи (как правило, Active Directory), после чего для большинства используемых средств защиты он становится абсолютно законным пользователем системы. Это даёт ему возможность получить доступ к наименее защищённым платформам (таким как файловые ресурсы), совершать там операции и выводить данные наружу.Учитывая эту логику, Varonis осуществляет мониторинг каналов входа в периметр компании, отслеживает действия с Active Directory, анализирует файловые ресурсы, почту и другие активы, строит поведенческие профили и оповещает об аномалиях с высокой эффективностью и низким количеством ложных срабатываний.Особенностью технологии Varonis является то, что она позволяет отслеживать цепочку событий, характерных для большинства усовершенствованных кибератак (kill chain). Это помогает с высокой точностью определять, является ли конкретное событие инцидентом, и заметно упрощает первоначальное расследование. Состав платформы кибербезопасности VaronisПлатформа кибербезопасности объединяет информацию о пользователях и их правах, а также о данных, их конфиденциальности и модели их использования, обеспечивая тем самым их защиту согласно политикам безопасности в системах хранения неструктурированных сведений. Сбор метаданных с периметровых систем, таких как DNS, VPN или прокси-серверы, и применение поведенческого анализа позволяют выявлять аномальную активность пользователей.В базовый состав платформы входит модуль DatAdvantage — средство сбора и анализа данных из файловых ресурсов, почты и каталога Active Directory. Далее этот основной блок можно обогащать дополнительными инструментами. Полный состав модулей и их функций представлен в таблице ниже. Таблица 1. Функции и модули платформы кибербезопасности VaronisФункциональностьМодульБазовые возможностиАудит прав доступа, действий пользователей и защита данных. Помодульное покрытие файловых ресурсов Windows/Unix/NASDatAdvantageДополнительные функцииПоведенческий анализ и выявление аномалий. Реагирование на инцидентыDatAlertКлассификация данныхData Classification EngineАвтоматизированная продвинутая миграция данныхData Transport EngineАвтоматизированное исправление нарушений в правах доступаAutomation EngineПолнотекстовое индексирование корпоративных ресурсовDatAnswersУправление правами доступа через портал самообслуживанияDataPrivilegeКонтроль периметра для выявления внутренних и внешних угрозEdge Система кибербезопасности Varonis позволяет собрать управление доступом к данным на различных платформах в единый процесс.Поддерживаемые платформы:Active Directory/LDAPWindowsUNIX/LinuxSharePointExchangeDell EMSNasuniHPENetApp NASHP NASHitachi NASIBM Storewize V7000Office 365OneDriveBox Как работает платформа кибербезопасности VaronisПлатформа обеспечивает полный цикл поддержания безопасности данных в актуальном состоянии. Он включает следующие этапы.Категоризация и классификация конфиденциальных данных.Определение актуальной модели их использования.Настройка политик безопасности — определение идеальной картины использования конфиденциальных данных.Выявление нарушений и аномалий.Принятие мер по их ликвидации.Выявление и назначение бизнес-владельцев данных для их вовлечения в процесс настройки прав доступа к конфиденциальным данным.Постоянный мониторинг и поддержание порядка в автоматизированном режиме.Рассмотрим функциональность модулей системы в соответствии с этими стадиями. Категоризация и классификация конфиденциальных данных, составление картины их использованияDatAdvantage — «сердце» платформы кибербезопасности Varonis. Модуль предоставляет функции, которые служат основой для выстраивания всех остальных описанных выше этапов.DatAdvantage агрегирует данные о правах доступа к неструктурированным (файловые и облачные сервисы) и полуструктурированным (SharePoint, Active Directory и др.) данным. DatAdvantage показывает, кто на самом деле пользуется (или не пользуется) правами доступа и кому ещё доступен конкретный объект через файловые и почтовые системы. Сопоставление прав с реальными пользователями позволяет видеть, какие данные подвержены риску. Отчёт о правах доступа можно сформировать в двустороннем порядке — как по информационному объекту (щёлкнув по папке, сайту или почтовому ящику), так и по пользователю (нажав на карточку или группу). Здесь же можно сформировать новые правила доступа и проанализировать последствия любых изменений в песочнице; более подробно этот инструмент рассмотрим далее.  Рисунок 2. Отчёты модуля Varonis DatAdvantage для анализа прав доступа в Active Directory В сочетании с модулем Data Classification Engine платформа определяет места хранения конфиденциальной информации, показывая её в срезе существующих прав доступа и статистики использования. Data Classification Engine содержит около 50 встроенных правил и более 400 терминов для выявления конфиденциальных данных и сведений, охраняемых требованиями регуляторов (PCI DSS, GDPR и др.).Словари Data Classification Engine содержат следующие категории:персональные данные (номера кредитных карт, паспортные данные, номера водительских удостоверений, номера социального страхования и т.д.);финансовая информация;международные стандарты (GDPR, HIPAA, PHI, PCI и т.д.).Поддерживается более 60 форматов файлов, включая офисные документы, архивы, сообщения электронной почты, базы данных и т.д. Встроенный модуль OCR позволяет производить полнотекстовый поиск информации в скан-копиях и других графических файлах, что поможет выявить инцидент утечки данных на этапе его подготовки.Ключевой особенностью Data Classification Engine является инкрементальное сканирование: первоначально сканируется весь массив данных, а при следующем запуске решение анализирует только новые и измененные файлы, а не всю базу целиком. Благодаря такому подходу снижается нагрузка на систему и повышается оперативность. Рисунок 3. Интерфейс Data Classification Engine После определения общей картины пользования данными Varonis показывает разницу между реальным и желаемым состоянием модели доступа — и тут же предоставляет возможность её легализовать в едином интерфейсе с помощью меток, или «флагов». Разметив папки и пользователей, можно определить дополнительные права, не предусмотренные стандартными ролями — например, разрешить хранить в конкретной общей папке персональные данные или позволить конкретному пользователю доступ к финансовым материалам. Рисунок 4. Разметка прав доступа пользователей в модуле Varonis DatAdvantage Выявление нарушений доступа к данным и аномалий в поведении пользователейМодуль DatAlert — основной инструмент для выявления нарушений и аномалий, а также реагирования на инциденты.С одной стороны, DatAlert выявляет нарушения преднастроенных политик безопасности: размещения конфиденциальной информации, доступа к ней и так далее. Важно отметить, что две трети политик безопасности относятся к классу поведенческой аналитики (UEBA) и срабатывают после обучения системы на реальных данных, включающего построение стандартных поведенческих моделей для пользователей и администраторов.Помимо выявления нарушений, DatAlert также находит признаки аномального поведения в системе, оповещает о нестандартной активности и предоставляет инструменты реагирования на инцидент, чтобы предотвратить его распространение и минимизировать последствия. Мониторинг аномальной активности позволяет выявлять потенциальные угрозы, которые не покрываются заданными политиками безопасности. К примеру, в рамках политик пользователю разрешено удалять конфиденциальные данные, но если происходит массовое удаление (и к тому же из неизвестного местоположения), то система может посчитать такую активность аномальной и предложить офицеру безопасности расследовать событие, невзирая на формальную легитимность операции.Для выявления аномалий в системе предустановлена 161 модель угроз, база поведенческих моделей регулярно пополняется. Можно выделить из их числа, например, следующие:постепенное увеличение числа блокировок отдельной пользовательской или административной учётной записи;нестандартное количество событий входа на личные устройства;сброс пароля администратора или пользователя и последующий доступ к данным, содержащим конфиденциальные сведения;потенциальная атака типа ticket harvesting;потенциальная кража учётной записи на основе пониженного шифрования;эскалация привилегий рядовой учётной записи до уровня администратора домена.Active Directory — центральное звено ИТ-инфраструктуры и наиболее уязвимая её часть. По этой причине большая часть встроенных моделей угроз связана именно с Active Directory.  Рисунок 5. Панель оповещений DatAlert В связке с модулем Edge платформа выявляет аномалии, которые можно обнаружить лишь благодаря наблюдению за периметром организации. Edge добавляет «новый слой» к обеспечению безопасности данных: например, пользователь действует легитимно в рамках своих прав, но его действия тем не менее расцениваются как аномальные. Edge дополняет информацию о правах пользователей и о моделях использования конфиденциальных сведений метаданными, собранными с периметра сети:события входа в корпоративную сеть через VPN;работа в сети «Интернет» через прокси-сервер и DNS. Рисунок 6. Панель мониторинга периметра сети в интерфейсе модуля Edge Edge позволяет настроить автоматический запуск скрипта PowerShell для немедленного принятия мер по предотвращению вторжения в корпоративную сеть.Проникая внутрь корпоративной сети и получая доступ к учётным записям Active Directory, злоумышленник становится «невидимым» для большинства систем защиты, поскольку действует от лица легитимного пользователя. Однако для платформы кибербезопасности Varonis такой пользователь будет выглядеть подозрительным, поскольку система сопоставляет метаданные с поведенческими моделями и аналитикой периметра сети.Все актуальные зоны риска отображаются на главном экране веб-интерфейса системы в динамическом режиме. Из общего отчёта можно перейти к событию, и наоборот (принцип drill-down). Рисунок 7. Обзорная панель с оповещениями о рисках в платформе Varonis В едином журнале событий системы фиксируются журналы и метаданные любых действий с объектами — создание, открытие, удаление, изменение. Такая информация будет полезной для детализации прав доступа и для ретроспективных расследований в случае возникновения инцидентов. Рисунок 8. Карточка документа с информацией об изменениях в системе Varonis Устранение нарушений правил доступа к даннымПлатформа предлагает несколько вариантов реагирования на инциденты:Пассивное реагирование (информирование посредством электронной почты или SMS, передача протоколов инцидента в SIEM). Система фиксирует все изменения конфигураций файлов и данных, поэтому любые попытки входа в учётную запись, доступа к серверу и изменения информации будут доступны для дальнейшего расследования. Рисунок 9. Создание подписки на отчёты DatAdvantage по электронной почте для владельцев данных Активная защита (автоматический запуск произвольного скрипта PowerShell или EXE-файла при срабатывании политики или выявлении аномальной активности). Такая функция будет полезна, например, при начале криптовирусной атаки — выключение заражённой станции, карантин документа и оповещение сотрудника смогут остановить распространение заражения.Кроме того, платформа Varonis способствует решению проблемы избыточных прав доступа с помощью «песочницы». Основная причина, по которой пользователям предоставляют лишний доступ к ресурсам, — страх перед снижением эффективности бизнес-процессов, когда сотрудники не могут работать с нужными им файлами. В модуле DatAdvantage можно смоделировать последствия изменения прав. После настройки новых правил система сформирует список пользователей, которые не попадают в рамки новых политик, но при этом регулярно обращались к защищаемым файлам. Даже в крупной компании такой список обычно насчитывает не более пары десятков человек, работу с которыми целесообразно провести вручную — отправить запросы руководителям подразделений и владельцам данных для подтверждения или отказа в доступе для этих сотрудников. Таким образом, принцип наименьших привилегий будет соблюдаться безболезненно для бизнеса. Рисунок 10. Матрица доступа к документам в модуле DatAdvantage  Выявление и назначение бизнес-владельцев данных для их вовлечения в процесс настройки прав доступа к конфиденциальным даннымПлатформа предоставляет возможность управлять правами доступа в активном и пассивном режимах.Пассивный режим предполагает вовлечение бизнес-владельцев в управление правами доступа к конфиденциальным данным. Это логично, так как сотрудники отделов ИТ и ИБ не могут знать обо всех бизнес-процессах в организации. Пассивный режим основан на возможностях DatAdvantage и удобен тем, что пользователям не нужно предпринимать никаких активных действий — модуль самостоятельно формирует отчёты (кто и как работает с конфиденциальными данными, какие у пользователей есть права, что за изменения прав доступа происходят и т.д.), а затем отправляет их владельцам бизнес-данных.Активный режим предполагает использование модуля DataPrivilege. Это — портал самообслуживания, который даёт возможность предоставлять и запрашивать права доступа. Модуль работает на уровне групп Active Directory, а они, в свою очередь, могут регулировать доступ пользователей к съёмным устройствам, к помещениям, на парковку, в интернет и т.д. Таким образом, через DataPrivilege можно управлять правами доступа и к этим ресурсам.  Для каждой папки или группы можно назначить владельца — сотрудника, который фактически её администрирует. Этот работник будет получать регулярные отчёты по доступу и активности в его папках и документах. Рисунок 11. Отчёт системы Varonis об обращениях к документам для бизнес-владельца Через веб-интерфейс владелец процесса может самостоятельно управлять правами доступа для других сотрудников независимо от их ролей в компании. Удобно, что можно нарушать иерархию папок при выдаче прав — например, пользователь получит разрешение на чтение файла в одной из вложенных папок, но при этом корневая папка останется недоступной. Интерфейс можно интегрировать через API с кадровой системой или любым другим средством менеджмента. Рисунок 12. Веб-интерфейс для запроса доступа к документу в системе Varonis Постоянный мониторинг и поддержание порядка в автоматизированном режимеПосле оптимизации использования ресурсов и обучения системы нормальному поведению пользователей политики безопасности будут работать в фоновом режиме с минимальным количеством ложных срабатываний.Единый интерфейс для управления правами доступа к разрозненным информационным системам — наиболее удобный вариант с точки зрения экономии рабочего времени администратора. Помимо прочего, упрощение процесса позволяет реализовать принцип наименьших привилегий и без больших усилий поддерживать такую систему прав в актуальном состоянии.Платформа Varonis может полностью автоматизировать исправление прав доступа с помощью модуля Automation Engine. Он удаляет глобальные группы доступа и заменяет их целевыми группами, которые обращались к данным. Кроме того, перед началом чистки глобальных групп Automation Engine находит и исправляет папки с некорректными списками ACL.Выявлять некорректные места хранения файлов поможет модуль Data Transport Engine. При обнаружении в общих папках конфиденциальной и регулируемой информации система переместит её в карантин и оповестит владельца. Поисковый робот решения индексирует только недавно созданные или изменённые данные, поэтому для выявления аномалии требуется не более суток.Этот же модуль позволяет решать задачу миграции данных между различными файловыми системами и серверами с сохранением модели прав доступа. В связке с модулями анализа частоты обращений к файлам такая функция поможет сэкономить дисковое пространство за счёт архивации или переноса на более дешёвые серверы устаревших и неиспользуемых данных. Рисунок 13. Интерфейс модуля Varonis Data Transport Engine для архивации неиспользуемых документов Технические условия работыНа момент написания обзора платформа Varonis работает в режиме двух панелей управления — на «толстом клиенте» и на «тонком» с веб-интерфейсом. В ближайшее время разработчики собираются полностью перейти на «тонкий клиент».Язык интерфейса — английский. Модуль DataPrivilege локализован на русский язык.В компании среднего размера, базовую функциональность мониторинга и классификации файловых ресурсов, отслеживания Active Directory и почтовых серверов можно реализовать на одном физическом или виртуальном сервере со следующими параметрами: 4 ядра ЦП, 16 ГБ оперативной памяти, 200 ГБ на жёстком диске, ОС Windows Server 2012R2 / 2016, СУБД MS SQL Server 2014 / 2016.Для работы ПО потребуется доменная технологическая учётная запись с полномочиями на контролируемых серверах, минимально необходимыми для сканирования прав доступа и контента (только на чтение, без административных привилегий).Сбор информации об операциях с файлами не требует включения встроенного аудита Windows на уровне папок; вместо этого используется легковесный агент, создающий нагрузку не более 1% ЦП и занимающий несколько мегабайт в оперативной памяти. ВыводыПлатформа кибербезопасности Varonis находится на стыке двух областей — управления неструктурированными данными (Data Governance) и поведенческого анализа (UEBA), который постепенно и вполне справедливо перестаёт рассматриваться как отдельная категория и становится частью других сфер, в том числе DAG.С одной стороны, платформа позволяет навести порядок в хранилищах неструктурированных данных и поддерживать его на постоянной основе. Возможность автоматически проверять и корректировать в едином окне права доступа делает возможным соблюдение принципа наименьших привилегий. С другой стороны, посредством мониторинга каналов входа в периметр компании, отслеживания действий с Active Directory и анализа файловых ресурсов, почты и построения поведенческих профилей Varonis отслеживает и оповещает об аномалиях с высокой эффективностью и низким количеством ложных срабатываний.Большое количество встроенных политик безопасности помогут быстро интегрировать систему в рабочие процессы организации. Более 150 моделей угроз описывают наиболее важные сценарии использования данных, в том числе защищаемых регуляторами (GDPR, PCI DSS и другие). Важно, что основной массив этих правил построен на алгоритмах поведенческой аналитики, что снижает количество ложноположительных срабатываний и повышает ценность отчётов как реально работающего инструмента.Платформа Varonis снижает трудовые издержки офицеров безопасности за счёт упрощения процессов расследования — тотальное протоколирование метаданных и истории работы с файлами могут обогатить и дополнить сведения, собираемые DLP-системой.Решение хорошо интегрируется со смежными продуктами по API, встраивается в SIEM-, DLP-, IDM-системы, поддерживает различные протоколы Linux и Unix, что позволяет создать единую ИТ-инфраструктуру для поддержания безопасности.Преимущества платформы кибербезопасности Varonis:Полный аудит неструктурированных данных, электронной почты и действий пользователей и администраторов.Наглядные отчёты о фактическом использовании данных и оповещения в реальном времени при наступлении определённых событий (установленных производителем либо заданных пользователем).Более 150 преднастроенных моделей угроз, база поведенческих моделей угроз постоянно пополняется. Алгоритмы поведенческой аналитики, основанные на сложных математических моделях для выявления аномалий в пользовании данными.Песочница для моделирования прав доступа и предварительной проверки планируемых изменений.Классификация и полнотекстовый поиск конфиденциальных данных в масштабах предприятия.Автоматизация заявок на предоставление прав доступа и утверждения этих заявок владельцами данных.Возможности интеграции со смежными системами (IDM, DLP, SIEM и другими)Модульная структура платформы удобна для адаптации к задачам компании.Недостатки:Стоимость решения.Решение ориентировано исключительно  на крупные организации (не для среднего бизнеса).Отсутствие русскоязычного интерфейса.В России продукт представлен только через интеграторов, нет возможности приобрести его напрямую у вендора.

ESET NOD32 Smart Security Business Edition представляет собой комплексное антивирусное решение для защиты серверов, рабочих станций, виртуальных платформ и мобильных устройств. Решение ориентировано на защиту сетей малого и среднего бизнеса. В продукте успешно сочетаются передовые технологии ESET для борьбы с вредоносными программами, фишинговыми атаками и иными сетевыми угрозами.  ВведениеАрхитектура ESET NOD32 Smart Security Business EditionОсновные функциональные возможности ESET NOD32 Smart Security Business EditionСистемные требования и политика лицензирования ESET NOD32 Smart Security Business EditionРабота с ESET NOD32 Smart Security Business EditionЗащита конечных точек ESET Endpoint Security 7Централизованное управление ESET Security Management CenterВыводы ВведениеБольшинство компаний уровня SMB (Small and Medium Business, малый и средний бизнес) недооценивает риски, связанные с киберугрозами. В SMB-сегменте, в отличие от больших компаний, задачи разработки ИТ- и ИБ-стратегий не являются приоритетными, и на первый план выходят продуктовая и операционная деятельность. Как правило, руководство небольших организаций не придаёт большого значения вопросам информационной безопасности, считая угрозы ИБ несущественным риском для бизнеса, и, как следствие, выделяет недостаточно времени и средств на защиту.При этом с каждым годом количество угроз постоянно растёт. Вредоносные программы, фишинг, использование незащищённых мобильных устройств для работы с корпоративными данными представляют опасность для компаний любой величины. Небольшим предприятиям необходимо решение, отвечающее и общим современным требованиям, и специфическим запросам малого и среднего бизнеса: комплексное противодействие всем основным угрозам в сочетании с простотой в установке и эксплуатации.В данном обзоре мы рассмотрим комплекс средств антивирусной защиты ESET NOD32 Smart Security Business Edition, предназначенный для оперативного сканирования и распознавания всех типов угроз на рабочих станциях и файловых серверах, работающих под управлением операционных систем Windows и Linux, а также для защиты мобильных устройств. Решение подходит для обеспечения информационной безопасности сетей малого и среднего бизнеса.Ранее мы уже публиковали обзор ESET NOD32 Smart Security Business Edition. Однако с того момента прошло уже более 7 лет, так что пришло время освежить представление о возможностях этого продукта.Основное нововведение — реализация новых технологий, а также появление сервера централизованного управления защитой (ESET Security Management Center), который пришёл на смену компоненту для удаленного администрирования ESET Remote Administrator. ESET Security Management Center обеспечивает мониторинг хостов в сети в режиме реального времени, а также полное управление корпоративными решениями ESET из единой консоли. Архитектура ESET NOD32 Smart Security Business EditionESET NOD32 Smart Security Business Edition — набор продуктов, объединённых общей системой управления и лицензирования. Продукт содержит следующие клиентские компоненты, обеспечивающие локальную защиту:ESET Endpoint Antivirus для Microsoft Windows. Это решение для защиты рабочих станций включает антивирус и антишпион, сканер UEFI, обеспечивающий контроль целостности прошивки и обнаружения попыток её модификации, модуль для контроля приложений и процессов с помощью поведенческого анализа и репутационной эвристики, а также модуль для контроля подключаемых устройств.ESET Endpoint Antivirus для Mac OS X. Средство базовой кросс-платформенной защиты рабочих станций на базе компьютеров Apple имеет в своем составе антивирус и антишпион, антифишинг и модуль для контроля подключаемых устройств.ESET NOD32 Antivirus Business Edition для Linux Desktop содержит базовые технологии защиты рабочих станций под управлением операционной системы Linux.ESET Endpoint Security для Microsoft Windows обеспечивает многоуровневую защиту рабочих станций в корпоративной сети.ESET Endpoint Security для Mac OS X содержит технологии антивирусной защиты, средства блокирования несанкционированного доступа к информации и контроля действий пользователя.ESET Endpoint Security для Android обеспечивает надёжную антивирусную защиту мобильных устройств на базе операционной системы от Google, а также включает ряд инструментов для безопасности корпоративных данных, хранящихся на смартфонах или планшетах сотрудников компании.ESET Virtualization Security для VMware предоставляет средства для эффективной защиты виртуальной инфраструктуры. Модуль поддерживает платформы NSX и vMotion.ESET Mobile Device Management для iOS позволяет удалённо настраивать параметры безопасности для мобильных устройств производства Apple, используемых сотрудниками компании.ESET File Security — решение для защиты файлового сервера на ОС Microsoft Windows от вредоносных программ, разработанное с учётом всех особенностей серверной среды. Оно обеспечивает безопасность персональных и платёжных сведений, а также всех данных CRM, почтовых аккаунтов, внутренней документации и пересылаемых файлов. Продукт актуален для крупных компаний с сетью филиалов, международных холдингов и банковских структур.ESET File Security для Linux обеспечивает расширенную защиту файловых и многоцелевых серверов, сетевых файловых хранилищ; гарантирует стабильную и бесконфликтную работу для обеспечения непрерывности бизнеса.Кроме того, в составе программного комплекса есть инструмент для централизованного управления продуктами ESET — ESET Security Management Center, — который обеспечивает защиту всех объектов сети. Основные функциональные возможности ESET NOD32 Smart Security Business EditionЗащита рабочих станций Windows (ESET Endpoint Security для Microsoft Windows)Антивирус. ESET NOD32 Smart Security Business Edition использует современные технологии защиты от известных и неизвестных угроз. Для поиска вредоносных программ в решении сочетаются эвристический (обновляемое эвристическое ядро ThreatSense) и сигнатурный методы детектирования. Модуль обнаружения регулярно обновляется в автоматическом режиме.Сканер UEFI. В модуле ESET Endpoint Antivirus для Microsoft Windows есть сканер, предназначенный для контроля целостности прошивки и обнаружения попыток её модификации. Сканер обеспечивает безопасность среды предварительной загрузки, соответствующей спецификации UEFI.Контроль устройств. Предусмотрено автоматическое управление устройствами, среди которых — CD- и DVD-диски, USB-накопители и другие носители информации. С помощью данного модуля можно настраивать доступ пользователя к конкретным устройствам, а также изменять или блокировать расширенные фильтры и разрешения.Веб-контроль. Возможность настроить корпоративную политику безопасности и ограничить доступ пользователей к веб-сайтам по категориям или управлять отдельными списками адресов.Антифишинг. Данная технология защищает пользователей от потери логинов и паролей, банковских реквизитов, данных кредитных карт и другой информации вследствие подмены надёжных узлов поддельными — фишинговыми.Персональный сетевой экран. Низкоуровневое сканирование трафика обеспечивает высокий уровень защиты от сетевых атак. Брандмауэр может работать в пяти режимах: автоматический режим, автоматический режим с исключениями, интерактивный режим, режим на основе политик и режим обучения.Защита от сетевых атак. Технология обнаружения уязвимостей в распространённых протоколах, таких как SMB, RPC и RDP, является важным слоем защиты от вредоносных программ и сетевых атак.Защита файловых серверов Windows Server (ESET File Security для Microsoft Windows Server)Антивирус и антишпион. Детектирование всех типов вредоносных программ и проверка репутации приложений на базе облачной технологии до их запуска.Расширенное сканирование памяти. Технология позволяет обезвреживать зашифрованные вредоносные программы, которые устанавливаются на компьютер в скрытом режиме.Защита от программ-вымогателей. Оценивает и контролирует все приложения и процессы с помощью поведенческого анализа и репутационной эвристики.Поддержка кластерной структуры. Возможность соединить несколько продуктов, установленных в кластере, в единое решение для централизованного управления.Сканер UEFI. Как уже говорилось выше, данный сканер обеспечивает безопасность среды предварительной загрузки, соответствующей спецификации UEFI.Защита от ботнетов. Обнаруживает вредоносные программы, анализируя протоколы обмена данными по сети. Ботнет-программы меняются весьма часто, а сетевые протоколы, напротив, не модифицировались годами.Защита от эксплойтов. Контролирует поведение процессов и выявляет подозрительную активность, которая является типичной для целевых атак, ранее неизвестных эксплойтов и угроз нулевого дня.Сканирование хранилища. Проверяет по запросу сетевые хранилища NAS (Network Attached Storage).Сканирование Hyper-V. Даёт возможность сканировать диски виртуальных машин на сервере Microsoft Hyper-V без необходимости установки каких-либо агентов на соответствующие виртуальные машины. Для увеличения производительности доступно сканирование выключенных виртуальных машин.ESET Shared Local Cache. Позволяет значительно ускорить сканирование виртуальных машин за счёт хранения информации о ранее просканированных общих файлах.Поддержка Windows Management Instrumentation. Позволяет интегрировать продукт в другие решения для мониторинга сети и продукты класса SIEM (Security Information and Event Management).Поддержка Microsoft Office 365. После регистрации на отдельном сервере ESET может просканировать хранилище OneDrive, чтобы обеспечить видимость и отслеживать доверенные источники данных компании.Защита серверов под управлением операционной системы Linux (ESET File Security для Linux)В агенте для Linux поддерживаются детектирование всех типов современных угроз (модификации вирусов, троянские программы, сетевые черви, рекламное и шпионское программное обеспечение), настройка правил работы со съёмными носителями и возможность блокирования неавторизованных подключений, а также блокирование вредоносных ссылок в интернете.Защита рабочих станций macOS (ESET Endpoint Security для Mac OS X)Решение для компьютеров Apple содержит антивирус и антишпион, антифишинг, функцию ESET Shared Local Cache, контроль устройств и веб-контроль. Их возможности аналогичны описанным выше модулям для операционных систем Windows. Имеется также сетевой экран, который фильтрует весь входящий трафик и предотвращает несанкционированный доступ к информации.Защита мобильных устройств Android (ESET Endpoint Security для Android)ESET Endpoint Security для Android имеет следующую функциональность:Обнаружение вредоносных объектов, а также проверка всех приложений, файлов, папок и карты памяти в режиме реального времени.Антифишинг — борьба с подменой надёжных веб-сайтов поддельными.Сканирование во время зарядки. Для экономии ресурсов можно запланировать полное сканирование устройства только во время подключения к сети электропитания.Настройка полноценных политик безопасности для мобильных устройств. В случае невыполнения политики продукт уведомляет об этом пользователя и системного администратора, а также позволяет устанавливать минимальный уровень безопасности входа (пароль, PIN-код, графический пароль), максимальное количество неудачных попыток входа, определять время замены пароля, напоминать пользователям об активации шифрования данных на устройстве, блокировать использование камеры.Возможность мониторинга всех установленных приложений на мобильном устройстве, включая блокирование доступа к определённым программам и напоминание пользователям о необходимости их удаления, запрет приложений по категориям (игры, социальные сети и т.п.) или по разрешениям (определение местоположения, копирование контактов и т.п.), блокирование программных пакетов, установленных не из официального магазина, а также установку исключений — «белого списка» и набора приложений, которые обязательно должны быть установлены на устройстве.Администратор может удалённо направлять команды на мобильное устройство через продукт ESET Security Managеment Center или при помощи SMS-сообщений. Если мобильное устройство потеряно или украдено, его можно удалённо заблокировать и вывести на экран блокировки специальное сообщение (например, с информацией о вознаграждении). Кроме того, у администратора есть возможность включить звуковой сигнал, получить информацию о местоположении или удалить все данные из памяти.Защита мобильных устройств Apple iOS (ESET Mobile Device Management для Apple iOS)В составе этого компонента программного комплекса доступны:Централизованная настройка iOS-устройств сотрудников для соответствия всем требованиям политики безопасности компании.Удалённая блокировка устройств или удаление всей конфиденциальной информации на них в случае, если они были украдены или потеряны.Настройка белого и чёрного списков, не позволяющих пользователям устанавливать нежелательные приложения на своих устройствах.Возможность удалённой настройки параметров учётных записей Exchange, Wi-Fi и VPN без участия сотрудников.Централизованное управление комплексом антивирусной защиты (ESET Security Managеment Center) Централизованное управление позволяет:выполнить настройку правил, политики безопасности и заданных конфигураций для групп объектов корпоративной сети,автоматически создать группы на основе Active Directory и объединить устройства в параметрические группы по заданным критериям,определить условия выполнения тех или иных задач для автоматического запуска по заданным параметрам,собрать статистические данные с указанием журналов, вредоносных программ и попыток заражения системы,выполнить инвентаризацию оборудования (агент ESET Management собирает информацию об оборудовании, установленном на компьютерах под управлением Windows, macOS и Linux),управлять мобильными устройствами на Android и iOS и администрировать ESET Endpoint Security для Android.Протокол ESET Push Notification Service поддерживает использование служб сторонних прокси-серверов, таких как Apache HTTP, чтобы перенаправлять обмен данными между агентом и сервером.ESET Security Managеment Center поддерживает среды VDI в части выявления уникальных отпечатков оборудования, что позволяет быстро устранять конфликты между клонированными компьютерами. Системные требования и политика лицензирования ESET NOD32 Smart Security Business EditionКомпоненты ESET NOD32 Smart Security Business Edition должны отвечать перечисленным ниже требованиям. Таблица 1. Минимальные системные требования для клиентских компонентов в составе продукта ESET NOD32 Smart Security Business EditionКомпонент ТребованияESET Endpoint Antivirus для Microsoft Windows и ESET Endpoint Security для Microsoft WindowsПроцессор: Intel или AMD x86-x64 (32- или 64-битные версии)Операционные системы: Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XPESET Endpoint Antivirus для Mac OS XОперационные системы: Mac OS X 10.6 и вышеESET NOD32 Antivirus Business Edition для Linux DesktopОперационные системы: RedHat, Debian, Ubuntu, Suse, Fedora, Mandriva — версия ядра Kernel 2.6 и выше, GNU C Library 2.3 и выше, GTK+ 2.6 и выше, LSB 3.1ESET Virtualization Security для VMwareПоддерживаемые средства VMware: VMware vSphere 5.5 и выше, VMware NSX 6.2.4 и выше, VMware vShield Manager 5.5.4, VMware vShield Endpoint 5.1.0ESET Endpoint Security для AndroidОперационные системы: Android 4.0 и вышеESET Mobile Device Management для Apple iOSОперационные системы: iOS 8 и вышеESET File Security для Microsoft Windows Server — антивирус для сервераПроцессор: Intel или AMD x86-x64 (32- или 64-битные версии)Операционные системы: Microsoft Windows Server 2016 / 2012 R2 / 2012 / 2008 R2 / 2008 / 2003 R2 / 2003ESET File Security для LinuxПроцессор: Intel или AMD x86-x64Память: 256 МБHDD: 700 МБОперационные системы: Linux Kernel версии 2.6.32 и выше, Glibc версии 2.12 и выше, Red Hat Enterprise Linux (RHEL) 6 (64-bit) / 7 (64-bit), CentOS 6 (64-bit) / 7 (64-bit), Ubuntu Server 16.04 LTS (64-bit) / 18.04 LTS (64-bit), Debian 9 64-bit, SUSE Linux Enterprise Server (SLES) 12 (64-bit) / 15 (64-bit) К серверной платформе ESET Security Management Center Server также предъявляются требования, перечисленные ниже. Таблица 2. Минимальные системные требования ESET Security Management Center ServerПараметр ЗначениеПамять4 ГБ ОЗУЖёсткий дискНе менее 20 ГБ свободного местаПроцессорДвухъядерный, 2 ГГц или более мощныйСетевое подключение1 Гбит/сОперационная система (сервер)Windows Server 2003 / 2003 R2 / 2008 R2 / 2012 / 2012 R2 / 2016 / XP x86 SP3 / 7 x86 SP1 / 7 x64 SP1 / 8 / 8.1 / 10 x86 / 10 x64Операционная система (агент и RD Sensor)Windows Server 2003 / 2003 R2 / 2008 R2 / 2012 / 2012 R2 / 2016 / XP x86 SP3 / XP x64 SP2 / Vista x86 SP2 / Vista x64 SP2 / 7 x86 SP1 / 7 x64 SP1 / 8 / 8.1 / 10 x86 ESET NOD32 Smart Security Business Edition лицензируется по количеству узлов (рабочих станций под управлением ОС Windows и серверов под управлением ОС Windows/Linux) в сети. Одна машина — один узел, независимо от выполняемых рабочей станцией или сервером функций. Общее количество лицензий должно равняться сумме количества рабочих станций и серверов. Минимальный объём заказа — 5 лицензий (т.е. 5 узлов в сети). ESET File Security для Microsoft Windows Server на терминальном сервере лицензируется по количеству клиентов этого сервера. Работа с ESET NOD32 Smart Security Business EditionСначала рассмотрим механизмы защиты конечных точек в ESET Endpoint Security 7, а затем перейдём к инструментам централизованного управления, реализованным в ESET Security Management Center. Защита конечных точек ESET Endpoint Security 7Интерфейс ESET Endpoint Security 7 состоит из меню и информационной панели. В меню пользователь может получить доступ к основным функциям средства антивирусной защиты, а информационная панель содержит элементы управления конкретными функциями. Все функции в панели инструментов снабжены контекстной справкой.При запуске консоли пользователь переходит в раздел «Состояние защиты», в котором отображаются дата последнего сканирования, состояние защищённости системы и срок действия лицензии. Рисунок 1. Раздел «Состояние защиты» в ESET Endpoint Security 7  Если какой-либо компонент безопасности отключён или была найдена вредоносная программа, то в разделе появится предупреждение об этом. Рисунок 2. Оповещение о безопасности в разделе «Состояние защиты» в ESET Endpoint Security 7  В разделе «Сканирование компьютера» пользователь может запустить проверку системы. ESET Endpoint Security 7 содержит три сценария проверки: «Просканировать компьютер» (сканирование всех локальных дисков с последующим удалением угроз), «Выборочное сканирование» и «Сканирование съёмных носителей». Также можно в консоль можно перетащить файл для сканирования. Рисунок 3. Раздел «Сканирование компьютера» в ESET Endpoint Security 7  Рисунок 4. Процесс сканирования в ESET Endpoint Security 7  Раздел «Обновление» позволяет провести актуализацию антивирусных баз, а также устранить неполадки, которые могли возникнуть при обновлении. Также можно посмотреть список установленных компонентов антивируса, их версии и даты выпуска. Рисунок 5. Установленные компоненты в разделе «Обновления» в ESET Endpoint Security 7  Работа с основными компонентами, которые в корпоративном антивирусе чаще всего настраиваются администратором и редко нужны пользователям, вынесена в настройки. Раздел «Настройка» позволяет задать параметры работы всех компонентов защиты. Рисунок 6. Раздел «Настройка» в ESET Endpoint Security 7  Для удобства функции настройки сгруппированы по трём типам: «Компьютер», «Сеть», «Интернет и электронная почта».В подразделе «Компьютер» настраиваются локальные функции — защита файловой системы, контроль подключаемых устройств, предотвращение вторжений уровня узла (HIPS), блокировка эксплойтов, защита от программ-вымогателей. Рисунок 7. Настройка параметров защиты компьютера в ESET Endpoint Security 7  В подразделе «Сеть» активируются такие компоненты, как межсетевой экран, защита от сетевых атак (IDS) и ботнетов. Также здесь настраивается чёрный список временных IP-адресов. Рисунок 8. Настройка параметров защиты сети в ESET Endpoint Security 7 Компонент «Файервол» управляет всем входящим и исходящим сетевым трафиком компьютера. Процесс основан на разрешении или запрете отдельных соединений в соответствии с правилами фильтрации. Персональный брандмауэр защищает от атак со стороны удалённых компьютеров и блокирует некоторые потенциально опасные службы. Также он обеспечивает возможности IDS / IPS. Кроме того, ESET Endpoint Security проинформирует вас при попытке подключения к незащищённой беспроводной сети или сети со слабой защитой. Рисунок 9. Дополнительные настройки сетевого экрана в ESET Endpoint Security 7  Модуль «Защита от сетевых атак (IDS)» анализирует содержимое сетевого трафика и блокирует любой поток данных, который расценивается как опасный.Компонент «Защита от ботнетов» определяет программы для приёма инструкций от командных серверов вредоносных сетей и препятствует их работе.В разделе «Подключённые сети» доступен список сетей, к которым подсоединён хост. При нажатии на значок шестерёнки появляется возможность выбрать тип защиты сети, к которой выполнено подключение посредством сетевого адаптера.В подразделе «Интернет и электронная почта» активируются обнаружение и блокировка веб-сайтов с вредоносным содержимым, защита почтового клиента в части проверки сообщений, а также борьба с фишингом (обнаружение и блокировка мошеннических сайтов). Функция защиты от спама отфильтровывает нежелательные сообщения, поступающие по электронной почте. Рисунок 10. Настройка параметров защиты доступа в интернет и электронной почты в ESET Endpoint Security 7  При обнаружении вредоносного кода ESET Endpoint Security 7 блокирует доступ к веб-страницам или загрузку файлов из сети. Рисунок 11. Блокировка загрузки вредоносной программы с веб-сайта в ESET Endpoint Security 7 Антивирус также останавливает переходы на фишинговые страницы, предотвращая кражу личной информации и реквизитов платёжных систем. Защита от фишинга представляет собой ещё один уровень безопасности, который обеспечивает улучшенное противодействие сайтам, пытающимся получить пароли и прочую конфиденциальную информацию.С помощью подключаемого модуля для почтового клиента программа ESET Endpoint Security позволяет контролировать весь обмен данными, осуществляемый этим клиентом (по протоколам POP3, IMAP, HTTP, MAPI).Функция контроля доступа в интернет даёт возможность блокировать веб-страницы, которые могут содержать потенциально нежелательные материалы. Кроме того, работодатели или системные администраторы могут запрещать доступ к более чем 27 предварительно заданным категориям веб-сайтов, включая более 140 подкатегорий. Рисунок 12. Настройка параметров защиты доступа в интернет в ESET Endpoint Security 7  Также отсюда можно перейти в расширенные «Дополнительные настройки», где функции защиты каждого компонента ESET Endpoint Security 7 настраиваются более детально. Рисунок 13. Добавление правил контроля доступа в Интернет в ESET Endpoint Security 7   В разделе «Сервис» можно ознакомиться со сведениями обо всех важных событиях антивируса, посмотреть отчёт по безопасности, выполнить сбор информации о системе компьютера, посмотреть запущенные процессы и активность файловой системы. Также в данном разделе можно управлять задачами и файлами, помещёнными в карантин. Рисунок 14. Раздел «Сервис» в ESET Endpoint Security 7  В «Карантине» хранятся подозрительные и вредоносные файлы, которые помещаются туда после их обнаружения в ходе сканирования или работы других компонентов защиты, а также при явном указании со стороны пользователя. В случае если в карантин попал неопасный файл, его в любой момент времени можно восстановить по исходному пути. Подозрительные объекты можно оставлять в карантине для их проверки после выхода обновлений антивирусных баз. Рисунок 15. Раздел «Карантин» в ESET Endpoint Security 7 Для создания и настройки заданий ESET Endpoint Security 7 используется «Планировщик». К заданиям относятся такие действия, как сканирование, обновление базы данных, обслуживание журналов, контроль устройств и т.д. При добавлении нового задания указываются его имя, тип, частота запуска и действия, предпринимаемые в случае, если задача не была запущена. Рисунок 16. Планировщик задач в разделе «Сервис» в ESET Endpoint Security 7   Централизованное управление ESET Security Management CenterЦентрализованное управление антивирусными продуктами на конечных точках и обновление модулей осуществляются либо с серверов ESET, либо с локального зеркала (создаётся отдельным инструментом — Mirror Tool). Когда сервер ESET Security Management Center установлен, а решения ESET для конечных точек размещены на клиентах, можно приступать к управлению сетью.Работа с ESET Security Management Center начинается с авторизации в веб-консоли. Для доступа к ней в браузере необходимо набрать URL: https://<имя хоста>/era. Рисунок 17. Окно входа в ESET Security Management Center Web Console Страница, которая отображается по умолчанию после входа в веб-консоль, — панель мониторинга («дашборд»), на которой отображаются различные статусы системы антивирусной защиты (клиентов, групп, задач, политик, пользователей, полномочий и т.д.). Рисунок 18. Панель мониторинга в ESET Security Management Center Можно добавлять и настраивать свои панели с отображением необходимой информации о системе защиты, а также изменять существующие.На вкладке «Компьютеры» отображены по группам все клиентские машины, доступные для ESET Security Management Center. С помощью значков статуса можно фильтровать клиенты по серьёзности выявленных проблем (красный — ошибки, жёлтый — предупреждения, зелёный — уведомления, серый — неуправляемые компьютеры). Рисунок 19. Вкладка «Компьютеры» в ESET Security Management Center Все мобильные устройства и компьютеры расположены в статической группе. Статические группы используются для организации объектов в иерархию и для определения прав доступа. Каждый компьютер включён только в одну статическую группу. Кроме того, существуют динамические группы, которые можно считать настраиваемыми фильтрами: с их помощью задаются правила для отбора компьютеров по определённым параметрам.Статические группы играют важную роль в модели безопасности. Каждый объект (компьютер, задача, политика, отчёт, оповещение) содержится в статической группе. Доступ к каждому из объектов определяется набором разрешений, который назначен пользователю.В контекстном меню можно создавать группы и задачи либо выбирать другие действия. Рисунок 20. Контекстное меню и функции для групп в ESET Security Management Center Получить доступ к отчётам об угрозах можно в разделе «Обнаружения». В нём представлен обзор всех угроз, выявленных на узлах сети. Представление можно фильтровать, но по умолчанию отображаются все типы угроз за последние 7 дней. Угрозы можно помечать как устранённые в разделе «Обнаружения» или в разделе подробных сведений о конкретном клиенте. Рисунок 21. Отчёт об угрозах в разделе «Обнаружения» в ESET Security Management Center С помощью меню «Отчёты» можно получить доступ к базе данных и удобную возможность для фильтрации данных средства антивирусной защиты. Отчёты подразделяются на несколько категорий, каждая из которых содержит краткое описание. Рисунок 22. Вкладка«Отчёты» в ESET Security Management Center Рисунок 23. Отчёт «Объекты в карантине» в ESET Security Management Center Задачи позволяют назначать определённые процедуры отдельным клиентам или группам клиентов. Они создаются с помощью панелей инструментов и контекстных меню в области «Компьютеры», а также в окне раздела «Клиентские задачи». Рисунок 24. Вкладка «Задачи» в ESET Security Management Center В меню «Уведомления» можно настроить автоматические оповещения об определённых событиях, например выявленных угрозах, устаревших конечных точках и т.д. Чтобы уведомления отправлялись правильно, нужно надлежащим образом настроить протокол SMTP и задать в ESET Security Management Center адрес для каждого уведомления. Рисунок 25. Вкладка «Уведомления» в ESET Security Management Center В разделе «Политики» можно создать или изменить существующие наборы правил, которые применяются в различных продуктах ESET или в операционной системе, установленной на клиентском компьютере. Политики позволяют управлять клиентскими компьютерами. Рисунок 26. Вкладка «Уведомления» в ESET Security Management Center С помощью средства развёртывания ESET пользователи могут запускать пакетный (комплексный) установщик, созданный в ESET Security Management Center, чтобы удалённо разворачивать агент ESET Management. Рисунок 27. Процесс создания установщика в ESET Security Management Center На вкладке «Обзор состояния» можно ознакомиться с текущим состоянием системы. Рисунок 28. Вкладка «Обзор состояния» в ESET Security Management Center На этом мы завершаем наш обзор и переходим к выводам. ВыводыESET NOD32 Smart Security Business Edition представляет собой комплексное антивирусное решение для защиты серверов, рабочих станций, виртуальных платформ и мобильных устройств на базе Android и Apple iOS. Решение ориентировано на защиту сетей малого и среднего бизнеса. При этом в продукте успешно сочетаются передовые технологии ESET для защиты от вредоносных программ, фишинговых атак и иных сетевых угроз.Также в компонентах комплексного решения реализованы функции контроля пользователей. Например, можно настроить корпоративную политику безопасности и ограничить доступ пользователей к веб-сайтам, а также настроить правила работы со съёмными носителями информации для каждого пользователя.Продукты ESET для мобильных устройств Android и Apple iOS в составе ESET NOD32 Smart Security Business Edition включают ряд инструментов для обеспечения безопасности корпоративных данных, хранящихся на смартфонах или планшетах сотрудников компании: обнаружение вредоносных объектов, настройку политик безопасности, удаленное управление, блокировку устройств. Таким образом, нет потребности в дополнительных ИТ- или ИБ-продуктах для управления мобильными устройствами.Система централизованного администрирования ESET Security Management Center обеспечивает мониторинг хостов в сети в режиме реального времени, а также полное управление корпоративными решениями ESET с единой консоли. В ESET Security Management Center реализован большой набор инструментов мониторинга (журналы, отчёты, панель мониторинга), которые предоставляют информацию обо всех возникающих событиях на клиентах и об обнаруженных угрозах.Наличие системы своевременного обнаружения ESET LiveGrid позволяет централизованно получать от всех пользователей ESET информацию о новых угрозах и предоставлять им сведения о репутации используемых файлов и запущенных процессов.Преимущества:Защита клиентских рабочих станций и виртуальных систем, файловых серверов, смартфонов и планшетов сотрудников от всех типов вредоносных программ.Кроссплатформенная защита — продукт можно установить на операционные системы семейств Microsoft Windows, macOS и Linux, а также в виртуальной среде.Нет необходимости внедрять дополнительные ИТ-решения для контроля мобильных устройств — продукты ESET для операционных систем Android и iOS содержат ряд инструментов для безопасности корпоративных данных, хранящихся на смартфонах или планшетах сотрудников компании.Контроль целостности прошивки и обнаружение попыток модификации UEFI.Централизованное управление при помощи ESET Security Management Center с возможностью установки сервиса на операционную систему Linux, а также портал для управления устройствами в корпоративной сети и антивирусными продуктами ESET, доступный через веб-браузер с любого устройства и из любой точки мира.Гибкая система отчётов и уведомлений.Инвентаризация оборудования и программного обеспечения в ESET Security Management Center.Использование репутационной облачной базы обнаружения LiveGrid.Недостатки:В состав ESET NOD32 Smart Security Business Edition не вошли продукты для защиты почтовых серверов и интернет-шлюзов, а также песочница (данные компоненты есть в «старших» решениях ESET).Отсутствие сертификатов соответствия требованиям безопасности ФСТЭК России.

FortiInsight является приемником ZoneFox, приобретенного ранее компанией Fortinet, и предназначается для анализа поведения пользователей (UEBA). Система осуществляет постоянный мониторинг действий сотрудников с использованием алгоритмов машинного обучения, следит за рабочими станциями и серверами, файлами, приложениями и потоками данных в сети предприятия. Обнаружив подозрительную активность, FortiInsight информирует об инциденте специалистам по безопасности и помогает провести его расследование Основная задача FortiInsight — максимально снизить риск утечки критически важной для бизнеса информации и повысить общий уровень безопасности организации. ВведениеОбщая информацияПринцип работы FortiInsightАрхитектураРабота в графическом интерфейсе FortiInsight5.1. Установка агентов5.2. Поиск угроз5.3. Создание и настройка политик5.4. Предупреждения об угрозах и оценка риска5.5. Использование дашбордов и создание виджетов5.6. Формирование отчетов об угрозах5.7. Расследование инцидентовМодель распространенияВыводы ВведениеСогласно отчету по расследованию утечек данных за 2018 год, опубликованному компанией Verizon, 28 процентов всех зарегистрированных в течение года инцидентов были вызваны случайными (небрежными, невнимательными) или злонамеренными действиями внутренних нарушителей.ФСТЭК России предупреждает, что «наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители» и определяет их как лиц, имеющих право постоянного или разового доступа к информационной системе или ее отдельным компонентам.Выявление возникающих внутренних угроз и своевременное реагирование на них остается сложной задачей для организаций, и это — не та проблема, которую стоит игнорировать.В конце прошлого года Fortinet приобрела компанию ZoneFox Limited, а в 2019 году представила собственный продукт, полноправного наследника и последователя идей ZoneFox — FortiInsight.Подверженность риску утечки информации со стороны пользователей внутри организации — будь то преднамеренные или непреднамеренные действия — может быть “слепой зоной” с точки зрения кибербезопасности. К тому же, действующие европейские и американские нормативные акты, основанные на международных стандартах, такие как GDPR (General Data Protection Regulation — общий регламент о защите персональных данных, Европейский Союз), HIPAA (Health Insurance Portability and Accountability Act — акт (закон) о мобильности и подотчётности медицинского страхования, США) — способны налагать большие штрафы на организации, которые не могут предотвратить события, приводящие к утечкам конфиденциальных данных, а также своевременно отчитаться о них. С решением этих задач должен справиться FortiInsight.Разработчик заявляет, что FortiInsight — уникальное решение для защиты данных и обнаружения угроз, которое обеспечивает расширенный поиск аномалий и создано для того, чтобы помочь определить подозрительное поведение сотрудников, вовремя среагировать на него и контролировать действия, способные подвергнуть опасности критически важные для бизнеса данные.Для достижения этих целей FortiInsight сочетает мощные и гибкие методы машинного обучения с детальным анализом действий сотрудников организации, что, в свою очередь, помогает быстрее (в отличие от других решений) сосредоточиться на самом факте подозрительной активности. Общая информацияУдостоенная зарубежных наград технология, используемая в FortiInsight, обеспечивает ясную видимость операций, проводимых с данными — кто, что, где и когда с ними делал, — путем мониторинга поведения пользователей и слежения за перемещением данных как в вашей сети, так и за ее пределами, а также обладает функцией мгновенного оповещения об аномальных ситуациях и возможных угрозах.FortiInsight устанавливается на конечных устройствах.Технология Endpoint Agent наглядно демонстрирует, как передаются файлы в облачные хранилища (или из них), в Skype, в мессенджеры и т.д., а также осуществляет отслеживание имен файлов, которые передаются с помощью криптографических средств.FortiInsight — система класса UEBA (User and Entity Behavior Analytics). Для предотвращения и обнаружения инсайдерских программ проводит перманентный анализ поведения пользователей и сущностей. Технология, основанная на наборах правил и дополненная искусственным интеллектом, определяет известные и неизвестные угрозы, начиная от злонамеренной внутренней активности и заканчивая скомпрометированными учетными записями пользователей.Ведется учет и осуществляется запись поведения пользователей, компьютеров, приложений, файлов и результатов сетевой активности (источника/назначения) в полном объеме с целью дальнейшего расследования возникшей угрозы или проверки на соответствие нормативным требованиям.Используя новейшие технологии обработки больших данных, FortiInsight собирает миллиарды событий, которые сопоставляются, анализируются и практически сразу предоставляются отделу безопасности организации.FortiInsight поможет ответить на такие вопросы, как «кто загрузил базу данных о заработной плате сотрудников?», «по какой причине кто-то с этого IP-адреса выгружает список клиентов?», «сколько людей используют неутвержденные регламентом компании облачные хранилища?» и другие подобные. Принцип работы FortiInsightЛегкий, не требующий настройки агент, установленный в каждой системе, не выполняет никаких аналитических или превентивных действий на конечном устройстве — он просто собирает и отправляет информацию для оповещения или расследования. Благодаря такому подходу Endpoint Agent имеет значительные преимущества, поскольку практически не влияет на производительность устройства и занимает совсем немного места на жестком диске, сразу отправляя телеметрию в облачную службу, которая хранит, анализирует и предоставляет данные вашим специалистам по безопасности.Централизуя полученную информацию, FortiInsight может коррелировать данные и применять алгоритмы машинного обучения ко всей вашей среде, демонстрируя картину поведения пользователей и перемещения информации. Кроме этого, продукт обеспечивает мониторинг всех действий на устройствах (как находящихся в сети, так и работающих автономно) за счет комплекса правил.Правила устанавливаются для определения того, что является приемлемой деятельностью пользователя. Если происходит событие, нарушающее эти правила, администратору отправляется предупреждение. Соответствующий набор функций также используется для того, чтобы выявлять потенциальные нарушения нормативных актов (таких как GDPR и HIPAA).С помощью методов машинного обучения FortiInsight изучает действия с данными и информационными потоками вашей организации, чтобы обнаруживать различные аномалии: скомпрометированные учетные записи, изменения поведенческой модели в какой-то группе пользователей, действия, которые нехарактерны для конкретного сотрудника (например, поиск и просмотр файлов, которые он обычно не открывает, или любые другие отклонения от его стандартного шаблона работы). При выявлении аномального поведения заинтересованные лица получают оповещения в режиме реального времени для немедленного реагирования. Рисунок 1. Схема работы FortiInsight  АрхитектураРешение FortiInsight включает следующие компоненты:агенты на конечных устройствах (Endpoint Agents);события (Events);облачную службу (FortiInsight Cloud Service).Агенты устанавливаются на конечные устройства (настольные компьютеры и серверы), работающие на базе операционных систем Windows. Каждый агент собирает данные о действиях на конечных устройствах и в режиме реального времени отправляет их в виде событий в облачную службу, которая хранит и анализирует полученные данные. Агенты «мало весят», в процессе работы обычно потребляют меньше 1% ЦП и не более 50 МБ ОЗУ. Как следствие, мониторинг действий происходит без замедления работы компьютера.Если устройство отключено от сети, агент продолжает собирать и хранить информацию о действиях локально. Когда компьютер вновь соединится с сетью, агент отправит сохраненные данные в облако.FortiInsight автоматически производит проверку подлинности и регистрирует новые машины. Все, что вам нужно — установить агент.События — это активность системного уровня, которая происходит в сети. FortiInsight фиксирует сетевые (например, скачивание файла) и пользовательские (скажем, вход в систему) события с хостов.Каждое событие содержит в себе сведения, приведенные в таблице. Таблица 1. Сведения, содержащиеся в событияхЭлементОписаниеUserУчетная запись пользователя, выполняющего действиеEndpointУстройство, на котором происходило действиеActivityТип совершаемых действий, например «файл прочитан» или «файл загружен» Application or processНазвание приложения или процесса, например «explorer.exe» или «winword.exe»ResourceОбычно это — путь, имя и тип файла, участвующего в активностиNetwork destination and originДля сетевых событий на вкладке Network (Threat Hunting→Network) можно посмотреть, где началась и закончилась активность, включая номер порта, который был использован для передачи Поскольку через FortiInsight проходит весьма большой объем данных, после определенного порогового значения программный комплекс начинает сжимать события, чтобы оптимизировать работу серверного запоминающего устройства.Данные, которые собирает FortiInsight, надежно защищены.Для hosted-размещений все данные шифруются. Бекенд FortiInsight не является многоклиентской системой, поэтому не требует сегрегации — для каждого заказчика выделен свой набор серверов, включая собственную базу данных. Доступ к клиентской системе возможен только с публичного IP-адреса, предоставленного самим клиентом, и с адресов Fortinet (для администрирования).Для размещений по типу on-premise разработчик дает рекомендации о том, как вы можете сконфигурировать свой FortiInsight.Пароли для управления графическим интерфейсом FortiInsight также защищены: «подсолены», захешированы и не хранятся в виде текста. Работа в графическом интерфейсе FortiInsightЗаметим сразу, что необходимо настроить межсетевой экран для связи агентов с облачной службой FortiInsight. По умолчанию используется порт TCP 8080 (HTTPS). Вы можете сделать это во время установки или после нее. Установка агентовЗагрузка инсталляционного файла агента происходит из графического интерфейса консоли управления. Рисунок 2. Загрузка агента из веб-интерфейса в FortiInsight  Для успешной установки и использования FortiInsight 5.4.0 (актуальная версия на момент написания статьи) ваша система должна удовлетворять следующим требованиям: Таблица 2. Системные требования FortiInsight Endpoint AgentКомпонентТребованияТехнические характеристики компьютера1.0 ГГц ЦП — x86 или x64 (агент использует от 0.1% до 5%)1 ГБ ОЗУ (агент использует от 10 до 30 МБ)20 МБ свободного места на жестком диске (больше места необходимо для хранения и шифрования событий в автономном режиме)Операционная системаWindows 7 (32- или 64-битная) или новееWindows Server 2008 (32- или 64-битная) или новееВеб-браузерGoogle Chrome (рекомендован)ChromiumMozilla FirefoxApple Safari При этом разработчик указывает, что корректная работа на других браузерах возможна, но официально не поддерживаетсяУстройства вводаКлавиатура и мышь (поддержка устройств, реагирующих на прикосновения, отсутствует) Инсталляцию можно производить с помощью установщика Windows (MsiExec).После установки необходимо добавить программные файлы FortiInsight в «белый список» антивируса. Поиск угрозВ пункте меню Threat Hunting отображается информация обо всех событиях, которые FortiInsight записал с конечных устройств. Поиск осуществляется с помощью специальной панели, вы можете создавать сложные поисковые запросы и добавлять результаты в коллекции (Сollections). Рисунок 3. Страница Threat Hunting в графическом интерфейсе FortiInsight  Информация о событиях разбита на соответствующие категории, — Live, Compacted, System — в которых вы также можете пользоваться поиском.На странице Network представлена статистика о сетевых событиях — сколько произошло операций, связанных с загрузкой данных из сети и выгрузкой из нее, каким странам принадлежат IP-адреса, которые были задействованы в рамках события, какие приложения, пользователи и устройства участвовали в сетевом обмене. Рисунок 4. Страница Network в графическом интерфейсе FortiInsight  Создание коллекции — это способ сделать снимок поиска с конкретным временем с целью анализа результатов в дальнейшем. Например, если вы считаете какое-то событие (или группу событий) необычным, то вы можете добавить их в коллекцию, а детально рассмотреть потом.Если коллекция содержит поиск, который вы хотите выполнять регулярно (ежедневно, еженедельно, ежемесячно), вы можете обновить коллекцию, нажав на соответствующую кнопку.Вы можете создавать коллекции, основанные на предупреждениях об угрозах (Policy и AI alerts) и на происходящих событиях.Результаты поиска вы можете экспортировать в CSV-файл. Создание и настройка политикПолитики FortiInsight в режиме реального времени проверяют события, информация о которых поступила с конечных устройств. Политика содержит набор критериев, по которым FortiInsight проверяет поступающие события и выдает предупреждения в случае несоответствия им. Рисунок 5. Окно создания новой политики в FortiInsight  Вы можете настроить политики таким образом, чтобы FortiInsight отправлял вам предупреждения о конкретных действиях, и создать неограниченное количество политик.В пункте Alerts вы можете посмотреть все предупреждения, которые были инициированы ранее созданными вами политиками. Рисунок 6. Пункт Policy Alerts в графическом интерфейсе FortiInsight  Если политика вписывается в рамки одного или нескольких наборов нормативных требований (будь то ISO, GDPR, внутренние нормативные акты предприятия и т. д.), то вы можете добавить их в пункте Frameworks.Фреймворки (в данном случае) — своего рода ярлычки для наглядного понимания того, чему конкретно соответствует та или иная политика.Аналогично вы можете присваивать политике метки в пункте Labels to assign. Рисунок 7. Добавление Framework к политике в графическом интерфейсе FortiInsight  FortiInsight по умолчанию поставляется с несколькими политиками — вы можете использовать их «как есть», изменять под свои требования или брать за основу для своих будущих политик. Например: «не запускается служба антивируса», «использование программ для работы с командной строкой» и т. д. Рисунок 8. Предустановленные политики в FortiInsight  Предупреждения об угрозах и оценка рискаFortiInsight генерирует предупреждения об угрозах двух типов: первые — основанные на нарушении политик, вторые — созданные с помощью методов машинного обучения AI (Augmented Intelligence). Рисунок 9. Отображение угроз за неделю в FortiInsight  Для того чтобы помочь вам определить возможную связь между угрозами и предоставить дополнительную информацию о возникшей ситуации, у FortiInsight имеется функция, которая покажет вам предупреждения, которые произошли примерно в то же время (за 5 минут до рассматриваемого инцидента и в течение 5 минут после него).Расширенный интеллект (Augmented Intelligence, AI) оперирует такими понятиями, как обстановка (Context), риски (Risks) и оценки (Ratings) активности в вашей сети для определения полного спектра угроз. Он изучает основные факты нормального поведения для того, чтобы точно знать, когда происходит отклонение от него.FortiInsight использует оценку риска, чтобы понять, насколько аномальным является событие. Например, ваши технические специалисты должны иметь возможность редактировать файлы приложений — в отличие, скажем, от сотрудников отдела маркетинга. Если SMM-щик начнет открывать системные файлы, FortiInsight, предварительно изучив обычную модель поведения в компании, поймет, что имеет место аномальная активность, и тут же сообщит о ней.AI FortiInsight оценивает серьезность события, исходя из его степени риска и аномальности — т. е. насколько опасным является событие и как сильно оно выходит за рамки обычного поведения для конкретного пользователя. Если проявляется ненормальная активность с большой степенью опасности, то оценка серьезности будет высокой, а если риск невелик, и поведение вполне обычно — будет, соответственно, присвоена низкая оценка.Аномальность — это величина отклонения от нормального поведения.Риск — статическая оценка, выставляемая в зависимости от типа программы, данных или действий. Например, программа, которая осуществляет резервное копирование информации в облако, имеет средний уровень риска.Степень риска одинаково оценивается как для угроз, сгенерированных правилами политик, так и для AI-инцидентов:низкий: от 0 до 29;средний: от 30 до 59;высокий: от 60 до 100.Вы можете помогать AI обучаться быстрее, оставляя положительный или отрицательный отзыв о тех угрозах, на которые он среагировал. Рисунок 10. Пример отзыва на сообщение об угрозе в FortiInsight  Помимо оценки того или иного события на аномальность, FortiInsight пытается классифицировать его и присваивает ему определенный тег (Tag) в зависимости от характеристик. Например, сотрудника, который редактирует на рабочем месте свое резюме, AI отмечает как того, кто потенциально может уволиться, присваивая событию тег «Potential Leaver». Также он может пометить тегом «Malicious File» приложение, если оно похоже на программу-вымогателя. Рисунок 11. Пример присваивания тега событию в FortiInsight  Искусственному интеллекту FortiInsight нужно две недели, чтобы обучиться и сформировать для себя картину нормального поведения в вашей организации, после чего он автоматически переходит в режим обнаружения и начинает реагировать на угрозы. Использование дашбордов и создание виджетовНа информационных панелях (Dashboards) отображаются в удобном графическом виде сводные данные обо всех действиях, которые происходят внутри вашей компании. Соответствующий пункт меню включает в себя пять разделов, в том числе один настраиваемый пользователем “дашборд” и четыре предустановленных:компьютерная криминалистика (Forensic Activity);угрозы (Alerts);потоки данных (Data Flow);приложения (Applications). Рисунок 12. Пример того, как может выглядеть “дашборд”, настроенный под пользовательские нужды в FortiInsight  Каждая панель содержит различные графики, на которых показана информация о событиях, пользователях и угрозах. Вы можете настраивать существующие элементы либо создавать новые виджеты для отображения нужных вам метрик. Рисунок 13. Пример создания пользовательского виджета в FortiInsight  Формирование отчетов об угрозахНа вкладке Threat Report представлены автоматические отчеты и приведены рекомендации администраторам по настройке FortiInsight для обеспечения безопасности по следующим пунктам:активность пользователей и приложений, отмеченная как особо опасная;хранение конфиденциальных файлов на локальном или съемном носителе;обнаружение хакерских утилит и программ взлома;хранение логинов и паролей в открытом виде;использование облачных хранилищ. Рисунок 14. Окно со страницей Threat Report в веб-консоли в FortiInsight  Вы можете экспортировать данные из отчетов в CSV- или JSON-файлы и перейти на страницу с запросами, на основании которых был создан соответствующий отчет. Рисунок 15. Пример с окном действий и рекомендаций для пункта Cloud Storage в FortiInsight   Расследование инцидентовФункция «Расследование» (Investigation) необходима для накопления информации об угрозах в одном месте, с целью создания отчетов о них и дальнейшего предоставления заинтересованным лицам (например, для демонстрации отделу кадров или правоохранительным органам).Открыв страницу с подробной информацией о возникшей угрозе, вы можете начать расследование (либо добавить этот инцидент к уже существующему).Начатое расследование будет иметь следующие параметры:владельцы (Owners);краткое описание (Note);текущий статус (Status) — “Доложено” (Reported), “Без действий” (No action) или “Закрыто” (Closed). Рисунок 16. Пример начала расследования со страницы подробностей об угрозе в FortiInsight  Модель распространенияFortiInsight распространяется по годовой подписке с 25-ю агентскими лицензиями, образующими 1 пакет. Минимальный заказ должен включать 20 таких пакетов (т. е. 500 клиентских лицензий). При этом лицензия распространяется на облачный хостинг. ВыводыДействия сотрудников компании, софт и рабочие станции, неконтролируемый доступ в глобальную сеть зачастую являются «ахиллесовой пятой» самой защищенной организации. Именно эту брешь в информационной безопасности и способен закрыть FortiInsight.FortiInsight использует в своем арсенале алгоритмы машинного обучения для анализа событий, которые происходят в сети вашего предприятия. Возможность создания политик, а также их тонкая настройка, которую предоставляет FortiInsight, помогут осуществлять всесторонний контроль за деятельностью внутри организации, а при необходимости (практически в режиме реального времени) FortiInsight оповестит о факте нарушения департамент информационной безопасности. Помимо этого, FortiInsight обладает инструментами для визуализации событий в сети и средствами для криминалистического анализа инцидентов.Достоинства:низкое потребление ресурсов агентами, так как все вычисления происходят в облаке;настройка предустановленных политик, а также создание новых;автоматическое обнаружение угроз, основанное на методах машинного обучения;FortiInsight может быть развернут в любой сети и дополнить уже существующую систему безопасности предприятия (разработчик не настаивает на исключительном использовании продуктов Fortinet для организации защиты информации);формирование отчетов об угрозах и функционал для последующего расследования инцидентов;настройка виджетов под пользовательские нужды.Недостатки:отсутствие мультиплатформенности (FortiInsight пока поддерживает только рабочие станции под управлением ОС Windows);интерфейс программы на данный момент не переведен на русский язык.

Продукт AccessData Enterprise от компании AccessData Group позволяет в приемлемые сроки проводить расследования и анализ инцидентов информационной безопасности, а также оформлять результаты работы в виде юридически значимых кейсов, которые в дальнейшем могут быть представлены в качестве доказательной базы в судебных заседаниях. Решение оснащено обширными возможностями для быстрого, но детального поиска статической и динамической информации — как с локальных мест хранения, так и с удалённых точек. Благодаря гибкой архитектуре AccessData Enterprise специалисты могут выполнять масштабирование продукта, необходимое для достижения максимальных результатов, а также проводить расследования «бесшовно», что существенно экономит время. ВведениеФункциональные возможности AD EnterpriseАрхитектура AD EnterpriseУстановка AD EnterpriseРабота с AD Enterprise5.1. Поиск информации5.2. Обработка и анализ информации5.3. Экспорт собранных данных и отчётностьВыводы ВведениеНа сегодняшний день, наверное, уже ни для кого не секрет, что нет абсолютно защищённых информационных систем. Компании всегда ранжируют данные по степени значимости, оценивают свои риски и затраты ресурсов, необходимых для построения адекватной инфраструктуры информационной безопасности; однако и в грамотно построенной, продуманной системе защиты всегда есть критически важные точки и слабые места. Даже если аналитики компании считают, что вероятность их эксплуатации мала, она все-таки отличается от нуля, и с этим приходится считаться. Фактические и потенциальные изъяны могут быть следствием ошибочно принятых решений на различных этапах построения инфраструктуры ИБ организации, начиная от некорректной аналитической оценки рисков и заканчивая ошибочной настройкой средств защиты информации.С ростом штата компании, увеличением её репутационного веса и повышением значимости хранимой и обрабатываемой информации количество инцидентов ИБ неизбежно будет увеличиваться. После обнаружения такого инцидента главной задачей становится правильное и своевременное реагирование — тщательный анализ каждого происшествия с целью выявить его источник и причины возникновения, а также локализация последствий.Для оперативного реагирования на инциденты (включая сбор доказательной базы и следов преступления) администраторам информационной безопасности необходимо решение, возможности которого будут полностью покрывать поставленные задачи.Компания AccessData Group создала одноимённую корпоративную платформу, в которую входит множество решений (FTK, AD Lab, Quin-C, AD eDiscovery, AD Enterprise и др.), имеющих общую цель — выявление, сбор и анализ компрометирующей информации по заданным параметрам не только с локальных, но и с удалённых конечных точек, а также из систем корпоративной инфраструктуры организации. Рисунок 1. Линейка продуктов платформы AccessData  Все решения, которые входят в состав платформы, активно дополняют друг друга; можно сказать, что они добавляют новые грани в общую функциональность. Поэтому применение платформы очень разнообразно: от расследования локальных инцидентов информационной безопасности организации до использования силовыми структурами в поиске цифровых доказательств совершения уголовных преступлений.Каждый из компонентов платформы взаимодействует с единой базой данных, что ограничивает доступ третьих лиц к собранным цифровым доказательствам и позволяет избавить заказчика от необходимости переключаться с одной платформы на другую. В итоге расследования проводятся «бесшовным» способом, что значительно сокращает затраты времени.Мы рассмотрим решение AccessData Enterprise (далее для краткости — «AD Enterprise»), чьё основное назначение — сбор цифровых доказательств. Оно позволяет проводить обработку и анализ информации по заданным критериям, а также создавать отчёты с обобщением собранных результатов. Кроме того, продукт предоставляет специалистам, проводящим расследование, возможность управлять собранными цифровыми доказательствами (копирование, удаление, архивирование, восстановление и т.п.). Функциональные возможности AD EnterpriseХотя AD Enterprise является узкоспециализированным решением, оно обладает весьма глубокими и проработанными функциональными возможностями. Можно выделить следующие базовые функции:Главной особенностью продуктов AD является возможность создания и работы с юридически значимыми, неизменяемыми копиями данных в специализированных цифровых форматах (AD1, E01 и т.д.). Предоставление данных в таких форматах является обязательным юридическим условием для предоставления их в качестве доказательств при судебных разбирательствах.Сбор данных для расследования инцидентов информационной безопасности с возможностью централизованного управления через агенты. Найденная информация доступна для предварительного просмотра и повторной фильтрации по любому из атрибутов. Объектом сбора и анализа служит статическая и динамическая информация, такая как файлы с физических дисков рабочих мест пользователей, оперативная память (процессы, динамические библиотеки, драйверы и т.п.), история и кеш браузеров, журналы событий и файлы реестра, дешифрованные данные Lotus Notes, S/MIME, BitLocker, EFS, RMS; также возможно дополнительно включить в поиск почтовые серверы и файловые хранилища. Решение способно искать информацию в операционных системах семейства Windows, Linux, macOS и UNIX, а также в мобильных платформах Android, iOS и BlackBerry через специальные коннекторы. Одновременно с поиском происходит сканирование информации на наличие вредоносных программ при использовании дополнительного модуля Cerberus.Фильтрация информации. Помимо стандартных фильтров решение использует библиотеку известных файлов KFF (Known File Filter). Эта утилита вычисляет хеши информационных объектов и сравнивает их с уже известными. Опознанным файлам присваивается статус «Ignore», и они исключаются из поиска; неизвестные же получают статус «Alert», что указывает на необходимость их анализа. KFF позволяет игнорировать большинство файлов, которые не несут в себе смысловой нагрузки (системные файлы, компоненты приложений).Анализ найденной информации. Исследование состоит из нескольких этапов; первый из них — анализ угроз. Происходит общее сканирование файлов и метаданных (проверка исполняемого бинарного файла по общим атрибутам), позволяющее идентифицировать вредоносный код. На втором этапе выполняется статический анализ информации — дизассемблирование и изучение бинарного кода исполняемых файлов без их непосредственного запуска. Следующий пункт анализа можно назвать дополнением найденной информации; на этом шаге возможно создание образа оперативной памяти ОС семейства Windows, Linux, macOS с проведением более тщательного и глубокого исследования. Также доступно отображение выполняющихся процессов и их зависимостей (связанные библиотеки, сетевые порты, исполняемые файлы), выявление в образе памяти участков открытого текста, пользовательских паролей, HTML-страниц и офисных документов, а также отображение и описание установленных сетевых соединений и открытых портов. Наконец, AD Enterprise позволяет проводить восстановление удалённых объектов в файловых системах FAT12, FAT16, FAT32, NTFS, Ext2, Ext3 и HFS, выявлять и анализировать теневые копии с носителей информации, создаваемых с использованием Microsoft Windows Volume Shadow Copy.Управление найденной информацией и реагирование на выявленные проблемы. С помощью AD Enterprise можно удалённо управлять данными (копировать и удалять файлы, завершать нежелательные процессы в системе и т.п.), оперативно изолировать и ликвидировать выявленные вредоносные программы.Преобразование результатов работы в юридически значимые и неизменяемые форматы данных. AD Enterprise позволяет представлять всю найденную и обработанную информацию в виде специальных неизменяемых кейсов формата AD1, E01 и т.д. Такой формат является обязательным юридическим условием для приобщения информации в качестве доказательств в ходе судебных заседаний.Раскрытие и восстановление паролей. Решение позволяет открывать зашифрованные файлы методом перебора паролей — как прямого, так и с использованием словарей и масок.Оптическое распознавание символов (OCR) и объектов. Технология предоставляет возможность распознавать объекты  по преобладанию цветовых тонов и границ предметов, представленных на изображении, а также извлекать оттуда текст.Экспорт цифровых доказательств. За счёт этой функции AD Enterprise способен оформить конечный или промежуточный итог расследования для его сохранения в базе данных.Отчётность. Доступно создание различных отчётов по результатам проделанной работы.Возможность дополнительной интеграции с решениями цифровой криминалистики Belkasoft и Cellebrite для оптимальной работы AD Enterprise с мобильными операционными системами. Архитектура AD EnterpriseAD Enterprise имеет клиент-серверную структуру. Серверная часть отвечает за поиск информации и её последующую обработку, а клиентская — за передачу необходимых данных на сервер. Схематически архитектура изображена на рисунке 2. Рисунок 2. Архитектура AD Enterprise  Как видно, серверная часть AD Enterprise собирает (через разные каналы связи) и анализирует необходимую информацию от конечных точек — в том числе внешних, находящихся за пределами корпоративного межсетевого экрана. Таким образом дистанционная передача информации и удалённая работа сотрудников компании не становятся препятствием для проведения полноценного расследования инцидента.Данные поступают в центр от клиентских частей AD Enterprise — агентов. Клиентскую сторону платформы можно интегрировать в рабочие станции сотрудников и другие узлы корпоративной инфраструктуры.AD Enterprise имеет свою внутреннюю базу данных для хранения важной информации в юридически значимых неизменяемых форматах, что позволяет впоследствии использовать её в качестве доказательной основы. Доступ к базе данных возможен только через серверную часть продукта. Установка AD EnterpriseAD Enterprise поддерживает следующие типы операционных систем семейства Windows:Microsoft Windows Server 2016;Microsoft Windows Server 2012 R2;Windows 10;Windows 7.Для того чтобы достичь максимальной производительности решения, вендор рекомендует устанавливать внутреннюю базу данных на отдельный жёсткий диск с достаточным запасом ёмкости, из расчёта в 1 ГБ на каждые 200 000 обнаруженных или обработанных элементов, а также обеспечивать не менее 2 ГБ оперативной памяти на каждое ядро центрального процессора. Минимальный объём ОЗУ составляет 1 ГБ на ядро.Отметим, что AD Enterprise чувствителен к переполнению диска. Если при обработке информации свободное дисковое пространство заканчивается, то существует вероятность повреждения ранее сохранённых данных.Перед инсталляцией решения необходимо выполнить следующие действия:Установить все текущие обновления операционной системы.Отключить встроенный брандмауэр.Отключить усиленную безопасность браузера Internet Explorer.Отключить контроль учётных записей в операционной системе.Отключить контроль антивирусного программного обеспечения.На текущий момент актуальная версия AD Enterprise — 6.5.1.10. Она поддерживает системы управления базами данных (СУБД) Microsoft SQL Server 2012, Microsoft SQL Server 2014 и PostgreSQL 9.6.Благодаря встроенному мастеру установки инсталляция AD Enterprise проста и не требует от пользователя дополнительных специфических знаний. В её ходе можно установить четыре компонента программного комплекса; два из них обязательны (Database Server и Examiner), ещё два —  Distributed Processing Manager и Distributed Processing Engine(s) — опциональны. Работа с AD EnterpriseПри первом запуске AD Enterprise необходимо инициализировать базу данных, в которой впоследствии будет храниться вся собранная информация. Затем при появлении запроса нужно создать первого пользователя (администратора) и настроить сертификаты агента. На этом первоначальная настройка решения завершается.При повторном входе в программу AD Enterprise встретит нас стандартным окном аутентификации (рис. 3). Рисунок 3. Форма аутентификации в AD Enterprise  После успешной аутентификации мы попадаем в основное окно программы. В нём можно увидеть сведения о базах данных, которые в настоящий момент используются AD Enterprise, и материалы текущих ситуаций (кейсов), содержащие найденную при расследовании информацию.Также в этом окне имеется меню «Database», где можно провести дополнительную настройку прав доступа к текущей базе данных, удалить её или добавить новую. Вкладка меню «Case» позволяет управлять текущими кейсами расследований и создавать новые. На вкладке «Tools» настраивается обработчик заданий и восстанавливаются прерванные процедуры. Вкладка «Manage» даёт возможность настраивать различные общие объекты решения. Поиск информацииДля поиска информации создаём новый кейс, в котором будут обобщены все обнаруженные сведения (рис. 4). Рисунок 4. Создание нового кейса в AD Enterprise  После создания кейса открываем его, заходим в меню управления доказательствами («Evidence» -> «Add/Remove») и выбираем необходимый нам тип улик (рис. 5). Помимо основных полей доступны также дополнительные настройки KFF-фильтра и выбор языка, на котором следует искать доказательства. Рисунок 5. Окно управления доказательствами в AD Enterprise  Также в меню управления доказательствами есть возможность указать подробные настройки поиска информации (рис. 6). Рисунок 6. Окно с детальными настройками поиска доказательств в AD Enterprise  После этого добавляем конечные точки («Evidence» -> «Add Remote Data»), с которых нам необходимо собрать информацию, и задаём тип информации, который нас интересует.  Пример показан на рисунке 7. Рисунок 7. Окно с добавлением конечных точек сбора информации в AD Enterprise  Подтверждаем указанные данные, и AD Enterprise начинает сбор информации.Все собранные сведения разбиваются на группы по типу представления, что значительно облегчает их восприятие. На рисунке 8 показано общее окно с результатами поиска. Рисунок 8. Результаты поиска информации в AD Enterprise  На рисунке 9 показано окно поиска информации с открытой вкладкой «Email», где отображаются найденные электронные сообщения пользователей. Рисунок 9. Окно поиска информации с открытой вкладкой «Email» в AD Enterprise  Обработка и анализ информацииAD Enterprise позволяет проводить детальную обработку собранной информации, фильтруя её по заданным параметрам. Например, можно провести фильтрацию по архивным файлам (рис. 10). Рисунок 10. Фильтрация информации по одному параметру в AD Enterprise  Возможна и фильтрация сразу по нескольким параметрам. Для этого создаём новый фильтр («Filter» — «New») и указываем все необходимые условия (рис. 11). Рисунок 11. Создание нового фильтра с заданными параметрами в AD Enterprise  Среди массива собранной информации могут присутствовать зашифрованные файлы, которые для объективного расследования необходимо открыть и изучить. Для того чтобы провести расшифрование информации, следует в меню «Tools» выбрать команду «Decrypt Files». В параметрах операции можно дополнительно составить словарь комбинаций и масок, которые будут использоваться при подборе пароля. На рисунке 12 показано окно с настройками дешифровки файлов. Рисунок 12. Расшифрование файлов в AD Enterprise  Экспорт собранных данных и отчётностьПосле обработки и анализа найденной информации необходимо сохранить полученные результаты. Например, эта функция может пригодиться, если нужно передать сведения другим специалистам в рамках расследования инцидентов.Для экспорта полученных результатов выберем в меню «File» значение «Export». В появившемся окне (рис. 13) укажем данные, которые необходимо экспортировать, и назначим путь для их сохранения. Рисунок 13. Экспорт данных в AD Enterprise  Имеется возможность создать отчёты по результатам проделанной работы. Для этого в меню «File» выбираем подменю «Report» (рис. 14), после чего указываем информацию, которую необходимо включить в отчёт, а также путь назначения и формат. Рисунок 14. Создание отчёта в AD Enterprise  Также в AD Enterprise доступны функции создания отчёта, в который будут включены все манипуляции с найденной информацией, и экспорта журнала событий (рис. 15). Рисунок 15. Экспорт журнала событий в AD Enterprise  ВыводыAD Enterprise является самостоятельным решением для расследования инцидентов информационной безопасности — например, несанкционированного доступа к информации и ресурсам, уничтожения и искажения информации, отказов в обслуживании. Продукт оперативно выделяет нужные сведения благодаря индексированию файлов и встроенным фильтрам, в число которых входит утилита KFF. Анализ информации (в том числе — пользовательской электронной почты и различной браузерной переписки) позволяет выявить источник инцидента, определить группу лиц, участвующих в нём, и роль каждого субъекта в группе.Спектр функций решения весьма обширен, что даёт возможность проводить самостоятельные и объективные расследования в полном объёме, а также оказывать дополнительную помощь силовым структурам. Расследования через AD Enterprise проводятся в рамках одной платформы с применением единой базы данных, что ускоряет работу и значительно снижает вероятность несанкционированного доступа третьих лиц к собранным доказательствам.Информация в базе данных после завершения расследования и закрытия кейса хранится в специальном неизменяемом формате, что позволяет автоматически выполнить основное юридическое требование, необходимое для её предоставления в зале суда в качестве доказательной основы.Встроенное антивирусное программное обеспечение повышает безопасность хранимых данных, а применение технологии Decrypt Files позволяет собирать зашифрованные сведения из Lotus Notes, S/MIME PKCS7, Dropbox, Foxmail, браузеров Chrome и Firefox, BitLocker, EFS, iOS Backup с целью их дальнейшего расшифрования и анализа. Тем самым решение AD Enterprise делает процесс расследования инцидентов более глубоким.Достоинства:Расследование инцидентов в рамках одной платформы с применением единой базы данных, информация в которой хранится в юридически значимом формате.Широкий спектр функций и возможностей для оценки и анализа информации.Гибкая архитектура, обеспечивающая неограниченное масштабирование решения в зависимости от потребностей компании.Высокая скорость поиска информации, а также её обработки и анализа.Проведение совместного параллельного расследования инцидентов в случае привлечения сторонних специалистов.Наличие антивирусного контроля в случае применения дополнительного модуля Cerberus.Наличие функции «Decrypt Files», которая позволяет расшифровывать найденную информацию.Недостатки:Серверная часть продукта поддерживает только операционные системы семейства Windows.Существует вероятность повреждения данных при переполнении жёсткого диска.Нет поддержки русского языка, что в некоторых случаях значительно затрудняет настройку.На момент подготовки обзора отсутствует сертификат ФСТЭК России.

Surfshark VPN — быстро растущий платный VPN-сервис, способный работать под управлением любой популярной операционной системы. Помимо кросс-платформенности Surfshark VPN выделяется отсутствием лимитов на количество подключений и объём трафика, а стоимость услуг на фоне конкурентов выглядит низкой. Хватит ли этому сервису преимуществ для того, чтобы можно было предпочесть его остальным? ВведениеФункциональные возможности Surfshark VPNТестирование Surfshark VPN3.1. Запуск и настройки3.2. Тестирование скорости3.3. Тестирование доступа к региональным ресурсамТехнические характеристики Surfshark VPNЦеновая политикаБезопасность и хранение данныхВыводы Введение Рынок VPN-приложений в последние годы переживает взрывной рост, при этом особенно активно развиваются кросс-платформенные решения. Согласно отчёту Global Market Insights, в 2019 году только для мобильных платформ было скачано 480 млн экземпляров клиентских программ VPN-сервисов.На этой волне появившийся в 2018 году Surfshark VPN начал быстро набирать популярность, и на сегодняшний день разработчики считают его наиболее интенсивно растущим платным VPN-сервисом в мире: за два года количество пользователей успело превысить миллион. Официальные презентации сервиса вызывают интерес: вендор обещает высокие скорости соединения, гарантию анонимности и немалое количество дополнительных функций за скромную цену. Функциональные возможности Surfshark VPNОсновная задача Surfshark VPN решается благодаря широкому спектру географических положений: пользователям доступна возможность подключаться из 61 страны через 1 040 серверов. Такой выбор помогает не только добиваться анонимности, но и пользоваться регионально ограниченными услугами — например, получать доступ к библиотеке Netflix, BBC iPlayer, Amazon Fire TV.Для повышенной безопасности решение предлагает воспользоваться функцией MultiHop — подключением к сети через два разных сервера. Многоуровневое туннелирование не только усложняет деанонимизацию, но и в некоторых случаях ускоряет подключение.Для сохранения скорости связи с проверенными ресурсами Surfshark VPN содержит функцию белых списков: пользователь может выбрать, какие приложения, сайты или IP-адреса будут обходить VPN.Кроме того, Surfshark способен решить проблему деанонимизации при разрывах связи: с помощью функции Kill Switch доступ к интернету автоматически отключается, если VPN-подключение прервётся.Ещё одно приятное дополнение — фильтр рекламы, блокировка трекеров и вредоносных скриптов с функцией CleanWeb. Тестирование Surfshark VPNЗапуск и настройкиДля регистрации аккаунта на сайте surfshark.com понадобится ввести только адрес электронной почты. Никаких дополнительных данных вендор не собирает — это большой «плюс» для тех, кто ценит приватность.Surfshark обладает простым интерфейсом. Главное окно, открывающееся при запуске, настроено для немедленной анонимизации: здесь присутствует всего одна яркая кнопка «Подключить», которая соединяет с ближайшим к пользователю или с самым быстрым на данный момент сервером. Рисунок 1. Запуск Surfshark VPN, главный экран  Здесь же будет сохраняться список последних подключений пользователя. Кроме того, из главного экрана можно перейти в режим Kill Switch, разрывающий незащищённое соединение с интернетом. Рисунок 2. Функция Kill Switch в Surfshark VPN  В разделе «Места» можно подключиться к одному из 1 040 серверов во всём мире. К сожалению, среди этого разнообразия нет возможности симулировать соединение из Китая — такая функция бывает полезной для тех, кто работает с этой страной из-за границы. Однако для работы внутри зоны «Великого файрволла» в Surfshark VPN есть функция NoBorder, позволяющая обходить такие ограничения.Также в интерфейсе есть индикатор ожидаемой скорости подключения, что очень удобно при выборе среди нескольких серверов в одной стране. Стоит отметить, что не все доступные серверы физически расположены в соответствующих странах: некоторые IP-адреса являются виртуальными, однако это — единичные случаи. Рисунок 3. География серверов в Surfshark VPN  Возможность получить статический IP-адрес, защищённый виртуальной частной сетью, очень порадует владельцев персональных серверов. Такая функция есть далеко не у всех VPN-сервисов и часто продаётся отдельно. Surfshark VPN предлагает на выбор несколько вариантов — в Германии, Японии, Нидерландах, Сингапуре, Великобритании или США. Рисунок 4. Доступные статические IP-адреса в Surfshark VPN  Сторонние тесты на анонимизацию подтверждают, что Surfshark VPN хорошо подменяет IP-адреса и передаёт координаты провайдера выбранного региона. Присвоенные сетевые идентификаторы в большинстве случаев не числятся в чёрных списках и принимаются сайтами как реальные данные пользователя. Системное время и язык браузера при этом не меняются, для полной анонимизации их нужно модифицировать вручную. Рисунок 5. Результаты проверки анонимности при подключении к украинскому серверу Surfshark VPN  Режим автозапуска Surfshark VPN имеет несколько полезных гибких настроек. Например, пользователь может создать список доверенных сетей, при сеансах связи из которых VPN не используется. Это позволит не задумываться о безопасности соединения, если часто приходится подключаться к интернету в общественных местах.В разделе дополнительных настроек можно составить белый список сайтов и приложений — при обращении к ним трафик будет идти напрямую, минуя VPN. Рисунок 6. Дополнительные настройки в Surfshark VPN  Разработчики уделили много внимания повышенной безопасности пользователя — это видно по ряду настроек и дополнительных функций. Так, Surfshark VPN может защитить от рекламы и следящих скриптов с функцией CleanWeb или предотвратить потенциальные атаки со стороны интернета вещей путём запрета входящих подключений других устройств локальной сети в режиме «Невидимка для устройств». Рисунок 7. Настройки протоколов в Surfshark VPN  Тестирование скоростиТестирование соединения показало, что Surfshark VPN почти не снижает скорость скачивания файлов, но отдача трафика заметно страдает. Рекомендованный приложением самый быстрый сервер находился в Москве и обеспечивал скорость в 25 Мбит/с входящего трафика и 9 Мбит/с исходящего. Рисунок 8. Результаты тестирования скорости подключения самого быстрого сервера Surfshark VPN  Интересны результаты серверов из других стран. Мы подключились к серверу в Орландо, США и проверили показатели. Скорость входящего соединения в среднем составила 14 Мбит/с (примерно 1,8 МБ/с), скорость отдачи трафика не превышала 7 Мбит/с (800 КБ/с) при средней скорости в 0,6 Мбит/с. Это подходит для веб-сёрфинга без заметных задержек. Рисунок 9. Результаты тестирования скорости подключения к американскому серверу Surfshark VPN  Функция MultiHop проводит туннель через две страны. Пользователю доступно около дюжины пар серверов. При использовании двойного туннеля можно не только повысить уровень безопасности, но и ускорить соединение. Рисунок 10. Функция двойного подключения MultiHop в Surfshark VPN  Мы попробовали соединиться с сервером в США через Австралию и сделали замеры скорости. Результаты действительно стали немного лучше — 16 Мбит/с входящего трафика и 1,3 Мбит/с исходящего. Пинг-тест при этом показал результаты вдвое хуже — задержка передачи пакетов составила 531 мс против 244 мс в классическом туннеле. Рисунок 11. Результаты тестирования скорости двойного подключения к американскому серверу в Surfshark VPN  Тестирование доступа к региональным ресурсамДалеко не все VPN-сервисы годятся для доступа к региональному контенту. Тот же Netflix системно борется с VPN-подключениями и отправляет IP-адреса в стоп-листы целыми диапазонами. Проверим, способны ли алгоритмы Surfshark VPN обходить защиту регионально ограниченных ресурсов.Обойти блокировки американских сервисов с помощью Surfshark VPN удалось. Так, Netflix свободно допускает пользователя к своим библиотекам при подключении через любой сервер в США. Рисунок 12. Доступ к ограниченному контенту Netflix через Surfshark VPN  В свою очередь, IP-адреса серверов в Великобритании на момент теста оказались в стоп-листах. И BBC iPlayer, и HBO GO распознали VPN и заблокировали соединение. Рисунок 13. Доступ к ограниченному контенту BBC через Surfshark VPN  Так или иначе с проблемами периодической блокировки IP-адресов приходится сталкиваться любому VPN-сервису, поэтому будем считать, что нам повезло оценить скорость решения проблемы во время теста. Техническая поддержка Surfshark VPN сработала быстро: уже на следующий день удалось получить свободный доступ к обоим сервисам через сервер в Манчестере. Рисунок 14. Доступ к ограниченному контенту HBO через Surfshark VPN  Сайты, заблокированные на территории России, этот VPN также успешно открывает. Требований по ограничению доступа на данный момент Surfshark VPN от Роскомнадзора не получал. Технические характеристики Surfshark VPNРазработчики постарались сделать интерфейс максимально удобным для кросс-платформенного использования, поэтому Surfshark VPN готов предложить подходящий вариант исполнения для почти любого типа устройств:агенты для Windows, macOS, Linux, Raspberry Pi;мобильные приложения для iOS и Android;плагины для браузеров Chrome и Firefox;приложения для Fire TV и Apple TV;Smart DNS — потоковая передача контента на устройствах, не поддерживающих VPN-приложения, например консолях Xbox и Playstation, ТВ-приставках.Шифрование в Surfshark VPN происходит по наиболее быстрому алгоритму AES-256-GCM. Это — не уникальное преимущество, поскольку такой алгоритм стал стандартом качества хороших VPN-сервисов, но факт его применения можно считать достоинством.Для подключения Surfshark VPN по умолчанию использует протокол IKEv2, но вручную можно выбрать и другие варианты, такие как OpenVPN (TCP / UDP) или Shadowsocks. Ценовая политикаПри выборе тарифного плана Surfshark VPN стоит обращать внимание на скидки и акции. Так, на момент написания обзора можно абонировать сервис за два доллара США при подписке на два года вперёд, что является одним из наиболее выгодных предложений на рынке. Самое важное — то, что в стоимость подписки входит неограниченное количество подключений с любых поддерживаемых устройств. Таким образом, один аккаунт защитит и мобильный телефон, и рабочий ноутбук, и ТВ-приставку, и домашний сервер. Рисунок 15. Тарифная политика Surfshark VPN  Для пользователей iOS, macOS и Android доступна бесплатная пробная версия приложения Surfshark VPN на 7 дней. Для других платформ пробных версий не предусмотрено, но есть гарантия возврата денег в течение 30 дней, если приложение не понравилось. Безопасность и хранение данныхШтаб-квартира Surfshark LTD зарегистрирована на Британских Виргинских островах — в популярном офшоре, оберегающем приватность своих резидентов. Здесь нет требований по хранению информации о пользователях, что и зафиксировано в политике конфиденциальности Surfshark VPN.Surfshark LTD не собирает никаких сведений о действиях своих подписчиков: IP-адреса, история просмотров, информация о сеансе, используемая пропускная способность, метки времени подключения, сетевой трафик и другие подобные данные нигде не сохраняются. Для регистрации аккаунта требуется минимально необходимая информация — адрес электронной почты и основные платёжные данные (сумма платежа, валюта, дата оплаты и история заказов). Оплатить сервис Surfshark VPN можно и анонимно, с использованием криптовалют.Несмотря на то, что данных о пользователе у вендора практически нет, Surfshark LTD публикует отчёты по принципу «свидетельства канарейки». «Свидетельство канарейки» — способ обхода запретов на разглашение информации об изъятии данных пользователей. Такие отчёты выпускаются постольку, поскольку компания не получает никаких судебных и правительственных постановлений, и прекращают публиковаться в случае изъятия сведений. ВыводыПри неплохих показателях скорости разработчики Surfshark VPN добавили полезные дополнительные функции для повышения удобства пользования продуктом: белые списки сайтов и сетей подключения, разрыв связи при потере VPN-соединения, двойное туннелирование, присвоение статических IP-адресов и многое другое.Хотя количество доступных серверов здесь — не самое большое, географии подключений уже сейчас достаточно для реализации любого сценария использования VPN.Заметными достоинствами являются поддержка торрент-протоколов и отсутствие ограничений по объёму трафика. Поскольку во многих странах распространение торрентов запрещено, Surfshark VPN будет удобен для использования за рубежом.Удачным решением стали неограниченные одновременные подключения. Это позволяет использовать Surfshark как универсальный VPN-шлюз на мобильных устройствах, компьютерах и локальных устройствах. Скачать Surfshark VPN можно по этой ссылке.Преимущества:Широкий спектр вариантов подключения — более 1 000 серверов в 61 стране.Простые процессы установки и управления, возможность автоматического поиска самого быстрого сервера.Отсутствие практики сохранения журналов пользовательской активности.Кросс-платформенность, адаптированность к разным типам настольной и мобильной техники.Неограниченное количество одновременно подключаемых устройств.Поддержка торрент-протоколов.Белые списки сайтов и сетей подключения для гибкой настройки.Доступ к Netflix, Hulu, BBC iPlayer, Sky TV, HBO GO, YouTube, ESPN и другим регионально ограниченным ресурсам.Недостатки:Нет пробной версии для пользователей Windows.Небольшое количество точек подключения в Азии, отсутствие сервера в Китае.Высокая стоимость при ежемесячной оплате.

Сервисная платформа ESET Managed Service Provider (MSP) позволяет несколькими щелчками мышью дистанционно развёртывать, администрировать и поддерживать антивирусные продукты компании. Рассказываем о том, кому лучше всего подойдёт ESET MSP, в чём состоят её ключевые особенности, как зарегистрироваться и начать использовать все преимущества платформы, а также о практических кейсах.  ВведениеКлючевые преимущества ESET MSP2.1. Сокращение цепочки поставки до одного звена2.2. Прозрачная аутентификация и обновление2.3. Система отчётности и биллингаАрхитектура и особенности подключения ESET MSPРабота с ESET MSPВозможности интеграции ESET MSP со сторонними решениямиИнтеграция с центром управления продуктами ESET SMCОсобенности лицензирования, локализации и сертификацииВыводы ВведениеТема сервисной информационной безопасности в последнее время набирает обороты в России, традиционно отстающей от ключевых мировых ИТ- и ИБ-трендов. Для западного рынка услуги MSP (Managed Service Providers, поставщиков управляемых сервисов) — явление вполне привычное. Согласно исследованию Market Watch мировой рынок MSP достигнет объёма в 260 млрд долларов США к концу 2023 года. Многообразие предлагаемых клиентам решений при этом также растёт, ИБ-технологии смело догоняют ИТ-сервисы в целом. Всё это как открывает новые возможности, так и оборачивается необходимостью серьёзных преобразований для потребителей. По данным аналитика по кибербезопасности из компании Comodo Микаэля Кона (Micahel Con), 85% компаний считают трансформацию в сторону сотрудничества с MSP вызовом, в то время как 95% организаций уверены в перспективности таких изменений.В сфере ИТ отечественные потребители в последние годы уже привыкли получать «всё aaS» («как услугу»), развиваются облака, а сервисные и обслуживающие компании готовы формировать предложения «под ключ» — не просто с предоставлением инфраструктуры, парка оборудования или их обслуживания, а сразу с подбором, настройкой, продлением необходимого ПО. Однако рынок аутсорсинга информационной безопасности для нашей страны по-прежнему остаётся консервативным, хотя разнообразных поставщиков SOC, MDR и MSSP (читайте наш обзор отечественных провайдеров SOC в трёх частях) становится всё больше, что настраивает на явный оптимизм. При этом в гонке за наиболее эксклюзивным предложением на первые места часто ставятся сложные anti-APT решения, сервисы CASB или эксклюзивные компетенции инженеров.На описанном фоне нередко забываются всё ещё самые распространённые в мире средства защиты информации — антивирусы или их более продвинутые аналоги в виде решений EPP (Endpoint Protection Platform). Между тем, по сведениям Statista ежегодная выручка от продажи антивирусных программ по всему миру составляет порядка 3,5 млрд долларов США, что по разным оценкам эквивалентно заметным трём процентам от рынка ИБ в целом.В каждой компании количество установленных антивирусов равно общему размеру компьютерного парка, и какого бы масштаба ни было предприятие, необходимо заботиться о распределении и продлении лицензий. Возможно ли всем этим гибко управлять, если продукты приобретены в разное время календарного года и их функциональный состав сильно разнится? Компания ESET даёт утвердительный ответ на этот вопрос и уже 3 года развивает на российском рынке платформу для управления лицензиями ESET MSP. По заявлениям самого вендора, большинство всех потребителей антивирусных продуктов ESET в Нидерландах, например, пользуются ими с помощью лицензирования через платформу ESET MSP, что подтверждает общий мировой тренд в сторону аутсорсинга.Итак, основной предмет сегодняшнего обзора — это ESET MSP, инструмент, который пока уникален для российского рынка. За счёт автоматизации управления лицензиями по сути уходит в прошлое необходимость обращаться к партнёру или дистрибьютору для их выпуска или продления. Например, крупные холдинги или группы компаний могут максимально оперативно принимать решение об установке того или иного защитного средства, а за счёт единого центра управления формируется общий стандарт безопасности для всех подразделений и филиалов. Для того чтобы наши читатели могли близко познакомиться с этим инструментом и узнать, как работает ESET MSP на практике, вендор предоставил нам тестовый доступ в личный кабинет с неограниченной функциональностью. Ключевые преимущества ESET MSPПоскольку популярность такого рода инструментов на российском рынке пока ещё невысока, считаем важным отдельно описать ключевые преимущества ESET MSP для партнёров и заказчиков. Сокращение цепочки поставки до одного звенаВозможно, скоро и в России не нужно будет следовать по всей выстроенной вендором иерархии — обращаться к партнёрам и дистрибьюторам: процессы будут максимально упрощены. Выписать новую лицензию или продлить текущую (особенно когда это нужно сделать срочно) с ESET MSP возможно в один «клик». При этом активация на конечных устройствах происходит максимально оперативно благодаря интеграции с локальным центром управления продуктами ESET — Security Managеment Center. Прозрачная аутентификация и обновлениеБлагодаря автоматизированным процессам аутентификации конечным пользователям не нужно предоставлять логины, пароли и любую другую информацию о лицензиях. Активация и обновление производятся автоматически в фоновом режиме. Отключение или перераспределение лицензий выполняются аналогично, в случае необходимости — вплоть до конкретных хостов. При этом совершенно неважно, сколько продуктов ESET нужно активировать и каких они типов. Система отчётности и биллингаАвтоматизированная система учёта выданных лицензий сокращает время на проверку их типа и количества при выставлении счетов. В любой момент в случае возникновения вопросов можно увидеть статистику и построить подробный отчёт как по текущей ситуации, так и по предыдущим периодам.Соответственно, ESET MSP полезен и партнёрам, и конечным потребителям, а также применим во всех сегментах бизнеса: SOHO, SMB, Enterprise и даже B2C. Архитектура и особенности подключения ESET MSPESET Managed Service Provider (ESET MSP) — это облачный инструмент, который предоставляет средства для оказания услуг удалённого развёртывания, администрирования и поддержки антивирусных продуктов ESET NOD32 для неограниченного количества клиентов. Схематично работа сервиса представлена на рисунке ниже. Рисунок 1. Схема работы ESET MSP  Стоит отметить, что для управления лицензированием через ESET MSP доступны все  популярные продукты компании:ESET NOD32 Small Business Pack для Windows, Mac OS X, Linux, AndroidESET NOD32 Antivirus Business Edition для Windows, Mac OS X, AndroidESET NOD32 Smart Security Business Edition для Windows, Mac OS X, AndroidESET Mail Security для Microsoft Exchange Server, IBM Lotus Domino, Linux / BSD / SolarisESET File Security для Microsoft Windows Server, Linux / BSD / SolarisESET Security для Microsoft SharePoint Server (Per User / Per Server)В случае необходимости подключения лицензии для технологий песочницы и защиты шлюзов (входят в пакет ESET Enterprise Threat Defense) права на их использование придётся приобретать отдельно, управлять ими через ESET MSP не получится.Для того чтобы воспользоваться сервисом и начать предоставлять лицензии для клиентов или подведомственных организаций, необходимо присоединиться к MSP-программе ESET (менеджеру достаточно предоставить наименование компании, Ф.И.О. и электронный адрес ответственного сотрудника, город). После соблюдения всех формальностей будут предоставлены логин и пароль для доступа в личный кабинет. Рисунок 2. Авторизация на платформе ESET MSP  При прохождении процедуры авторизации система позволяет выбрать язык из довольно большого перечня (по умолчанию — английский), но, увы, это — все возможности многоязычной поддержки на данный момент. Основной интерфейс сервиса доступен пока только на английском языке. Рисунок 3. Сводка по подключённым компаниям ESET MSP   На главной странице можно следить за перечнем подключённых компаний (филиалов), а также за количеством и статусом выписанных лицензий. Веб-интерфейс продукта работает во всех популярных браузерах, хорошо адаптирован и под экраны мобильных устройств. Подключение инструмента ESET MSP максимально упрощено и не потребует много времени. У нас от момента заявки до получения полного доступа и необходимых инструкций прошло не более часа. Работа с ESET MSPДля начала работы в ESET MSP необходимо завести новую компанию. В рамках тестирования предположим, что нам необходимо управлять лицензиями для головного офиса и двух филиалов в разных городах. При добавлении новой компании нужно заполнить набор стандартных полей. Из интересного — предусмотрено специальное поле для ввода идентификатора VAT (аналог в России — ИНН). Эта мелочь может оказаться полезной, когда в системе будут заведены десятки компаний и потребуется интеграция, например, с ERP- или CRM-системой. Рисунок 4. Заполнение карточки новой компании в ESET MSP  В отдельном блоке вводятся необходимые типы и число лицензий. Можно указать количество реальных лицензий (в определённом диапазоне, который для каждого типа продукта — свой) либо предоставить пробные. Рисунок 5. Распределение лицензий в ESET MSP  Важный раздел — управление правами доступа. В ESET MSP можно добавить неограниченное число пользователей и присвоить им различные роли. Рисунок 6. Настройка прав доступа в ESET MSP  Права назначаются весьма гибко: например, можно разрешить только просмотр или же полное изменение конфигурации лицензий для каждой добавленной компании (филиала).Чтобы посмотреть, как используется пул выписанных лицензий, необходимо «провалиться» в детализацию по конкретному юниту (или компании). В нашем случае посмотрим сведения по My Corp — Head Quarters. Рисунок 7. Детализация сведений по конкретному юниту в ESET MSP  Для детального анализа активированных лицензий перейдём в «License usage». Рисунок 8. Дневное использование лицензий в ESET MSP  Раздел довольно информативен, позволяет проанализировать статистику использования лицензий на графиках в разрезе всех доступных для данного юнита защитных решений за любой интервал времени. Отдельно можно отобразить значения за каждый день и при необходимости экспортировать данные в файл CSV. Было бы крайне удобно, если бы в интерфейсе появилась функциональность, автоматизирующая такие выгрузки — например, ежесуточно — и позволяющая отправлять их в формате Syslog. Справедливости ради отметим, что данная возможность предусмотрена в API (о котором подробно расскажем в соответствующем разделе).Приостановка действия лицензий, продление пробных и перевод их в статус постоянных доступен на вкладке «Licenses». Для того чтобы снизить риск возможной ошибки при попытке отозвать уже используемую лицензию, отображается предупреждение о том, что пользователю перестанут приходить обновления. Рисунок 9. Управление лицензиями в ESET MSP  Возможность гибко управлять лицензированием всех доступных продуктов ESET — одна из ключевых особенностей инструмента ESET MSP. Если компания уверена, что на выходных или в период праздников парк компьютеров точно не будет задействован в работе, она может не переплачивать за использование антивирусов в этот период. Для отдельных групп устройств (например, резервных ноутбуков) такого рода экономия вполне может составить полгода.Распределение лицензий вплоть до конечных точек отображается на странице «Activated devices». Здесь для каждого конкретного продукта ESET можно увидеть перечень и имена устройств и при необходимости деактивировать их. Рисунок 10. Деактивация лицензий для конечных узлов в ESET MSP  Управление правами операторов системы в разрезе конкретного юнита (или компании) осуществляется в одноимённом разделе «Access rights». На данный момент уровней доступа всего два: «полный» и «только чтение». Рисунок 11. Назначение прав доступа к конкретному юниту в ESET MSP  Чтобы ознакомиться с суммарной статистикой использования лицензий по всем юнитам (или компаниям), которые партнёр ESET MSP зарегистрировал на платформе, необходимо обратиться к разделу «My company». Здесь также доступны все рассмотренные выше инструменты аналитики за любой интересующий период времени: графики, таблица, экспорт в CSV. Рисунок 12. Статистика по всем заведённым юнитам (компаниям) в ESET MSP  Генератор отчётов — ещё один важный компонент ESET MSP. Если вкладка «License usage report» повторяет по смыслу и наполнению одноимённую панель мониторинга (дашборд), которая изображена на предыдущем рисунке, то страница «Billing report» позволяет выгрузить информацию о компании (всех или выборочно), категориях продуктов, количестве узлов, днях использования, цене за день и цене за месяц. Все созданные отчёты можно будет скачать. Рисунок 13. Создание отчёта по биллингу в ESET MSP  Безопасность при работе с любым продуктом и возможность восстановления картины событий в случае инцидента являются крайне важными. Раздел «Аудит» предоставляет возможность проанализировать полный протокол работы пользователей в системе. Рисунок 14. Работа с журналом действий пользователей в ESET MSP  Для удобства и привлечения внимания оператора степень риска при совершении того или иного действия пользователя выделяется цветом и отмечается специальным значком. В данном случае система говорит об одной неверной попытке ввода пароля.Для усиления безопасности при авторизации в ESET MSP доступна двухфакторная аутентификация. Рисунок 15. Подключение двухфакторной аутентификации в ESET MSP  После активации данной опции на почту пришло письмо с предложением установить генератор одноразовых паролей, который оказался доступным для свободного скачивания в App Store и Google Play. Рисунок 16. Письмо-инструкция по использованию двухфакторной аутентификации в ESET MSP  Настройки профиля пользователя системы в целом стандартны и не отличаются оригинальностью, однако наше внимание привлекло поле «API ACCESS». Рисунок 17. Параметры профиля пользователя в ESET MSP  Чтобы разобраться с возможностями интеграции подробнее, мы отдельно запросили у вендора и изучили предоставленную нам документацию на API, решив посвятить этому вопросу особый раздел. Возможности интеграции ESET MSP со сторонними решениямиДаже несмотря на то, что решение ESET MSP находится ещё на ранних стадиях развития на рынке России, разработчик уже позаботился о создании API, документация к которому доступна в том числе и на русском языке. Данный шаг является крайне логичным, ведь концепция Managed Services предполагает разработку платформы управления всей (по мере возможности) инфраструктурой клиента. В этом случае взаимодействие с разного рода системами оркестрации просто необходимо.В качестве уже реализованных на практике кейсов ESET предлагает управлять её продуктами при помощи стандартных средств удалённого администрирования от сторонних производителей (RMM — Remote Monitoring and Management) без необходимости использовать специальный вендорский центр управления ESET Security Management Center для ежедневных операций. Интеграционные плагины ESET Direct Endpoint Management на сегодняшний день разработаны для следующих известных RMM-решений:Connectwise Automate,Datto,SolarWinds N-Central,NinjaRMM.Судя по предоставленной нам вендором документации, возможности самостоятельного использования API также довольно интересны благодаря широкому набору доступных вызовов. Они покрывают абсолютно все разделы продукта, включая информацию о биллинге. При желании ESET MSP можно интегрировать с корпоративными бизнес-системами, такими как CRM, ERP, собственный биллинг, Service Desk и т.п. Интеграция с центром управления продуктами ESET SMCПосле распределения лицензий с использованием инструмента ESET MSP возникает вопрос: как конечному потребителю настроить централизованное управление продуктами ESET и их лицензированием у себя в компании? Для решения этой задачи необходимо установить компонент централизованного менеджмента, который в своём арсенале имеют все серьёзные производители антивирусных решений. ESET здесь — не исключение. Программный продукт ESET Security Managеment Center обеспечивает управление продуктами безопасности от ESET, отображает отчёты и уведомления, предоставляет информацию об установленном оборудовании и ПО. Рисунок 18. Панель мониторинга ESET SMC  Пользователи портала MSP могут добавить лицензию в ESET Security Management Center с помощью специальной учётной записи ESET Business Account Login. При этом для каждого такого пользователя с правами доступа к компании генерируется стандартная учётная запись Security Admin для использования в ESET SMC с целью синхронизации лицензий. Таким образом обеспечивается связка для распространения лицензий MSP непосредственно на конечные устройства клиента. Рисунок 19. Добавление учётной записи ESET MSP в ESET SMC  Запрос обновления статусов лицензий происходит автоматически каждые 24 часа. Кроме того, синхронизацию можно запустить вручную, нажав соответствующую кнопку в разделе «Управление лицензиями». Особенности лицензирования, локализации и сертификацииСама платформа ESET MSP лицензируется партнёрам исключительно по количеству и типу выписываемых ими лицензий для конечных потребителей. Прайс-лист не является публичным, на ценообразование влияют статус партнёра и общее число проданных подписок (по узлам) за период времени (например, за год). Каждый месяц ESET будет выставлять счета за точное фактическое количество пользователей и рабочих дней, без предоплаты. Важно отметить, что компания ESET не вводит каких-либо ограничений ценовой политики, позволяя компаниям продавать как единичные или пакетные лицензии на различные продукты в любых комбинациях, так и «прятать» стоимость подписок в общем прайсе на услуги (скажем, по обслуживанию парка техники).По мере развития ESET MSP и накопления базы партнёров в России компания ESET планирует запускать локализацию инструмента (по примеру всех остальных своих продуктов), но о точных сроках пока не сообщается.Если говорить о сертификации решения у отечественных регуляторов (а такой опыт у ESET есть — сертификация антивируса по требованиям ФСТЭК) и перспектив его применения для целей соответствия нормам российского законодательства, то это не является приоритетом вендора по причине отсутствия явной потребности — что можно назвать весьма логичным, учитывая целевую аудиторию и сам принцип работы платформы MSP. ВыводыМы познакомились с функциональностью, особенностями подключения и интеграции платформы ESET MSP. В процессе тестирования видимых проблем обнаружено не было, продукт успешно справился с поставленными перед ним задачами. Неперегруженный лаконичный интерфейс оставил приятные впечатления, но отсутствие русского языка может оказаться для кого-то недостатком. Наглядность и простота осуществления ежедневных рутинных операций — вот, пожалуй, главные ощущения от продукта. Заведение новой компании (филиала), управление пользователями, получение сводки в разных разрезах за любой период времени и отчёты по биллингу — работать со всем перечисленным оператору системы будет удобно. Не хватило только экспорта в «человекочитаемые» форматы, например PDF, DOC или XLS. Самое важное — мы смогли убедиться на практике в заявленной вендором «выписке лицензии в один клик», это действительно работает. Не имеет значения, нужно ли активировать 1 тип продукта на 100 устройствах, или это соотношение составляет 10 к 1000: достаточно лишь ввести числа в текстовые поля и нажать «ОК». Для партнёров ESET MSP также является преимуществом максимально упрощённая система учёта выданных лицензий: для каждого типа продукта считается количество «отработанных» дней, которое умножается на число конечных устройств. Отдельно отметим неплохие возможности интеграции со сторонними решениями и набор уже готовых и реализованных кейсов.Несмотря на простоту самой идеи, заложенной в продукт, прямых аналогов ему среди антивирусных конкурентов, пожалуй, нет. Для российского рынка на сегодняшний день это — уникальное решение. ESET MSP будет максимально эффективным для двух категорий партнёров. Первая — это ИТ- / ИБ-интеграторы и аутсорсеры, которые сильно упростят себе жизнь при продаже огромного количества антивирусных лицензий клиентам ежегодно. Снизится административная и учётная нагрузка, повысится скорость отгрузки (до моментальной). Вторая — крупные холдинговые структуры, имеющие множество подведомственных организаций и территориально разбросанных филиалов. Здесь можно говорить о повышении прозрачности использования антивирусных решений (особенно в слабо управляемых и отдалённых подразделениях), гораздо большей гибкости их распределения и об отсутствии необходимости проводить избыточные закупки, часто — «впрок» или «на всякий случай». Конечные потребители также ощутят преимущества благодаря моментальному подключению защиты новых рабочих мест и реальной экономии за счёт принципа «плати, только если пользуешься».ПреимуществаБыстрый старт работы с платформой: регистрация, заведение первой компании, выписка лицензий «в 1 клик».Упрощённая система учёта взаиморасчётов с вендором.Проработанные возможности интеграции со сторонними решениями.Подробные графики по распределению лицензий.НедостаткиНет русского интерфейса.Нет экспорта статистики и отчётов в форматы PDF, DOC или XLS.Отсутствие сертификата ФСТЭК.Отсутствие в реестре отечественного ПО.

Рынок VPN с каждым годом становится обширней и более востребованным. Для этого много причин: от хакеров, которые охотятся за конфиденциальной информацией, до корпораций и государств, которые следят за активностью пользователей и ограничивают доступ к контенту. Однако не все VPN-сервисы одинаково полезны. Этот обзор поможет выбрать надежный и лучший VPN для Windows, macOS, Android, iOS или Linux, который сделает жизнь в интернете насыщенней и безопасней.   ВведениеРейтинг VPN-сервисов2.1. ExpressVPN2.2. NordVPN2.3. Astrill VPN2.4. TorGuard2.5. Ivacy VPN2.6. PrivateVPN2.7. CyberGhost2.8. Windscribe2.9. VyprVPN2.10. SurfsharkБесплатные VPN-сервисыВыводы ВведениеВ последнее время количество причин для использования VPN (Virtual Private Network — виртуальная частная сеть) стремительно увеличивается.Конфиденциальность и анонимность в сети. Правительства изучают наше поведение в интернете, корпорации профилируют пользователей для целевой рекламы, защитники авторских прав следят за торрент-трафиком, поэтому защита с помощью VPN стала естественным решением.Безопасность. Те, кто используют общедоступные точки доступа Wi-Fi, полагаются на шифрование, чтобы скрыть конфиденциальные данные от хакеров. Жизни активистов и журналистов при репрессиях зависят от него. Предприятия используют VPN для защиты ценной корпоративной информации.Развлечения и информация. Компания GlobalWebIndex в исследовании 2018 года определила, что 57% мобильных пользователей VPN-сервисов используют виртуальную частную сеть для просмотра развлекательного контента. VPN также применяют для обхода блокировки социальных сетей, веб-сайтов и сервисов, например: получить доступ к геоограниченному контенту на платформе Netflix, сервису YouTube в Китае или Telegram в России.Эти причины привели к процветанию и распространению технологии VPN. Ее универсальность каждому дает найти полезное применение, однако это также означает, что объективно ранжировать VPN-сервисы сложно. Рейтинг VPN-сервисовБолее ста VPN-сервисов участвовали в оценке. В результате по выбранным критериям выделились десять с высшим баллом.Критерии оценки спорные, но в обзоре будут использоваться следующие:универсальность применения,безопасность VPN,производительность,развлечения (эффективность противодействия геоблокировкам и использования торрент-трафика),надежность против брандмауэров и цензуры,простота использования и качество поддержки пользователей,цена. Таблица 1. Сравнение VPN-сервисов№Название сервисаЦенаРейтинг1ExpressVPN8,32$/месяц9,62NordVPN2,99$/месяц9,53Astrill VPN8,33$/месяц9,34TorGuard4,99$/месяц9,25Ivacy VPN2,25$/месяц9,06PrivateVPN3,82$/месяц8,57CyberGhost2,50$/месяц8,48Windscribe1,00$/месяц8,49VyprVPN5,00$/месяц8,310Surfshark1,99$/месяц8,2 Оригинальная версия обзора доступна по ссылке: https://vpnpro.com/best-vpn-services/ ExpressVPNExpressVPN подходит как для чувствительных целей вроде журналистики и политики, так и для развлечений. Сервис предлагает шифрование AES-256, надежную функцию экстренного разрыва VPN-соединения (kill switch), отсутствие на слуху каких-либо утечек и политику отсутствия ведения журналов событий. Это успокоит страхи большинства пользователей.Несмотря на надежную защиту, ExpressVPN остается одним из самых быстрых и высокопроизводительных VPN-сервисов на рынке. Это не удивляет благодаря задействованным ресурсам: более 3 000 серверов в 94 странах, иногда даже экзотических: с помощью ExpressVPN легко увидеть интернет глазами монгола или багамца.Приложения ExpressVPN доступны для большинства популярных платформ: Windows, macOS, Android, iOS, Linux и маршрутизаторов. Проблемы с сервисом решаются с помощью обращения в службу поддержки через онлайн-чат, который работает в режиме 24/7.ExpressVPN бесперебойно предоставляет доступ к американской библиотеке Netflix и большинству других геоблокируемых интернет-сервисов. Кроме того, дает возможность использовать торрент-закачки или Kodi и не оглядываться через плечо.Недостатков у сервиса не много: высокая стоимость, отсутствие пробной версии и поддержка только 3 одновременных подключений.Плюсы: хорошие функции защиты, быстрое соединение, дружелюбный интерфейсМинусы: высокая стоимостьЦена: от 8,32 долларов в месяцРейтинг VPNpro: 9,6 NordVPNNordVPN использует сильнейшие для VPN-сервиса функции безопасности: шифрование AES-256 и два типа экстренного отключения (kill switch). Для усиления защиты сервис предоставляет двойное шифрование (double VPN), Tor через VPN и функцию CyberSec, которая защищает от вредоносных программ и трекеров.Сервис использует более 5300 серверов из 62 стран мира. Приложения NordVPN доступны для популярных платформ: Windows, macOS, Android, Android TV, iOS и Linux, а на маршрутизаторах работает при наличии поддержки OpenVPN.Поддержка пользователей NordVPN работает через онлайн-чат, который работает в режиме 24/7.Этот VPN-сервис разблокирует Netflix, BBC iPlayer и Hulu. Для любителей торрентов NordVPN предлагает специализированные P2P-серверы, а благодаря опции запутанных серверов (Obfuscated Servers) VPN работает даже в Китае.Единственный минус сервиса — скорость немного выше среднего.Плюсы: много функций защиты, надежный инструмент для разблокировки, работает с P2PМинусы: скорость чуть выше среднегоЦена: от 2,99 долларов в месяцРейтинг VPNpro: 9,5Astrill VPNУ Astrill VPN сеть поменьше, но это не сказывается на качестве: присутствует шифрование при помощи алгоритма AES-256 или других на выбор, а также поддерживает всевозможные протоколы VPN: OpenVPN, IPsec, IKEv2 / IPsec, L2TP / IPsec, PPTP, SSTP, WireGuard и проприетарные stealth-протоколы OpenWeb и StealthVPN.Stealth-протоколы и преимущественное размещение серверов в Азии делают этот сервис VPN эффективным на континенте. Astrill VPN базируется на Сейшельских островах и использует 328 серверов, распределенных по 65 странам мира. В результате скорость работы составляет конкуренцию топовым VPN-сервисам.Сервис поддерживает торренты, решает вопрос блокировки Netflix и других потоковых платформ. Доступны приложения для Windows, macOS, iOS, Android и Linux, поддерживается маршрутизаторами. Поддержка клиентов работает круглосуточно через онлайн-чат.Несмотря на преимущества, Astrill VPN тоже не идеален. Это самый дорогой VPN-сервис в рейтинге, который хранит в журналах больше данных пользователей: время подключения, длительность сеанса (удаляется при отключении), информация об использовании канала связи, тип устройства и номер версии Astrill. Кроме того, привлекательность приложений стоило бы доработать.Плюсы: много функций защиты, быстрое соединение, надежный инструмент для разблокировкиМинусы: высокая стоимость, собирает больше пользовательских данных, чем хотелось быЦена: от 8,33 долларов в месяцРейтинг VPNpro: 9,3TorGuardTorGuard использует шифрование AES-256 и экстренный разрыв VPN-соединения (kill switch), и поддерживает базовые протоколы: Stunnel, OpenVPN, IKEv2, SSTP. Подтвержденные утечки отсутствуют, поддерживается оплата с помощью криптовалют и благодаря обширной политике конфиденциальности пользовательские данные в безопасности.Мощности сервиса впечатляют: более 3000 серверов и IP-адресов в больше чем 50 странах. Важно отметить, что этот VPN работает в Китае и содержит обширный арсенал против Великого китайского файрвола.TorGuard VPN предоставляет пользователям доступ к потоковым платформам, а за дополнительную плату — выделенный IP-адрес для защиты от блокировок. Поэтому это не лучший способ обойти геоблокировку.Поддержка пользователей TorGuard работает в режиме 24/7 через чат или по телефону. Приложения сервиса предлагают много опций, поэтому помощь не будет лишней.TorGuard базируется в США, где законодательство в части конфиденциальности и условия для запуска VPN-сервиса недружелюбные.Плюсы: безопасный, универсальный и легко настраиваетсяМинусы: базируется в СШАЦена: от 4,99 долларов в месяцРейтинг VPNpro: 9,2Ivacy VPNНесмотря на поистине неоригинальное имя, Ivacy VPN входит в топ. Безопасность на уровне, нет подтвержденных утечек, поддержка протоколов: OpenVPN, IKEv2, SSTP, L2TP и PPTP. Уровень шифрования выбирается, доступен алгоритм AES-256. Соединение защищается с помощью встроенной функции экстренного разрыва VPN-соединения (kill switch).Сингапур, где базируется Ivacy VPN, — небезопасное место и партнер альянса Five Eyes. Хотя Ivacy декларирует строгую политику отсутствия журналов, что уменьшает важность этой проблемы.Благодаря P2P-оптимизированным серверам и положительному отношению к торрентам Ivacy — разумный выбор любителей The Pirate Bay. Получить доступ через Ivacy к библиотекам Netflix и других геоблокированных потоковых платформ — не проблема. Сервис не использует stealth-протоколы, но у него большие мощности: более 450 серверов в более чем 100 локациях. Ivacy подходит для пользователей азиатских стран, таких как Китай, но расположение компании в Сингапуре смущает.Это недорогой сервис. Возможно, Ivacy VPN содержит только один недостаток — местоположение и связь с PureVPN, его разработчиками в Пакистане (Gaditek).Плюсы: много функций защиты, быстрое соединениеМинусы: базируется в Сингапуре и связан с PureVPNЦена: от 2,25$ долларов в месяцРейтинг VPNpro: 9,0 PrivateVPNPrivateVPN — самый маленький VPN в топе, но размещен на более чем 10+ серверах в 57 странах мира. Сервис использует надежные средства: шифрование при помощи алгоритма AES-256, экстренный разрыв VPN-соединения (kill switch), прокси-серверы и поддержку протоколов OpenVPN, PPTP, L2TP, IKEv2 и IPSec.PrivateVPN по скорости занимает твердую середину. Мощности сервиса невелики, но производительность высокая. PrivateVPN легко обходит ограничения Netflix и работает с торрентами безопасно. Недавно сервис внедрил собственный stealth-протокол, который сделал его популярней среди пользователей Китая.Приложения PrivateVPN доступны для платформ: Windows, macOS, iOS, Android, а также медиаплееров Kodi. Другие устройства вроде маршрутизаторов тоже поддерживаются, но для настройки потребуется выполнить дополнительные действия.У сервиса присутствуют и минусы: базирование в Швеции, которая состоит в альянсе 14 Eyes, и отсутствие прозрачности с точки зрения политики конфиденциальности. Помимо них это дешевый и надежный VPN.Плюсы: надежный инструмент для разблокировки, быстрое соединение, хорошие функции защитыМинусы: базируется в Швеции, политика конфиденциальности непрозрачна.Цена: от 3,82 долларов в месяцРейтинг VPNpro: 8.5  CyberGhostCyberGhost использует шифрование AES-256, протоколы OpenVPN, L2TP-IPsec и PPTP, экстренный разрыв VPN-соединения (к сожалению, без переключения) и защиту от утечек. Несмотря на это сервис не стоит использовать при взломе Пентагона.В режиме невидимки используются следующие функции: снятие блокировки Netflix, использование торрентов, обход геоблокировки. Стандартные проблемы с работой в Китае присутствуют и в CyberGhost, но, в отличие от некоторых VPN, для него эти проблемы нерешаемы.Сервис размещается на более чем 3600 серверах в 59 странах и поддерживает обширный охват и скорость, но не лидирует по этим показателям. Тем не менее, CyberGhost в 2018 году удвоил список серверов, поэтому в будущем возможен результат лучше. Кроме того, недавнее обновление приложения устранило проблемы с графическим интерфейсом. Служба поддержки пользователей сервиса работает в режиме 24/7 через онлайн-чат.CyberGhost — недорогой сервис, который с 45-дневной гарантией возвращает деньги при долгосрочной подписке. Тем не менее, остаются некоторые опасения. Сервис принадлежит британской компании с сомнительной репутацией. Kape Technologies известна скандалами, связанными с вредоносными программами, а владелец компании — миллиардер Тедди Саги — скандалом с Панамскими документами.Что касается конфиденциальности, здесь ситуация спорная. В соответствии с политикой конфиденциальности сервис не собирает реальные IP-адреса, используемые серверы, время входа и выхода, данные о трафике и сообщения, но хранит данные, указанные при регистрации и посещении сайта компании. Кроме того, компания оставляет за собой право раскрывать данные в соответствии с требованиями законодательства и для защиты своих прав.Плюсы: много функций защиты, недорогойМинусы: не подходит для Китая, собирает больше журналов, чем стоило быЦена: от 2,50 долларов в месяцРейтинг VPNpro: 8,4  WindscribeWindscribe базируется в Канаде и функциональностью составляет серьезную конкуренцию на рынке. Сервис использует шифрование AES-256, поддерживает VPN-протоколы, среди них OpenVPN, IKEv2, TCP, UDP и SOCKS5. У него отсутствуют утечки и доступны бонусы в виде функций: Double Hop, которая направляет запросы через два местоположения вместо одного, и R.O.B.E.R.T., которая помогает гибко настроить блокировку доменов на стороне сервера.Windscribe использует более 540 серверов в более чем 60 странах, в результате добивается высокой скорости соединения независимо от региона. Кроме того, у сервиса много функций: разблокировка Netflix, игр и безопасное использование торрентов, хотя P2P-трафик доступен не на каждом сервере.Windscribe принадлежит бюджетному сегменту рынка и предлагает готовые гибкие тарифные планы и опцию создания тарифа. Стоимость начинается с 1 доллара в месяц за одно местоположение. Чтобы попробовать и оценить продукт, есть бесплатный тарифный план с ограничениями.Приложение доступно для следующих платформ: Windows, macOS, iOS, Android, Linux, а также расширения для Firefox и Chrome.К недостаткам относится расположение сервиса в Канаде и наличие спорных моментов об использовании бесплатной версии для майнинга криптовалют.Плюсы: много функций, недорогой, гибкие приложенияМинусы: не подходит для использования в Китае, базируется в Канаде, использует теневые практикиЦена: от  1 доллара в месяцРейтинг VPNpro: 8,4  VyprVPNХотя VyprVPN занял 9 место, заслуживает звание лучшего сервиса VPN в своей категории. Главный плюс продукта — надежное шифрование и выбор протоколов: OpenVPN L2TP/IPsec, PPTP и собственный протокол Chameleon. Этот протокол разработан специально для обхода блокировки в странах, таких как Китай, Россия и Иран.GoldenFrog, компания, которая создала сервис, владеет более чем 700 VPN-серверами в более чем 70 локациях. GoldenFrog оптимизировала эти сервера, добилась производительности по каждому направлению и серьезно защитила.VyprVPN подходит для обхода геоблокировки Netflix, но не для торрентов. При нарушении авторских прав сервис отзовет подписку.Golden Frog базируется в Швейцарии, которая дружественна VPN, и предоставляет проверенный аудитами сервис, который не собирает журналы. Техническая поддержка работает в режиме 24/7 через онлайн-чат. Приложения VyprVPN поддерживают платформы: Windows, macOS, iOS, Android, Blackphone, также доступны для роутеров и телевизоров.Главная проблема сервиса остается одна — торренты и другие вопросы авторского права.Плюсы: быстрое соединение, много функций защиты, гибкие приложенияМинусы: не подходит для торрентовЦена: от 5 долларов в месяцРейтинг VPNpro: 8,3 SurfsharkВ топ-10 не часто попадают новички, но Surfshark VPN исключение. После запуска весной 2018 года сервис стремительно набрал популярность.Surfshark использует протоколы OpenVPN и IKEv2, шифруя данные при помощи AES-256-GCM. Сервис использует экстренный разрыв VPN-соединения (kill switch) и каскадные подключения через два VPN-сервера (multi-hop). По примеру TunnelBear Surfshark произвел аудит разработанных расширений для браузеров у независимой немецкой компании кибербезопасности Cure53.Сервис базируется на Виргинских Островах (Великобритания). Этот факт, а также отсутствие ограничений на соединение, означает, что Surfshark может позволить себе политику полного отсутствия журналов.Surfshark VPN работает быстро, использует более чем 800 серверов в 50 странах, без ограничений работает с торрентами и снимает блокировку Netflix.Специальный режим камуфляжа (Camouflage Mode) гарантирует, что даже интернет-провайдер не определит использование VPN.Приложения Surfshark VPN поддерживают платформы: Windows, macOS, Linux, iOS, Android, Fire TV Stick; расширения для браузеров Chrome и Firefox тоже присутствуют, и возможна настройка роутеров, которые поддерживают OpenVPN.Техническая поддержка работает в режиме 24/7 через онлайн-чат. Минусы тоже присутствуют — слабый раздел поддержки на сайте и отсутствие бесплатного пробного периода.Плюсы: быстрое соединение, много функций, неограниченное количество одновременных подключенийМинусы: слабый раздел поддержки на сайте и отсутствие бесплатного пробного периодаЦена: от 1,99 долларов в месяцРейтинг VPNpro: 8,2 Бесплатные VPN-сервисыБесплатные VPN-сервисы делятся на две категории:сервисы, которые зарабатывают за счет продажи данных о пользователях,бесплатные версии платных VPN.Первый вариант сомнителен из-за очевидной причины: отслеживание поведения пользователей и продажа этих данных несовместимы с конфиденциальностью.Второй вариант часто означает продукт с ограничениями: меньше функций, чем в платных версиях, ограничения на объем трафика и так далее. Несмотря на это ограничения у сервисов могут сильно отличаться.Например, ProtonVPN предоставляет доступ без ограничений на объем трафика и количество переключений между серверами. Кроме того, этот сервис заботится о поддержке безопасности и конфиденциальности пользователей:использует шифрование AES-256, а также протоколы OpenVPN и IPSec/IKEv2;отсутствуют подтвержденные утечки данных;присутствует функция экстренного разрыва VPN-соединения (kill switch);поддерживает Tor через VPN;анонимные способы оплаты, такие как биткойн и подарочные карты;присутствует политика отсутствия ведения журналов, хранит только отметку о времени последнего входа в систему.Поэтому ProtonVPN идеален для тех, кому требуется анонимность в сети, но сервисы из топа не по карману. Подробный обзор этого сервиса доступен на сайте vpnpro.com. ВыводыВ первую очередь, при использовании VPN стоит поинтересоваться его юридическим статусом.В Саудовской Аравии, Северной Корее и Белоруссии использование VPN запретили и преследуют по закону.Иногда VPN-сервисы ограничены: Китай и Россия — яркие примеры стран с таким законодательством. Так в России в марте 2019 года Роскомнадзор потребовал от десяти VPN-сервисов исполнения российских законов о блокировках в интернете — подключиться в Федеральной государственной информационной системе. В соответствии с 276-ФЗ, подключившиеся сервисы обязаны блокировать доступ к сайтам, которые запрещены на территории России. В случае отказа Роскомнадзор вправе ограничить доступ к такому сервису.Согласились выполнять требования: Kaspersky Secure Connection и Hide My Ass!.Отказались выполнять требования: TorGuard, VyprVPN, OpenVPN, NordVPN, VPN Unlimited, IPVanish.Пока не заявили о решении: Hola VPN, ExpressVPN.По большей части в мире разрешаются виртуальные частные сети, однако это не касается некоторых действий, ради которых используются эти инструменты. Нарушение авторских прав или хакерство однозначно приведут к неприятностям.

Недавно специалисты компании Positive Technologies представили новую версию системы MaxPatrol SIEM 5.1, предназначенной для выявления киберинцидентов. Команда разработчиков и продуктового маркетинга рассказала Anti-Malware.ru о новых возможностях продукта и продемонстрировала их.     ВведениеУскоряем работу на 30%Ищем атаки в прошлом с помощью правил корреляцииУправляем ролями пользователейОбъединяем похожие события в один инцидентЗашел, увидел, загрузил: как установить пакеты экспертизы в два «клика»Анализируем «сырые» событияНазывайте как хотите: кастомизация полей в виджетахВыводы ВведениеВ марте Positive Technologies выпустила новую версию системы для выявления инцидентов MaxPatrol SIEM. В MaxPatrol SIEM 5.1 теперь есть возможность уменьшить время реагирования на похожие инциденты, гибко управлять ролями пользователей, проводить ретроспективный анализ по правилам корреляции, анализировать «сырые» события и устанавливать пакеты экспертизы в два щелчка мышью. При этом скорость обработки данных на одной инсталляции выросла благодаря переходу на новую версию поисковой системы. Ускоряем работу на 30%MaxPatrol SIEM «переехал» на версию 7.4 ядра Elasticsearch. Внутреннее тестирование показало, что обновление увеличило скорость работы продукта на треть. Версия 5.0 обрабатывала до 30 тысяч событий в секунду (EPS, events per second) на одной инсталляции; теперь в таких же условиях EPS достигает 40 тысяч. Это важно для компаний с большой инфраструктурой, требующей высокой скорости. Ищем атаки в прошлом с помощью правил корреляцииПредставьте, что в новостях появилась информация об атаке на компании вашей отрасли. Вы хотите проверить, не взломана ли ваша инфраструктура по той же схеме. В этом случае поможет ретроспективный анализ — проверка сохранённых событий ИБ на наличие в них данных об угрозах, о которых стало известно только сейчас.Пользователи MaxPatrol SIEM 5.1 могут делать это двумя способами: по индикаторам компрометации и по правилам детектирования угроз (правилам корреляции). Соответственно, после установки последних можно ещё раз «проиграть» поток поступивших ранее событий и применить к ним новые правила. Это особенно полезно для тех, кто пишет собственные правила и использует пакеты экспертизы (то есть наборы способов обнаружения атак и рекомендаций по реагированию, разработанные Positive Technologies).Чтобы ретроспективный анализ заработал, нужно:создать профиль для задачи ретроспективного анализа,указать в нём период, за который нужно проверить данные, и параметры выполнения задачи (продолжительность и скорость выполнения, ограничение по количеству срабатываний правил),создать и запустить задачу на ретроспективную корреляцию событий для созданного профиля.Если вы ничего не поняли, или поняли, но не всё, то посмотрите видеоролик — в нём всё понятно и наглядно показано (и озвучка приятная): Управляем ролями пользователейРанее в системе можно было задать две роли — администратора или оператора. Теперь SIEM-администраторы смогут создавать другие новые роли и разрешать им доступ к определённым разделам продукта. Смотрите, как это можно сделать за три минуты:Гибкое управление ролями пользователей особенно полезно для компаний с иерархической или географически распределённой инфраструктурой, когда нужно дать пользователям возможность работать только с теми данными, которые относятся к их области мониторинга. Именно такие компании настойчиво просили об этой «фиче».В следующую версию мы добавим возможность ограничить доступ не только к разделам, но и к группам активов и событий. Иначе говоря, можно будет выбрать определённый набор активов, с которыми могут работать пользователи с одной ролью, и отказать им в доступе ко всем остальным активам. Сейчас такое возможно реализовать, если задать права каждому пользователю по отдельности. Объединяем похожие события в один инцидентЧтобы избавить пользователей от потока одинаковых инцидентов и помочь им снизить трудозатраты на реагирование на похожие подозрительные события, мы добавили в MaxPatrol SIEM возможность настраивать их агрегацию в один инцидент.Для этого в конструкторе правил корреляции пользователю нужно выбрать правило и задать параметры «склеивания»: к какому инциденту добавить события (уже закрытому или новому), как считать уровень опасности инцидента, за какой временной интервал агрегировать события и с какого момента его отсчитывать. К примеру, несколько последовательных неудачных попыток аутентификации можно задать как один инцидент. Это мы и сделали в видео: Зашёл, увидел, загрузил: как установить пакеты экспертизы в два «клика»Использование пакетов экспертизы стало значительно более удобным. Теперь в базе знаний появился раздел «Пакеты экспертизы», в котором наборы правил обнаружения угроз, разработанные экспертами Positive Technologies, сгруппированы в тематические папки. Вместе с правилами в папках вы найдёте белые списки, обновления параметров сбора и обработки событий ИБ, рекомендации по реагированию. Здесь же хранятся базовые правила обнаружения угроз, доступные «из коробки».У каждого пакета экспертизы есть подробное описание: какие правила есть в его составе, как настроить источники событий, как правильно реагировать на инцидент. Описание доступно прямо из интерфейса. Если описание пакета экспертизы устраивает пользователя и он хочет установить правила на свою инсталляцию, то теперь он может это сделать в два «клика».Посмотрите, как выглядят пакеты экспертизы в MaxPatrol SIEM 5.1:На апрель 2020 года пользователям MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат более 370 правил обнаружения атак. Новые пакеты мы загружаем ежемесячно. Анализируем «сырые» событияДля анализа и обработки событий ИБ из разных систем нужно привести эти события к единому формату. Для этого в SIEM используются парсеры, которые обрабатывают события с помощью формул нормализации. Производители систем, подключённых к SIEM, регулярно обновляют свои продукты и могут изменить формат данных или добавить новые типы событий.Чтобы получать все необходимые данные в MaxPatrol SIEM и быть уверенными в том, что формулы нормализации работают корректно, пользователи теперь могут работать с «сырыми» событиями. Исходное событие можно скопировать в один «клик» и добавить его в инструмент создания правил (Software Development Kit, SDK) для написания формулы нормализации.Если хотите наглядности, то смотрите видео с демонстрацией того, как выглядят «сырые» события в MaxPatrol SIEM, как создать виджет для контроля их поступления и как работает полнотекстовый поиск по событиям:Если вы предпочитаете текст, то читайте дальше. Здесь тоже коротко и весьма наглядно.Чтобы оперативно следить за тем, попадают ли в MaxPatrol SIEM события, которые не проходят нормализацию, можно настроить виджет на панели мониторинга (дашборде) и автоматическую отправку уведомлений на почту. Рисунок 1. Как следить с помощью виджета, поступают ли в систему события без нормализации  Содержимое всех событий — и нормализованных, и сырых — пользователи MaxPatrol SIEM могут найти по полнотекстовому поиску. Для этого в строку поиска достаточно ввести любой из признаков события. Такая функциональность полезна в случаях, когда есть время на глубокий анализ подозрительных действий. Например, можно отфильтровать события по IP-адресу или имени пользователя и увидеть всю их активность. Называйте как хотите: индивидуализация полей в виджетахС новой версией пользователи могут присвоить собственные названия полям событий и активов в выборках данных. Это поможет упростить понимание виджетов и отчётов, в которых такие поля используются. Покажем это на примере. Ниже приводим виджет без кастомизации названия полей (приходится догадываться, о чём он, не так ли?). Рисунок 2. Виджет без индивидуализации названия полей  А вот тот же самый виджет после обновления MaxPatrol SIEM до версии 5.1 и после изменения названий полей. Рисунок 3. Виджет после обновления MaxPatrol SIEM до версии 5.1  О том, как это получилось, мы рассказали в двухминутном видео: ВыводыМы перечислили новые возможности продукта MaxPatrol SIEM 5.1, а также продемонстрировали его преимущества. Если вы хотите протестировать нововведения, заполните короткую форму на сайте и выберите источники событий ИБ для подключения к MaxPatrol SIEM.Если вы уже пользуетесь MaxPatrol SIEM, то для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies.

Программно-аппаратный комплекс DATAPK от компании «Уральский центр систем безопасности» (ООО «УЦСБ») обеспечивает мониторинг и контроль состояния защищённости автоматизированных систем управления технологическими процессами (АСУ ТП). Комплекс применяется в АСУ ТП объектов критической информационной инфраструктуры и других важных производств для выявления несанкционированных изменений, регистрации событий, выявления уязвимостей в компонентах и обнаружения попыток их эксплуатации, а также в целях автоматизированного контроля выполнения требований по информационной безопасности.  ВведениеСущность, состав и проблемы безопасности АСУ ТПАрхитектура DATAPKХарактеристики аппаратных платформ DATAPKФункциональные возможности DATAPKОбъекты защиты DATAPKСведения о сертификации DATAPKРабота с DATAPK8.1. Режимы работы8.2. Ролевая модель8.3. Мониторинг сети на карте8.4. Добавление новых объектов8.5. Управление потоками данных8.6. Просмотр событий и инцидентов8.7. Назначение политик мониторинга8.8. Проверки на наличие уязвимостей8.9. Обнаружение вторженийВыводы ВведениеУспешные кибератаки, с завидной регулярностью проводимые в последние годы, обнажают многочисленные уязвимости в ИТ-инфраструктурах энергетических, транспортных, металлургических и иных промышленных организаций и на практике убедительно демонстрируют, насколько катастрофичны последствия сбоев и отказов в работе таких систем.Остановка и последующий перезапуск производства сопряжены с возникновением различных видов ущерба, из которых экономический зачастую является далеко не самым важным. Любое такое происшествие является чрезвычайным на производстве, приводит к возникновению значительных рисков для здоровья и безопасности людей, а также риска нанесения вреда окружающей среде.Функции управления критически важными процессами, деструктивные воздействия на которые могут нарушить работу системы, выполняются АСУ ТП. В зарубежной практике эквивалентными АСУ ТП терминами являются “Industrial Control Systems” (ICS) или “Industrial Automation and Control Systems” (IACS). Сущность, состав и проблемы безопасности АСУ ТППод АСУ ТП понимается система, состоящая из персонала и комплекса средств автоматизации технологических процессов на объектах производства.Типовая структура комплекса средств автоматизации включает полевой уровень (датчики и исполнительные механизмы), уровень контроллеров (программируемые логические контроллеры — ПЛК / PLC, — которые получают полевые данные и выдают обратно команды управления), а также уровень визуализации, диспетчеризации и сбора данных от ПЛК, где часто предполагается участие оператора. Если оператор контролирует распределённую систему механизмов, соответствующие диспетчерские системы обозначаются термином SCADA (Supervisory Control And Data Acquisition).Изначально сходство между АСУ ТП и традиционными корпоративными ИТ-системами было незначительным. АСУ ТП представляли собой изолированные на физическом уровне системы, в которых использовались закрытые протоколы управления, специализированное аппаратное и программное обеспечение. В настоящее время широко распространённые и относительно недорогие IP-устройства приходят на замену дорогостоящим решениям с закрытым программным кодом. Побочным эффектом уменьшения стоимости оборудования является снижение уровня кибербезопасности.При этом АСУ ТП всё ещё сохраняют ряд особенностей, которые отличают их от традиционных комплексов обработки информации:наряду с операционными системами общего назначения в АСУ ТП используются и специализированные ОС, лишённые встроенных функций обеспечения информационной безопасности (ИБ),в компонентах, разработанных для поддержки промышленных процессов, как правило, доступны лишь ограниченные вычислительные ресурсы, что затрудняет реализацию встроенных функций ИБ,функции обновления ПО, работающего в таких системах, существенно ограничены поставщиками, любые изменения должны быть тщательно протестированы, а их внесение должно сопровождаться убедительным доказательством последующего сохранения целостности системы,жизненный цикл программного обеспечения АСУ ТП порой составляет десятки лет, и в общем случае может использоваться ПО, давно не поддерживаемое производителем,в АСУ ТП продолжают применяться закрытые коммуникационные протоколы, распространённой практикой сегодня является совместное использование унаследованных систем и современных средств, поддерживающих интернет-протокол,допустимое время реакции компонентов АСУ ТП на воздействия ограничено, и часто к ним предъявляются требования по функционированию в режиме реального времени.Эти и другие особенности приводят к тому, что уровень обеспечения информационной безопасности программной составляющей АСУ ТП может на годы отставать от уровня ИБ современного программного обеспечения, используемого в корпоративных информационных системах.Одной из главных сложностей в защите АСУ ТП от деструктивных информационных воздействий является наличие большого количества векторов атаки, которые различаются реализацией в зависимости от выбранного для атаки уровня. Однако существующие объективные сложности не означают, что нужно отказываться от главной цели — обеспечения безопасного и непрерывного функционирования информационно-телекоммуникационных систем и сетей в составе АСУ ТП.С точки зрения нормативно-методического обеспечения этой проблеме в отечественной и зарубежной практике уделяется повышенное внимание. В последние годы в России и за рубежом неуклонно растёт количество стандартов и регламентирующих документов в области обеспечения информационной безопасности АСУ ТП. Это — и стандарты ISA/IEC, и рекомендации NIST, и приказы ФСТЭК России, и отраслевые документы министерств и ведомств.Анализ лучших практик позволяет выделить основные задачи киберзащиты в АСУ ТП:выявление и блокирование угроз безопасности системы и их источников,обеспечение высокого уровня защищённости от несанкционированной и деструктивной активности, что касается как самой АСУ ТП, так и её межсетевого взаимодействия с корпоративной сетью и внешними системами,обеспечение целостности, достоверности, доступности и своевременности поступления информации от управляемых технологических процессов на все уровни управления АСУ ТП.Решение каждой из перечисленных задач подразумевает необходимость реализовать ряд требований, в целом сходных для различных сфер, в которых функционируют АСУ ТП. Это — требования к реагированию на инциденты нарушения безопасности, к обнаружению вторжений, к анализу защищённости, к защите информации при её передаче по каналам связи, к борьбе с вредоносным программным кодом и другим процессам.На зарубежном и отечественном рынке представлена внушительная номенклатура средств защиты информации, как претендующих на решение частных проблем, так и реализующих комплексный подход к обеспечению кибербезопасности АСУ ТП. Производимый компанией «Уральский центр систем безопасности» комплекс DATAPK (далее — «DATAPK»), о котором мы рассказываем сегодня, является основой для системы оперативного мониторинга и контроля защищённости АСУ ТП, архитектура которой разрабатывалась с целью выявлять предпосылки реализации угроз и не допускать возникновения инцидентов в сфере ИБ.Предлагаем рассмотреть подробнее, каким образом и за счёт каких механизмов DATAPK могут быть реализованы требования, позволяющие приблизиться к решению основных задач и достижению целей обеспечения информационной безопасности в АСУ ТП. Архитектура DATAPKDATAPK — это прикладное программное обеспечение, которое предустановлено и исполняется в зависимости от уровня иерархии на аппаратных платформах либо общего, либо специального назначения. Аппаратная платформа уровня технологического комплекса выпускается в рамках серийного производства, которое было запущено «Уральским центром систем безопасности» в 2018 году. Основная сборка комплекса, предусматривающая в том числе установку прикладного ПО, осуществляется на производственных мощностях предприятия-изготовителя.Способ подключения DATAPK к оборудованию АСУ ТП заказчика определяется на этапе предпроектного обследования объекта информатизации. Кроме того, на месте эксплуатации может быть произведена тонкая настройка комплекса с учётом характерных особенностей АСУ ТП.DATAPK спроектирован таким образом, что предусматривает возможность эксплуатации в иерархических распределённых системах. Иерархия DATAPK может насчитывать до трёх уровней, на каждом из которых применяется наиболее эффективный вариант исполнения аппаратной платформы специального назначения:DATAPK уровня технологического комплекса — реализует базовый набор функций по сбору информации непосредственно с объектов защиты, включающий автоматическое определение состава АСУ ТП, сбор событий, анализ защищённости и др.;DATAPK уровня филиала — дополнительно к базовому набору реализует возможности нормализации, корреляции событий, выявления инцидентов ИБ, визуализации информации, а также управляет подчинёнными DATAPK уровня технологического комплекса;DATAPK уровня предприятия — реализует максимальный набор функций, помимо двух предыдущих уровней включающий возможности централизованного обновления ПО, а также управления подчинёнными DATAPK всей иерархии.Архитектура типовой иерархической системы на основе комплексов DATAPK представлена на рисунке 1. Рисунок 1. Иерархия комплексов DATAPK  Характеристики аппаратных платформ DATAPKБазовые характеристики аппаратных платформ специального назначения, используемых на различных уровнях иерархии, приведены в таблице 1. Таблица 1. Характеристики аппаратных платформ DATAPKХарактеристикаПлатформа уровня технологического комплексаПлатформа уровня филиала / предприятияФорм-факторМалогабаритная платформа промышленного исполненияВысокопроизводительная платформа уровня предприятияПроцессорIntel Core i7, 4 ядраIntel Xeon, 8 ядерОперативная память32 ГБ32 ГБДисковая подсистема512 ГБ SSD2х960 ГБ (RAID1) для уровня филиала4х960 ГБ (RAID10) для уровня предприятияСетевые адаптерыОт 6х100/1000 Мбит/с Ethernet2х1000 Мбит/с Ethernet2х100/1000 Мбит/с EthernetБлок питания120 Вт, внешнийОтказоустойчивое питаниеТип охлажденияПассивноеАктивноеРабочая температура-40...+50 °С+10…+35 °ССертификатыRoHS, FCC, CE, ЕАСIEC 60068-2-64 (СКО 3G, 5 - 500 Гц)IEC 60068-2-27 (50G, полусинусоида, длительность 11 мс)RoHS, FCC, CE, ЕАСРазмеры280 х 210 x 79,6 мм43 х 447 х 748 ммМонтажНа полку, на DIN-рейкуМонтажная стойка 19”Масса6 кг25 кг Функциональные возможности DATAPKПеречислим основные группы функциональных возможностей, предоставляемых DATAPK:Управление идентификаторами, в том числе — их создание, присвоение, изменение, уничтожение.Сбор, запись и хранение информации о событиях безопасности в течение установленного периода времени.Мониторинг результатов регистрации событий безопасности и реагирование на них.Выявление, анализ и оперативное устранение вновь выявленных уязвимостей.Контроль установки обновлений ПО, включая обновление защитных средств.Контроль состава аппаратуры, программного обеспечения и средств защиты информации.Обнаружение, идентификация и регистрация инцидентов.Управление изменениями конфигурации АСУ ТП.Документирование информации (данных) об изменениях в конфигурации автоматизированной системы управления и её системы защиты.Идентификация, проверка подлинности и контроль доступа субъектов к системе и к отдельным функциям DATAPK.В части выявления угроз и предотвращения инцидентов DATAPK автоматизирует процесс санкционирования изменений, внесённых в конфигурацию АСУ ТП, автоматически выявляет и визуализирует отклонения текущей конфигурации от эталонной, проверяет соответствие АСУ ТП установленным техническим требованиям по обеспечению безопасности, документирует процедуры и результаты контроля в виде отчётов с информацией о выявленных несоответствиях. Также он способен собирать события безопасности с компонентов системы, анализировать события безопасности и выявлять признаки компьютерных инцидентов, периодически выполнять поиск уязвимостей в компонентах АСУ ТП.DATAPK позволяет реализовать и автоматизировать ряд защитных мер, описанных в приказе ФСТЭК России № 239 от 25 декабря 2017 г. Также в нём реализован автоматизированный контроль исполнения требований, содержащихся в приказе ФСТЭК России № 31 от 14 марта 2014 г., и поддержано выполнение ряда функциональных требований из наборов мер, соответствующих обоим этим приказам, по защите информации в АСУ ТП и значимых объектах КИИ: ограничение программной среды, регистрация событий безопасности, обнаружение вторжений, контроль (анализ) защищённости информации, обеспечение целостности, защита автоматизированной системы и её компонентов, анализ угроз безопасности информации и рисков их реализации, управление конфигурацией АСУ ТП и её системы защиты.Распределение основных поддерживаемых функций DATAPK по уровням иерархии приведены в таблице 2 и на рисунке 2. Таблица 2. Поддержка функций на разных уровнях DATAPKФункцияУровень технологического комплексаУровень филиалаУровень предприятияАвтоматическое определение состава АСУ ТП+++Автоматическое определение информационных потоков+++Автоматическое построение карты сети+++Обнаружение сетевых вторжений+++Сбор и анализ конфигураций+++Анализ защищённости, проверка соответствия требованиям по ИБ+++Сбор событий+++Нормализация, корреляция событий, выявление инцидентов в сфере ИБ-++Визуализация информации-++Централизованное управление--+Централизованное обновление--+ Рисунок 2. Типовая функциональная архитектура DATAPK в распределённой конфигурации  Объекты защиты DATAPKDATAPK поддерживает в качестве объектов защиты широкий спектр программного и аппаратного обеспечения:ОС Microsoft Windows (начиная с Windows 98, NT 4.0);ОС UNIX (Solaris, QNX, Linux и др.);СУБД (Microsoft SQL Server, MySQL, Oracle Database и др.);активное сетевое оборудование производства Cisco, HP, MOXA, Check Point, Huawei, Eltex;SCADA-системы SIMATIC WinCC, Wonderware InTouch, ICONICS GENESIS;программный комплекс Сириус-ИС, TrainView, TRACE MODE Runtime;HMI/SCADA IFIX3.5 GE Fanuc Automation, Аргус, НИИИС ПИК Орион, MasterSCADA, CitectSCADA, DeltaV, RSView32, Proficy HMI/SCADA-Cimplicity, Foxboro FowView/FoxDraw;ПЛК производства SIEMENS, Allen-Bradley, Omron, Schneider Electric, Yokogawa и др.Поддерживаемые протоколы в режиме индикации и сбора данных: SSH, SFTP, SCP, Telnet, MSRPC, HTTP(S), WinRM, Syslog, SMB (CIFS), NFS, FTP, Modbus TCP, OPC UA, DCE/RPC TCP, WMI, WinExe SNMP, PROFINET, S7comm, протоколы передачи данных СУБД (MySQL, Microsoft SQL, PostgreSQL и др.).Поддерживаемые протоколы в режиме индикации: TPKT, COTP, OMRON FINS, IEC104, IEC 61850/MMS, Suitelink, MDLC, BSAP, Modbus RTU, OPC DA, Modbus TCP, OPC UA, Ethernet, Vlan, ARP, ICMP, DNS, IP, UDP, TCP, HTTP, Syslog, SSH, RDP, SSL, DCE/RPC TCP, DCE/RPC TCP v4, SMB, Radmin, LLMNR, IPv6, NetBIOS, NetBIOS-SSN, NetBIOS-DGM, FTP, SNMP, Siemens S7, Profinet IO, Telnet, NTP, IEC 61850/GOOSE, TNS, VNC, Dameware Remote Control, GrayLog, NXlog, WinRM, DHCP, MySQL, TDS, PostgreSQL, MSSQL, Ethernet/IP, WMI, WinExe, HTTPS, DDE, IPX, CPMI, WinCC, PTP (v1, v2).Следует отметить, что и без того обширные перечни поддерживаемых протоколов не ограничиваются приведёнными наименованиями. Один из главных принципов, положенных в основу проекта DATAPK, заключается в том, чтобы обеспечить максимальную гибкость эксплуатации комплекса и возможность тонкой подстройки под систему заказчика. Руководствуясь данным принципом, разработчики комплекса поддержали расширенные возможности «параметризации» механизмов DATAPK без необходимости внесения изменений в программный код, а следовательно, и без потребности лишний раз обращаться к производителю. Данные возможности позволяют заказчику либо системному интегратору адаптировать комплекс под конкретные нужды посредством пополнения списка анализируемых протоколов, выявляемых инцидентов ИБ, источников и типов событий и т. д.  Сведения о сертификации DATAPKВ 2017 году ФСТЭК России выдала сертификат, подтверждающий соответствие DATAPK требованиям технических условий, со сроком действия до 12 апреля 2020 года. Заметим, что в соответствии с текущими требованиями (см. утверждённое приказом ФСТЭК России №55 от 03.04.2018 «Положение о системе сертификации средств защиты информации») СЗИ может применяться и по окончании срока действия сертификата, если требования по безопасности информации соблюдаются, а заявитель осуществляет техническую поддержку. Срок окончания технической поддержки для сертифицированной версии DATAPK сейчас заявлен до 12 апреля 2025 года и, по заверениям производителя, может быть при необходимости продлён.Дополнительно в настоящее время ООО «УЦСБ» ведёт работу по сертификации комплекса на соответствие следующим документам:«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утверждённые приказом ФСТЭК России от 30 июля 2018 г. № 131;«Требования к системам обнаружения вторжений» (ФСТЭК России, 2011 г.);технические условия (выполняемые меры приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).Планируемый срок получения сертификата — 3 квартал 2020 г. Работа с DATAPKРежимы работыDATAPK может функционировать в одном из трёх режимов, различающихся объёмом собираемых сведений и степенью влияния на компоненты АСУ ТП.Пассивный мониторинг. Особенностью этого режима является отсутствие прямого влияния на компоненты АСУ ТП: комплекс взаимодействует с системой в одностороннем порядке, сбор событий возможен только в том случае, если её компоненты настроены на самостоятельную отправку событий, при которой не требуется подтверждение их получения со стороны сервера (с помощью механизмов Syslog или SNMP).Активный мониторинг. Он предполагает двусторонний обмен данными с использованием штатных механизмов (WinRM, RPC и т.д.).Сканирование защищённости. Этот режим оказывает наиболее значительное влияние на работу компонентов АСУ ТП с целью выявления ошибок безопасности в них. В первую очередь предполагается его использование для проведения технологических работ, например на этапе развёртывания АСУ ТП или в рамках выполнения плановых мероприятий по поиску уязвимостей.Обобщённый перечень функций подсистемы мониторинга, доступных в рамках каждого из режимов, представлен в таблице 3. Таблица 3. Функции подсистемы мониторинга, доступные в различных режимах работы DATAPKФункция подсистемы мониторингаПассивный мониторингАктивный мониторингСканирование защищённостиОпределение текущего состава компонентов АСУ ТП+++Выявление изменений в составе компонентов АСУ ТП+++Сбор конфигурации компонентов АСУ ТП-++Проверка компонентов АСУ ТП на наличие уязвимостей--+Обнаружение компьютерных атак+++Выявление сетевых аномалий+++Сбор событий ИБ с компонентов АСУ ТП+/-++ Для возможности собирать конфигурации и события с объектов защиты необходимо создать и настроить в их операционных системах учётные записи с правами, предусматривающими получение такой информации (права на чтение). Логины и пароли этих учётных записей указываются в настройках DATAPK и используются сканерами и источниками событий для доступа к объекту защиты. Ролевая модельВ списке предустановленных пользователей DATAPK уже содержатся следующие учётные записи:«datapk» (редактируемая, с предустановленной ролью «Developer (Разработчик)»);«update» (нередактируемая, с предустановленной ролью «Обновление»).При этом в комплексе предусмотрены возможности для реализации ролевой модели, отвечающей нуждам конкретной организации — посредством создания ролей и набора доступных полномочий для каждой из них, а также учётных записей пользователей с последующим назначением ролей из списка.Воздержимся от перечисления всех доступных полномочий (их количество очень велико) и отметим лишь, что они позволяют максимально предметно ограничить права пользователей на просмотр информации о системе, её сканирование и управление комплексами. Рисунок 3. Создание роли в DATAPK  При необходимости можно сформировать многоуровневую систему, где одна роль включает в себя несколько ранее созданных. Рисунок 4. Создание учётной записи в DATAPK  DATAPK предполагает возможность аутентифицировать пользователей как локально, так и с помощью службы каталогов. Мониторинг сети на картеУправление инфраструктурой со стороны ответственного персонала производится через веб-интерфейс по защищённому каналу связи.Основная панель, с которой работает пользователь и на которую он попадает после успешной идентификации / аутентификации, — карта-схема сети. Рисунок 5. Карта-схема сети, отображаемая средствами DATAPK  Здесь пользователь может наблюдать за составом и состоянием сети и самого комплекса с возможностью просмотра более подробной информации о компонентах и связях между ними. Например, на приведённом выше рисунке видно, что в сети был обнаружен неизвестный объект, относительно которого известно следующее:в текущий момент времени он недоступен (объект выделен красным);для него обнаружены неодобренные сетевые потоки данных (связь выделена красным).Говоря о доступности, следует отметить механизм её оценки: она определяется по наличию исходящего сетевого трафика в режиме пассивного мониторинга в течение некоторого временного периода. Если трафик присутствует, объект защиты считается доступным, и наоборот.Из карты сети можно обратиться к свойствам объекта, посмотреть, что известно о нём на данный момент, и вручную определить доступные для редактирования свойства:общее описание, которое будет отображаться на карте сети,вхождение объекта в группы для удобства мониторинга (например, по типу объекта: АРМ, сервер, маршрутизатор и т.д.),сетевые атрибуты объекта,применённые к объекту политики (их мы рассмотрим далее).Для объектов, у которых уже накоплена история мониторинга, из раздела «Связанные данные» можно перейти в специализированные разделы для просмотра имеющихся сведений. Рисунок 6. Свойства объекта защиты DATAPK  Добавление новых объектовВ DATAPK предусмотрено получение новых объектов защиты в автоматическом и ручном режимах (обнаружение в результате пассивного мониторинга, указания домашней сети и выполнения сканирования сети).В автоматическом пассивном режиме объекты определяются на основе MAC- и IP-адресов. При этом для каждого из них становятся известны производитель, NetBIOS- и DNS-имя, а также наименование операционной системы.Особый интерес представляет автоматический режим с использованием механизма сканирования. Сканирование сети может быть осуществлено двумя способами: быстрым (выполняется для нахождения новых доступных сетевых узлов с возможностью определить их IP-адрес, MAC-адрес и сетевое имя) и детальным (предполагает получение расширенного списка данных об объектах, но требует больше времени на выполнение).После добавления новых объектов их можно разместить на карте сети. Также объекты могут быть автоматически размещены на карте сети. Управление потоками данныхВ концепции продукта, как уже было отмечено ранее, предусмотрены понятия одобренных и неодобренных потоков данных (т.е. трафика между объектами сети с учётом протокола). Это позволяет пользователю выделять из списка существующих те потоки, которые являются безопасными и необходимыми для корректной работы АСУ ТП. Согласно принципу обеспечения максимального уровня защиты все потоки по умолчанию являются неодобренными. При одобрении потока данных пользователь может указать срок действия этого разрешения; при неодобрении также возможно удаление потока, что влечёт за собой завершение его обработки и отсутствие необходимости хранить информацию о нём. Рисунок 7. Потоки данных, контролируемые DATAPK  Просмотр событий и инцидентовНа отдельной вкладке пользователь может просмотреть события и инциденты, обнаруженные в результате мониторинга. При сборе событий с объектов защиты могут применяться собственные сервисы DATAPK, механизмы Syslog, SNMP и Eventlog, а также любые протоколы сбора данных, поддерживаемые DATAPK. Список инцидентов формируется на основе сведений от системы корреляции событий.Для работы со списком инцидентов предусмотрена возможность изменения статуса, указывающего на этап обработки инцидента («новый», «в работе», «закрыт»), и приоритета, определяющего его важность. Рисунок 8. Список инцидентов, отображаемых в DATAPK  Назначение политик мониторингаДля того чтобы обеспечить гибкий выбор правил сбора данных для каждого из объектов защиты, в DATAPK реализована возможность управления политиками — настраиваемыми наборами правил, основанными на требованиях к сбору конфигураций и событий для объектов защиты АСУ ТП.Для политики сбора конфигураций определяются базовые параметры и общий состав. Базовые параметры задают имя и описание политики, а также тип объекта защиты. Общий состав определяет действия по получению конфигурации, описанные в правилах сборщиков параметров — сканеров. Рисунок 9. Создание политики в DATAPK  Политика может быть создана как в ручном, так и в автоматическом режиме. Далее необходимо назначить её на объекты защиты и определить периодичность сбора данных. Рисунок 10. Назначение политики в DATAPK  Результаты сбора данных отображаются в свойствах объекта защиты в соответствующем разделе. Проверки на наличие уязвимостейВ DATAPK реализована поддержка языка OVAL (Open Vulnerability and Assessment Language). Это — основанный на XML формат, предназначенный для автоматизированной оценки уровня безопасности и предоставляющий средства для описания исследуемой системы, анализа её состояния и формирования отчётов о результатах проверки.Для поиска уязвимостей в DATAPK должны быть сделаны следующие шаги:загружены XML-файлы, содержащие методики определения уязвимостей — так называемые «OVAL-определения»;созданы скрипты для сбора OVAL-объектов (сценарии для сбора данных DATAPK выполняются в среде, поддерживающей подмножество синтаксиса языка Python);выполнена привязка скриптов к объектам защиты.Если проверка выполнена успешно и для объекта защиты не было обнаружено несоответствий хотя бы по одному из критериев оценки (либо ни одна из уязвимостей не была найдена), в колонке «Статус» таблицы результатов появится надпись «Выполнен», и строка таблицы будет выделена зелёным цветом; в случае ошибки цвет будет жёлтым, а в случае обнаружения несоответствий — красным. Рисунок 11. Результат проверки OVAL в DATAPK, сигнализирующий о несоответствии критериям оценки  Обнаружение вторженийВ DATAPK реализован механизм обнаружения вторжений. Соответствующая служба позволяет выявлять подозрительную сетевую активность, сравнивая встроенные правила с данными, проходящими по локальной сети.Веб-интерфейс DATAPK позволяет добавлять новые правила следующими способами: импортировать файл формата Suricata с расширением *.rules или файл формата *.json, содержащий список правил, а также создать запись о новом правиле вручную с использованием вышеназванного синтаксиса.Пример правила, созданного вручную, представлен на рисунке ниже. Рисунок 12. Пример правила обнаружения вторжений DATAPK  ВыводыНеобходимость реализации в АСУ ТП комплекса мер, связанных с мониторингом безопасности, установлена требованиями регуляторов. Так, в приказе ФСТЭК России № 239 от 25 декабря 2017 г. к числу механизмов защиты значимых объектов КИИ отнесены:меры по управлению конфигурацией (УКФ);меры АУД.1 (инвентаризация информационных ресурсов), АУД.4 (регистрация событий безопасности), АУД.5 (контроль и анализ сетевого трафика), АУД.7 (мониторинг безопасности);меры ОЦЛ.1 (контроль целостности ПО) и ОЦЛ.2 (контроль целостности информации).Кроме того, мониторингу безопасности отведено важное место в лучших практиках по обеспечению киберзащиты АСУ ТП. Приведём несколько примеров.Рекомендации NIST SP 800-137 «Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations»:домены автоматизации безопасности (управление уязвимостями, событиями, инцидентами, активами, конфигурацией, сетью);трёхуровневая референсная модель непрерывной системы мониторинга ИБ.RIPE Framework:System Population Characteristics (инвентаризационная информация об АСУ ТП);Network Architecture (схема сети);Component Interaction (информация о сетевом взаимодействии компонентов АСУ ТП).При проектировании и построении DATAPK были учтены как требования регуляторов, так и современные исследования в области киберзащиты АСУ ТП, что позволило создать продукт, обеспечивающий решение множества актуальных проблем ИБ. В нём доступны, в частности, такие функциональные возможности, как регистрация событий, автоматический контроль выполнения нормативных требований, выявление несанкционированных изменений, незащищённых и уязвимых компонентов, попыток эксплуатации уязвимостей до момента их устранения.Программное обеспечение DATAPK с 18 сентября 2018 года включено в Единый реестр российских программ для электронных вычислительных машин и баз данных. В соответствии с приказом Минкомсвязи России от 18 сентября 2018 г. №475 оно проходит в реестре по следующим классам ПО: системы мониторинга и управления, средства обеспечения информационной безопасности.DATAPK имеет ряд успешных внедрений, наиболее ярким из которых на сегодняшний день является проект по построению системы защиты критически важных объектов доменного и коксохимического производств ПАО «Северсталь».Преимущества:Комплексный анализ данных из различных источников (сетевой трафик, конфигурации, события).Определение текущего состава компонентов АСУ ТП, выявление несанкционированных изменений и существующих уязвимостей, оценка выполнения установленных требований по ИБ.Обнаружение компьютерных атак в технологической сети АСУ ТП, выявление сетевых аномалий.Идентификация, проверка подлинности и контроль доступа субъектов к системе и к отдельным функциям DATAPK.Защита архивных файлов, параметров настройки средств защиты информации и ПО, а также иных данных, не подлежащих изменению в процессе обработки информации.Наличие различных вариантов исполнения аппаратной платформы DATAPK с возможностью создания распределённой иерархии, поддержка различных режимов функционирования.Работа без установки дополнительного ПО на компоненты АСУ ТП.Возможность оперативной адаптации комплекса под конкретные нужды без привлечения разработчика за счёт расширения перечня протоколов и конфигураций объектов защиты без изменения программного кода с использованием открытых стандартов.Адаптация к реальным каналам связи (обмен результатами обработки данных с минимальной нагрузкой на сеть).Поддержка интеграции с внешними системами: SIEM, GRC и др.Возможность как централизованного, так и локального управления.Недостатки:Громоздкий пользовательский интерфейс (недостаток отчасти компенсируется наличием подробной эксплуатационной документации на комплекс).Отсутствие простого варианта полного развёртывания DATAPK с помощью пошагового мастера (недостаток отчасти компенсируется имеющимся мастером первоначальной настройки и наличием продуктового курса по DATAPK).Недоступность через веб-интерфейс тонкой настройки DATAPK в части добавления, например, поддерживаемых протоколов и настройки ряда параметров комплекса (необходимо использовать внешние конфигурационные файлы).

Для того чтобы обеспечить надлежащий уровень защиты информационной инфраструктуры от угроз, организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности (Security Operations Center, далее — «SOC»), целью которых является быстрое реагирование на ИБ-инциденты с их последующим устранением. Но для эффективной борьбы с современными угрозами уже недостаточно просто создать SOC: необходимо оснастить его технологиями, актуальной информацией и знаниями. В этом могут помочь профильные сервисы «Лаборатории Касперского».   ВведениеСостав сервисов «Лаборатории Касперского» для корпоративного SOCОсновные возможности сервисов «Лаборатории Касперского» для корпоративного SOCОписание сервисов «Лаборатории Касперского» для корпоративного SOC4.1. Kaspersky Threat Hunting4.2. Kaspersky Threat Intelligence4.3. Kaspersky Anti Targeted Attack4.4. Kaspersky Endpoint Detection and ResponseРеагирование на инцидентыАнализ защищённости и тестирование на проникновениеЭкспертные тренинги для специалистов SOCВыводы ВведениеМы не раз уже ссылались на исследование «Лаборатории Касперского» под названием «Прогнозы по продвинутым угрозам на 2020 год». Помимо прочего, оно подтверждает рост сложности методов проведения атак. Злоумышленники намеренно пытаются проводить свои операции под ложным «флагом», чтобы отвести от себя первоначальные подозрения, и точечно выбирают жертв, которые готовы заплатить значительные суммы за восстановление данных. Не перестают появляться новые варианты вредоносных действий в сфере финансовых услуг (в частности — в онлайн-банкинге). При этом в настоящее время средства защиты часто нацелены на обеспечение безопасности рабочих станций, в то время как злоумышленники расширяют свой инструментарий и распространяют атаки не на терминалы, а на сетевое оборудование. Обнаружить такие воздействия всё сложнее.Накопленный специалистами «Лаборатории Касперского» опыт изучения компьютерных угроз и разработки высокоэффективных технологий защиты от них, глубокая экспертиза и практические навыки реализации сложных проектов в области кибербезопасности, реализованные в сервисах компании, обеспечат многоуровневую поддержку SOC организации для повышения его эффективности в борьбе с комплексными угрозами. Состав сервисов «Лаборатории Касперского» для корпоративного SOCСервисы «Лаборатории Касперского» для SOC нацелены на обеспечение эталонного подхода к защите, используя четыре ключевых элемента: управление знаниями, анализ угроз, активный поиск угроз и грамотно налаженный процесс реагирования на инциденты. Сообразно этому комплекс сервисов содержит несколько перечисленных далее частей.Threat Hunting: услуга Kaspersky Managed Protection позволяет своевременно обнаружить атаки, обходящие превентивные системы защиты, путём круглосуточного мониторинга и анализа угроз информационной безопасности экспертами «Лаборатории Касперского».Threat Intelligence: потоки данных об угрозах, индивидуализированные отчёты (аналитика о проблемах безопасности для конкретных компаний или стран, а также финансовых организаций), аналитические отчёты о постоянных угрозах повышенной сложности (APT), сервисы Threat Lookup, Cloud Sandbox, CyberTrace.Kaspersky Anti Targeted Attack: защита корпоративной сети от целевых атак злоумышленников.Kaspersky Endpoint Detection and Response: защита рабочих станций.Реагирование на инциденты, в том числе — анализ вредоносных программ и цифровая криминалистика.Анализ защищённости и тестирование на проникновение: проверка надёжности корпоративной системы борьбы с угрозами и компетентности персонала, ответственного за неё.Экспертные тренинги: формирование у специалистов SOC навыков в области реагирования на инциденты, цифровой криминалистики, анализа вредоносных программ. Рисунок 1. Сравнение классического SOC и SOC на основе сервисов «Лаборатории Касперского»  Основные возможности сервисов «Лаборатории Касперского» для корпоративного SOCИспользование сервисов «Лаборатории Касперского» для SOC предоставляет организации следующие возможности и преимущества:Своевременное обнаружение угроз посредством использования машинного обучения и множества аналитических данных, что позволяет быстро и эффективно выявлять и отражать сложные атаки.Использование аналитических данных, предоставляемых в различных форматах и по разным каналам, для понимания контекста проблемы и обеспечения SOC требуемыми актуальными сведениями. Это даст возможность непрерывно адаптироваться к постоянно меняющимся условиям, а также активно обнаруживать и приоритизировать угрозы информационной безопасности.Активный поиск угроз, реализуемый за счёт постоянного мониторинга событий, обнаружения новой и ранее неизвестной активности злоумышленников.Помощь экспертов «Лаборатории Касперского» в анализе вредоносных программ и цифровой криминалистике, благодаря чему можно своевременно получить полную картину инцидента для совершенствования текущих мер защиты.Своевременное реагирование на инциденты, выполняемое компетентными специалистами и позволяющее быстро обнаружить и предотвратить любую вредоносную активность, восстановить системы и бизнес-процессы.Анализ защищённости в реальных условиях, реализуемый за счёт глубоких экспертных знаний вместе с передовыми методами исследования.Тестирование на проникновение, которое показывает существующие сценарии атак на основе собранных данных об угрозах. Это даёт возможность оценить готовность средств защиты к отражению нападений.Экспертные тренинги для специалистов SOC, повышающие их квалификацию в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ. Сотрудники центра мониторинга и оперативного реагирования на инциденты информационной безопасности получат знания и опыт, которые позволят правильно проанализировать большие объёмы данных и выбрать направление для дальнейшего расследования. Описание сервисов «Лаборатории Касперского» для корпоративного SOCKaspersky Threat HuntingСервис Threat Hunting представляет собой круглосуточную службу мониторинга и реагирования на инциденты — Kaspersky Managed Protection. Для конкретной организации формируется команда экспертов, обладающих богатым практическим опытом в области анализа угроз; это позволяет предоставить сервис, подобранный полностью индивидуально и нацеленный на непрерывное обнаружение и исследование проблем информационной безопасности, равно как и на защиту от них. Круглосуточная служба мониторинга своевременно выявляет инциденты, собирает необходимые для классификации данные, определяет степень уникальности атаки, в случае необходимости запускает процесс реагирования на инцидент и обновление баз знаний средств защиты для блокировки угрозы, а также ретроспективно анализирует системную и сетевую активность процессов и приложений с целью расследования инцидентов.Использование сервиса предоставляет следующие преимущества:Качественная и своевременная защита от целевых атак и вредоносных программ посредством взаимодействия с экспертами «Лаборатории Касперского».Обнаружение нестандартных атак (т.н. non-malware attacks, атаки с применением неизвестных ранее инструментов, эксплуатирующие уязвимости нулевого дня).Оперативная защита от обнаруженных угроз посредством мгновенного обновления баз данных.Комплексный анализ инцидентов, в том числе — на основе методов и технологий, используемых злоумышленниками.Комплексный подход к организации полного цикла защиты от целевых атак. Рисунок 2. Защита инфраструктуры организации с помощью круглосуточной службы Kaspersky Managed Protection  Kaspersky Threat IntelligenceСервис Kaspersky Threat Intelligence является источником информации для SOC и состоит из следующих компонентов.Потоки данных об угрозах, предназначенные для того, чтобы дополнять существующие средства защиты и повышать уровень экспертного анализа специалистов SOC, предоставляя актуальные данные об индикаторах угроз (IP- и URL-адреса, домены, контрольные суммы файлов и т.д.).Индивидуализированные аналитические отчёты об угрозах для конкретных компаний или стран, для финансовых организаций, об APT.Сервис Threat Lookup, представляющий собой единую платформу с доступом к накопленным «Лабораторией Касперского» данным о компьютерных угрозах и их взаимосвязях, а также с возможностью поиска в режиме реального времени. Непрерывное аккумулирование информации об индикаторах угроз позволяет специалистам SOC предотвращать атаки злоумышленников ещё до того, как безопасности компании будет нанесён ущерб. Результатом работы сервиса является отчёт, в котором содержатся краткое описание проблем безопасности, технические подробности и список соответствующих индикаторов компрометации.Сервис Cloud Sandbox — облачная песочница, позволяющая мгновенно реагировать на инциденты, определять источники вредоносных файлов и защищать от неизвестных угроз посредством проверки поведения подозрительного объекта на виртуальной машине, изолированной от реальной инфраструктуры организации. В результате сервис подготавливает отчёт с описанием исследуемого файла, техническими подробностями и списком индикаторов компрометации, имеющих отношение к изученному образцу.Сервис CyberTrace, предназначенный для повышения эффективности классификации событий ИБ и первоначального реагирования на инциденты. Он позволяет упростить интеграцию потоков аналитических данных об угрозах с SIEM-системами и источниками журналов, тем самым обеспечивая специалистам SOC своевременную осведомлённость, необходимую для принятия решений.Стоит отметить, что части сервиса Kaspersky Threat Intelligence показывают максимальную эффективность в том случае, если работают вместе и дополняют друг друга. Каждый компонент является источником данных для остальных. Рисунок 3. Главное окно Kaspersky Threat Intelligence   Kaspersky Anti Targeted AttackСервис Kaspersky Anti Targeted Attack — это платформа для обнаружения и противодействия комплексным угрозам на уровне сети. Доступны следующие возможности:визуализация корпоративной инфраструктуры,централизованный и автоматизированный процесс сбора и хранения данных,анализ инцидентов с помощью передовых технологий на базе машинного обучения, что позволяет свести к минимуму количество рутинных задач, связанных с обнаружением угроз,взаимодействие компонентов платформы в режиме реального времени, что даёт возможность сопоставлять данные с вердиктами от компонентов детектирования и ретроспективными материалами,сведение всей информации в единый инцидент для мгновенного реагирования и расследования,автоматизация задач по расследованию инцидентов, что ведёт к оптимизации расходования ресурсов специалистами SOC.Автоматизация отслеживания и реагирования на угрозы в Kaspersky Anti Targeted Attack реализована за счёт единой работы множества компонентов. В их числе — динамический анализ и эмуляция угроз с помощью песочницы; современные технологии обнаружения, включающие антивирусное ядро, использование YARA-правил, анализ сетевых пакетов и мобильных приложений на наличие вредоносной активности, проверку репутации URL-адресов и доменных имён и многое другое; анализатор целевых атак на основе машинного обучения, поведенческого анализа и автоматизированного сопоставления вердиктов (полученных от песочницы и механизмов обнаружения) с ретроспективными данными; репутационная база угроз, позволяющая держать руку на пульсе новых проблем безопасности, что повышает вероятность раннего обнаружения атак. Рисунок 4. Автоматизированное отслеживание угроз в сети и реагирование на них с помощью Kaspersky Anti Targeted Attack  Kaspersky Endpoint Detection and ResponseСервис Kaspersky Endpoint Detection and Response представляет собой платформу, обеспечивающую защиту рабочих мест. Сервис показывает картину событий безопасности в корпоративной инфраструктуре и позволяет автоматизировать выполнение рутинных операций по выявлению, приоритизации, расследованию и нейтрализации сложных угроз. Использование сервиса позволяет решать следующие задачи:формирование целостного подхода к выявлению и расследованию инцидентов, а также реагированию на них,исполнение рекомендаций ФинЦЕРТ, Федерального закона № 187-ФЗ и положений Указа Президента РФ № 31с «О создании ГосСОПКА»,постоянный мониторинг и активный поиск нелегитимной активности и индикаторов компрометации на всех рабочих местах,повышение эффективности реагирования на инциденты за счёт дополнения SIEM или SOC вспомогательными данными с возможностью сопоставления результатов с событиями других систем,быстрое реагирование на инцидент и прекращение его развития, а также устранение последствий атаки на рабочих станциях и восстановление их работоспособности без влияния на работу пользователей.К преимуществам сервиса можно отнести единый агент для защиты и контроля рабочих станций и серверов, централизованный сбор, запись и хранение данных о событиях безопасности (обеспечивает оперативный доступ к ретроспективным материалам при расследовании продолжительных атак), автоматический сбор, анализ и сопоставление данных для автоматизации и оптимизации работы специалистов SOC, единую консоль для реагирования на угрозы, обеспечение комплексной многоуровневой защиты посредством совместной работы с Kaspersky Anti Targeted Attack, а также использование Kaspersky Private Security Network для защиты инфраструктуры с повышенными требованиями к изоляции. Рисунок 5. Комплексная защита рабочих станций на основе сервиса Kaspersky Endpoint Detection and Response, интегрированного с Kaspersky Endpoint Security  Реагирование на инцидентыРеагирование на инциденты информационной безопасности, включающее цифровую криминалистику и анализ вредоносных программ, требует оперативного выделения значительных внутренних ресурсов. Речь идёт о компетентных специалистах, которые готовы оценить масштабы инцидента и быстро принять меры против распространения атаки: чем скорее последует реакция, тем меньше будет негативных последствий. Но реалии таковы, что даже у грамотно организованного SOC не хватает внутренних возможностей (как временных, так и профессиональных) для незамедлительной остановки атаки.В рамках сервиса «Лаборатории Касперского» специалисты компании оказывают услуги или проводят консультации по реагированию на инциденты, что позволяет быстро и компетентно ответить на угрозу. Эксперты проводят следующие действия:выявление скомпрометированных ресурсов, изоляция угрозы и остановка распространения атаки,поиск, сбор и анализ улик, а также восстановление хронологической картины и логики развития инцидента,анализ вредоносных программ, использованных для атаки (в случае их обнаружения),выявление источников атаки и дополнительных скомпрометированных систем, проверка инфраструктуры организации на возможные признаки компрометации,анализ исходящих соединений сети с внешними ресурсами для выявления нелегитимных объектов,устранение угрозы и выдача рекомендаций в отношении дальнейших действий по устранению последствий.Для наиболее эффективного и оперативного отклика на инциденты процесс реагирования должен включать шаги, представленные на рисунке 6. Рисунок 6. Процесс реагирования на инциденты  Анализ вредоносных программ предназначен для понимания их поведения, а также целей, которые преследуют злоумышленники. Эксперты составляют подробный отчёт, содержащий свойства экземпляра программного обеспечения (краткое описание и вердикт по классификации «Лаборатории Касперского»), детальное описание (анализ функций, поведения и целей программы, индикаторы компрометации, предназначенные для нейтрализации угрозы) и сценарий устранения последствий с рекомендациями по защите инфраструктуры организации от угроз данного типа.В ходе проведения цифрового криминалистического анализа эксперты «Лаборатории Касперского» используют для восстановления картины инцидента множество источников: трассировки сети, образы жёстких дисков, дампы памяти и т.д. Как указано на рисунке 6, в начале расследования клиент собирает улики и предоставляет описание инцидента, а эксперты исследуют симптомы последнего, идентифицируют исполняемый файл вредоносной программы (если он есть) и проводят его анализ. Итогом становится содержательный отчёт, включающий меры по ликвидации последствий.Сервис доступен по подписке или для устранения единичного инцидента. Анализ защищённости и тестирование на проникновениеСервис тестирования на проникновение подразумевает, что эксперты «Лаборатории Касперского» проводят анализ уязвимостей объектов инфраструктуры и возможных последствий их эксплуатации, оценивают эффективность текущих мер защиты, а также планируют меры по устранению обнаруженных недостатков и повышению уровня защищённости. В результате организация получает практическую демонстрацию реальных сценариев атаки с выявленными изъянами защиты корпоративной сети, а своевременное обнаружение последних позволяет не допустить финансового, операционного и репутационного ущерба. Сервис также обеспечивает соответствие государственным, отраслевым и корпоративным стандартам, включая GDPR.Виды тестирования на проникновение, проводимого экспертами «Лаборатории Касперского»:внешнее (без априорных данных об инфраструктуре организации);внутреннее (например, имитация действий посетителя, имеющего только физический доступ в офис);с использованием методов социальной инженерии (фишинг, небезопасные ссылки в электронных письмах и т.п.) для оценки уровня осведомлённости сотрудников организации в вопросах информационной безопасности.Стоит отметить, что в рамках сервиса может производиться анализ защищённости беспроводных сетей на территории организации.Сервис анализа защищённости включает три вида проверок, перечисленные далее.Анализ защищённости приложений предназначен для выявления уязвимостей в прикладных программах любого типа (крупные облачные решения, ERP-системы, механизмы дистанционного банковского обслуживания и другие специализированные бизнес-приложения, а также встроенные программы и мобильное ПО). Сервис позволяет избежать потерь различного рода, свести к минимуму издержки на ликвидацию последствий, организовать непрерывность жизненного цикла безопасной разработки программного обеспечения, а также выполнить требования государственных, отраслевых или корпоративных стандартов.Анализ защищённости банкоматов и POS-терминалов обнаруживает недостатки защиты платёжных устройств и позволяет снизить риск их компрометации за счёт заблаговременного выявления уязвимостей. Так же, как и в предыдущем случае, с помощью сервиса можно улучшить механизмы безопасности, избежать различного рода потерь в результате возможной атаки и обеспечить выполнение требований регуляторов.Анализ защищённости телекоммуникационных сетей включает проверку конфигурации инфраструктуры, сетей связи по стандартам GSM, UMTS и LTE, приложений, обеспечивающих пользование сервисами (например, IP-телевидением), средств голосового общения через интернет (VoIP) и телекоммуникационного оборудования. Экспертные тренинги для специалистов SOCНавыки в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ являются обязательными для специалистов SOC. В рамках тренингов эксперты «Лаборатории Касперского» делятся практическими знаниями и опытом в области информационной безопасности, а также уникальными данными об угрозах.Тренинги, формирующие вышеуказанные навыки, продолжаются по 5 дней и делятся на два уровня: базовый и экспертный.Тренинг по реагированию на инциденты и цифровой криминалистике позволит специалистам SOC лучше понять все стадии расследования инцидентов и даст необходимые сведения для успешного самостоятельного устранения последствий. Также он укрепит знания специалистов во всём, что касается поиска следов киберпреступления и анализа различных типов данных с целью установить источник и временные параметры атаки. После прохождения тренинга специалисты SOC самостоятельно смогут своевременно реагировать на инциденты, анализировать улики, восстанавливать хронологию и логику инцидентов, определять источники атаки и дополнительные скомпрометированные системы, а также выяснять причины инцидента для предотвращения подобных нарушений в будущем.Тренинг по анализу вредоносных программ поможет специалистам SOC качественнее проводить расследования атак, анализировать вредоносные объекты, выявлять индикаторы компрометации, писать сигнатуры для обнаружения опасных файлов либо заражённых рабочих станций. После прохождения тренинга специалисты SOC смогут самостоятельно проводить анализ подозрительного образца и его возможностей, определять степень  его вредоносности, выявлять возможности его воздействия на скомпрометированные системы организации, а  также составлять план устранения последствий. ВыводыУгрозы безопасности информационных активов организаций постоянно меняются, и для защиты от них необходимо оперировать максимально возможным объёмом информации, развивать экспертные компетенции специалистов, оперативно реагировать на инциденты и на регулярной основе проводить анализ защищённости инфраструктуры. Современные организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности, чтобы достичь требуемого уровня борьбы с угрозами; но для максимальной эффективности работы SOC необходимо наладить взаимодействие с сервисами или продуктами, которые, с одной стороны, снабдят SOC необходимыми актуальными данными, а с другой стороны, будут помогать принимать решения и расследовать инциденты.Сервисы «Лаборатории Касперского» позволяют повысить уровень безопасности организации, встретить во всеоружии комплексные и целевые угрозы, а также обеспечить такое взаимодействие с SOC, при котором специалисты центра будут полностью освобождены от рутинных операций, а организация получит мощный инструмент для своевременного обнаружения угроз и реагирования на инциденты. Также с помощью этих сервисов можно получать экспертную помощь «Лаборатории Касперского» в исследовании вредоносных программ и в цифровой криминалистике, а также в анализе защищённости, тестировании на проникновение и многом другом.

Программный комплекс Security Vision КИИ от Группы компаний «Интеллектуальная безопасность» (бренд Security Vision) предназначен для автоматизации процессов категорирования и обеспечения безопасности объектов критической информационной инфраструктуры (КИИ). Он обеспечивает хранение и учёт объектов КИИ на протяжении всего их жизненного цикла, а также автоматизацию формирования отчётности и других процедур, предусмотренных законодательными и нормативными документами в области киберзащиты КИИ РФ. ВведениеАрхитектура платформы Security VisionСистемные требованияФункциональные возможностиРабота с Security Vision КИИ5.1. Основные сведения5.2. Ролевая модель5.3. Работа с базой активов5.4. Работа с объектами КИИ5.5. Просмотр информации о системе5.6. Взаимодействие с НКЦКИ (ГосСОПКА)ЛицензированиеВыводы Введение1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — «187-ФЗ»). Потребность в законе, который регулировал бы отношения, возникающие при обеспечении устойчивого функционирования КИИ РФ в условиях проведения компьютерных атак на неё, ощущалась задолго до его выхода в свет. По этой причине появление данного законодательного акта было воспринято профессиональным сообществом с оптимизмом.На сегодняшний день в дополнение к 187-ФЗ выпущено большое число подзаконных актов, методических рекомендаций, разъяснений по концептуальным вопросам обеспечения безопасности КИИ и проблемам частного характера, затрагивающим специфику отдельных отраслей производства. Между тем, вопреки ожиданиям, проблематика практической реализации действующего законодательства ни в малейшей степени не утратила своей актуальности: животрепещущие темы из этой области обсуждаются на конференциях по информационной безопасности и вебинарах, в колонках профильных журналов и специализированных группах в социальных сетях. В одном только телеграм-чате «КИИ 187-ФЗ» в отдельные дни завязываются жаркие дискуссии из сотен сообщений. При этом они берут начало в самых невинных вопросах, трактовка которых, казалось бы, не должна вызывать каких-либо разночтений.Сложившаяся на первый взгляд парадоксальная ситуация имеет простое объяснение, включающее несколько взаимосвязанных аспектов:В целом законодательство в области обеспечения безопасности КИИ крайне объёмно. Даже не принимая во внимание высокоуровневые документы, напрямую не связанные с предметной областью, специалисту по информационной безопасности приходится учитывать содержание ни много ни мало трёх федеральных законов, восьми указов президента, пяти постановлений правительства, полутора десятков приказов регуляторов, а также плохо поддающихся учёту информационных сообщений, методических рекомендаций, регламентов, временных порядков и прочих информационных документов.Весьма трудоёмок уже начальный этап выполнения требований законодательства — инвентаризации систем и определения объектов КИИ. На фоне двусмысленных формулировок действующего законодательства, допускающих различные толкования даже на уровне определения базовых терминов, а также с учётом наличия в инфраструктурах потенциальных субъектов КИИ огромного числа подсистем, требующих обследования, уже задача выявления объектов защиты выглядит непосильной. Например, на практике отнюдь не редки ситуации, когда собственные трудозатраты на обследование и категорирование объектов КИИ даже сравнительно небольшого предприятия, состоящего из центрального офиса и нескольких территориально распределённых площадок, оцениваются величиной порядка одного человеко-года. Пренебречь же качественным выполнением начального этапа никак нельзя, поскольку допущенная халатность может дорого обойтись на последующих этапах или вовсе обессмыслить их реализацию.Нехватка на предприятиях — субъектах КИИ квалифицированных кадров. Данная проблема уже давно стала притчей во языцех, но от этого не утратила актуальности. Программы по информационной безопасности в подавляющем большинстве учебных заведений безнадёжно устарели и не соответствуют современным требованиям, а квалифицированных преподавателей с практическим опытом тоже не хватает. Показательный пример: высшие учебные заведения практически не готовят юристов в области защиты информации или специалистов по защите аппаратного обеспечения — а именно такого рода профессионалы крайне востребованны во всех отраслях промышленности.Итог закономерен. Ещё в 2019 году были внесены изменения в нормативные правовые акты, касающиеся задания сроков работ по инвентаризации и категорированию объектов КИИ. На сегодняшний день установленные сроки истекли, однако очень многие организации даже не приступали к категорированию и направляют свои усилия на изыскание возможностей, позволяющих отложить выполнение соответствующих процедур на неопределённый срок.Следует констатировать, что большинству организаций действительно сложно самостоятельно с чистого листа выполнить все требования законодательства о безопасности КИИ в силу нехватки ресурсов. С одной стороны, выход видится в обращении к услугам сторонних коммерческих компаний, благо недостатка в предложениях на рынке на сегодняшний день нет. Но при этом субъекту КИИ всегда приходится держать в уме, что большой объём предложений неизбежно свидетельствует и о наличии высокого процента недобросовестных поставщиков услуг, стимулируемых тем обстоятельством, что всю юридическую ответственность за итоговый результат работ несёт не кто иной, как сам субъект КИИ.В сложившихся условиях для крупных промышленных предприятий, оперирующих значительным числом объектов КИИ, разумным выходом может стать автоматизация рутинных процедур, связанных с обеспечением безопасности этих объектов. С одной стороны, это позволит снизить собственные трудозатраты; с другой — минимизировать объём стороннего участия во внутренних процессах предприятия или вовсе воздержаться от привлечения третьих лиц.Производимый Группой компаний «Интеллектуальная безопасность» программный комплекс Security Vision КИИ, который является предметом рассмотрения в настоящем обзоре, заявлен как средство, позволяющее максимально автоматизировать процесс категорирования и контроля обеспечения безопасности объектов КИИ в соответствии с актуальными законодательными и нормативными требованиями.Security Vision КИИ является одним из продуктов полномасштабной платформы Security Vision, предназначенной для автоматизации различных процессов управления информационной безопасностью и являющейся единой точкой мониторинга и принятия решений. Некоторое время назад мы проводили обзор данной платформы, но на тот момент продукт Security Vision КИИ ещё не успел пополнить её состав. Пора познакомиться с этим интересным продуктом и рассмотреть подробнее, каким образом и за счёт каких механизмов Security Vision КИИ позволяет добиться заявленных целей. Архитектура платформы Security VisionДля тех, кто пока не знаком с комплексным решением Security Vision, может быть полезно иметь в виду, что платформа поставляется в нескольких «коробочных» комплектациях:Security Vision SOC (Security Operations Center) — предназначена для построения ситуационного центра информационной безопасности. Обладает полной функциональностью для построения и визуализации системы ИБ в режиме реального времени на масштабируемой карте мира / здания / помещения с целью повысить управляемость процессов защиты.Security Vision IRP / SOAR (Incident Response Platform) — предназначена для автоматизации действий по реагированию на инциденты в сфере кибербезопасности. Используется для построения системы управления ИБ и обработки соответствующих происшествий в организации.Security Vision CRS (Cyber Risk System) — предназначена для автоматизации процессов управления киберрисками. Обеспечивает оперативное принятие решений в режиме реального времени по стратегическим вопросам деятельности организации, ИТ- и ИБ-проектам.Security Vision SGRC (Security Governance, Risk management and Compliance) — предназначена для построения полноценной системы управления информационной безопасностью в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения на основе объективных сведений. Использует результаты работы продукта Security Vision CRS.Security Vision КИИ — предмет нашего внимания.Продукты объединены общей предметной областью и возможностью использования данных, полученных из других компонентов платформы. Работа осуществляется с помощью встроенных модулей.В состав платформы Security Vision входят следующие функциональные модули:Управление активами. Модуль предназначен для оцифровки информационных активов компании и автоматизации работы с ними. В качестве активов могут выступать информация, информационные системы, технические сервисы, программное или аппаратное обеспечение.Конструктор рабочих процессов. Реализован с помощью специально разработанного графического «движка», где по принципу блок-схемы для каждого процесса можно описать сценарий действий.Конструктор отчётов и панелей мониторинга («дашбордов»). Предоставляет инструментарий для визуализации данных.Географическая карта. На карте отображаются активы компании, изменение их характеристик в отношении информационной безопасности, а также взаимосвязи и активное взаимодействие.Коннекторы к источникам данных. В рамках платформы Security Vision используется универсальный коннектор, поддерживающий работу с базами данных (СУБД Microsoft SQL, PostgreSQL, Oracle Database, MySQL), файлами любого формата, электронной почтой, REST, SOAP, Syslog. В качестве источников могут выступать сетевые устройства, средства защиты информации, средства виртуализации, рабочие станции и серверы на базе различных ОС, а также прочие специализированные приложения и системы. Универсальный коннектор данных позволяет подключить до 99% IP-ориентированных ИТ-систем компании.Управление соответствием КИИ. Модуль автоматизирует ряд процедур, которые способствуют исполнению требований ФЗ-187. Подробнее соответствующие возможности будут рассмотрены в настоящем обзоре.Модуль взаимодействия с ФинЦЕРТ. Позволяет осуществлять оперативный двусторонний обмен информацией об инцидентах и угрозах безопасности. Модуль разработан с учётом стандарта Банка России СТО БР БФБО-1.5-2018.Модуль взаимодействия с НКЦКИ (ГосСОПКА). Обеспечивает оперативный двусторонний обмен информацией об инцидентах и угрозах безопасности; разработан с учётом регламентов НКЦКИ.Заметим, что список модулей, приведённый здесь, не является исчерпывающим. Подробные перечни и детализированные описания были бы избыточными для целей обзора, поэтому мы ограничились несколькими иллюстрациями. Системные требованияПлатформа Security Vision поставляется в виде программного обеспечения, которое функционирует на базе предустановленных ОС Microsoft Windows Server 2012 R2 и СУБД Microsoft SQL Server Standard 2014 (указаны минимальные версии программного обеспечения среды функционирования). Дополнительно анонсируется возможность поставки платформы на базе ОС Linux и СУБД PostgreSQL начиная с IV квартала 2020 года. Функциональные возможностиSecurity Vision КИИ позволяет автоматизировать следующие подпроцессы в рамках обеспечения безопасности объектов КИИ:формирование единой карточки объекта КИИ с учётом выстроенных связей с ИТ-активами различных типов;разработка частных моделей угроз безопасности информации на объектах КИИ;формирование контрольных списков (чек-листов);обработка чек-листов, заполняемых экспертами от структурных подразделений;присвоение категорий значимости объектов КИИ (подготовка обоснований об отсутствии необходимости присваивать категорию значимости);разработка планов по реализации мероприятий по обеспечению безопасности объектов КИИ;формирование содержательной части сведений по результатам категорирования по установленной регулятором форме;формирование содержательной части актов категорирования;формирование состава и структуры систем безопасности значимых объектов КИИ;взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Работа с Security Vision КИИОсновные сведенияУправление инфраструктурой со стороны ответственного персонала производится через веб-интерфейс.Взаимодействие пользователя с Security Vision КИИ подразумевает работу со следующими группами данных:Аналитика и отчётность — содержит дашборд, предоставляющий общую информацию о системе в виде, удобном для зрительного наблюдения и анализа (графики, диаграммы).Активы — содержит базу ИТ-активов разных типов, на основе которых заполняется информация об объектах КИИ.Заявки — содержит перечень карточек объектов КИИ, т. е. записей в базе данных, содержащих сводку сведений об объектах (в том числе — о входящих в состав активов).Коннекторы данных — содержит базу средств, необходимых для автоматического наполнения и систематической актуализации информации об активах. Рисунок 1. Основное меню Security Vision КИИ  Ролевая модельТиповой сценарий работы с ПО предполагает наличие трёх функциональных ролей: владелец активов, предоставляющий сведения о них; оператор, создающий и наполняющий карточки объектов; специалист ИБ, оценивающий угрозы безопасности и предпринимаемые меры для их нивелирования. При этом программа предоставляет возможность максимально гибкой настройки ролевой модели для соответствия ожидаемому разделению обязанностей в организации заказчика. Рисунок 2. Состав ролей модуля в Security Vision КИИ  Настройки ролевой модели включают создание ролей и назначение им полномочий на чтение / запись в различных разделах и даже полях заполняемых форм. Рисунок 3. Назначение полномочий в Security Vision КИИ  Работа с базой активовВ модуле предустановлены следующие типы активов: бизнес-процесс, информационная система, техническое средство и программное обеспечение.Пример карточки актива типа «Информационная система» приведен на рис. 4. Рисунок 4. Пример карточки актива типа «Информационная система» в Security Vision КИИ  На рис. 5 представлен пример карточки актива типа «Техническое средство». Рисунок 5. Пример карточки актива типа «Техническое средство» в Security Vision КИИ  Для настройки под конкретную организацию возможно добавление, редактирование и удаление различных типов активов. Форма представления актива может быть изменена путём редактирования HTML-кода.Для того чтобы рабочий процесс жизненного цикла объекта КИИ, который предустановлен в продукте, шёл корректно, необходимо осуществить наполнение активами с соблюдением иерархии связей, которая представлена на рис. 6. Рисунок 6. Иерархия связей активов в Security Vision КИИ  Наполнение и систематическая актуализация информации по активам могут осуществляться следующими способами: ручное заполнение полей (свойств) карточки актива, импорт определённой структуры в формате CSV или автоматическое заполнение с использованием специализированных коннекторов в разделе «Коннекторы данных». Как правило, в качестве источников выступают следующие популярные решения:системы класса CMDB, ITSM (iTop, Microsoft SCCM, HPSM);сканеры уязвимостей (MaxPatrol 8, Nessus, RedCheck, nmap);SIEM-системы (MaxPatrol SIEM, ArcSight ESM);прочие СЗИ и базы данных (Kaspersky Security Center, Oracle, Microsoft SQL, MySQL).Информация по активам может поступать единовременно из множества источников, проходя различные фильтры, правила заполнения и дедупликации; возможны обогащение и актуализация по заранее заданной логике, которую определяет организация.Предусмотрена возможность устанавливать различные типы связей между активами (родитель / потомок, однонаправленная / двунаправленная) для определения потоков данных. Связи создаются в табличном виде основного меню раздела (рис. 7). Рисунок 7. Создание связи активов в Security Vision КИИ (табличный вид)  Кроме того, эта же операция доступна на специализированной графической «Карте связей активов» (рис. 8). Рисунок 8. Карта связей активов в Security Vision КИИ   Работа с объектами КИИВ рамках составления перечня объектов КИИ пользователю необходимо создавать и наполнять общими сведениями карточки этих объектов. Заполнение полей карточки в Security Vision КИИ производится на основе информации об ИТ-активах и требуется для автоматического построения отчётов и актов категорирования.Карточка объекта КИИ содержит следующую информацию (рис. 9):основные сведения об объекте;программно-аппаратные средства, входящие в состав объекта (активы);информация о категорировании объекта;частная модель угроз безопасности объекта КИИ, построенная на основе сведений о его категории;организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ;результаты оценки соответствия перечню мер защиты;план устранения несоответствий;история изменений карточки. Рисунок 9. Карточка объекта КИИ в Security Vision КИИ  Сведения, вносимые в карточку объекта, нужны в первую очередь для автоматического построения отчёта о результатах присвоения ему одной из категорий значимости либо об отсутствии необходимости такой операции (приказ ФСТЭК России № 236 от 22.12.2017).Для начала работы необходимо добавить в карточку объекта информационную систему, имеющуюся в разделе «Активы». В результате автоматически заполнится часть полей в основных сведениях, а на вкладке с программно-аппаратными средствами будут добавлены все активы, иерархически связанные с информационной системой. Так как для некоторых полей есть наиболее часто используемые значения, для упрощения работы с карточкой объекта пользователь может задать значения по умолчанию, которые будут автоматически подставляться при её создании. На основе информации о связанных активах автоматически определяется необходимость категорирования объекта.Раздел «Категорирование» заполняется сведениями, необходимыми для автоматического вычисления категории значимости объекта, и результатами категорирования. Здесь пользователь оценивает показатели критериев значимости объекта. При этом показатели и возможные значения соответствуют требованиям Постановления Правительства № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». После заполнения по команде пользователя формируется акт категорирования. Рисунок 10. Категорирование в Security Vision КИИ  Следующий этап работы — построение модели угроз — становится возможным только после выполнения категорирования. Критерием автоматического отбора релевантных угроз являются данные, которые указаны в поле «Технологии» карточки актива, относящегося к типу «Информационная система». Связь значений этого поля с угрозами установлена производителем продукта на основе собственной экспертизы. В качестве справочника используются все угрозы из БДУ ФСТЭК России, а также данные разработчика. Рисунок 11. Формирование частной модели угроз в Security Vision КИИ  От пользователя требуется выбрать потенциальных нарушителей и — в случае если заполнение карточки актива и построение модели угроз выполняются разными сотрудниками — назначить исполнителя для задачи оценки угроз с установкой срока её решения.Исполнителю понадобится оценить вероятность реализации, коэффициент опасности и актуальность каждой угрозы. В случае необходимости можно открыть свойства угрозы и внести изменения (нарушаемые свойства информации, описание и т. д.). Рисунок 12. Выбор возможных последствий угроз в Security Vision КИИ  На вкладке «Меры» осуществляется управление мерами защиты. Здесь на основании результатов категорирования и требований приказов ФСТЭК России № 235 и № 239 автоматически формируется базовый набор мер. Пользователь вправе адаптировать, уточнять и дополнять полученный перечень, добавляя и удаляя угрозы. Для перечня мер также могут быть обозначены статус, исполнитель и срок выполнения задачи.Исполнителю необходимо определить:способы реализации мер;статус меры;технологию реализации (управление доступом, антивирусная защита, идентификация / аутентификация, ограничение программной среды);класс средств защиты. Рисунок 13. Обработка мер защиты в Security Vision КИИ  По результатам реализации мер автоматически будет произведён расчёт их соответствия мерам из приказов ФСТЭК России № 235 и № 239 в процентном отношении. Рисунок 14. Результаты проверки соответствия в Security Vision КИИ  По результатам выполнения данных транзакций на вкладке «План устранения несоответствий» будут автоматически сформированы соответствующие задачи. Устранение несоответствий выполняется в том же порядке, что и реализация мер: создаётся задача для исполнителя, который должен реализовать оставшиеся меры, выполняется очередная проверка соответствия и в случае необходимости формируется новый план.Обеспечив удовлетворительные значения показателей соответствия реализованным мерам, можно сформировать отчёт по форме приказа ФСТЭК России № 236. Если требуется редактирование отчёта, то изменения можно внести вручную после скачивания.В случае необходимости может выполняться пересмотр категории значимости в той же последовательности. Просмотр информации о системеВ Security Vision КИИ реализован дашборд, который содержит сводную информацию по объектам КИИ и состоит из следующих виджетов:объекты, подлежащие категорированию (отдельно — в разрезе типов);статусы процессов категорирования;присвоенные категории (в том числе — также отдельно в разрезе типов объектов). Рисунок 15. Дашборд Security Vision КИИ  Изменение содержания виджетов выполняется с помощью соответствующих SQL-запросов.Основная сводная информация по всем объектам КИИ может быть получена также с помощью встроенного отчёта «Реестр ОКИИ». Отчёт формируется по команде и по заданному расписанию. Как и прочая функциональность Security Vision КИИ, доступ к отчётам может быть ограничен для пользователей модуля. Взаимодействие с НКЦКИ (ГосСОПКА)Функциональность этого модуля позволяет отправлять информацию об инцидентах и угрозах безопасности, собранных указанными ранее коннекторами, в НКЦКИ. Порядок взаимодействия с НКЦКИ проработан с учётом соответствующих регламентов.Отправка и приём сообщений из центров ГосСОПКА выполняются в разделе заявок (инциденты являются одним из доступных типов заявки). Это позволяет на основании полученной информации автоматически сформировать новую сущность в виде задачи, заявки или инцидента — в зависимости от выстроенных внутренних процессов заказчика. Рисунок 16. Сообщение об инциденте для НКЦКИ в интерфейсе Security Vision КИИ  Отправка электронных сообщений в центры ГосСОПКА может осуществляться как в автоматическом режиме, так и в полуавтоматическом. Полуавтоматический режим предполагает добавление отдельной функциональной кнопки в карточке инцидента, которая позволяет инициировать отправку сведений. ЛицензированиеПри лицензировании Security Vision учитываются перечень выбранных функциональных модулей, общее количество активов, возможность использовать режим высокой доступности / многонодности, выбранный уровень технической поддержки, а также количество коннекторов к источникам данных и коннекторов реагирования, которые не входят в перечень предустановленных.  ВыводыОбеспечение безопасности КИИ — сложный перманентный процесс, который должен стать составной частью технологических процессов промышленного предприятия. Даже процедура категорирования объекта КИИ не относится к числу разовых мероприятий, поскольку, во-первых, требует регулярного переосмысления, а во-вторых, подлежит внеочередному повторению при внесении изменений в показатели критериев значимости или конфигурацию объекта КИИ. С появлением на балансе промышленного предприятия новых объектов КИИ (и с совершенствованием систем защиты старых) работы по инвентаризации и категорированию тоже неизбежно должны быть воспроизведены.Кроме того, процедуры, связанные с обеспечением безопасности КИИ, подразумевают выполнение множества мелких рутинных мероприятий, таких как формирование чек-листов, протоколирование решений в части присвоения категорий значимости объектов КИИ, формирование содержательной части актов категорирования и т. д. Необходимость подготовки значительного объёма документов особенно чувствительна для крупных компаний и представляет для них немалую трудность.Облегчить жизнь крупной организации, обладающей десятком или более объектов КИИ, может использование средств автоматизации трудоёмких рутинных процедур. К числу таких средств относится Security Vision КИИ.Security Vision КИИ полезен не только при самом категорировании объектов КИИ, но и после него — для поддержания актуальности данных о собственных корпоративных информационных системах и АСУ ТП организации, а также уровня их защиты. При необходимости пересмотра категории значимости КИИ владельцы объектов, предусмотрительно актуализирующие данные, всегда будут готовы предоставить сведения об изменениях в кратчайшие сроки.Security Vision КИИ имеет ряд масштабных внедрений, среди которых можно отметить следующие:автоматизация и повышение эффективности процессов обеспечения безопасности объектов КИИ ПАО «Сбербанк»;обеспечение возможности взаимодействия с ГосСОПКА во ФГУП «Главный радиочастотный центр».Преимущества:Универсальность, возможность использования в различных отраслях промышленности.Cертификат соответствия ФСТЭК № 4194 от 19.12.2019Использование графического конструктора рабочих процессов, который предоставляет заказчику возможность адаптировать базовые процедуры продукта под свои уникальные внутренние бизнес-процессы.Использование общей предметной области совместно с другими продуктами в составе платформы Security Vision.Автоматизация трудоёмкого процесса создания отчёта по форме приказа ФСТЭК России № 236 от 22.12.2017 и упрощение многократного использования одинаковых значений.Регулярные выпуски обновлений (примерно каждые две недели) для добавления новых возможностей, устранения недостатков и обеспечения соответствия актуальным требованиям законодательства.Поддержка множества сторонних продуктов в качестве коннекторов — источников данных об активах организации.Недостатки:Сложное или непривычное представление элементов пользовательского интерфейса продукта требует времени для того, чтобы разобраться в них. Недостаток сглаживается наличием подробной эксплуатационной документации.Необходимость владения специальными знаниями (формирование SQL-запросов и редактирование HTML-кода) у пользователя Security Vision КИИ для самостоятельного изменения виджетов. Недостаток частично компенсируется готовностью производителя оказывать консультации и проводить обучение работе с продуктом.

Версия DLP-решения Solar Dozor 7.2 отметилась новым модулем MultiDozor c поддержкой территориального распределения филиалов и дочерних организаций эксплуатанта. Какие же новые возможности готов предложить этот релиз отечественной системы защиты от утечек? Проведём анализ. ВведениеКакие новые возможности даёт MultiDozor?Архитектурное устройство3.1. Варианты развёртывания3.2. Другие особенности архитектурыПереработка функциональности: новые возможности MultiDozor4.1. Переход в территориально-распределённый режим4.2. Доступность данных, относящихся к филиалам и ДЗО4.3. Рабочие столы руководителя и аналитика4.4. Поиск и работа с данными сообщений4.5. Работа с событиями и инцидентами4.6. Формирование отчётности4.7. Настройка политики безопасности и работа с информационными объектами4.8. Работа с группами особого контроля4.9. Работа с досье и персонами4.10. Управление endpoint-агентами4.11. Мониторинг технического состояния системы4.12. ЛицензированиеВыводы ВведениеНа рынке систем обеспечения безопасности и, в частности, DLP-систем уже давно возникла потребность в поддержке работы сотрудников служб безопасности крупных коммерческих компаний и организаций со сложной территориально распределённой структурой.Бизнес и государственные органы давно проявляют интерес к тем DLP-системам, которые способны предоставить функциональность распределённой работы. Так, заказчики и потенциальные приобретатели подобных систем заинтересованы в том, чтобы вести централизованный мониторинг внутренних процессов и контроль деятельности всех сотрудников безопасности в сети филиалов и дочерних зависимых обществ (ДЗО), работать с разрозненными данными территориально распределённой компании как с единым целым, видеть общую картину работы DLP-системы в компании, централизованно управлять этой системой и распространять политику безопасности на филиалы и ДЗО.В мае 2020 года компания «Ростелеком-Солар» представила новую версию своей системы защиты от утечек Solar Dozor 7.2 с полностью обновлённой архитектурой и новыми возможностями, которые позволяют сотрудникам служб безопасности работать с системой в территориально распределённых компаниях и организациях. Какие новые возможности даёт MultiDozor?Первое, что следует отметить: обновлённый Solar Dozor имеет очень гибкую архитектуру. Теперь система поддерживает различные варианты построения, обеспечивающие как распределённые, так и централизованные сценарии хранения и обработки данных (в том числе — в различных комбинациях). Подобная гибкость позволяет не только удовлетворить потребности заказчиков с разнообразным организационным устройством, но и сбалансировать распределение технических ресурсов вкупе с нагрузкой на вычислительные мощности и каналы коммуникаций, используемые DLP-системой.Помимо архитектурных изменений, связанных с появлением нового модуля Solar Dozor, была переработана практически вся функциональность системы. Обновления коснулись таких областей, как доступ к данным, использование рабочих столов руководителя и аналитика, поиск объектов, работа с сообщениями, событиями и инцидентами, формирование отчётности, управление политикой безопасности, информационными объектами и группами особого контроля, работа со сводной информацией групп персон в досье, доступность endpoint-агентов, мониторинг работоспособности системы, конфигурирование и настройка, управление лицензиями.В этой статье подробно рассказано обо всех нововведениях, которые станут доступны пользователям новой версии Solar Dozor с модулем MultiDozor в территориально распределённых компаниях. Архитектурное устройствоВарианты развёртыванияНаличие модуля MultiDozor обеспечивает гибкую настройку работы DLP-системы Solar Dozor в территориально-распределённом режиме. Для этого реализована возможность описывать филиалы и ДЗО через подкластеры, под которыми понимаются технические ресурсы с развёрнутыми на них инсталляциями системы, или через ветки организационно-штатной структуры — каталоги Active Directory.Также в системе присутствует возможность эксплуатации общих ресурсов. Общие ресурсы предназначены для совместного использования распределёнными экземплярами системы; в их состав могут входить средства оптического распознавания текста (OCR) или поиска по цифровым отпечаткам (DIFI), общая корпоративная почта.В системе реализована компонентная схема, при которой используется только одна точка входа в интерфейс. Таким образом, все территориально распределённые пользователи MultiDozor должны обращаться к системе через веб-сервис по внутрикорпоративной сети.Solar Dozor может быть установлен в различных ИТ-инфраструктурах с разнообразными требованиями по обработке, хранению и передаче данных.Поддерживаются следующие архитектурные схемы:Сообщения могут обрабатываться и храниться локально в филиалах и ДЗО. При этом работа с данными осуществляется как с единым целым. Принадлежность данных к филиалам и ДЗО определяется по их техническим ресурсам — подкластерам (см. рис. 1). Рисунок 1. Вариант организации архитектуры системы с распределённым хранением сообщений в филиалах и ДЗО  Сообщения могут храниться и обрабатываться централизованно — например, при использовании общей корпоративной почты. В данном случае принадлежность сообщений к филиалам и ДЗО определяется по назначенным для них веткам организационно-штатной структуры из досье системы (см. рис. 2). Рисунок 2. Вариант организации архитектуры с общим хранением сообщений  Некоторые сообщения могут быть общими для компании, другая же их часть может обрабатываться в филиалах и дочерних организациях, а затем передаваться в единый ЦОД. Например, такая схема подходит для организаций, использующих общую почту и собирающих данные с endpoint-агентов на рабочих станциях сотрудников в своих филиалах и ДЗО (см. рис. 3). Рисунок 3. Вариант организации архитектуры с общей почтой и распределёнными endpoint-агентами  Другие особенности архитектурыВ системе с модулем MultiDozor обеспечивается централизованное конфигурирование с последующим распространением настроек на территориально распределённые инсталляции. Кроме того, централизованно хранятся и обрабатываются создаваемые события и инциденты; соответствующие данные занимают незначительный объём по сравнению с данными сообщений, в связи с чем их передача на общие ресурсы и доступ к ним в едином месте хранения не нагружают каналы корпоративной сети. Настройка информационных объектов, специфичных для филиалов и ДЗО, также позволяет снизить нагрузку при обработке данных в распределённых инсталляциях Solar Dozor.В системе с модулем MultiDozor используются единая организационно-штатная структура и единое досье персон.Сбор информации endpoint-агентами с рабочих станций сотрудников осуществляется распределённо, при этом имеется возможность передачи агентских данных на общекорпоративные ресурсы для централизованного анализа и хранения. Группы endpoint-агентов при работе системы в территориально-распределённом режиме соотносятся с техническими ресурсами филиалов и ДЗО, в которых они развёрнуты на рабочих станциях сотрудников, либо с общими техническими ресурсами компании. Снимки экранов, которые делают endpoint-агенты, могут храниться на локальных ресурсах территориальных подразделений и по запросам отображаться в пользовательском интерфейсе, что позволяет значительно снизить нагрузку на корпоративную сеть.Обеспечивается централизованный контроль деятельности в системе пользователей — сотрудников службы безопасности, работающих в филиалах и ДЗО, при помощи журнала регистрации действий.Пользователи системы — сотрудники службы безопасности из филиалов и ДЗО могут получать дополнительные возможности при работе с Solar Dozor в случае выдачи им соответствующих прав доступа. К числу таких возможностей принадлежат функции по формированию отчётности, использованию справочников, управлению пользователями и ролями, применению discovery-инструмента File Crawler и модуля анализа поведения (UBA). Переработка функциональности: новые возможности MultiDozorПереход в территориально-распределённый режимВ системе появилась возможность настройки организационных единиц, то есть филиалов и ДЗО, входящих в территориально распределённую компанию или организацию.Пользователей системы — сотрудников службы безопасности компании можно прикреплять к тем филиалам или ДЗО, с данными которых они должны работать. Рисунок 4. Настройка организационных единиц (филиалов и ДЗО)  Рисунок 5. Прикрепление пользователей к организационным единицам  Доступность данных, относящихся к филиалам и ДЗОВ территориально распределённой системе Solar Dozor у пользователя — сотрудника службы безопасности появилась возможность выбора доступных филиалов и ДЗО, из которых он хочет получать и анализировать данные сообщений, событий и инцидентов.Сотрудники службы безопасности могут быть наделены в системе разными правами. Так, офицер безопасности с широкими полномочиями может иметь доступ к данным всей компании или к их существенной части — что позволит ему, например, расследовать межфилиальные конфликты или случаи мошенничества, равно как и инциденты в конкретном территориальном подразделении компании. В свою очередь, аналитик в филиале или ДЗО будет прикреплён только к своей организационной единице и, соответственно, сможет работать только с её данными. Рисунок 6. Элемент выбора организационных единиц — филиалов и ДЗО  Рабочие столы руководителя и аналитикаНа рабочих столах руководителя и аналитика в территориально распределённой системе Solar Dozor появилась возможность просматривать статистику по данным тех филиалов и ДЗО, которые интересуют сотрудника службы безопасности. При выборе различных организационных единиц информация на рабочих столах перестраивается в соответствующих разрезах. Рисунок 7. Влияние выбора организационных единиц на отображение данных на рабочем столе руководителя   Рисунок 8. Влияние выбора организационных единиц на отображение данных на рабочем столе аналитика  Поиск и работа с данными сообщенийПри создании поисковых запросов в территориально распределённой системе Solar Dozor в режиме как быстрого, так и расширенного поиска выполняется выбор филиалов и ДЗО. Поиск сообщений в системе выполняется с учётом условий этого выбора.В случае недоступности распределённых технических ресурсов при поиске пользователю системы выводится оповещение об этом. Таким образом сотрудник службы безопасности понимает, со всеми ли найденными данными системы он работает, или ему предоставлена неполная выборка.Для найденных сообщений отображается их принадлежность к филиалам и ДЗО. Эта же информация доступна в карточках сообщений и при выгрузке результатов поисковых запросов. Рисунок 9. Выбор организационных единиц при выполнении быстрого поиска  Рисунок 10. Отображение сведений о принадлежности сообщений к организационным единицам в списке результатов поиска  Рисунок 11. Отображение сведений о принадлежности сообщений к организационным единицам в карточке сообщения  Работа с событиями и инцидентамиПри выборе сотрудником службы безопасности различных интересующих его филиалов и ДЗО изменяются как состав списка событий и инцидентов в соответствующей рабочей области системы, так и статистика по ним.В случае выполнения поиска по событиям и инцидентам, а также при непосредственной работе с ними на формах этих объектов отображается информация о том, к каким филиалам и ДЗО компании они относятся. Рисунок 12. Отображение сведений о принадлежности к организационным единицам в списке событий и инцидентов  Рисунок 13. Отображение сведений о принадлежности к организационным единицам в карточке инцидента  Формирование отчётностиПри создании в системе таких отчётов, как статистика по адресам, отчёт в виде списка, сводный отчёт по инцидентам или тепловая карта коммуникаций, сотрудникам службы безопасности также предоставляется возможность выбора тех филиалов и ДЗО, по данным которых следует сформировать нужный документ.Для отчётов, которые строятся в системе, используются данные сообщений, событий и инцидентов. При работе в территориально-распределённом режиме информация о принадлежности этих объектов к филиалам и ДЗО компании отображается в интерфейсе и печатных формах отчётов. Рисунок 14. Выбор организационной единицы при построении сводного отчёта по инцидентам  Рисунок 15. Отображение сведений о принадлежности к организационным единицам в печатной версии сводного отчёта по инцидентам  Настройка политики безопасности и работа с информационными объектамиПолитика безопасности централизованно настраивается в системе пользователями с соответствующими правами доступа. При этом можно настроить специфические правила политики для определённых территориальных подразделений. После настройки политика безопасности транслируется в филиалы и ДЗО. Рисунок 16. Настройка условия политики безопасности для применения к организационной единице компании  Информационные объекты, детектирование которых в сообщениях осуществляется средствами системы, могут быть общими для всей компании или уникальными для некоторых филиалов или ДЗО со специфическими особенностями деятельности.Статистика по информационным объектам в соответствующей области системы изменяется в зависимости от выбираемых филиалов и ДЗО. Рисунок 17. Настройка информационного объекта для использования в филиалах  Работа с группами особого контроляГруппы особого контроля, предназначенные для помещения в них персон компании, деятельность которых связана с рисками для безопасности, ведутся в разрезах каждого филиала или ДЗО. При этом одновременно могут использоваться и общие для всей компании такие группы.Видимость групп особого контроля и сформированных для них правил политики безопасности ограничивается в соответствии с правами доступа специалистов ИБ-служб к данным филиалов и ДЗО. Например, если у безопасника нет прав доступа к данным того или иного территориального подразделения, то и информация о группах особого контроля этого филиала ему будет недоступна. Рисунок 18. Работа с группами особого контроля в разрезах организационных единиц  Работа с досье и персонамиНа карточках персон отображается информация о тех филиалах и ДЗО, в которых они числятся, если такие организационные единицы определены через группы организационно-штатной структуры компании. Рисунок 19. Отображение на карточках персон сведений о филиалах или ДЗО, в которых они числятся  Доступ сотрудников службы безопасности, работающих с данными только своих филиалов и ДЗО, к данным персон из других организационных единиц компании ограничивается: можно получить только общие сведения, такие как должность, подразделение, контактный телефон, руководитель, статус, адрес электронной почты и перечень групп организационно-штатной структуры, в которые входит персона. Доступ к информации о том, в какие группы особого контроля включена персона, и об уровне доверия последней не предоставляется. Рисунок 20. Доступ к данным персон, числящихся в организационных единицах, отличных от доступных сотруднику службы безопасности  Управление endpoint-агентамиВидимость групп endpoint-агентов и информации от агентских приложений также ограничивается в соответствии с правами доступа пользователей системы к данным филиалов и ДЗО. Управление endpoint-агентами может выполняться как централизованно, так и локально — уполномоченными сотрудниками службы безопасности или ИТ-подразделения на местах. Рисунок 21. Настройка endpoint-агентов, разворачиваемых на территориально распределённых технических ресурсах компании  Мониторинг технического состояния системыДля проведения технического обслуживания и выявления проблем в работоспособности технических ресурсов территориально распределённой системы Solar Dozor добавлена возможность выбора для мониторинга только тех технических ресурсов филиалов и ДЗО, которые интересуют ответственного специалиста. Рисунок 22. Мониторинг технического состояния системы Solar Dozor, работающей в территориально-распределённом режиме  ЛицензированиеВ системе появилась возможность задавать различные условия лицензирования для разных филиалов и ДЗО компании, а также для общих ресурсов. Лицензии загружаются в систему и централизованно рассылаются по территориальным подразделениям. При этом обеспечивается возможность контролировать процесс загрузки непосредственно в интерфейсе системы.Добавлены механизмы для автоматического соотнесения загружаемых лицензий с техническими ресурсами филиалов и ДЗО компании. Сведения о состоянии лицензий и о нарушении лицензионных ограничений выводятся пользователям, работающим с теми экземплярами системы, которые развёрнуты в этих филиалах и ДЗО. Рисунок 23. Контроль загрузки лицензионных соглашений для общих ресурсов, филиалов и ДЗО  Рисунок 24. Контроль загрузки лицензий для технических ресурсов, на которых размещены экземпляры системы в филиалах и ДЗО  ВыводыПотребности крупного бизнеса и государственного сектора таковы, что системы защиты от угроз и, в частности, DLP-системы должны поддерживать работу сотрудников служб безопасности компаний и организаций в территориально-распределённом режиме.Новая версия системы Solar Dozor с модулем MultiDozor не только удовлетворяет такие потребности заказчиков, но и поддерживает гибкую настройку архитектуры, что позволяет разворачивать и использовать DLP-систему в ИТ-инфраструктурах с самой различной топологией.Помимо прочего при проектировании территориально-распределённого режима работы системы Solar Dozor учитывалось, что у некоторых заказчиков между филиалами и ДЗО могут быть каналы связи с низкой пропускной способностью. Система позволяет максимально снизить нагрузку на сеть за счёт локального хранения больших объёмов данных и получения удалённого доступа к ним.На фоне разработок конкурентов обновлённая система Solar Dozor выделяется в первую очередь своей универсальностью, а также наличием большого числа функций для работы в территориально-распределённом режиме.ДостоинстваАрхитектурная гибкость.Снижение нагрузки на каналы передачи данных.Централизованное формирование и распространение политики безопасности с возможностью настройки правил для конкретных филиалов и ДЗО.Настройка и видимость групп особого контроля по территориальным подразделениям.Настройка общих для всей компании или специфичных для филиалов и ДЗО информационных объектов.Возможность для филиалов и ДЗО скрывать видимость endpoint-агентов, не относящихся к их организационной единице.Возможность для филиалов и ДЗО запрещать доступ к детальным данным персон из других организационных единиц.Автоматическое распространение настроек, конфигураций и лицензий на территориально распределённые экземпляры системы.Централизованный мониторинг работы распределённых технических ресурсов.НедостаткиПоддерживается иерархическая структура компании только с двумя уровнями.Не поддерживается управление пользователями в разрезах филиалов и ДЗО.Discovery-решение в составе Solar Dozor (модуль File Crawler) не поддерживает работу в территориально-распределённом режиме.Модуль анализа поведения (User Behavior Analytics, UBA) в составе Solar Dozor также не поддерживает работу в территориально-распределённом режиме.Перечисленные недостатки будут учтены в ближайших версиях.За помощь в подготовке текста автор благодарит Михаила Остапчука, ведущего аналитика Ростелеком-Solar.

McAfee Web Gateway выполняет ряд важных функций в области безопасности: обеспечивает веб-фильтрацию, защиту от вредоносных программ и утечек данных, проверку SSL, создание отчётов. Мы хотим рассказать о функциональных возможностях и технических характеристиках этого решения. Поговорим также о схемах интеграции McAfee Web Gateway в корпоративную инфраструктуру и опишем основные интерфейсы шлюза.  ВведениеФункциональные возможности McAfee Web GatewayСхемы интеграции McAfee Web Gateway в корпоративную инфраструктуруМодельный ряд McAfee Web GatewayСистемные требования McAfee Web Gateway и поддерживаемые технологииПолитика лицензирования McAfee Web GatewayРабота с McAfee Web Gateway7.1. Управление McAfee Web Gateway7.2. Фильтрация URL и блокировка запрещённых сайтов7.3. Создание индивидуальных страниц с уведомлением о блокировке7.4. Квотирование и коучинг7.5. Формирование отчётности и интеграция с платформой McAfee ePolicy OrchestratorВыводы ВведениеВ наше время сложно переоценить значение сети «Интернет» для современного бизнеса: она активно используется в бизнес-процессах для решения широкого спектра задач. Однако современный интернет таит в себе и множество угроз. Атаки могут осуществляться через веб-сайты, а также через взломанные доверенные ресурсы, динамические рекламные баннеры. Кроме того, атакующие могут продвигать вредоносный контент через поисковые системы, социальные сети, блоги и RSS-рассылки. Разграничение и контроль доступа к приложениям и веб-сайтам — одна из главных задач ИБ для любой компании, где сотрудники пользуются интернетом.Для контроля веб-доступа, как правило, выбор делается в пользу решений класса Security Web Gateway (прокси-сервер с функциями по обеспечению безопасности), так как в решении данной задачи это является наиболее консервативным и проверенным десятилетиями способом. Одному из таких решений — McAfee Web Gateway — посвящён этот обзор.McAfee Web Gateway — это веб-шлюз уровня предприятия, сочетающий множество защитных функций в одном устройстве. В число его основных возможностей входят веб-фильтрация, защита от вредоносных программ и от утечек данных, проверка SSL, создание отчётов. Функциональные возможности McAfee Web GatewayMcAfee Web Gateway сочетает несколько уровней различных технологий защиты от угроз — начиная с проверки содержимого и сканирования активных элементов в режиме реального времени с помощью McAfee Gateway Anti-Malware Engine и заканчивая комплексной защитой на основе анализа сигнатур и веб-репутации.Веб-фильтрацияMcAfee Web Gateway имеет функции веб-фильтрации и веб-защиты, в которых используется сочетание методов репутационного анализа и категоризации. Сначала на основе сотен различных атрибутов, получаемых лабораторией McAfee Labs с помощью средств массового сбора данных по всему миру, служба McAfee GTI создаёт перечень интернет-объектов (веб-сайтов, адресов электронной почты и IP-адресов). Затем она присваивает каждому объекту показатель репутации, отражающий уровень создаваемого им риска. Это даёт администраторам возможность формировать детально настраиваемые правила для определения того, что следует допускать, а что — отклонять.При использовании как категорий, так и показателей репутации веб-сайтов у организаций с недавнего времени появилась возможность выбирать, по какой базе данных осуществлять поиск: по локальной или по облачной. Можно также совмещать оба варианта.Поиск по облачной базе данных даёт возможность избавиться от периодов незащищённости между моментом обнаружения угрозы или внесения изменений и моментом обновления системы. Кроме того, он отличается особой широтой охвата, поскольку предоставляет доступ к данным о сотнях миллионов уникальных образцов вредоносных программ.Антивирусная защитаФункции защиты от вредоносных программ, встроенные в веб-шлюз McAfee Web Gateway,   сканируют и фильтруют веб-трафик, а также блокируют веб-объекты, если те заражены.Аутентификация пользователейMcAfee Web Gateway поддерживает большое количество способов аутентификации, включая NTLM (NT LAN Manager), RADIUS (Remote Authentication Dial In User Service), AD (Active Directory) / LDAP (Lightweight Directory Access Protocol), eDirectory, аутентификацию с использованием файлов cookie, Kerberos и локальной базы пользователей. Дополнительный компонент McAfee Web Gateway Identity включает в себя соединительные модули (коннекторы) для осуществления единого входа (Single Sign-On — SSO) в сотни популярных облачных приложений.Проверка SSL-трафикаMcAfee Web Gateway имеет функции проверки SSL и сертификатов, которые позволяют комплексно подойти к задаче обработки зашифрованного трафика. Архитектура McAfee Web Gateway обеспечивает выполнение всех задач с помощью одного-единственного аппаратного или виртуального устройства. Веб-шлюз непосредственно сканирует весь SSL-трафик, обеспечивая безопасность, целостность и конфиденциальность зашифрованных транзакций.Для более глубокой проверки трафика SSL можно направить весь поток (или отдельные потоки) данных на имеющийся в McAfee Web Gateway интерфейс SSL TAP. Эта программная функция позволяет отправлять полное или частичное «зеркало» расшифрованного трафика SSL на обработку дополнительными защитными решениями, такими как системы предотвращения вторжений (IPS) и сетевые комплексы предотвращения утечек данных (DLP).МониторингФункции мониторинга веб-шлюза обеспечивают всесторонний и непрерывный обзор процесса фильтрации. Панель мониторинга отображает информацию о предупреждениях, использовании веб-страниц, действиях фильтрации и о поведении системы, а также содержит функции журналирования и трассировки.Защита от утечекДля обеспечения безопасности исходящего трафика в McAfee Web Gateway используется технология предотвращения утечек данных (DLP), позволяющая сканировать генерируемый пользователем контент по всем основным веб-протоколам: HTTP, HTTPS, FTP и др. McAfee Web Gateway защищает от утечки конфиденциальной, важной и регламентированной информации, покидающей пределы организации через сайты социальных сетей, блоги, вики-ресурсы или офисные веб-приложения: веб-почту, органайзеры, календари и т. п. Помимо этого McAfee Web Gateway предотвращает случаи несанкционированного вывода данных за пределы организации через заражённые бот-агентами компьютеры, пытающиеся связаться с узлами ботнета или передать им конфиденциальные данные.Географическое местонахождениеMcAfee Web Gateway содержит функцию определения географического положения, позволяющую применять соответствующие данные (например, о стране происхождения веб-трафика и о местонахождении пользователя) в управлении политиками.Интеграция с другими решениямиMcAfee Web Gateway интегрируется с McAfee Advanced Threat Defense — технологией обнаружения вредоносных программ, представляющей собой сочетание настраиваемой изолированной среды («песочницы») с механизмом глубокого статического анализа кода. Совместно с функциями линейного сканирования, за которые отвечает антивирусный модуль Gateway Anti-Malware Engine, это позволяет получить надёжную защиту от угроз безопасности, распространяемых посредством интернета.Кроме того, предусмотрена интеграция McAfee Web Gateway с решением ePolicy Orchestrator (McAfee ePO) для передачи туда статистики веб-доступа пользователей.Централизованное управлениеПри использовании нескольких устройств McAfee Web Gateway в инфраструктуре компании можно управлять ими всеми из интерфейса одного шлюза посредством функции Central Management.Защита мобильных устройствMcAfee Web Gateway предоставляет возможность включить мобильные устройства в сферу действия корпоративных политик безопасности путём направления веб-трафика в McAfee Web Gateway. Благодаря партнёрам AirWatch и MobileIron, разрабатывающим средства управления мобильными устройствами, McAfee Web Gateway может контролировать веб-доступ с гаджетов на базе Apple iOS и Google Android и обеспечивать их защиту от вредоносных программ. Схемы интеграции McAfee Web Gateway в корпоративную инфраструктуруMcAfee Web Gateway представляет собой прокси-сервер корпоративного класса с высоким уровнем быстродействия, предлагаемый в виде масштабируемого семейства моделей аппаратных устройств с интегрированной функцией обеспечения высокого уровня доступности, поддержкой вариантов виртуализации и гибридного развёртывания посредством McAfee Web Gateway Cloud Service.Традиционно для большинства удалённых офисов и мобильных пользователей трафик должен быть возвращён на основной сайт для обработки через локальное устройство (оборудование или виртуальную машину в сети предприятия). Рисунок 1. Традиционная схема использования McAfee Web Gateway (оборудование или виртуальные устройства в сети предприятия — on-premise)  Варианты развёртывания можно сочетать между собой. Например, весь веб-трафик пользователей, находящихся внутри сети организации, можно направлять на локально развёрнутый шлюз, а веб-трафик всех пользователей, находящихся за пределами сети, — в облачную службу: это позволит кардинально сократить расходы на обратную передачу трафика по каналам многопротокольной коммутации пакетов (MPLS) или по виртуальной частной сети (VPN). Наличие автоматизированных процессов синхронизации политик и генерирования отчётов, касающихся гибридных (локальных и облачных) развёртываний, помогает оптимизировать управление, обеспечить единообразное применение политик и упростить порядок формирования отчётов, отслеживания событий и расследования инцидентов. Рисунок 2. Гибридная схема использования McAfee Web Gateway  Борьба с вредоносными программами не должна останавливаться на корпоративном периметре. Маршрутизация веб-трафика от конечного клиента к облачной службе McAfee Web Gateway позволяет защитить терминалы от современных интернет-угроз независимо от местонахождения. Это означает, что работа из дома, в аэропорту или кафе больше не несёт повышенного риска проникновения вредоносных программ.Как это работает? С помощью McAfee Client Proxy мобильные пользователи автоматически проходят проверку подлинности, и трафик перенаправляется на локальный шлюз McAfee Web Gateway или в облачную службу McAfee Web Gateway Cloud Service.McAfee Client Proxy направляет трафик к веб-шлюзу на уровне порта (т. е. работает вне браузера), а также фильтрует поток данных, не инициированный интернет-обозревателем. Он поддерживает ОС Windows и Mac OS X, осуществляет прозрачную аутентификацию; возможна блокировка администратором.Когда клиентское устройство с McAfee Client Proxy находится в сети, весь его трафик идёт непосредственно на оборудование McAfee Web Gateway. Если это же устройство переместится за пределы сети, McAfee Client Proxy обнаружит, что оно больше не может видеть веб-шлюз, и вместо этого направит поток данных в облачную службу McAfee Web Gateway. Это обеспечивает защиту, которая «перемещается вместе с пользователем» при том же уровне применения политики. Рисунок 3. Использование McAfee Client Proxy на конечных точках в гибридном варианте  Использование облачной службы McAfee Web Gateway Cloud Service (WGCS) имеет свои преимущества. Она создана на базе той же технологии, что и McAfee Web Gateway, и позволяет в упреждающем режиме обнаруживать вредоносные программы «нулевого дня» путём полной проверки всего веб-трафика, включая SSL. Благодаря наличию разных вариантов маршрутизации в облако ни один пользователь не остаётся без защиты независимо от местонахождения и используемого устройства (например, при работе из кафе или из гостиницы с корпоративного ноутбука). Для маршрутизации можно использовать как сетевые методы, так и компонент McAfee Client Proxy, позволяющий осуществлять проверку подлинности конечных точек и направлять веб-трафик на уровне портов в облачную службу или на шлюз McAfee Web Gateway. McAfee WGCS управляется в режиме 24х7 командой экспертов McAfee.Администрирование облачной службы осуществляется посредством платформы McAfee ePolicy Orchestrator Cloud через соответствующую консоль. Служба может быть развёрнута как с помощью McAfee Client Proxy, так и без него.Далее в обзоре будут рассмотрены модельный ряд McAfee Web Gateway, а также работа с основными компонентами шлюза. Модельный ряд McAfee Web GatewayАппаратно-программное решение McAfee Web Gateway предлагается в виде разных моделей аппаратных устройств и в виде виртуальной машины с поддержкой VMware и Microsoft Hyper-V. При этом в каждой модели присутствуют все основные функции сетевой безопасности. Таблица 1. Модельный ряд McAfee Web GatewayТехнические характеристикиМодельWG-4500-DWG-5000-D  WG-5500-DФорм-факторMcAfee R1304SPOSHBN, 1UMcAfee R1208WTTGSR, 1UMcAfee R1208WTTGSR, 1UПоддерживаемые версии ПО McAfee Web Gateway7.5.2.12 и выше7.5.2.11 и выше7.5.2.11 и вышеПроцессор1 x Intel Xeon E3-1220 v5, 3 ГГц, кеш 8 МБ, 4 ядра2 x Intel Xeon E5-2609 v4, 1,7 ГГц, кеш 15 МБ, 8 ядер2 x Intel Xeon E5-2680 v4, 2,4 ГГц, кеш 30 МБ, 14 ядерПамять4 x 16 (64) ГБ, 2133 МГц, DDR4, 2Rx8, ECC, DUAL24 x 4 (96) ГБ, 2400 МГц, DDR4, 1Rx8, ECC, SINGLE8 x 16 (128) ГБ, 2400 МГц, DDR4, 2Rx4 ECC, DUALСетевые интерфейсы6 x 10/100/1000 Мбит/с onboard/IO/PCIe RJ-456 x 10/100/1000/10000 Мбит/с onboard/IO/PCIe RJ-456 x 10/100/1000/10000 Мбит/с onboard/IO/PCIe RJ-45Оптическая сетевая картанетX710-DA4 (10 GbE fiber, 10GBASE-SR), i350-F4 (1 GbE fiber, 1000BASE-SX)X710-DA4 (10 GbE fiber, 10GBASE-SR), i350-F4 (1 GbE fiber, 1000BASE-SX)Максимальная пропускная способность727 Мбит/с1522 Мбит/с4688 Мбит/сUSB-интерфейсыСзади: 2 x USB 3.0, 2 x USB 2.0; спереди: 2 x USB 3.0Сзади: 3 x USB 3.0Сзади: 3 x USB 3.0Последовательные интерфейсыDB9 Serial-ARJ-45 Serial-ARJ-45 Serial-ARAIDRAID-1RAID-1RAID-10Жёсткий диск2 x HDD 3,5 дюйма, 1 ТБ, SATA 6 Гбит/с, 7200 об/мин2 x HDD, 2,5 дюйма, 600 ГБ, SAS 12 Гбит/с, 10000 об/мин6 x HDD, 2,5 дюйма, 300 ГБ, SAS 12 Гбит/с, 10000 об/минОптический привод8x привод DVD-ROM, slimline8x привод DVD-ROM, slimline8x привод DVD-ROM, slimlineМощность255 Вт540 Вт650 ВтГабариты43,2 х 438,5 х 605,56 мм43,6 х 430 х 710 мм43,6 х 430 х 710 ммВес11,6 кг19 кг19 кг Далее приведём системные требования McAfee Web Gateway для установки на виртуальные платформы. Системные требования McAfee Web Gateway и поддерживаемые технологииMcAfee Web Gateway можно не только получить в виде готового программно-аппаратного комплекса, но и установить на сервер либо развернуть в виртуальной инфраструктуре компании. Таблица 2. Требования к виртуальной среде для установки McAfee Web GatewayТехнические характеристики / ЗадачиВиртуальная инфраструктураОЗУ (ГБ)Жёсткий диск (ГБ)Кол-во ядер  Функциональное тестирование (пользовательский интерфейс на основе Java-апплета или настольный клиент)Поддерживает установку на платформах:Hyper-V Windows Server 2019 (64 бита),Windows Server 2016 (64 бита),Windows Server 2012 R2 (64 бита),VMware ESXi 6.0 update 2,VMware ESXi 6.5.4804 Функциональное тестирование (пользовательский интерфейс на основе HTML)8804 Продуктивная среда (минимальные требования)162004 Продуктивная среда (рекомендуемые требования)325004 и более  McAfee Web Gateway предлагает большое количество параметров установки — от явного указания прокси-сервера до выбора режимов прозрачного моста и маршрутизатора.Благодаря поддержке большого числа стандартов интеграции McAfee Web Gateway подойдёт для работы в любом сетевом окружении. Решение взаимодействует с другими сетевыми и защитными устройствами через целый ряд разных протоколов: Web Cache Communication Protocol (WCCP), WebSocket, Socket Secure (SOCKS), Internet Content Adaptation Protocol (ICAP) и др. Кроме того, McAfee Web Gateway поддерживает протокол IPv6. Политика лицензирования McAfee Web GatewayШлюзы McAfee Web Gateway лицензируются по числу пользователей и приобретаются двумя основными способами: по подписке и бессрочно.В первом случае лицензии приобретаются вместе с услугой по технической поддержке, предоставляя право использовать McAfee Web Gateway и получать его техническое сопровождение в течение определённого срока (обычно это — 1 год). По истечении срока действия лицензии пользователю необходимо приобретать её повторно в полном объёме.В свою очередь, бессрочные (perpetual) лицензии позволяют использовать программные продукты без ограничений по времени, но с ежегодно продлеваемой техподдержкой, стоимость которой составляет порядка четверти от первоначальной. Лицензия не даёт права на пожизненное обновление. Работа с McAfee Web GatewayУправление McAfee Web GatewayРабота с McAfee Web Gateway начинается с авторизации на устройстве. В веб-браузере необходимо набрать URL: http://<IP address>:4711. После ввода появляется стартовая страница McAfee Web Gateway (панель «Dashboard»). Рисунок 4. Панель «Dashboard» в McAfee Web Gateway  Панель «Dashboard» в интерфейсе McAfee Web Gateway позволяет отслеживать ключевые события. Она содержит две основные вкладки: «Alerts» (информация о состоянии устройства или устройств, которые входят в кластер) и «Charts and Tables» (показывает использование веб-страниц, действия по фильтрации и состояние системы).Интерфейс McAfee Web Gateway также включает в себя панели «Policy», «Configuration», «Accounts» и «Troubleshooting». Рисунок 5. Панель «Policy» в McAfee Web Gateway  Вкладка «Policy» предназначена для создания политик веб-доступа и управления ими. Изначально продукт поставляется с минимальным набором политик, необходимых и достаточных для комфортного и безопасного веб-доступа. Перечислим основные модули, которые настраиваются при помощи этого базового набора:Anti-malware filtering — настройка защиты от вредоносного контента на веб-сайтах;URL filtering — разграничение доступа к веб-ресурсам;Media type filtering — управление доступом к веб-объектам на основе типа содержимого (например, для предотвращения загрузки файлов, которые потребляют слишком много пропускной способности);Application filtering — блокировка доступа (по именам и репутации) к нежелательным приложениям, которыми могут быть, например, Facebook, Xing и прочие. Фильтрация также может быть применена к отдельным функциям приложений;Streaming media filtering — настройка фильтрации потокового мультимедиа по заданным правилам;Global whitelisting — настройка глобального «белого списка» веб-объектов;SSL scanning — настройка сканирования веб-трафика, защищённого SSL, для последующей обработки на веб-шлюзе.Также на вкладке «Policy» администратор может найти и установить любой из доступных в локальной библиотеке наборов правил для реализации различных сценариев веб-фильтрации. Наряду с локальной существует и онлайн-библиотека на портале contentsecurity.mcafee.com, содержимое которой доступно всем пользователям McAfee Web Gateway. Рисунок 6. Панель «Configuration» в McAfee Web Gateway  На панели «Configuration» задаются системные параметры шлюза или шлюзов, собранных в единый кластер: сетевые интерфейсы, IP-адреса, настройки кластеризации и интеграции с другими системами, а также состояние обновления внутренних компонентов, версии модуля Web Gateway, «движков» безопасности и пр. Рисунок 7. Панель «Accounts» в McAfee Web Gateway  На панели «Accounts» в McAfee Web Gateway настраиваются учётные записи для доступа к различным административным интерфейсам системы (панелям мониторинга, конфигурациям системных параметров, политик доступа, REST API). Эти учётные записи могут быть заведены в локальной базе решения, а также контролироваться из Active Directory или LDAP-каталога, RADIUS-сервера или с использованием SSL-сертификатов. Рисунок 8. Панель «Troubleshooting» в McAfee Web Gateway  На панели «Troubleshooting» в McAfee Web Gateway возможно найти все необходимые инструменты для разрешения возникающих проблем и затруднений. Это, в частности, — визуальное отслеживание обработки трафика существующим набором политик доступа при помощи модуля Rule Tracing Central, доступ ко всем необходимым системным журналам, в которых можно найти всю интересующую администратора информацию о работе системы, проверка того, как работает синхронизация политик доступа в облачный тенант службы Web Gateway Cloud Service, если этот тип интеграции используется и настроен, запуск резервного копирования параметров системы, сброс пароля для доступа к командной оболочке используемой ОС (которая выполнена на базе McAfee Linux Operating System).Далее покажем на примерах, как работает McAfee Web Gateway. К сожалению, ввиду того что McAfee Web Gateway обладает широким спектром функций, нам не удастся в рамках одного обзора подробно разобрать и показать все его возможности и варианты использования. Поэтому мы выбрали только наиболее востребованные сценарии, которые могут иметь место в повседневной жизни компаний-клиентов. Фильтрация URL и блокировка запрещённых сайтовПочти у каждой современной компании есть страницы в соцсетях. Новости и события публикуются именно там. Это очень удобно: подписавшись на интересующие аккаунты, можно получать всю необходимую информацию в одном месте и быть в курсе происходящего — что в ряде случаев нужно сотрудникам для рабочих целей. При этом мессенджеры и чаты в компании могут быть запрещены. McAfee Web Gateway позволяет настроить политики веб-доступа таким образом, что соцсети будут доступны пользователю только в режиме чтения, без возможности общения или размещения информации в ленте.В качестве примера покажем, как создать правило, которое реализует этот подход для социальной сети «ВКонтакте» без запрета веб-сёрфинга по данному ресурсу. Набор правил не обязательно создавать «с нуля»: можно загрузить его из общедоступной онлайн-библиотеки, о которой мы упоминали выше. Рисунки 9—10. Настройка правила включения режима «только чтение» для социальной сети «ВКонтакте» в McAfee Web Gateway   После создания правила переходим на страницу социальной сети. Рисунок 11. Переход на страницу «ВКонтакте»  Как видно, McAfee Web Gateway не запрещает переход на сайт соцсети, на личную страницу и в любые другие разделы.Пробуем оставить комментарий или произвести любое действие для отправки какой-либо информации в социальную сеть. McAfee Web Gateway блокирует это действие. Рисунок 12. Блокировка отправки данных в социальную сеть с помощью функции фильтрации веб-приложений в McAfee Web Gateway  Многие компании пользуются видеохостингом YouTube. Например, на некоторых каналах размещаются курсы, тренинги и другие полезные видеоролики. В таких случаях работодатель может разрешать сотрудникам доступ к ресурсу — однако тогда появляется вероятность того, что пользователь начнёт просматривать развлекательный контент, который никак не связан с работой. McAfee Web Gateway позволяет контролировать доступ к видеохостингу через YouTube API с использованием простого и понятного пользовательского интерфейса создания политик.В качестве примера покажем, как создать правило, которое разрешает просматривать определённые каналы на YouTube (например, канал «McAfee CIS») и запрещает к просмотру остальные. Этот набор правил тоже можно загрузить из онлайн-библиотеки. Рисунок 13. Настройка правила разрешения YouTube-канала «McAfee CIS» в McAfee Web Gateway  После создания правила необходимо указать список каналов, содержимое которых разрешено к просмотру. Рисунок 14. Создание списка разрешённых каналов в McAfee Web Gateway  Переходим на YouTube-канал «McAfee CIS». Как видно, McAfee Web Gateway не блокирует доступ и разрешает просматривать контент. Рисунок 15. Просмотр видео на канале «McAfee CIS» в YouTube  Далее пробуем перейти на любой другой канал. В результате McAfee Web Gateway блокирует доступ. Рисунок 16. Сообщение о блокировке доступа от McAfee Web Gateway  Создание индивидуальных страниц с уведомлением о блокировкеПо умолчанию страница блокировки в McAfee Web Gateway отображает логотип McAfee и стандартный текст из шаблона на шлюзе. Однако администратор безопасности вправе создать индивидуализированную страницу блокировки. На ней можно отобразить логотип своей компании и собственный текст — например, выдержки из внутрикорпоративных стандартов по ИБ.Покажем далее, как создать свою страницу блокировки. На вкладке «Settings» в категории «Actions» — «Blocked»создаём объект «Custom URL Block Page». Мы будем использовать базовый набор оформления страниц, который называется «Default Schema»; при создании новой страницы блокировки на этом этапе мы применим стандартный шаблон «URL Blocked», а далее модифицируем его в соответствии с нашими потребностями. Рисунок 17. Создание объекта «Custom URL Block Page» в McAfee Web Gateway  В редакторе шаблонов на вкладке «Templates» — «Default Schema» создаём новый шаблон «URL Blocked Custom». Рисунки 18—22. Создание нового шаблона «URL Blocked Custom» в McAfee Web Gateway      Результаты редактирования можно предварительно просмотреть, нажав кнопку «Preview» в нижнем правом углу.После всех действий необходимо сохранить внесённые изменения. О наличии несохранённых данных говорит специальная индикация в интерфейсе управления. Рисунок 23. Индикация несохранённых изменений в McAfee Web Gateway  Далее подтягиваем шаблон «URL Blocked Custom» к объекту «Custom URL Block Page» в группе настроек «Template Name». В правиле блокировки социальных сетей в разделе «Action» — «Settings» меняем типовое действие на «Custom URL Block Page». Рисунок 24. Смена настроек в правиле блокировки социальных сетей в McAfee Web Gateway  Также в редакторе шаблонов добавляем в коллекцию «Default Schema» через модуль «File System» свой логотип в формате PNG с символикой фирмы «Рога и копыта». Рисунок 25. Добавление логотипа в коллекцию McAfee Web Gateway   В тексте файла index.html в классе «LogoData» заменяем стандартный логотип на тот, который мы добавили в коллекцию. Рисунок 26. Редактирование класса «LogoData» в файле index.html  Переходим на страницу социальной сети и смотрим на преобразившуюся страницу блокировки. Рисунок 27. Индивидуализированная страница блокировки McAfee Web Gateway  Квотирование и коучингMcAfee Web Gateway предлагает широкие возможности по квотированию и коучингу веб-доступа. Рассмотрим примеры того, как создать квоту или настроить «тренировку» пользователей.Каждый из вариантов квотирования предполагает возможность установки лимитов для URL (по категориям), IP-адресов хостов, с которых работают пользователи, или учётных записей. Все эти параметры могут быть заданы в рамках одного или нескольких правил — как будет удобнее.Квота по времениДля примера создадим правило с квотой по времени. Установим лимит посещения ресурсов категории «Социальные сети», составляющий не более 1 минуты в день. Рисунки 28—29. Настройка квоты по времени для URL категории «Социальные сети» в McAfee Web Gateway   Как видно по рис. 29, мы можем задать дневную, недельную и месячную квоты, а также максимальную длительность одиночной сессии. Рисунки 30—31. Настройка квоты по времени для URL категории «Социальные сети» в McAfee Web Gateway   После создания правила переходим на сайт «ВКонтакте» и видим, что по истечении выделенного лимита времени McAfee Web Gateway закрывает доступ. Текущая сессия и повторные HTTP-запросы на веб-сайт будут заблокированы. Рисунок 32. Блокировка доступа после превышения лимита времени в McAfee Web Gateway  Квота по объёму трафика настраивается точно так же, как и лимит по времени.КоучингКоучинг обеспечивает «тренировку» пользователей, чтобы они привыкали следовать корпоративным регламентам по работе с интернет-ресурсами. В частности, данный механизм позволяет ограничить время веб-сессии сотрудника; весь веб-доступ в целом при этом не лимитируется, т. е. пользователь может начать новую сессию и продолжить работу.Коучинг можно настроить используя правила в наборе «Coaching library rule set» и оперируя такими категориями, как URL, IP-адреса и имена пользователей. Также можно сформировать своё правило.Для примера создадим правило коучинга с длительностью сессии, равной 1 минуте. Добавим критерий, согласно которому данное правило будет действовать для URL категории «Социальные сети». Рисунки 33—36. Настройка правила коучинга для URL категории «Социальные сети» в McAfee Web Gateway     После создания правила переходим на сайт «ВКонтакте» и видим, что попытки доступа предваряются специальной информационной страницей с необходимыми уведомлениями для пользователей. После перехода на сайт и истечения сессии будет снова показана данная страница. Рисунок 37. Блокировка доступа после превышения лимита времени в рамках коучинг-сессии в McAfee Web Gateway  Формирование отчётности и интеграция с платформой McAfee ePolicy OrchestratorMcAfee Web Gateway может интегрироваться с платформой ePolicy Orchestrator, где собирается вся веб-статистика локальных и удалённых пользователей. Рисунки 38—40. Примеры статистики веб-доступа пользователей McAfee Web Gateway в ePolicy Orchestrator    На этом мы заканчиваем обзор и переходим к выводам. ВыводыMcAfee Web Gateway объединяет в себе большое количество разных механизмов защиты, что избавляет от необходимости приобретать целый ряд отдельных продуктов. Единая аппаратно-программная архитектура включает в себя функции по фильтрации URL-адресов, защите от вредоносных программ «нулевого дня», сканированию SSL-трафика (Secure Socket Layer), предотвращению утечек данных и централизованному управлению.Веб-шлюз может устанавливаться в инфраструктуре как физическое или виртуальное устройство. Возможно применение облачного сервиса McAfee Web Gateway Cloud Service, в том числе — в составе гибридного варианта (связки облачного и локального решений). Физические устройства McAfee Web Gateway предлагаются в виде масштабируемого семейства моделей с интегрированной функцией обеспечения высокого уровня доступности.Управление шлюзом унифицировано для всех вариантов его развёртывания, т. е. одну и ту же политику можно применить и к локально развёрнутым аппаратным шлюзам, и к кластерам аппаратных шлюзов, и к виртуальным устройствам, и к облачной службе. Осуществляется всё это с помощью одной-единственной консоли управления. Для оптимизации процесса создания политик McAfee Web Gateway предлагает обширную библиотеку готовых правил, а возможность интерактивной трассировки упрощает процесс их отладки.Благодаря возможности интеграции с остальными инфраструктурными решениями и облачными сервисами от McAfee (ePolicy Orchestrator, Advanced Threat Defense) достигается максимальная защита.Отсутствие русифицированного интерфейса и документации на русском языке может усложнить работу с системой, если пользователи плохо владеют иностранными языками. Сложный синтаксис создания правил также может затруднить конфигурирование шлюза; для гранулярной настройки потребуется пройти обучение на официальных курсах.Из «минусов» можно также выделить отсутствие сертификатов ФСТЭК России по требованиям безопасности информации на рассматриваемую версию продукта — 9.1, что затруднит его использование в инфраструктурах, где требования по сертификации являются обязательными к исполнению. При этом McAfee Web Gateway версии 7.x на момент публикации обзора имеет действующий сертификат ФСТЭК России № 3774.Достоинства:Применение в качестве прямого, обратного и туннельного прокси-сервера.Фильтрация URL-адресов на основании категорий, пользователей, групп и устройств.Применение динамически обновляемого облачного сервиса, который в режиме реального времени передаёт на интернет-шлюз информацию о новейших угрозах.Различные схемы развёртывания: on-premise, облачный сервис McAfee Web Gateway Cloud Service, гибридный вариант.Возможность блокировки не сайтов целиком, а отдельных веб-приложений.Возможность квотировать время работы в интернете и блокировать доступ на определённый период.Блокирование доступа к заражённым (вредоносным и фишинговым) сайтам.Глобальный анализ информации об угрозах с помощью сервиса Global Threat Intelligence.Блокирование опасных веб-приложений или их отдельных функций.Проверка защищённого SSL-трафика позволяет устанавливать исключения в рамках проверки SSL, пропуская отдельные части зашифрованного контента.Поддержка протокола ICAP для интеграции с DLP или другими системами безопасности.Поддержка интеграции с Active Directory.Балансировка и отказоустойчивость, возможность работы в распределённом режиме.Мониторинг деятельности пользователей в интернете и формирование сводных данных об их работе в виде разнообразных статистических отчётов в McAfee ePolicy Orchestrator.Недостатки:Отсутствие русифицированного интерфейса и документации на русском языке.Отсутствие сертификатов ФСТЭК России по требованиям безопасности информации.Сложный синтаксис создания правил; для гранулярной настройки шлюза требуется пройти обучение на официальных курсах.

Система FortiSOAR предназначена для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени. При помощи гибких сценариев система не только собирает информацию об индикаторах компрометации, но и обогащает её сведениями из внешних источников, после чего формирует управляющие команды для купирования кибератаки. Это освобождает операторов SOC от выполнения рутинных операций и позволяет сконцентрироваться на анализе действительно важных инцидентов. ВведениеАрхитектура FortiSOAR2.1. Архитектура для крупных компаний с собственным SOC2.2. Мультитенантная архитектура с разделяемыми заказчиками2.3. Мультитенантная архитектура с выделенными заказчиками2.4. Гибридная мультитенантная архитектураФункциональные возможности FortiSOAR3.1. Реагирование на инциденты3.2. Настраиваемая панель управления3.3. Репозиторий коннекторов ко внешним системам3.4. Управление очередями3.5. Гибкая система отчётов3.6. Визуальный редактор автоматических сценариев реагирования3.7. Поддержка мультитенантной модели3.8. Ролевая модель доступаРабота с FortiSOAR4.1. Расследование инцидента4.2. Панель управления («дашборд»)4.3. Коннекторы ко внешним системам4.4. Визуальный редактор сценариевЛицензированиеВыводы ВведениеС каждым годом инфраструктура комплексных ИБ-систем масштаба предприятия становится всё сложнее. Специалисты центров реагирования на киберинциденты вынуждены отслеживать множество потоков данных, собираемых из различных источников. Агрегирование сигналов от SIEM-систем, ИБ-продуктов на конечных точках, DLP-систем и десятков других поставщиков исходной информации — лишь одна часть проблемы. Обработка большинства уведомлений («алёртов») требует обращения ко внешним системам для проверки гипотез о вредоносном характере полученных индикаторов. Ручное расследование занимает слишком много времени, а автоматизация процесса усложнена использованием продуктов разных вендоров, не всегда хорошо сопрягаемых друг с другом.С ростом информационной системы организации расширяется и фронт потенциальной атаки, а значит, ИБ-специалисты ежедневно сталкиваются с нарастающим потоком оповещений. Простое увеличение штата SOC проблемы не решит, поскольку профессиональное выгорание от повторяющихся задач неизбежно приводит к снижению качества расследования. К тому же сортировка, предварительная оценка и управление очередью алёртов также требуют дополнительных ресурсов, а квалифицированных специалистов не хватает.Таким образом, перед сотрудниками, отвечающими за оперативное реагирование на киберинциденты, стоят четыре основных проблемы:Слишком много входящих оповещений о киберинцидентах.Слишком много продуктов от разных вендоров в рамках одной системы.Слишком долгая реакция на критические инциденты.Слишком мало квалифицированных сотрудников.Для решения этих проблем предназначены продукты SOAR (Security Orchestration, Automation and Response) — системы автоматического реагирования на инциденты. В контуре безопасности организации они выполняют роль «дирижёра», координируя работу всех используемых решений и служб для автоматического или полуавтоматического расследования возникающих инцидентов. Работая совместно с SIEM-решениями организаций, продукты класса SOAR предоставляют платформу для сбора исчерпывающей информации об инциденте, проведения расследований и организации ответа путём выполнения действий по исправлению и восстановлению на поддерживаемых системах и устройствах.Автоматическое реагирование на типовые инциденты значительно снижает загрузку операторов SOC и минимизирует вероятность ошибки. Кроме того, SOAR-решения упрощают расследование целевых атак (APT) за счёт быстрого выполнения большого числа рутинных запросов и проверок при помощи готовых сценариев.Рассматриваемая нами сегодня система FortiSOAR была разработана компанией Cybersponse и до декабря 2019 года продавалась как CyOPs SOAR Platform. После приобретения разработчика компанией Fortinet система была включена в состав Fortinet Security Fabric и интегрирована с другими продуктами вендора. Таким образом, несмотря на относительно новое имя, мы имеем дело с уже зрелым продуком, который можно использовать как вместе с другими ИБ-продуктами Fortinet, так и с разработками других вендоров.Работу FortiSOAR можно условно разбить на несколько этапов:Формирование оповещения в автоматическом режиме на основании данных от SIEM-решений (например, FortiSIEM) или других ИБ-продуктов, а также вручную. Кроме того, новый алёрт может быть создан в процессе расследования инцидента.Предварительное расследование оповещения с использованием автоматических сценариев («плейбуков»). В случае подозрения на вредоносный характер происходящего алёрты трансформируются в инциденты.Расследование происшествия при помощи плейбуков, автоматического или полуавтоматического анализа индикаторов, поиска связанных объектов. При необходимости выполняется обогащение информации через обращение ко внешним аналитическим системам и базам данных.Формирование команд внешним системам в случае подтверждения вредоносного характера инцидента; совершение управляющих действий в режиме реального времени для предотвращения атаки или минимизации её последствий. Рисунок 1. Расследование киберинцидентов в FortiSOAR  Система обладает наглядным графическим интерфейсом, который может быть гибко настроен с учётом пользовательской ролевой модели. Архитектура FortiSOARFortiSOAR поставляется в виде виртуальной машины с бессрочной лицензией или по подписной модели. В зависимости от варианта лицензирования решение может работать в рамках одного выделенного узла или с распределённой структурой взаимодействующих между собой нод. Архитектура для крупных компаний с собственным SOCВариант для компаний, осуществляющих расследование киберинцидентов и реагирование на них силами собственного SOC. Узел FortiSOAR получает оповещения от SIEM-системы или других источников через коннекторы. ИБ-специалисты проводят расследование используя ресурсы SOAR-решения или внешние аналитические системы, после чего выполняют действия по восстановлению контура безопасности. Рисунок 2. Архитектура FortiSOAR для крупных компаний с собственным SOC  Архитектура Shared Multi-tenantКомпании, оказывающие услуги MSSP, могут подключать клиентов к собственному узлу FortiSOAR. В этом случае все действия по расследованию инцидентов выполняются внешним SOC, а информационная система заказчика выступает как поставщик исходных данных. По сути, в этом случае FortiSOAR работает в прежнем enterprise-режиме с разделением ресурсов на уровне отдельных клиентов. Такая модель работы требует наличия VPN-соединения между площадками MSSP и заказчика. Рисунок 3. Архитектура Shared Multi-tenant  Архитектура Distributed Multi-tenant with Dedicated Tenant NodesКлиент MSSP может использовать собственную выделенную ноду FortiSOAR. В этом случае внешние специалисты не имеют прямого доступа к сетевым ресурсам заказчика, а взаимодействие происходит между мастер-узлом SOC и тенант-узлом. Информационный обмен осуществляется не на уровне «сырых» данных, а в рамках объектов FortiSOAR, уровень обмена данными между главным узлом и тенант-нодой настраивается. Узел MSSP получает от клиента уже сформированные оповещения и расследует инциденты, передавая необходимые сценарии на тенант-ноду. Восстановительные действия инициируются нодой FortiSOAR, установленной на стороне заказчика, но по команде специалистов SOC. Связь между главной и клиентской нодами осуществляется с помощью «Узла безопасного обмена сообщениями» (FortiSOAR Secure Message Exchange Node) — решения, обеспечивающего защищённое и отказоустойчивое подключение поверх TLS. Во многих случаях его использование устраняет потребность в отдельном VPN-соединении между клиентом и MSSP. Рисунок 4. Архитектура Distributed Multi-tenant with Dedicated Tenant Nodes  Гибридная мультитенантная архитектураВозможен также и гибридный вариант взаимодействия, когда часть клиентов работает напрямую с узлом FortiSOAR, развёрнутым у MSSP, а часть — использует собственную выделенную тенант-ноду. Рисунок 5. Гибридная мультитенантная архитектура FortiSOAR  Функциональные возможности FortiSOAR Реагирование на инцидентыСбор информации о возможных инцидентах из внешних систем: конечных точек, SIEM-продуктов, DLP-решений, платформ для анализа угроз (Threat Intelligence) и других источников.Автоматическое и ручное создание оповещений (alerts), сравнение и группировка с аналогичными оповещениями на основании совпадающих индикаторов.Обработка созданных оповещений при помощи готовых или пользовательских сценариев (playbooks), предусматривающих ряд последовательных действий, а также обращение ко внешним аналитическим системам.Создание записей об инцидентах на основании оповещений.Репозиторий индикаторов, полученных из обработанных оповещений и инцидентов. Для каждого индикатора может быть указана репутация, характеризующая уровень угрозы (хороший, вредоносный, подозрительный).Настраиваемое представление перечня оповещений и инцидентов с возможностью комбинировать таблицы и графические виджеты. Настраиваемая панель управленияВысокая вариативность и настраиваемость панели управления (dashboard) с выводом данных в режиме реального времени.Быстрое переключение между имеющимися панелями управления.Создание собственных панелей управления с уникальным набором информации в текстовом и графическом представлении.Быстрое создание собственных виджетов и их размещение в имеющихся или новых панелях инструментов.Назначение списка доступных панелей управления в зависимости от роли пользователя в системе. Репозиторий коннекторов ко внешним системамБолее 290 коннекторов для взаимодействия с внешними системами «из коробки».Коннекторы предназначены как для получения исходной информации об инцидентах, так и для передачи запросов во внешние аналитические системы в процессе расследования.Возможность создания собственных коннекторов. Управление очередямиСоздание очередей, включающих в себя отдельных сотрудников SOC или группы специалистов.Назначение очередей сотруднику или группе в ручном режиме или на базе логических правил.Распределение задач между очередями в удобном интерфейсе по принципу drag-and-drop. Гибкая система отчётовСоздание отчётов на основании готовых шаблонов — сводный отчёт по инцидентам, недельная сводка оповещений, отчёт по индикаторам компрометации и другие.Создание пользовательских шаблонов отчётов при помощи визуального редактора с возможностью конструирования собственных виджетов.Экспорт отчётов в PDF и CSV.Распределение доступа к отчётам на основе ролевой модели. Визуальный редактор автоматических сценариев реагированияВозможность создания собственных сценариев (playbooks) для обработки инцидентов и оповещений, выполнения действий с индикаторами.Сценарии представлены в простом и удобном для использования графическом виде, наглядно показывающем взаимосвязь между этапами.Редактор сценариев имеет графический интерфейс, позволяющий добавлять элементы, перемещать их и связывать с другими по принципу «drag-and-drop».Механизм импорта и экспорта сценариев, позволяющий обмениваться стратегиями с другими ИБ-командами.Функция группировки сценариев.Ведение истории применения каждого сценария, анализ его использования в разрезе инцидентов, оповещений, учётных записей и т. д. Поддержка мультитенантной моделиТри варианта работы центра реагирования на инциденты MSS-провайдера: с разделяемыми заказчиками, с распределёнными заказчиками, гибридная модель.Возможность назначения ролей доступа и привилегий для клиентов; контроль за соблюдением установленных политик.Индивидуальные представления оповещений и инцидентов для каждого клиента. Ролевая модель доступаНастройка привилегий пользователя на основе одной или нескольких ролей.Гибкая настройка доступа на уровне ресурсов системы, действий и отдельных полей.Распределение пользователей по иерархической командной структуре.Визуальный конструктор для создания индивидуальных представлений и макетов страниц для каждой роли или группы ролей. Работа с FortiSOARРасследование инцидентаОповещения о возможных ИБ-происшествиях собираются в разделе «Alerts». Оповещения могут быть получены из SIEM-системы или других внешних источников, а также сгенерированы вручную. Интерфейс раздела гибко настраивается для каждой роли пользователя. Помимо списка с настраиваемыми полями и наглядными индикаторами на экран можно вывести виджеты, показывающие текущую ситуацию — например, процент оповещений с высокой и средней степенью угрозы или необработанных алёртов. Рисунок 6. Список оповещений в FortiSOAR  Оповещение содержит исчерпывающую информацию о возникшей проблеме — источник, детальное описание и список индикаторов, связанных с предупреждением. Специалист SOC может применить к оповещению ряд автоматических сценариев — плейбуков. Таким образом можно провести поиск аналогичных оповещений, индикаторов или происшествий, проверить, является ли алёрт ложным, эскалировать оповещение до инцидента или полностью решить последний.Непосредственно из оповещения можно проверить IP-адреса, домены, сигнатуры файлов и другие индикаторы во внешних базах данных, таких как VirusTotal. Список доступных для этого алёрта сценариев открывается по нажатии кнопки «Execute». При необходимости можно добавить в оповещение новые индикаторы или установить связь с индикаторами из других предупреждений.FortiSOAR также включает в себя инструменты для облегчения командного взаимодействия в рамках SOC. В разделах для работы с инцидентами и оповещениями доступна панель «Workspace Collaboration» — специализированный чат, позволяющий операторам добавлять заметки и информацию. Раздел, предназначенный для работы со сценариями реагирования, может быть настроен для добавления комментариев, которые пригодятся при расследовании. На этой панели также доступен механизм рекомендаций FortiSOAR — функция, которая находит и предлагает аналогичные записи на основе настраиваемых параметров, помогая ускорить и упростить обработку предупреждений. Рисунок 7. Карточка оповещения и список доступных для него автоматических сценариев  Все действия с оповещением протоколируются и сохраняются на вкладке «Audit Logs». Эта информация может быть полезна если расследованием инцидента занимается несколько специалистов, при оценке качества работы SOC или для отчётности. Рисунок 8. Журнал работы с оповещением  Шаблоны плейбуков, которые можно использовать в качестве основы для пользовательских сценариев, учитывающих исследования и процессы реагирования в конкретной организации, поставляются со многими коннекторами. Кроме того, в FortiSOAR доступны примеры комплексных сценариев расследования для многих распространённых киберинцидентов. В частности, плейбук проверки вредоносного ресурса включает в себя поиск аналогичных оповещений, оценку репутации целевого IP-адреса, создание инцидента и, наконец, команду блокировки ресурса для ИБ-системы.Важно отметить, что обработка оповещений может происходить в автоматическом режиме. При обнаружении известных триггеров FortiSOAR самостоятельно выполнит все необходимые проверки и оповестит ИБ-специалиста, когда потребуется принять решение — например, одобрить блокировку ресурса. По оценкам разработчиков системы на устранение одной угрозы без SOAR-решения в среднем требуется около 45 минут, в полуавтоматическом режиме с использованием FortiSOAR на это уйдёт около 20 минут, а автоматическая обработка алёртов займёт чуть более одной минуты.В случае если в результате расследования оповещения вредоносная активность подтверждается, в FortiSOAR создаётся инцидент (incident). Это — регистр, в котором накапливается вся важная информация об ИБ-происшествии, что позволяет специалистам SOC всесторонне анализировать его и выявлять проблемы в сфере кибербезопасности организации.Хранилище инцидентов доступно в разделе «Incidents». Так же, как и в случае с оповещениями, внешний вид репозитория индивидуально настраивается для каждой пользовательской роли, а список может быть дополнен графическими виджетами. Рисунок 9. Список инцидентов в FortiSOAR  Открыв инцидент, специалист может увидеть все связанные с ним элементы — ресурсы, индикаторы, оповещения и т. д. — в разделе «Related Records». При необходимости в шаблон инцидента могут быть добавлены блоки, демонстрирующие графическую взаимосвязь всех затронутых происшествием элементов информационной системы. Рисунок 10. Диаграмма взаимосвязей элементов, связанных с инцидентом  Непосредственно из инцидента специалист может запустить связанные с ним автоматические сценарии — например, заблокировать или разблокировать домен из списка индикаторов или выполнить запрос к ИБ-системе на конечной точке. Список доступных плейбуков отображается в меню кнопки «Execute». Рисунок 11. Автоматические сценарии вызываются непосредственно из карточки инцидента  Панель управления («дашборд»)Для консолидации оперативной информации, необходимой пользователю, в FortiSOAR используется панель управления. Она может содержать произвольный набор таблиц и виджетов, созданных в визуальном редакторе. Чтобы открыть панель инструментов, необходимо выбрать пункт «Dashboard» в меню слева. Каждому пользователю в зависимости от назначенных ролей могут быть доступны одна или несколько панелей управления. Переключение между ними осуществляется при помощи выпадающего меню в верхней части экрана. Рисунок 12. Панель управления FortiSOAR и меню выбора доступных дашбордов  Пользователь, обладающий соответствующими правами, может создать новую или отредактировать имеющуюся панель управления. Для этого достаточно нажать кнопку настройки в правом углу экрана и выбрать нужный пункт из появившегося меню. Рисунок 13. Меню действий с панелью управления в FortiSOAR  Создание и редактирование панели инструментов происходит в визуальном редакторе. Пользователь может определить количество колонок в каждой «строке» и выбрать один или несколько виджетов, которые будут отображаться в каждой ячейке. Рисунок 14. Интерфейс редактирования панели управления  Виджетом может быть не только диаграмма, но и таблица, метрика, карточка с данными и другое представление. Источником данных для виджета может выступать большинство элементов системы — оповещения, индикаторы, сценарии и другие сущности. Коннекторы ко внешним системамДля коммуникации с другими решениями и базами данных в FortiSOAR используются коннекторы. Они применяются в следующих случаях:Приём данных из внешних систем для формирования оповещений.Получение дополнительных сведений в процессе выполнения автоматического сценария, обогащение данных через запросы к аналитическим системам и т. п.Выполнение действий по результатам расследования инцидента.Репозиторий коннекторов FortiSOAR находится в разделе «Connectors» и содержит более 290 готовых плагинов для взаимодействия с другими решениями Fortinet и сторонними системами. Пользователь может выбрать необходимые коннекторы на вкладке «Connectors Store» и в один «клик» установить их. Рисунок 15. Репозиторий коннекторов FortiSOAR  Каждый коннектор обладает списком действий, которые могут быть выполнены в рамках автоматического сценария или напрямую из оповещения. В настоящий момент пользователям FortiSOAR доступно более 3 000 таких действий. Установленные коннекторы располагаются на вкладке «Installed Connectors». Для каждого из них можно посмотреть и отредактировать настройки, необходимые для подключения к внешней системе, ознакомиться со списком действий и перечнем использующих его сценариев. Рисунок 16. Окно настроек коннектора  Производитель регулярно пополняет набор коннекторов, однако если готовый плагин отсутствует, то его можно разработать самостоятельно с помощью ConnectorSDK. Визуальный редактор сценариевКлючевым объектом автоматизации действий в FortiSOAR являются сценарии, или плейбуки (playbooks). Они могут быть использованы для выполнения практически любых действий внутри системы, а также для обращения ко внешним объектам через коннекторы. Сценарии поддерживают условные инструкции, а также могут обращаться к другим сценариям как к библиотекам. Это позволяет создавать весьма сложные алгоритмы для автоматического расследования ИБ-происшествий.Репозиторий сценариев доступен в разделе «Playbooks» меню «Automation». FortiSOAR поставляется с набором шаблонов плейбуков, которые могут быть использованы в качестве основы для создания собственных сценариев, необходимых SOC. Кроме того, многие коннекторы содержат демонстрационные сценарии, которые могут быть легко доведены до рабочих вариантов. Рисунок 17. Репозиторий автоматических сценариев FortiSOAR  Алгоритм каждого плейбука можно посмотреть и изменить в визуальном редакторе, где он представлен в виде наглядной блок-схемы. Для примера рассмотрим и отредактируем сценарий расследования попытки брутфорс-атаки. Рисунок 18. Сценарий реагирования на брутфорс-атаку  Начальные этапы обработки оповещения включают в себя определение необходимых переменных и проверку IP-адреса по базе данных CIDR. Если адрес является внешним, сценарий через коннектор обращается к VirusTotal, чтобы выяснить его репутацию. Если источник атаки признаётся вредоносным, плейбук изменяет уровень угрозы в оповещении на «критический» и получает информацию о пользователе, ставшем объектом атаки, из реестров Windows или Linux. На финальном этапе вызывается плейбук для обновления записей затронутых ресурсов в системе. Рисунок 19. Сценарий реагирования на брутфорс-атаку  Действия, выполняемые на каждом этапе сценария, можно посмотреть и изменить, дважды щёлкнув по соответствующему элементу. Например, стартовый блок задаёт переменную «alert_metadata» и определяет, для каких типов оповещений допустимо применение этого плейбука. Рисунок 20. Окно свойств стартового блока сценария  Блок проверки IP-адреса в VirusTotal содержит информацию об источниках данных, необходимых для формирования запроса. Пользователь с правами на редактирование сценариев может изменить любой элемент плейбука. Рисунок 21. Настройки элемента сценария для проверки IP-адреса в VirusTotal  Создание логических связей между этапами выполнения сценария производится здесь же — в наглядном визуальном редакторе. Чтобы добавить элемент, достаточно «вытянуть» стрелку из блока, который будет с ним связан. В левой части экрана появится меню выбора типа блока. В FortiSOAR можно создать 15 типов элементов сценария, которые для удобства разбиты на шесть подгрупп.Группа «Core» содержит шаблоны для блоков создания, обновления и поиска записей, а также блока определения переменных.Группа «Evaluate» включает в себя операции ветвления, ожидания и одобрения, а также шаблоны элементов для ручного ввода и ручного создания задачи.Группа «Execute» содержит шаблоны элементов для работы с коннекторами и утилитами, а также блока для произвольного кода.Остальные шаблоны предназначены для вызова других сценариев, установки ключа API и работы с электронной почтой. Рисунок 22. Создание нового элемента сценария  Набор параметров для каждого элемента зависит от его типа: например, для работы с коннектором необходимо найти нужный плагин и определить источники данных для него. FortiSOAR позволяет сохранять несколько версий сценария, что даёт возможность «откатиться» к первоначальному варианту в том случае, если изменения оказались неудачными. Рисунок 23. Меню сохранения вариантов сценария в FortiSOAR  ИБ-специалисты могут обмениваться созданными сценариями и группами сценариев. Для этого достаточно лишь отметить нужные плейбуки и нажать кнопку выгрузки для формирования JSON-файла. Рисунок 24. Выгрузка коллекции сценариев в FortiSOAR  В заключение отмечу, что администраторы системы могут регулировать доступность сценариев для разных групп пользователей в рамках ролевой модели системы. ЛицензированиеРазработчики FortiSOAR предлагают гибкую систему лицензирования для конечных пользователей и центров реагирования на киберинциденты. И в том, и в другом случае заказчик может выбрать между приобретением бессрочной лицензии и годовой подпиской на использование решения.В рамках обоих вариантов доступны следующие лицензии:FortiSOAR Enterprise Edition — корпоративная лицензия для одного узла с двумя именованными пользователями. Для обеспечения большей доступности и масштабируемости можно приобрести дополнительные лицензии для узлов и пользователей.FortiSOAR Multi Tenant Edition — лицензия для одного мультитенантного мастер-узла с двумя именованными пользователями. Здесь, как и в предыдущем случае, можно приобрести дополнительные узловые или пользовательские лицензии. Этот тип узла используется в MSSP — как в общей (Shared), так и в распределённой (Distributed) мультитенантной архитектуре.FortiSOAR Multi Tenant Edition - Dedicated Tenant — лицензия для клиентов MSSP, использующих собственную выделенную SOAR-ноду. Предназначена для небольших локаций с подключением максимум одного локального аналитика SOC.FortiSOAR Multi Tenant Edition - Regional SOC Instance — то же, что и в предыдущем случае, но для крупных локаций со множеством специалистов. Включает доступ для двух именованных аналитиков и может масштабироваться для поддержки большего количества дополнительных пользовательских лицензий.FortiSOAR User Seat License — дополнительная пользовательская лицензия для аналитика, которая применяется к совместимым узлам.Поддержка как бессрочных решений, так и решений по подписке предоставляется в рамках сервиса FortiCare. Fortinet также предлагает профессиональные услуги по сопровождению внедрения и эксплуатации и обучение по продуктам FortiSOAR через своё подразделение Professional Services. ВыводыСпециалисты центров реагирования на киберинциденты сталкиваются с рядом проблем, связанных со сложным ландшафтом и неоднородностью информационных систем масштаба предприятия. Инфраструктура средних и больших компаний включает в себя сотни приложений и десятки продуктов, отвечающих за безопасность. Анализ большого количества данных из разных систем, их структурирование и сопоставление занимают значительное количество времени и тормозят реагирование на происшествия. Платформы SOAR дополняют SIEM-решения, предоставляя расширенные функции по организации ответных воздействий и управлению ими, что помогает SOC оптимизировать процесс реагирования на инциденты.FortiSOAR является своего рода командным центром для группы специалистов, отвечающих за информационную безопасность организации. При помощи коннекторов решение может взаимодействовать с большим количеством внешних систем, получая от них первоначальные данные об атаке, обращаясь за дополнительной информацией в процессе расследования инцидента и, наконец, передавая команды на блокировку вредоносной активности. Такой подход позволяет минимизировать время реагирования на происшествия и отвечать на атаки в режиме реального времени.Достоинства:Продуманная архитектура решения, предполагающая как корпоративную, так и мультитенантную модели использования, предусматривающая возможности масштабирования как в режиме Active / Passive, так и в режиме Active / Active.Полностью настраиваемый графический интерфейс и удобная панель управления: внешний вид каждого раздела может быть настроен в соответствии с ролью пользователя.Визуальный редактор автоматических сценариев и большое количество готовых плейбуков, которые можно использовать «из коробки» и которые не требуют навыков программирования.Обширный депозитарий коннекторов ко внешним системам и возможность разработки собственных плагинов для связи с используемыми в компании продуктами.Удобная ролевая модель, позволяющая гибко управлять доступностью элементов системы и представлением данных.Разумная система лицензирования, которая включает как подписную модель, так и бессрочные лицензии.Любое действие, которое в рамках системы доступно для выполнения вручную, может быть автоматизировано.Недостатки:Интерфейс решения не переведён на русский язык.Малое количество предварительно определённых шаблонов отчётов. При этом пользователь имеет возможность создать собственные шаблоны.