Anti-Malware.ru - Обзоры

Контейнеры для приложений: риски безопасности и ключевые решения по защите

Хотя сама по себе технология контейнеризации — это не новое явление, за последние 3—5 лет её популярность возросла на фоне принятия методологии DevOps. Разработчики полюбили контейнеры за простоту и избавление от проблем совместимости. Однако для эффективного и безопасного перехода к микросервисной архитектуре необходимо обеспечить защиту среды контейнеризации и программных образов в совокупности. На рынке ИБ доступны два универсальных решения, с помощью которых можно этого добиться: Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition. ВведениеПринципы работыРиски, связанные с контейнерной технологиейОбзор решений по защите контейнеров4.1. Архитектура4.2. Функциональность4.3. Защита во время исполнения (runtime)4.4. Сетевой экран веб-приложений (WAF) от Prisma Cloud Compute4.5. Виртуальный патчинг от Aqua SecurityВыводы ВведениеПрименение технологии контейнеризации для работы приложений прогрессирует заметными темпами, и согласно исследованию 451 Research ожидается, что в 2020 году скорость роста увеличится ещё на 40%. Gartner прогнозирует, что к 2022 году более 75% организаций будут использовать контейнерные технологии, а объём этого рынка составит 4,3 миллиарда долларов США.Такой рост обусловлен переходом от виртуальных машин и монолитных приложений к микросервисной архитектуре, обладающей следующими преимуществами:Все зависимости — внутри контейнера. Это упрощает развёртывание приложения. Больше нет необходимости устанавливать дополнительные библиотеки и настраивать сторонние компоненты для корректной работы программы.Гарантированная воспроизводимость. Хранение внутри образа всех необходимых зависимостей, названий переменных и конфигурационных файлов гарантирует, что приложение, развёрнутое из этого образа, сможет запуститься.Небольшой размер образа. В отличие от образов виртуальных машин, размер которых порой исчисляется десятками гигабайт, правильно собранный образ контейнера может занимать всего лишь несколько килобайт.Небольшое потребление ресурсов. Вследствие того что контейнер представляет из себя лишь упакованное приложение, а нередко — и лишь один процесс, сильно уменьшается нагрузка на ресурсы «железа».Все эти преимущества позволяют снизить операционные расходы на разработку и эксплуатацию приложений. Рисунок 1. Визуальное представление работы контейнеров и виртуальных машин на сервере Принципы работыПеред тем как начать говорить об уязвимостях технологии контейнеризации, необходимо погрузиться в базовые принципы её работы.Одно из самых известных в мире решений для контейнеризации — Docker. Для того чтобы упаковать приложение в образ Docker, необходимо составить т. н. «докер-файл». Он включает в себя описание используемых зависимостей, конфигурационные файлы, пароли, а также команды для сборки этого приложения. Рисунок 2. Пример того, как может выглядеть докер-файл для простого приложения, написанного на языке Python После написания докер-файла и запуска команды сборки образ Docker собирается и отправляется в реестр (registry). Реестр может быть как приватным (внутри организации), так и публичным (например, Docker Hub). Рисунок 3. Архитектура работы Docker Как правило, один контейнер представляет собой единственный процесс на хостовом сервере, и этого зачастую недостаточно для работы крупного корпоративного приложения. Приложение становится микросервисным, то есть состоящим из множества работающих вместе контейнеров.Комплексное корпоративное приложение требует обеспечения отказоустойчивости, балансировки, контроля трафика, бесшовного обновления, автоматического восстановления и т. д. С этими задачами прекрасно справляются средства оркестровки: Kubernetes или OpenShift. Оркестратор состоит из рабочих (worker) нод, на которых исполняется продуктивное приложение, и мастер-ноды, которая обеспечивает централизованное управление системой.Применение Docker, Kubernetes и микросервисов нашло своё успешное применение в DevOps на этапах тестирования публикуемого разработчиками кода, а также размещения в продуктивной среде. Рисунок 4. Пример конвейерной последовательности («пайплайна») CI / CD Риски, связанные с контейнерной технологиейНесмотря на преимущества, которые даёт контейнеризация приложений, существует и ряд уязвимостей, которые не позволяют внедрить эту технологию повсеместно, без оглядки на безопасность.Первый риск — развёртывание контейнера из уязвимого образа, т. е. такого, который содержит уязвимый пакет, вредоносную программу или открытые пароли. Подобный образ, например, может быть скачан из публичного реестра. Рисунок 5. Верхнеуровневая схема атаки на сервер с помощью уязвимого образа Рисунок 6. Сборка образа посредством импорта вредоносной программы, файла паролей, перечня уязвимых пакетов Уязвимость может также содержаться в базовом образе. Согласно исследованиям компании Snyk, 10 самых популярных образов в Docker Hub содержат ошибки безопасности системных библиотек. Официальный образ Node.js включает в себя 580 уязвимых системных библиотек. Остальные образы из списка содержат не менее 30 общеизвестных программных изъянов. Рисунок 7. Число уязвимостей в самых популярных образах на Docker Hub Помимо образов Docker источником уязвимостей также может являться развёрнутый контейнер. Наличие вредоносного кода, уязвимостей ПО несёт риск того, что злоумышленнику удастся скомпрометировать развёрнутый контейнер, использовать его с повышенными привилегиями, получить доступ к ОС хостового сервера, а далее запустить дочерние вредоносные процессы, подключиться к сторонним ресурсам в интернете, получить доступ к файловой системе и распространить атаки на соседние контейнеры.Риски для безопасности могут также скрываться в слабых настройках и уязвимостях компонентов Kubernetes. Для API-сервера это, например, — возможность анонимного доступа или осуществления неавторизованных запросов, отсутствие RBAC, использование небезопасных портов. Для хранилища Kubernetes (etcd) под слабыми настройками могут подразумеваться небезопасные методы подключения, возможность соединения без использования сертификатов. Рисунок 8. Угрозы, исходящие от отсутствия мер защиты среды контейнеризации, и их последствия К числу других проблем относится контроль событий контейнеров и хостов. В условиях, когда средний срок службы контейнера — несколько часов или даже минут, мониторинг текущих процессов может быть особенно сложной задачей. Обзор решений по защите контейнеровПроведём сравнение двух наиболее распространённых enterprise-решений такого рода, которые представлены на российском рынке: Aqua Cloud Native Security Platform (CSP) и Prisma Cloud Compute Edition(до покупки Palo Alto Networks имевшего название Twistlock).Основная функциональность обоих решений:Автоматическая проверка конфигурации на предмет соответствия лучшим практикам для сокращения риска компрометации.Контроль взаимодействия (firewall) между элементами контейнеризации (поды, сервисы) для сокращения риска распространения атаки.Проверка образов контейнеров в процессе разработки для сокращения риска развёртывания уязвимых образов в продуктивной среде.Проверка развёрнутых контейнеров на предмет наличия уязвимостей, открытых паролей, аномальной активности и несоответствия политикам безопасности для сокращения ущерба от атак и кражи паролей.Сбор и анализ событий, поступающих от контейнеров и хостов, для обеспечения контроля за инцидентами и эффективного реагирования. Архитектура Рисунок 9. Архитектура Aqua CSP Оба решения включают в себя два компонента, разворачиваемых в виде контейнеров: консоль управления (Twistlock Console и Aqua Console) и агент сканирования (Twistlick Defender и Aqua Enforcer).В число функций консоли входят:предоставление интерфейса для интерактивного управления решением;интеграция со сторонними программными компонентами (SIEM, средство запуска CI / CD);сканирование образов контейнеров в реестре.Агенты сканирования мониторит безопасность запущенных контейнеров во время их выполнения, чтобы обеспечить соблюдение политик, настроенных администратором системы с помощью пользовательского интерфейса на консоли. Агент также гарантирует, что только зарегистрированные и отсканированные образы будут работать на хостах, на которых установлен агент.Обоим решениям требуется выход в интернет для подключения к собственным базам знаний. База знаний используется при сканировании образов, контейнеров и хостов на предмет уязвимостей и вредоносных программ, содержит чёрный список IP-адресов, актуальные оценки производительности («бенчмарки») и так далее.С точки зрения архитектуры Aqua CSP отличается тем, что в ней есть два дополнительных компонента — Aqua Gateway и вынесенная за пределы консоли база данных. Aqua Gateway осуществляет взаимодействие между Aqua Console и Aqua Enforcer и размещается по одному компоненту на кластер, в случае если ваши сервисы размещены на разных кластерах. База данных содержит информацию, касающуюся конфигурации Aqua CSP (политики безопасности, роли и пользователи, параметры), и результаты аудита безопасности. Также в отличие от Prisma Cloud Compute, где БД размещена внутри консоли, Aqua позволяет вынести базу данных за пределы кластера на существующих серверах. ФункциональностьСравнение функциональных возможностей двух платформ представлено в таблице ниже. Таблица 1. Сопоставление Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition№ПараметрAqua Cloud Native Security PlatformPrisma Cloud Compute Edition1.Метод развёртыванияAqua Enforcer — контейнер на хостTwistlock Defender — контейнер на хост2.Варианты развёртыванияКак в облаке, так и в локальной инфраструктуре (on-premise)3.КомпонентыAqua Server — центральный компонент управления Aqua Security Platform;Aqua Gateway — обеспечивает взаимодействие между компонентом управления и Aqua Enforcer, а также отправку событий в сторонние системы (SIEM, IRP);Aqua Enforcer — обеспечивает защиту среды выполнения контейнеров, хостов, виртуальных машин и лямбда-функций;PostgreSQL DB — база данных, используемая компонентами Aqua;Aqua CyberCenter — облачная служба данных киберразведки от лучших мировых сервисов: NVD, Mitre, CVSS, Red HatTwistlock Console — основной компонент управления. Выполняет сканирование образов. Поставляется с внутренней базой данных без возможности использования внешней БД;Twistlock Defender — обеспечивает защиту среды выполнения контейнеров и хостов;Twistlock Intelligence Stream — облачная служба данных киберразведки от лучших мировых сервисов: NVD, Mitre, CVSS, Red Hat4.Организация взаимодействия компонентов кластера по SSLВсё взаимодействие между компонентами происходит по зашифрованному каналу. Взаимодействие контейнерной среды по SSL обеспечивается средствами оркестратора5.Возможность настройки использования TLS-сертификатов для шифрованного взаимодействияСертификат выписывается внутренним УЦ решения для взаимодействия всех компонентов. Сертификаты для контейнерной среды настраиваются оркестратором6.Возможность написания правил для ограничения взаимодействия контейнеровФункциональность списков контроля доступа (ACL), сетевого экрана для создания правил взаимодействия контейнеров, хостов, виртуальных машин;функциональность объединения групп контейнеров, хостов, виртуальных машин в сервис с возможностью обучения сетевого взаимодействия внутри него (или между сервисами), а также автоматического создания правил и карты сетевого взаимодействия;утилита Kube-hunter, позволяющая проводить простые тесты на проникновение и эмулировать атаки на кластер Kubernetes с составлением отчётаФункциональность списков контроля доступа (ACL), сетевого экрана для создания правил взаимодействия контейнеров, хостов;обучение сетевого взаимодействия контейнеров и хостов, составление карты взаимодействия и предложения автоматических правил;функциональность брандмауэра веб-приложений (WAF)7.Визуализация взаимодействия между компонентами (пространства имён, поды)Поддержка полной визуализации взаимодействия между компонентами кластера (-ов) в консоли управления8.Сканирование образов в реестрах на наличие уязвимостейСканирование на уязвимости, наличие критических данных внутри контейнеров (приватные ключи, пароли), вирусы;сканирование хостов на наличие образов / контейнеров, не хранящихся ни в одном репозитории;сканирование библиотек исходного кода приложения на наличие уязвимостей с использованием CTI Feeds (Aqua CyberCenter);применение техник виртуального патчинга на время устранения найденной уязвимости или ожидания патча от вендораСканирование на уязвимости, наличие критических данных внутри контейнеров (приватные ключи, пароли), вирусы;сканирование хостов на наличие образов / контейнеров, не хранящихся ни в одном репозитории;сканирование библиотек исходного кода приложения на наличие уязвимостей;возможность определения собственных типов уязвимостей и импорта MD5-сумм бинарных файлов9.Сканирование образа на наличие открытых паролейСканирование на наличие критических данных внутри образов (приватные ключи, пароли) или в коде приложения10.Проверка цифровой подписи контейнера перед его развёртыванием на нодеПроверка хеш-суммы образа. Контейнер подписывается внутренним УЦ Aqua. Дополнительная подпись и проверка реализуются оркестраторомПроверка хеш-суммы образа. Дополнительная подпись и проверка реализуются оркестратором11.Защита контейнеров от изменений. Контроль среды выполненияЗащита от изменений при помощи хеширования содержимого каждого образа;защита от изменений согласно определённым политикам среды выполнения;запрет на выполнение;запрет доступа к файлам, режим «только чтение»;запрет исполнения команд ОС;запрет подключения с определённых IP-адресов;запрет повышения привилегий, использования учётной записи «root»;запрет доступа к определённым пакетам ОС;запрет на сканирование портов, блокировка ненужных портов;запрет использования нестандартных базовых образов12.Поддержка протоколов автоматизации управления данными безопасностиSCAP13.Наличие собственного хранилища секретовВстроенное хранилище секретов Aqua Secret Key Store; интеграция со сторонними Key VaultИнтеграция со сторонними Key Vault14.Управление секретами и мониторинг доступаНазначение секретов на контейнеры, хосты; изменение, удаление, добавление через консоль управления; подставление или переназначение секретов во время выполнения (runtime)Только через сторонний Key Vault15.Поиск уязвимостей на хостеСканирование хоста на уязвимости, вирусы аналогично контейнерам16.Профилирование контейнераОбучение модели на основе работы контейнера (поведенческой модели, в том числе и сетевого взаимодействия) в течение указанного периода. Создание профиля и применение его к другим контейнерамОбучение модели на основе работы контейнера в течение 24 часов17.Ограничение ресурсов контейнера (использование AppArmor, SELinux, cgroups)Контроль запуска контейнеров по критерию «запущены или нет»: Seccomp, SELinux, apparmorКонтроль запуска контейнеров по критерию «запущены или нет»: SELinux, apparmor18.Проверка конфигурации k8sВстроенная проверка на различные требования (compliance): CIS (Docker CIS, Kubernetes CIS)19.Реализация POD security policyРеализуется только функциональностью Kubernetes20.Шифрование данных, хранящихся в etcdРеализуется только функциональностью оркестратора21.Протоколирование действий пользователейОсуществляется запись в журнал следующих событий:действия в консоли,действия, связанные с Container Engine,действия внутри контейнера (имя пользователя, имя контейнера, имя образа, ID процесса),события, связанные с найденными уязвимостями,действия, связанные с использованием Docker API или команд на контейнере, хосте,действия, связанные с использованием LambdaFunction,события по политикам Host Runtime,действия на хостах,события успешных / неуспешных попыток входа,действия пользователей в оркестраторе22.Мониторинг чтения / записи файлов, атрибутов, директорий на хостеПоддерживается23.Отслеживание аномальной активности на хосте (например, брутфорс)Аудит всех действий на хосте, всех исполняемых процессов, использования команд и передаваемых аргументов, сетевых взаимодействий с участием хоста24.Реализация модели доступа RBACРолевая модель реализуется только по доступу к консоли управления. Есть возможность определять свои роли с настройкой доступов на чтение / изменение к определённым компонентам25.Управление сертификатами (PKI)Реализуется при помощи оркестратора26.Проверка на соответствиеPCI, GDPR, HIPAA, NIST SP 800-190PCI, GDPR, HIPAA, NIST SP 800-19027.Поддерживаемые реестры образов (image registries)Amazon EC2 Container Registry;Google Cloud Platform Container Registry;Azure CR;Cloud Foundry Registry;Harbor;Docker;CoreOS Quay;JFrog Artifactory;OpenShift Container Registry;Red Hat Atomic Registry;Sonatype Nexus Repository OSS;любой другой реестр, поддерживающий APIAmazon EC2 Container Registry;Google Cloud Platform Container Registry;Harbor;Docker;JFrog Artifactory;Sonatype Nexus Repository OSS28.CI / CDGoCD, TeamCity, Bamboo, GitLab, Jenkins, CircleCI, Azure DevOpsJenkins plugin; Twistcli — плагин по интеграции через API к CI / CD. Доработок не требуется29.РеестрыDocker Hub, Amazon ECR, Google GCR, CoreOS Quay, JFrog Artifactory, Azure ACRDocker Hub, Amazon ECR, Google GCR, IBM CCR, JFrog Artifactory, Azure ACR, OpenShift30.Хранилище паролей (Password Vault)CyberARK Password Vault, Conjur, AWS KMS, HashiCorp Vault, AzureHashiCorp, CyberARK, AWS KMS, Azure31.Active Directory / LDAPПоддержка интеграции с LDAP и AD FS32.Единый вход (SSO)SAML-based authentication, OpenID Connect, Google Apps, AD FSSAML-based authentication, OpenID Connect, AD FS33.SIEM и аналитикаArcSight, AWS CloudWatch, Datadog, Elasticsearch, Google SCC, Logentries, Loggly, Microsoft OMS, Splunk, Sumo Logic, Syslog, QRadarПотенциально — со всеми по Syslog. Нужна доработка коннекторов34.Система отслеживания ошибокJira35.Обратная связьSlack, PagerDutySlack Защита во время исполнения (runtime)Функция защиты во время исполнения позволяет отследить аномальное поведение развёрнутых контейнеров на основе данных о процессах, сети, обращениях к файловой системе, системных вызовах, данных хоста. Это обеспечивает защиту от криптомайнеров, нежелательных процессов, распространения атаки по сети, нежелательного исходящего соединения, открытых портов, появления вредоносных программ, а также от нежелательных системных вызовов.Кроме того, оба решения позволяют обеспечить неизменность контейнера, при которой обновления будут проходить только через конвейер CI / CD, не допуская изменений, разрешённых во время выполнения. И у Aqua CSP, и у Prisma Cloud Compute есть функциональность снятия криптографического отпечатка нескольких слоёв в пределах образа для обеспечения целостности последнего. Сетевой экран веб-приложений (WAF) от Prisma Cloud Compute Рисунок 10. Верхнеуровневая схема работы Cloud Native Application Firewall (CNAF) Отличительной особенностью Prisma Cloud Compute на фоне других решений является встроенный модуль межсетевого экранирования на уровне L7 для веб-приложений — Cloud Native Application Firewall (CNAF). Агент сканирования является в данном случае прокси-сервером HTTP, анализируя поступающие GET- и POST-запросы от клиентов. Для этого Twistlock Defender добавляет новое правило iptables, перенаправляя трафик от веб-приложения через себя. Если соединение защищено с помощью TLS, Defender расшифровывает трафик, проверяет содержимое, а затем повторно шифрует его. Виртуальный патчинг от Aqua SecurityAqua CSP в свою очередь выделяется такой особенностью, как Aqua Vulnerability Shield (Aqua vShield) — функция виртуального патчинга. Это — запатентованная технология, использующая автоматический анализ уязвимостей для создания runtime-политик, которые могут обнаруживать и блокировать доступ к уязвимым компонентам в контейнерах приложения. Запуск vShield для найденной уязвимости позволит предотвратить её эксплуатацию до того, как разработчики выпустят исправление. ВыводыKubernetes не использует механизмы безопасности по умолчанию в силу того, что эти же механизмы, как правило, могут затруднять внедрение и перенос приложений. Технология не стала бы такой популярной и приятной в использовании, если бы первый запуск приложения в контейнерной среде сопровождался проблемами, вызванными чрезмерным контролем. И даже несмотря на то, что Kubernetes или OpenShift имеют в себе безопасные настройки, их использование остается трудоёмким и неконтролируемым для организаций со сложной микросервисной архитектурой и большим числом нод кластера.Такие решения, как Aqua CSP и Prisma Cloud Compute, созданы для упрощения контроля безопасности контейнерной среды. Развернув дополнительно по одному агенту на каждую ноду, можно получить сразу несколько механизмов безопасности «из коробки», что существенно сокращает риски финансовых и репутационных потерь от атаки злоумышленника на развёрнутое в среде контейнеризации приложение. Выбор того или иного инструмента зависит от потребностей отдела безопасности и бизнеса, но тенденция такова, что с ростом перехода на контейнеры популярность подобных решений будет только расти.

Обзор AccessData Enterprise, решения для расследования и анализа инцидентов ИБ

Продукт AccessData Enterprise от компании AccessData Group позволяет в приемлемые сроки проводить расследования и анализ инцидентов информационной безопасности, а также оформлять результаты работы в виде юридически значимых кейсов, которые в дальнейшем могут быть представлены в качестве доказательной базы в судебных заседаниях. Решение оснащено обширными возможностями для быстрого, но детального поиска статической и динамической информации — как с локальных мест хранения, так и с удалённых точек. Благодаря гибкой архитектуре AccessData Enterprise специалисты могут выполнять масштабирование продукта, необходимое для достижения максимальных результатов, а также проводить расследования «бесшовно», что существенно экономит время. ВведениеФункциональные возможности AD EnterpriseАрхитектура AD EnterpriseУстановка AD EnterpriseРабота с AD Enterprise5.1. Поиск информации5.2. Обработка и анализ информации5.3. Экспорт собранных данных и отчётностьВыводы ВведениеНа сегодняшний день, наверное, уже ни для кого не секрет, что нет абсолютно защищённых информационных систем. Компании всегда ранжируют данные по степени значимости, оценивают свои риски и затраты ресурсов, необходимых для построения адекватной инфраструктуры информационной безопасности; однако и в грамотно построенной, продуманной системе защиты всегда есть критически важные точки и слабые места. Даже если аналитики компании считают, что вероятность их эксплуатации мала, она все-таки отличается от нуля, и с этим приходится считаться. Фактические и потенциальные изъяны могут быть следствием ошибочно принятых решений на различных этапах построения инфраструктуры ИБ организации, начиная от некорректной аналитической оценки рисков и заканчивая ошибочной настройкой средств защиты информации.С ростом штата компании, увеличением её репутационного веса и повышением значимости хранимой и обрабатываемой информации количество инцидентов ИБ неизбежно будет увеличиваться. После обнаружения такого инцидента главной задачей становится правильное и своевременное реагирование — тщательный анализ каждого происшествия с целью выявить его источник и причины возникновения, а также локализация последствий.Для оперативного реагирования на инциденты (включая сбор доказательной базы и следов преступления) администраторам информационной безопасности необходимо решение, возможности которого будут полностью покрывать поставленные задачи.Компания AccessData Group создала одноимённую корпоративную платформу, в которую входит множество решений (FTK, AD Lab, Quin-C, AD eDiscovery, AD Enterprise и др.), имеющих общую цель — выявление, сбор и анализ компрометирующей информации по заданным параметрам не только с локальных, но и с удалённых конечных точек, а также из систем корпоративной инфраструктуры организации. Рисунок 1. Линейка продуктов платформы AccessData Все решения, которые входят в состав платформы, активно дополняют друг друга; можно сказать, что они добавляют новые грани в общую функциональность. Поэтому применение платформы очень разнообразно: от расследования локальных инцидентов информационной безопасности организации до использования силовыми структурами в поиске цифровых доказательств совершения уголовных преступлений.Каждый из компонентов платформы взаимодействует с единой базой данных, что ограничивает доступ третьих лиц к собранным цифровым доказательствам и позволяет избавить заказчика от необходимости переключаться с одной платформы на другую. В итоге расследования проводятся «бесшовным» способом, что значительно сокращает затраты времени.Мы рассмотрим решение AccessData Enterprise (далее для краткости — «AD Enterprise»), чьё основное назначение — сбор цифровых доказательств. Оно позволяет проводить обработку и анализ информации по заданным критериям, а также создавать отчёты с обобщением собранных результатов. Кроме того, продукт предоставляет специалистам, проводящим расследование, возможность управлять собранными цифровыми доказательствами (копирование, удаление, архивирование, восстановление и т.п.). Функциональные возможности AD EnterpriseХотя AD Enterprise является узкоспециализированным решением, оно обладает весьма глубокими и проработанными функциональными возможностями. Можно выделить следующие базовые функции:Главной особенностью продуктов AD является возможность создания и работы с юридически значимыми, неизменяемыми копиями данных в специализированных цифровых форматах (AD1, E01 и т.д.). Предоставление данных в таких форматах является обязательным юридическим условием для предоставления их в качестве доказательств при судебных разбирательствах.Сбор данных для расследования инцидентов информационной безопасности с возможностью централизованного управления через агенты. Найденная информация доступна для предварительного просмотра и повторной фильтрации по любому из атрибутов. Объектом сбора и анализа служит статическая и динамическая информация, такая как файлы с физических дисков рабочих мест пользователей, оперативная память (процессы, динамические библиотеки, драйверы и т.п.), история и кеш браузеров, журналы событий и файлы реестра, дешифрованные данные Lotus Notes, S/MIME, BitLocker, EFS, RMS; также возможно дополнительно включить в поиск почтовые серверы и файловые хранилища. Решение способно искать информацию в операционных системах семейства Windows, Linux, macOS и UNIX, а также в мобильных платформах Android, iOS и BlackBerry через специальные коннекторы. Одновременно с поиском происходит сканирование информации на наличие вредоносных программ при использовании дополнительного модуля Cerberus.Фильтрация информации. Помимо стандартных фильтров решение использует библиотеку известных файлов KFF (Known File Filter). Эта утилита вычисляет хеши информационных объектов и сравнивает их с уже известными. Опознанным файлам присваивается статус «Ignore», и они исключаются из поиска; неизвестные же получают статус «Alert», что указывает на необходимость их анализа. KFF позволяет игнорировать большинство файлов, которые не несут в себе смысловой нагрузки (системные файлы, компоненты приложений).Анализ найденной информации. Исследование состоит из нескольких этапов; первый из них — анализ угроз. Происходит общее сканирование файлов и метаданных (проверка исполняемого бинарного файла по общим атрибутам), позволяющее идентифицировать вредоносный код. На втором этапе выполняется статический анализ информации — дизассемблирование и изучение бинарного кода исполняемых файлов без их непосредственного запуска. Следующий пункт анализа можно назвать дополнением найденной информации; на этом шаге возможно создание образа оперативной памяти ОС семейства Windows, Linux, macOS с проведением более тщательного и глубокого исследования. Также доступно отображение выполняющихся процессов и их зависимостей (связанные библиотеки, сетевые порты, исполняемые файлы), выявление в образе памяти участков открытого текста, пользовательских паролей, HTML-страниц и офисных документов, а также отображение и описание установленных сетевых соединений и открытых портов. Наконец, AD Enterprise позволяет проводить восстановление удалённых объектов в файловых системах FAT12, FAT16, FAT32, NTFS, Ext2, Ext3 и HFS, выявлять и анализировать теневые копии с носителей информации, создаваемых с использованием Microsoft Windows Volume Shadow Copy.Управление найденной информацией и реагирование на выявленные проблемы. С помощью AD Enterprise можно удалённо управлять данными (копировать и удалять файлы, завершать нежелательные процессы в системе и т.п.), оперативно изолировать и ликвидировать выявленные вредоносные программы.Преобразование результатов работы в юридически значимые и неизменяемые форматы данных. AD Enterprise позволяет представлять всю найденную и обработанную информацию в виде специальных неизменяемых кейсов формата AD1, E01 и т.д. Такой формат является обязательным юридическим условием для приобщения информации в качестве доказательств в ходе судебных заседаний.Раскрытие и восстановление паролей. Решение позволяет открывать зашифрованные файлы методом перебора паролей — как прямого, так и с использованием словарей и масок.Оптическое распознавание символов (OCR) и объектов. Технология предоставляет возможность распознавать объекты по преобладанию цветовых тонов и границ предметов, представленных на изображении, а также извлекать оттуда текст.Экспорт цифровых доказательств. За счёт этой функции AD Enterprise способен оформить конечный или промежуточный итог расследования для его сохранения в базе данных.Отчётность. Доступно создание различных отчётов по результатам проделанной работы.Возможность дополнительной интеграции с решениями цифровой криминалистики Belkasoft и Cellebrite для оптимальной работы AD Enterprise с мобильными операционными системами. Архитектура AD EnterpriseAD Enterprise имеет клиент-серверную структуру. Серверная часть отвечает за поиск информации и её последующую обработку, а клиентская — за передачу необходимых данных на сервер. Схематически архитектура изображена на рисунке 2. Рисунок 2. Архитектура AD Enterprise Как видно, серверная часть AD Enterprise собирает (через разные каналы связи) и анализирует необходимую информацию от конечных точек — в том числе внешних, находящихся за пределами корпоративного межсетевого экрана. Таким образом дистанционная передача информации и удалённая работа сотрудников компании не становятся препятствием для проведения полноценного расследования инцидента.Данные поступают в центр от клиентских частей AD Enterprise — агентов. Клиентскую сторону платформы можно интегрировать в рабочие станции сотрудников и другие узлы корпоративной инфраструктуры.AD Enterprise имеет свою внутреннюю базу данных для хранения важной информации в юридически значимых неизменяемых форматах, что позволяет впоследствии использовать её в качестве доказательной основы. Доступ к базе данных возможен только через серверную часть продукта. Установка AD EnterpriseAD Enterprise поддерживает следующие типы операционных систем семейства Windows:Microsoft Windows Server 2016;Microsoft Windows Server 2012 R2;Windows 10;Windows 7.Для того чтобы достичь максимальной производительности решения, вендор рекомендует устанавливать внутреннюю базу данных на отдельный жёсткий диск с достаточным запасом ёмкости, из расчёта в 1 ГБ на каждые 200 000 обнаруженных или обработанных элементов, а также обеспечивать не менее 2 ГБ оперативной памяти на каждое ядро центрального процессора. Минимальный объём ОЗУ составляет 1 ГБ на ядро.Отметим, что AD Enterprise чувствителен к переполнению диска. Если при обработке информации свободное дисковое пространство заканчивается, то существует вероятность повреждения ранее сохранённых данных.Перед инсталляцией решения необходимо выполнить следующие действия:Установить все текущие обновления операционной системы.Отключить встроенный брандмауэр.Отключить усиленную безопасность браузера Internet Explorer.Отключить контроль учётных записей в операционной системе.Отключить контроль антивирусного программного обеспечения.На текущий момент актуальная версия AD Enterprise — 6.5.1.10. Она поддерживает системы управления базами данных (СУБД) Microsoft SQL Server 2012, Microsoft SQL Server 2014 и PostgreSQL 9.6.Благодаря встроенному мастеру установки инсталляция AD Enterprise проста и не требует от пользователя дополнительных специфических знаний. В её ходе можно установить четыре компонента программного комплекса; два из них обязательны (Database Server и Examiner), ещё два — Distributed Processing Manager и Distributed Processing Engine(s) — опциональны. Работа с AD EnterpriseПри первом запуске AD Enterprise необходимо инициализировать базу данных, в которой впоследствии будет храниться вся собранная информация. Затем при появлении запроса нужно создать первого пользователя (администратора) и настроить сертификаты агента. На этом первоначальная настройка решения завершается.При повторном входе в программу AD Enterprise встретит нас стандартным окном аутентификации (рис. 3). Рисунок 3. Форма аутентификации в AD Enterprise После успешной аутентификации мы попадаем в основное окно программы. В нём можно увидеть сведения о базах данных, которые в настоящий момент используются AD Enterprise, и материалы текущих ситуаций (кейсов), содержащие найденную при расследовании информацию.Также в этом окне имеется меню «Database», где можно провести дополнительную настройку прав доступа к текущей базе данных, удалить её или добавить новую. Вкладка меню «Case» позволяет управлять текущими кейсами расследований и создавать новые. На вкладке «Tools» настраивается обработчик заданий и восстанавливаются прерванные процедуры. Вкладка «Manage» даёт возможность настраивать различные общие объекты решения. Поиск информацииДля поиска информации создаём новый кейс, в котором будут обобщены все обнаруженные сведения (рис. 4). Рисунок 4. Создание нового кейса в AD Enterprise После создания кейса открываем его, заходим в меню управления доказательствами («Evidence» -> «Add/Remove») и выбираем необходимый нам тип улик (рис. 5). Помимо основных полей доступны также дополнительные настройки KFF-фильтра и выбор языка, на котором следует искать доказательства. Рисунок 5. Окно управления доказательствами в AD Enterprise Также в меню управления доказательствами есть возможность указать подробные настройки поиска информации (рис. 6). Рисунок 6. Окно с детальными настройками поиска доказательств в AD Enterprise После этого добавляем конечные точки («Evidence» -> «Add Remote Data»), с которых нам необходимо собрать информацию, и задаём тип информации, который нас интересует. Пример показан на рисунке 7. Рисунок 7. Окно с добавлением конечных точек сбора информации в AD Enterprise Подтверждаем указанные данные, и AD Enterprise начинает сбор информации.Все собранные сведения разбиваются на группы по типу представления, что значительно облегчает их восприятие. На рисунке 8 показано общее окно с результатами поиска. Рисунок 8. Результаты поиска информации в AD Enterprise На рисунке 9 показано окно поиска информации с открытой вкладкой «Email», где отображаются найденные электронные сообщения пользователей. Рисунок 9. Окно поиска информации с открытой вкладкой «Email» в AD Enterprise Обработка и анализ информацииAD Enterprise позволяет проводить детальную обработку собранной информации, фильтруя её по заданным параметрам. Например, можно провести фильтрацию по архивным файлам (рис. 10). Рисунок 10. Фильтрация информации по одному параметру в AD Enterprise Возможна и фильтрация сразу по нескольким параметрам. Для этого создаём новый фильтр («Filter» — «New») и указываем все необходимые условия (рис. 11). Рисунок 11. Создание нового фильтра с заданными параметрами в AD Enterprise Среди массива собранной информации могут присутствовать зашифрованные файлы, которые для объективного расследования необходимо открыть и изучить. Для того чтобы провести расшифрование информации, следует в меню «Tools» выбрать команду «Decrypt Files». В параметрах операции можно дополнительно составить словарь комбинаций и масок, которые будут использоваться при подборе пароля. На рисунке 12 показано окно с настройками дешифровки файлов. Рисунок 12. Расшифрование файлов в AD Enterprise Экспорт собранных данных и отчётностьПосле обработки и анализа найденной информации необходимо сохранить полученные результаты. Например, эта функция может пригодиться, если нужно передать сведения другим специалистам в рамках расследования инцидентов.Для экспорта полученных результатов выберем в меню «File» значение «Export». В появившемся окне (рис. 13) укажем данные, которые необходимо экспортировать, и назначим путь для их сохранения. Рисунок 13. Экспорт данных в AD Enterprise Имеется возможность создать отчёты по результатам проделанной работы. Для этого в меню «File» выбираем подменю «Report» (рис. 14), после чего указываем информацию, которую необходимо включить в отчёт, а также путь назначения и формат. Рисунок 14. Создание отчёта в AD Enterprise Также в AD Enterprise доступны функции создания отчёта, в который будут включены все манипуляции с найденной информацией, и экспорта журнала событий (рис. 15). Рисунок 15. Экспорт журнала событий в AD Enterprise ВыводыAD Enterprise является самостоятельным решением для расследования инцидентов информационной безопасности — например, несанкционированного доступа к информации и ресурсам, уничтожения и искажения информации, отказов в обслуживании. Продукт оперативно выделяет нужные сведения благодаря индексированию файлов и встроенным фильтрам, в число которых входит утилита KFF. Анализ информации (в том числе — пользовательской электронной почты и различной браузерной переписки) позволяет выявить источник инцидента, определить группу лиц, участвующих в нём, и роль каждого субъекта в группе.Спектр функций решения весьма обширен, что даёт возможность проводить самостоятельные и объективные расследования в полном объёме, а также оказывать дополнительную помощь силовым структурам. Расследования через AD Enterprise проводятся в рамках одной платформы с применением единой базы данных, что ускоряет работу и значительно снижает вероятность несанкционированного доступа третьих лиц к собранным доказательствам.Информация в базе данных после завершения расследования и закрытия кейса хранится в специальном неизменяемом формате, что позволяет автоматически выполнить основное юридическое требование, необходимое для её предоставления в зале суда в качестве доказательной основы.Встроенное антивирусное программное обеспечение повышает безопасность хранимых данных, а применение технологии Decrypt Files позволяет собирать зашифрованные сведения из Lotus Notes, S/MIME PKCS7, Dropbox, Foxmail, браузеров Chrome и Firefox, BitLocker, EFS, iOS Backup с целью их дальнейшего расшифрования и анализа. Тем самым решение AD Enterprise делает процесс расследования инцидентов более глубоким.Достоинства:Расследование инцидентов в рамках одной платформы с применением единой базы данных, информация в которой хранится в юридически значимом формате.Широкий спектр функций и возможностей для оценки и анализа информации.Гибкая архитектура, обеспечивающая неограниченное масштабирование решения в зависимости от потребностей компании.Высокая скорость поиска информации, а также её обработки и анализа.Проведение совместного параллельного расследования инцидентов в случае привлечения сторонних специалистов.Наличие антивирусного контроля в случае применения дополнительного модуля Cerberus.Наличие функции «Decrypt Files», которая позволяет расшифровывать найденную информацию.Недостатки:Серверная часть продукта поддерживает только операционные системы семейства Windows.Существует вероятность повреждения данных при переполнении жёсткого диска.Нет поддержки русского языка, что в некоторых случаях значительно затрудняет настройку.На момент подготовки обзора отсутствует сертификат ФСТЭК России.Благодарим за консультационную поддержку Андрея Шамовку, специалиста по информационной безопасности в Cross Technologies.

Обзор Efros Access Control Server, программного комплекса для контроля доступа к сетевым устройствам и конечным точкам

Программный комплекс для контроля доступа к сетевым устройствам Efros Access Control Server (ACS), разработанный российской компанией «Газинформсервис», обеспечивает централизованную идентификацию и управление доступом администраторов на сетевых устройствах и конечных точках сети. Он объединяет в себе механизмы аутентификации, авторизации и аудита действий пользователей. В обзоре представлены архитектура, системные требования и основные функциональные возможности продукта, а также рассмотрена работа с ним. ВведениеАрхитектура Efros Access Control ServerОсновные функциональные возможности Efros Access Control ServerСистемные требования и политика лицензирования Efros Access Control ServerРабота с Efros Access Control ServerВыводы ВведениеПри строительстве и эксплуатации сети важно строго контролировать тех, кто имеет доступ к её устройствам. Если сеть мала и число её пользователей невелико, то следить за доступом и безопасностью не составляет труда. Однако в корпоративной сети формата «enterprise» с большим количеством оборудования и администраторов отслеживать вручную, кто к чему имеет доступ, становится невозможно.Каждый системный администратор в идеале должен иметь одну учётную запись для авторизации на всех необходимых ему ресурсах: сетевом оборудовании, серверах, рабочих станциях и т. д. Это связано как с удобством администрирования, так и с безопасностью. Например, в случае увольнения сотрудника можно заблокировать всего одну учётную запись в одном хранилище, и тогда у него пропадёт доступ абсолютно ко всему.В этом случае на помощь приходит механизм AAA (Authentication, Authorization and Accounting), который в соответствии с названием позволяет осуществлять аутентификацию, авторизацию и учёт пользователей, то есть контролировать доступ и записывать производимые действия. В современных сетях используют решения, поддерживающие два основных AAA-протокола: Remote Authentication Dial-In User Service (RADIUS) и Terminal Access Controller Access-Control System Plus (TACACS+). К разработкам этого типа относится, в частности, и рассматриваемый в обзоре Efros ACS.Программный комплекс для контроля доступа к сетевым устройствам и конечным точкам Efros ACS, разработанный российской компанией «Газинформсервис», обеспечивает централизованную сетевую идентификацию и управление доступом администраторов на всех сетевых устройствах. Комплекс объединяет в себе механизмы аутентификации, авторизации и аудита действий пользователей. Мы расскажем о том, как он устроен и работает. Архитектура Efros Access Control ServerПрограммный комплекс Efros ACS состоит из следующих частей:Кросс-платформенный сервер, обрабатывающий всю поступающую информацию и оперирующий подсистемами:управления конфигурацией сервисов протоколов,управления сервисами протоколов,взаимодействия с БД,пользовательского интерфейса,REST-интерфейса,интеграции с Active Directory,интеграции с Efros Config Inspector,интеграции с Ankey SIEM.База данных на СУБД Jatoba, содержащая информацию о пользователях, устройствах, настройках протоколов, параметрах интеграции, записях событий системы.Веб-консоль. Интерфейс позволяет оперировать учётными записями, элементами инфраструктуры, правилами доступа к сетевому оборудованию, настройками системы.Все компоненты Efros ACS устанавливаются на одном сервере. Основные функциональные возможности Efros Access Control ServerКомплекс Efros ACS характеризуется следующими ключевыми возможностями:Поддержка TACACS+ и (или) RADIUS для аутентификации, авторизации и учёта действий пользователей на сетевых устройствах.Централизованное управление учётными данными и настройками.Поддержка внешнего источника учётных записей Active Directory Services.Авторизация сетевых устройств и конечных точек по МАС-адресам.Авторизация устройств по протоколу ЕАР-РЕАР.Гибкая конфигурация службы выполнения команд на активном сетевом оборудовании.Регистрация фактов доступа к активному сетевому оборудованию.Поддержка ролевой модели администраторов комплекса.Объединение сетевых устройств и учётных записей пользователей в группы.Экспорт журналов событий в Ankey SIEM и в виде файлов в формате CSV или XLSX.Получение списка сетевых устройств из ПК Efros Config Inspector.Импорт пользователей активного сетевого оборудования и списка сетевых устройств из Cisco ACS.Регистрация фактов доступа к сетевому оборудованию.Устройства аутентифицируются в зависимости от типа и используемого протокола: активное сетевое оборудование — по IP-адресу учётной записи в Efros ACS, клиентское оборудование — по МАС-адресу учётной записи в Efros ACS или, при использовании технологии ЕАР (протокол 802.x), по учётной записи устройства в контроллере домена сети.Поддержка внешних источников учётных записей Efros ACS позволяет использовать Active Directory в качестве источника информации о пользователях и их группах. На основе данных из Active Directory в интерфейсе Efros ACS можно создавать администраторов или пользователей для доступа к сетевому оборудованию; аналогичным образом доменные группы применяются для создания групп пользователей с определёнными полномочиями. Актуальность информации поддерживается периодической синхронизацией с Active Directory.Для администраторов Efros ACS можно установить одну из следующих ролей:администратор RO — имеет права на доступ в Efros ACS и чтение данных;администратор ACS — обладает полным доступом к Efros ACS.Экспорт событий реализован с помощью отправки запросов к Efros ACS со стороны Ankey SIEM и получения необходимых данных. Также поддерживается экспорт журналов событий в файлы CSV или XLSX. Экспорт событий в SIEM возможен из следующих журналов:TACACS+: «Аутентификация», «Авторизация», «Отчётность».RADIUS: «Аутентификация», «Отчётность».Система: «Все», «Ошибки», «Предупреждения», «Инфо».Централизованное управление ПК Efros ACS осуществляется с помощью единого веб-интерфейса. Системные требования и политика лицензирования Efros Access Control ServerEfros ACS работает под управлением операционной системы Astra Linux Special Edition (релиз «Смоленск» 1.6). На данной операционной системе развёрнуты все компоненты комплекса: СУБД Jatoba, веб-интерфейс, сервер .NET Core, службы TACACS+ и RADIUS.Данные Efros ACS должны храниться во внешней СУБД. В качестве таковой, помимо Jatoba, можно использовать PostgreSQL 9.6.6 (из состава Astra Linux Special Edition версии 1.6). СУБД должна быть установлена локально на сервере Efros ACS.Минимальное аппаратное обеспечение: четырёхъядерный процессор, 16 ГБ оперативной памяти, 60 ГБ дискового пространства, гигабитный сетевой адаптер Integrated Ethernet Card.Efros ACS лицензируется по количеству собственных серверов. Одна машина — один узел, независимо от выполняемых рабочей станцией или сервером функций. Общее количество лицензий должно равняться сумме количества рабочих станций и серверов. Работа с Efros Access Control ServerРабота с Efros ACS начинается с авторизации на устройстве. В веб-браузере необходимо набрать URL сервера. После ввода появляется стартовая страница, на которой можно выбрать тип аутентификации («Локальный пользователь» или «Пользователь Active Directory») для входа в систему. Рисунок 1. Авторизация в Efros ACS После выбора метода аутентификации необходимо ввести учётные данные. В рассматриваемом примере мы используем метод «Локальный пользователь».При входе в систему пользователь попадает на страницу «Мониторинг», на которой отображаются статистическая информация о сервере Efros ACS, пользователях и устройствах, состояние служб и модулей, журнал аварийных сигналов. Рисунок 2. Панель «Мониторинг» в Efros ACS В общем случае интерфейс Efros ACS предоставляет для работы меню, содержащее следующие разделы:«Мониторинг»,«Инфраструктура»,«Учётные записи»,«Политики доступа»,«Журнал событий»,«Настройки системы».На вкладке «Инфраструктура» (подраздел «Сетевое оборудование») отображаются добавленные в базу Efros ACS устройства и их параметры, включая наименование, IP-адрес, тип протокола (TACACS+ или RADIUS), принадлежность к группам. Администратору ACS доступна возможность изменять свойства оборудования. Рисунок 3. Вкладка «Инфраструктура» (подраздел «Сетевое оборудование») в Efros ACS В подразделе «Конечные точки» той же вкладки отображаются добавленные в базу Efros ACS терминалы сети (АРМ, серверы, сетевые принтеры) и их параметры, включая наименование, MAC-адрес (по которому конечная точка идентифицируется), принадлежность к группам устройств. Здесь администратору ACS также доступна возможность изменять свойства оборудования. Рисунок 4. Вкладка «Инфраструктура» (подраздел «Конечные точки») в Efros ACS На вкладке «Учётные записи» отображаются добавленные в базу Efros ACS аккаунты пользователей сети, группы сотрудников, а также учётные записи администраторов Efros ACS. Рисунок 5. Вкладка «Учётные записи» в Efros ACS Рисунок 6. Группы пользователей на вкладке «Учётные записи» в Efros ACS На вкладке «Политики доступа» отображаются созданные правила — наборы команд, которые разрешены или запрещены к выполнению на контролируемом оборудовании. Рисунок 7. Вкладка «Политики доступа» в Efros ACS Для примера создадим политику, разрешающую выполнять групповую трассировку от источников к приёмнику. Основными параметрами политики являются «Действие» (оно может быть в двух состояниях — «разрешено» или «запрещено»), непосредственно команда и её аргументы. Рисунок 8. Создание политики в Efros ACS Как уже говорилось, в Efros ACS осуществляется ведение ряда журналов — по протоколам TACACS+ и RADIUS, а также системных. Администратору доступны различные фильтры для формирования выборок требуемой информации. Журналы можно выгрузить в виде файлов в формате CSV или XLSX. Также информация о событиях может быть передана (в случае интеграции) в Ankey SIEM. Рисунок 9. Журналы событий в Efros ACS В настройках задаются системные параметры, необходимые для работы комплекса Efros ACS, в том числе — управление сертификатами, настройка протоколов, интеграция с системами, настройка внешних источников данных, лицензирование и др. Рисунки 10—12. Вкладка «Настройки» в Efros ACS Администраторам Efros ACS также доступна кнопка «Добавить». С её помощью можно добавлять в Efros ACS пользователей, сетевые устройства, конечные точки и группы. Рисунок 13. Добавление сущностей в Efros ACS Для примера добавим в Efros ACS сетевое устройство Cisco ASA. Напомним, что основными параметрами для сетевых устройств здесь являются IP-адрес, тип протокола (TACACS+ или RADIUS) и принадлежность к группам. Рисунок 14. Создание устройства в Efros ACS Также создадим в Efros ACS конечную точку, основными параметрами которой являются MAC-адрес и принадлежность к группам. Рисунок 15. Создание устройства (конечная точка сети) в Efros ACS Формирование групп пользователей и устройств позволяет достичь максимальной гибкости и упростить процесс внесения изменений в правила безопасности. Для примера добавим группу «Net_security». Рисунок 16. Создание группы устройств в Efros ACS В процессе создания группы можно также добавить в неё существующие в базе Efros ACS устройства. Добавим созданный нами ранее межсетевой экран Cisco ASA. Рисунок 17. Создание группы устройств (добавление существующих устройств в группу) в Efros ACS В качестве демонстрации создадим пользователя Petrov-Demo. Понадобится указать его тип и логин (может быть загружен из Active Directory), задать пароль. Также для учётной записи назначаются различные привилегии. Рисунок 18. Создание пользователя в Efros ACS Кроме того, учётная запись сопоставляется с группами, заведёнными в Efros ACS, для возможности гибкого управления правами (например, применения к пользователю групповых политик). Рисунок 19. Создание пользователя (добавление в группу) в Efros ACS Также к сотруднику можно применить созданные политики — наборы команд, которые ему можно или нельзя будет выполнять на устройствах. Рисунок 20. Создание пользователя (добавление политик доступа — набора команд) в Efros ACS На последнем этапе пользователя сопоставляют с устройствами, на которых ему будет разрешено в дальнейшем работать. Рисунок 21. Создание пользователя (сопоставление пользователя с устройством) в Efros ACS На этом мы завершаем наш обзор и переходим к выводам. ВыводыМы познакомились с программным комплексом Efros ACS, подробно рассмотрели его архитектуру, системные требования и функциональные возможности, а также продемонстрировали работу с продуктом.Efros ACS расширяет безопасный доступ, объединяя аутентификацию, пользовательский и административный доступ и управление политиками на базе централизованной сетевой инфраструктуры идентификации, что обеспечивает дополнительную гибкость и мобильность, повышая уровень безопасности и увеличивая результативность работы пользователей. В Efros ACS выполняются проверка учётных записей, определение состояния хоста и отправка результатов авторизации для каждого пользователя на устройства доступа в сеть. Таким образом, Efros ACS представляет собой мощный набор инструментов, который будет полезен как системным инженерам, работающим с сетевым оборудованием и серверами, так и офицерам безопасности, которым необходимо контролировать выполнение требований ИБ.При помощи Efros ACS администратор может контролировать права доступа в сеть и другие смежные привилегии каждого пользователя, получать учётную информацию о действиях сотрудников в сети.По функциональности Efros ACS не уступает аналогичным системам западных вендоров, поэтому он может стать достойной заменой зарубежным разработкам. Это особенно актуально в связи со сложившейся политической ситуацией в России и стратегией импортозамещения в стране. Отметим, что Efros ACS включён в Единый реестр российских программ для электронных вычислительных машин и баз данных (Приказ Минкомсвязи РФ от 09.06.2020 № 272).Достоинства:Управление авторизацией при администрировании устройств.Одновременная поддержка TACACS+ и RADIUS.Поддержка внешнего источника учётных записей Active Directory Services.Авторизация сетевых устройств и конечных точек по МАС-адресам.Авторизация устройств по протоколу ЕАР-РЕАР.Группировка пользователей и устройств.Дифференцированные уровни доступа для администраторов Efros ACS.Создание политик безопасности на основе запрета или разрешения команд.Отчёты о пользовательском и административном доступе.Возможность интеграции с Ankey SIEM и системой управления конфигурациями Efros Config Inspector.Присутствие в едином реестре российского ПО.Недостатки:Отсутствие некоторых видов ограничения доступа (например, по времени суток или по дням недели).Отсутствие сертификатов соответствия требованиям безопасности ФСТЭК России.Отсутствие поддержки одноразовых паролей (OTP).

Обзор Kaspersky Sandbox — песочницы для обнаружения целенаправленных атак (APT)

Песочница Kaspersky Sandbox от «Лаборатории Касперского» позволяет противостоять целевым кибератакам (APT), выявляя образцы вредоносного кода, недоступные для обнаружения сигнатурными методами. Мы рассмотрели процесс установки программного продукта и работы с ним, а также варианты его использования. ВведениеФункциональные возможности Kaspersky SandboxСхема интеграции Kaspersky SandboxПрограммные и аппаратные требования Kaspersky SandboxУстановка и первоначальная настройка Kaspersky Sandbox5.1. Установка операционной системы и программы Kaspersky Sandbox5.2. Первоначальная настройка Kaspersky SandboxРабота с Kaspersky Sandbox6.1. Локальное подключение6.2. Управление через WEB-интерфейс6.3. Управление через Kaspersky Security CenterВыводы ВведениеСовременные компьютерные атаки совершенствуются и могут привести к серьёзным финансовым и репутационным потерям. Инструменты для создания вредоносных программ стали настолько доступными, что использовать их может даже человек, не обладающий навыками программирования. При этом развивающиеся методы сокрытия инфекций делают традиционные антивирусные решения беспомощными. Подобная активность может быть частью сложной, целенаправленной атаки (Advanced Persistent Threat, APT). Аналитики тратят много времени и сил, анализируя вновь появившуюся вредоносную программу, создают базы индикаторов компрометации (IоC) и антивирусные сигнатуры, что в зависимости от сложности может занимать продолжительное время — в течение которого компании остаются уязвимыми к новой угрозе.Для обнаружения образцов вредоносного кода, не детектируемых сигнатурными методами, существует специализированный класс решений — «песочницы», которые являются частью комплекса технических программно-аппаратных средств, направленных на обнаружение APT-атак. Одним из представителей данного класса является решение Kaspersky Sandbox производства АО «Лаборатория Касперского». Оно позволяет обнаруживать новые виды угроз, проводя анализ поведения программ в изолированной среде, и на основе особых алгоритмов принимать решение о том, является ли исследуемый объект вредоносным, тратя на это около пяти минут. Функциональные возможности Kaspersky SandboxKaspersky Sandbox позволяет блокировать неизвестные и сложные угрозы без привлечения дополнительных ресурсов. В основе его функционирования лежат анализ поведения объекта, сбор и исследование артефактов; если объект выполняет деструктивные действия, он признаётся вредоносной программой. Рисунок 1. Принцип функционирования Kaspersky Sandbox Решение характеризуется следующими возможностями:Работа как на выделенном аппаратном обеспечении, так и в виде виртуальной машины.Использование неинтрузивных методов мониторинга, не оставляющих признаков, которые могли бы быть обнаружены проверяемым объектом.Поддержка виртуальных машин на базе операционной системы Microsoft Windows 7 x64.Создание уникального окружения виртуальной машины в зависимости от типа проверяемого объекта.Эмуляция действий пользователя при проведении анализа.Динамическое изменение окружения исполнения файла в зависимости от его поведения.Ведение кеша вердиктов как на уровне самого решения, так и на уровне агента для рабочих станций.Централизованная управляемость с использованием Kaspersky Security Center.Кластеризация серверов для повышения производительности. Схема интеграции Kaspersky SandboxKaspersky Sandbox может анализировать файлы, получаемые от Kaspersky Endpoint Agent или от сторонних приложений с использованием REST API.Интеграция с SIEM-системами осуществляется через Kaspersky Security Center путём отправки событий в формате CEF по протоколу Syslog. Рисунок 2. Схема интеграции Kaspersky Sandbox Программные и аппаратные требования Kaspersky SandboxКонфигурация серверов Kaspersky Sandbox зависит от объёма данных, обрабатываемых программой, а также от пропускной способности канала связи. Необходимо заметить, что решение не может функционировать на процессорах AMD. Таблица 1. Поддерживаемые конфигурации решения Kaspersky SandboxКонфигурация сервераКоличество рабочих станцийНагрузка при получении по API (объектов в час)Минимальная пропускная способность канала связи (Мбит/c)Процессор: 4 ядра с поддержкой технологии Hyper-Threading (8 потоков), 2,1 ГГц.Объём оперативной памяти: 32 ГБ.Два жёстких диска, объединённые в массив RAID 1:объём: 600 ГБ каждый;скорость вращения: 10 000 об/мин.Два сетевых адаптера со скоростью передачи данных 1 Гбит/с.250755Процессор: 8 ядер с поддержкой технологии Hyper-Threading (16 потоков), 2,2 ГГц.Объём оперативной памяти: 48 ГБ.Жёсткие диски и сетевые адаптеры: аналогично первому варианту.5001506Процессор: 12 ядер с поддержкой технологии Hyper-Threading (24 потока), 2,2 ГГц.Объём оперативной памяти: 64 ГБ.Жёсткие диски и сетевые адаптеры: аналогично первому варианту.7502258Процессор:16 ядер с поддержкой технологии Hyper-Threading (32 потока), 2,2 ГГц;14 ядер с поддержкой технологии Hyper-Threading (28 потоков), 2,6 ГГц.Объём оперативной памяти: 64 ГБ.Жёсткие диски и сетевые адаптеры: аналогично первому варианту.100035092 процессора: 18 ядер с поддержкой технологии Hyper-Threading (72 потока), 2,2 ГГц.Объём оперативной памяти: 196 ГБ.Жёсткие диски и сетевые адаптеры: аналогично первому варианту.500091027 Для развёртывания программы на виртуальной платформе должен быть установлен гипервизор VMware ESXi версии 6.5.0 или 6.7.0. Клонирование виртуальных машин не поддерживается. Установка и первоначальная настройка Kaspersky SandboxВ комплект поставки Kaspersky Sandbox входят:образ диска (файл с расширением iso) с установочными файлами операционной системы CentOS 7.7 и программы Kaspersky Sandbox, а также файл с информацией о стороннем коде, используемом в решении;образ диска (файл с расширением iso) 64-разрядной операционной системы Windows 7 с установленными программами, в которой Kaspersky Sandbox будет запускать исследуемые объекты;установочный файл плагинов управления программами Kaspersky Sandbox и Kaspersky Endpoint Agent через консоль администрирования Kaspersky Security Center.Развёртывание решения осуществляется в два этапа: первый — установка операционной системы и песочницы, второй — первоначальная настройка Kaspersky Sandbox. Установка операционной системы и программы Kaspersky SandboxДля автоматического запуска процесса установки необходимо загрузиться с поставляемого образа диска. Инсталляция осуществляется в интерактивном режиме, о чём сообщается сразу после загрузки. Рисунок 3. Запуск мастера установки Kaspersky Sandbox После приветствия произойдёт проверка аппаратных требований. Если оборудование не подходит, то установщик об этом сообщит и процесс установки прервётся. Рисунок 4. Несоответствие аппаратным требованиям В случае если конфигурация сервера удовлетворительна, установка продолжится. Она схожа с процессом инсталляции операционной системы Linux и состоит из следующих шагов:Ознакомление с лицензионными соглашениями производителей, чьи продукты используются в решении: АО «Лаборатория Касперского», Adobe Inc, Microsoft Corp. Рисунок 5. Лицензионное соглашение с АО «Лаборатория Касперского» Выбор раздела жёсткого диска для установки. В отличие от инсталляции операционной системы Linux, в данном случае нам не предлагают разметить диск самостоятельно. Рисунок 6. Выбор раздела жёсткого диска для установки Kaspersky Sandbox Настройка реквизитов сервера: сетевое имя и IP-адрес интерфейса управления. В роли имени сервера может выступать как NetBIOS-имя, так и полное доменное. По умолчанию используется localhost.При конфигурировании IP-адреса можно задать только статический IPv4-адрес. Настроек использования динамических IP-адресов, IPv6, а также агрегирования каналов во время установки не предполагается. Рисунок 7. Настройка IP-адреса для управления сервером Kaspersky Sandbox Создание системной учётной записи. По умолчанию установщик предлагает учётную запись с именем admin. Именно она будет использоваться для доступа в консоль и веб-интерфейс управления устройством. Также система предъявляет требования к сложности пароля:не менее 8 знаков;как минимум три разных типа знаков: заглавные буквы, строчные буквы, числа, специальные символы;пароль не должен основываться на имени пользователя. Рисунок 8. Создание системной учётной записи После создания учётной записи запустится инсталляционный процесс, по завершении которого веб-интерфейс управления устройством будет доступен по адресу https://ip:8443. Первоначальная настройка Kaspersky SandboxПервоначальная настройка Kaspersky Sandbox осуществляется в веб-интерфейсе управления. Вход в него осуществляется под системной учётной записью, созданной на этапе установки.После входа в интерфейс управления будет запущен мастер первоначальной настройки. Она может проходить как на английском (используется по умолчанию), так и на русском языке и состоит из следующих шагов:Настройка даты и времени. Помимо ручного ввода можно также настроить синхронизацию времени по сети.Загрузка лицензии. В данном интерфейсе присутствует только одна кнопка «Загрузить». Данный шаг не является обязательным, лицензия может быть загружена позже.Настройка DNS-сервера. Здесь — по-прежнему одна кнопка «Добавить». Данный шаг тоже не является обязательным.Настройка подключения к Kaspersky Security Center. Можно ввести только IP-адрес сервера и порт для подключения.Загрузка виртуальной машины. Это, пожалуй, — самый интересный раздел с точки зрения настройки. Виртуальная машина добавляется в виде поставляемого установочного дистрибутива, а не готового образа. Как следствие, после добавления файла происходит установка операционной системы внутри гипервизора, что занимает порядка 40 минут.Помимо создания образа виртуальной машины можно также настроить её взаимодействие с сетью «Интернет». Для этого должен быть выделен особый интерфейс. При таком взаимодействии повышается уровень обнаружения угроз.Выводы по разделу: установка мало чем отличается от инсталляции операционной системы Linux. Производитель максимально упростил процесс, пожертвовав при этом гибкостью настройки. Интерфейс установки — только на английском языке; возврат к предыдущему шагу не предусмотрен, так что при ошибочном вводе приходится перезапускать весь процесс. В ходе первичной инициализации фактически происходит установка виртуальной машины, которая занимает больше времени, чем инсталляция самого продукта. В целом установка происходит без затруднений, а сам процесс настолько упрощён, что с ним справится даже неопытный пользователь. Работа с Kaspersky SandboxДля работы с Kaspersky Sandbox используются:Консоль операционной системы (при подключении локально или по протоколу SSH).Веб-интерфейс (находится на порту 8443 интерфейса управления).Система централизованного управления Kaspersky Security Center.Доступные способы администрирования не заменяют друг друга, а служат для настройки разных параметров. Локальное подключениеПо умолчанию SSH-сервер доступен на 22-м порту интерфейса управления. После ввода учётных данных (заданных при установке) появляется контекстное меню. Настройки SSH-сервера позволяют беспрепятственно строить SSH-туннели, используя сервер Kaspersky Sandbox. Рисунок 9. Контекстное меню настройки Kaspersky Sandbox Через данное меню возможно изменить сетевые параметры, установить обновления, сменить пароль учётной записи администратора, а также перезагрузить или выключить устройство. Управление через веб-интерфейсВеб-интерфейс практически полностью копирует структуру меню первоначальной настройки. Он состоит из следующих разделов:«Мониторинг»,«Обновление баз»,«Сетевые интерфейсы»,«Подключение к KSC [Kaspersky Security Center]»,«Дата и время»,«Виртуальные машины»,«Параметры»,«TLS-сертификаты»,«Управление кластерами».МониторингРаздел служит для просмотра текущего состояния сервера, а также статистики по обработанным объектам. Рисунок 10. Мониторинг сервера Kaspersky Sandbox Структура раздела максимально проста, информация выводится блоками, при этом блоки не интерактивны, т.е. переход в другие меню по нажатию на них не предусмотрен. Статистика обработанных объектов ведётся в штуках, не отображаются ни имена файлов, ни вердикты по ним.Обновление базВ данном разделе выбирается источник обновления Kaspersky Sandbox. В качестве такового могут выступать сервер обновлений «Лаборатории Касперского», сервер KSC или иной источник, доступный по заданному URL-адресу. При необходимости возможно настроить подключение через прокси-сервер. Рисунок 11. Настройка обновления баз Kaspersky Sandbox Сетевые интерфейсыДанный раздел предназначен для определения сетевых параметров административного интерфейса, а также для управления сетевыми маршрутами. Из настроек — только статические IP-адреса, маршруты и DNS-серверы. Учитывая открытость операционной системы, опытный администратор сможет создать любую сетевую конфигурацию. Рисунок 12. Настройка сетевых интерфейсов Kaspersky Sandbox Подключение к Kaspersky Security CenterЕщё один раздел настроек, состоящий из единственного параметра — IP-адреса / имени сервера KSC, который будет управлять работой Kaspersky Sandbox. Рисунок 13. Настройки подключения к Kaspersky Security Center Дата и времяВ полном соответствии с названием в данном разделе можно задать дату и время, а также включить синхронизацию по протоколу NTP. Рисунок 14. Настройка даты и времени в Kaspersky Sandbox Виртуальные машиныЭтот раздел предназначен для добавления виртуальных машин, а также настройки параметров интерфейса в целях их доступа в сеть «Интернет». Конфигурация виртуального окружения не предусмотрена. При этом возможно подключить только одну виртуальную машину — после появления первой кнопка «Добавить» становится неактивной. Рисунок 15. Управление виртуальными машинами в Kaspersky Sandbox ПараметрыВ данном разделе можно управлять лицензией, скачать системный журнал, а также перезагрузить или выключить устройство. Рисунок 16. Раздел «Параметры» в Kaspersky Sandbox TLS-сертификатыЭтот раздел служит для управления TLS-сертификатами, которые применяются при соединении с административным веб-интерфейсом и при подключении агента к серверу Kaspersky Sandbox. По умолчанию используются самоподписанные сертификаты. Рисунок 17. Управление TLS-сертификатами Управление кластерамиДля повышения производительности и отказоустойчивости серверы Kaspersky Sandbox возможно объединять в кластеры. Для добавления узла в кластер необходимо сгенерировать токен, после чего добавить этот токен на другую ноду кластера.В случае если сервер входит в кластер, изменение его IP-адреса и TLS-сертификатов становится невозможным. Рисунок 18. Управление кластерами Kaspersky Sandbox Управление через Kaspersky Security CenterНастройка интеграции агента на рабочей станции производится в Kaspersky Security Center. Для того чтобы в KSC появились соответствующие параметры, необходимо инсталлировать плагин управления Kaspersky Sandbox. Агентское ПО Kaspersky Endpoint Agent должно обязательно быть установлено на рабочей станции: через него осуществляется взаимодействие между платформой Kaspersky Endpoint Protection и решением Kaspersky Sandbox.Для настройки Kaspersky Endpoint Agent необходимо в соответствующей политике указать IP-адрес сервера Kaspersky Sandbox и реакцию на угрозы. Рисунок 19. Параметры интеграции с Kaspersky Sandbox Возможные варианты реакции на угрозы:поместить на карантин и удалить;уведомить пользователя рабочей станции;дать платформе Endpoint Protection команду на проверку критических областей;найти IoC по управляемой группе хостов;поместить на карантин и удалить, когда найден IoC;дать платформе Endpoint Protection команду на проверку критических областей, когда найден IoC. Поиск вредоносных программВ случае обнаружения вредоносной активности Kaspersky Sandbox выполняет указанное в настройках действие. Пример оповещения представлен на рисунке ниже. Рисунок 20. Пример оповещения Kaspersky Sandbox Ещё одним способом использования Kaspersky Sandbox является сканирование файлов, доступных по сети — например, на файловых серверах. Хотя такая функциональность не является штатной, она легко реализуема с применением встроенного REST API.Суть заключается в отправке POST-запросов объектов на анализ. Учитывая открытость операционной системы решения, данные действия можно выполнять непосредственно из самой «песочницы». Рисунок 21. Пример использования REST API Получить вердикт можно при помощи GET-запроса и идентификатора задачи, который возвращается при отправке объекта на анализ. В нашем случае вердикт — FOUND, что означает «файл с вредоносным содержимым».Как правило, на файловых серверах размещается много разнообразных объектов. Производитель заявляет, что поддерживаются следующие типы файлов: PE_EXE, DOC, DOCX, DOTX, DOCM, DOTM, XLS, XLSX, XLTX, XLSM, XLTM, XLAM, XLSB, PPT, PPTX, POTX, PPTM, POTM, PPSX, PPSM, RTF, PDF.Рассмотрим несколько сценариев.Архив Рисунок 22. Результат проверки архива Как и ожидалось, ответ — «Файл не поддерживается».Самораспаковывающийся архив Рисунок 23. Результат проверки архива Несмотря на то, что по формату самораспаковывающийся архив подошёл, его содержимое проверено не было.Файл большого размера Рисунок 24. Результат проверки файла большого размера Ошибка возникает на стадии загрузки. Штатное ограничение на размер проверяемого файла — 60 мегабайт, производитель предусмотрел защиту от перегрузки песочницы. С другой стороны, ненастраиваемый параметр делает возможной доставку вредоносного содержимого в файлах большого размера.Выводы по разделу: позиционирование продукта как полностью автоматической системы, обслуживание которой не требует глубоких знаний в области информационной безопасности и системного администрирования, находит отражение и в настройках. Процесс конфигурирования Kaspersky Sandbox настолько прост, что иногда кажется, будто продукт не заработает. Однако минимализм вносит некоторую нелогичность в меню: когда в разделе присутствует только одно поле, это выглядит странно. В веб-интерфейсе не хватает возможностей по управлению кешем вердиктов и ручной загрузке файлов на проверку; учитывая, что параллельно с проверкой в Kaspersky Sandbox файл исполняется, это было бы актуально. В то же время необходимо отметить наличие полноценного REST API и то, что опытные системные администраторы могут задавать параметры используя встроенные функции операционной системы Linux. Открытость ОС также расширяет возможности по мониторингу системы как с точки зрения подключения к SIEM для сбора и анализа событий информационной безопасности, так и с позиций отслеживания работоспособности при помощи специализированных средств. ВыводыРешение построено на базе современной операционной системы с применением передовых технологий производителя. Kaspersky Sandbox является дополнением к Kaspersky Endpoint Security, которое существенно повышает уровень информационной безопасности компании. В основе его работы лежит анализ поведения объекта для выявления ранее неизвестных угроз, которые не обнаруживаются сигнатурными антивирусами. Архитектура позволяет легко масштабировать решение, увеличивая тем самым не только скорость работы, но и уровень безопасности. Наличие REST API даёт опытным администраторам возможность использовать продукт в разных сценариях: сканирование файловых серверов на наличие файлов, содержащих вредоносные программы; организация файловых перекладчиков из разных сетевых сегментов с проверкой передаваемых объектов; интеграция с другими продуктами, в функциональности которых есть передача файлов.Достоинства:Возможность работы в среде виртуализации, в облачной инфраструктуре.Наличие агентов для рабочих станций, что обеспечивает доставку на проверку объектов, копируемых с портативных устройств (например, USB-носителей), а также доставляемых «невидимыми» для сетевых песочниц методами (кодирование передаваемого объекта, передача частями).Наличие REST API, благодаря чему Kaspersky Sandbox можно использовать в различных сценариях обеспечения информационной безопасности.Ведение кеша вердиктов — если переданный файл уже проверялся, то вердикт будет вынесен на основании хеш-суммы без проведения динамического анализа, что уменьшает нагрузку на сервер и увеличивает скорость реакции на угрозы.Открытость операционной системы продукта позволяет настраивать его под любую инфраструктуру и задачи.Простота управления — для использования решения не нужны специальные знания в области информационной безопасности.Возможность обеспечения антивирусной защиты рабочих станций, на которых применение традиционных средств борьбы с вредоносными программами не представляется возможным.Недостатки:Интеграция только с антивирусами под управлением операционной системы Windows — соответствующая возможность для Linux отсутствует.Эмуляция только одного типа операционной системы — в качестве среды для анализа используется виртуальная машина на базе Windows 7 x64, возможность загрузки других образов отсутствует.Параллельно с анализом происходит исполнение файла: после того как объект отправится на анализ, произойдёт его запуск на рабочей машине. Это предотвратит распространение файла по сети, но первая машина может пострадать. В решении Kaspersky Endpoint Security имеются механизмы, позволяющие задержать выполнение файла или откатить изменения, сделанные вредоносной программой, но они не всегда могут помочь.Не поддерживается проверка архивов — в случае использования REST API необходимо самостоятельно распаковать архив и отправить файлы поштучно, что усложняет процесс интеграции с Kaspersky Sandbox.

Обзор ESET Secure Authentication 3.0, средства двухфакторной аутентификации для доступа к корпоративным ресурсам

Компания ESET обновила своё решение Secure Authentication (ESA), обеспечивающее безопасный доступ к корпоративным ресурсам за счёт применения различных методов двухфакторной аутентификации (2FA) при удалённом подключении к ним. В обзоре мы рассмотрим, что представляет собой версия 3.0, начиная от её установки и заканчивая эксплуатацией. ВведениеОписание ESET Secure Authentication 3.0Архитектура ESET Secure Authentication 3.0Ключевые преимуществаСистемные требования и поддерживаемые платформыФункциональные возможности ESET Secure Authentication 3.0Работа с ESET Secure Authentication 3.07.1. Установка серверной части ESET Secure Authentication 3.07.2. Установка клиентской части ESET Secure Authentication 3.07.3. Настройка серверной части ESET Secure Authentication 3.07.4. Настройка клиентской части ESET Secure Authentication 3.07.5. Применение ESET Secure Authentication 3.0Выводы ВведениеВ последнее время становится актуальным обеспечение защищённого доступа к корпоративным ресурсам при удалённой работе. Количество случаев, когда требуется труд в дистанционном режиме, растёт; следовательно, появляется необходимость обезопасить доступ к информационным активам компании извне. При этом упомянутые случаи могут быть разными, охватывая подключение и сотрудников, работающих вне офиса, и представителей сторонних организаций — подрядчиков, и специалистов аутсорсинговых фирм, занимающихся обслуживанием инфраструктуры. Кроме того, данная тема, конечно же, становится крайне важной в период пандемии COVID-19, когда большая часть сотрудников работает удалённо из дома.Следовательно, процесс подключения к корпоративным ресурсам должен быть, с одной стороны, достаточно простым, чтобы не вызывать трудностей у пользователей различного уровня компьютерной грамотности, а с другой стороны — совершенно безопасным. Эти критериям соответствует, в частности, механизм двухфакторной аутентификации (Two-Factor Authentication, 2FA). Одним из способов реализовать его в корпоративной среде является разработка ESET под названием Secure Authentication.Решение от ESET предлагает, помимо классической отправки одноразовых паролей, применение аппаратных токенов, пуш-аутентификацию на мобильном устройстве, отправку пароля по электронной почте или через другие приложения. Кроме того, когда пользователь получает пуш-уведомление на мобильное устройство или смарт-часы, в сообщении указывается, с какого IP-адреса производится подключение к ресурсам. Соответственно, сотрудник может как одобрить аутентификацию, так и отклонить её в том случае, если IP-адрес окажется чужим или подозрительным.Ранее мы уже рассматривали предыдущую сборку решения ESET Secure Authentication 2.8 в материале «Обзор ESET Secure Authentication, системы двухфакторной аутентификации». В этом обзоре речь пойдёт главным образом о нескольких интересных нововведениях, которые появились в версии 3.0. Описание ESET Secure Authentication 3.0Решение ESET Secure Authentication 3.0 (далее — «ESA 3.0») предоставляет возможность обеспечить защищённый доступ к корпоративным ресурсам с использованием двухфакторной аутентификации локально либо через интеграцию с Microsoft Active Directory. В дополнение к первому фактору — логину и паролю — продукт предлагает на выбор несколько вариантов второго фактора: отправку временного пароля по SMS на мобильное устройство или смарт-часы, использование аппаратных токенов, отправку пароля по электронной почте, пуш-аутентификацию. Также есть возможность внести доверенные рабочие станции пользователей в списки исключений, позволяя им подключаться к корпоративным ресурсам только по логину и паролю.Данное решение будет интересно заказчикам, у которых особенности инфраструктуры либо рабочего процесса предполагают регулярные подключения извне офиса со стороны сотрудников, находящихся в командировке или работающих из дома. Также это решение можно рассмотреть, к примеру, при необходимости организовать безопасный доступ сотрудников подрядной организации к удалённому рабочему месту, через которое осуществляется обслуживание инфраструктуры.Решение лицензируется по количеству пользователей. Минимально возможное количество пользователей в лицензии не может быть меньше 5-ти. Лицензию можно приобрести на срок от 1 года до 3 лет. Сам сервер аутентификации поддерживает только английский язык; мобильное приложение для работы с пуш-аутентификацией доступно на английском, немецком, русском, французском, испанском и словацком языках. На момент публикации обзора нет информации о наличии у ESA 3.0 российских сертификатов безопасности. Архитектура ESET Secure Authentication 3.0ESA 3.0 состоит из серверной и клиентской частей. К первой относится сервер аутентификации, который можно установить в среде Active Directory либо в автономном режиме. Дополнительно доступны модуль отчётности на базе Elasticsearch и другие компоненты, которые будут перечислены ниже. Клиентская часть представляет собой мобильное программное обеспечение для операционных систем iOS, Android или Windows Phone. Мобильное приложение понадобится для использования пуш-аутентификации и получения одноразовых паролей.В состав решения ESA 3.0 входят следующие компоненты:модуль ESA Web Application,модуль ESA Remote Desktop,модуль ESA Windows Login,сервер ESA RADIUS Server,служба ESA Authentication Service,модуль ESA Management Tools.При развёртывании последнего из перечисленных модулей возможны два сценария.В случае установки ESA 3.0 в среде Active Directory потребуется инсталляция следующих компонентов:модуля управления пользователями ESA User Management,консоли управления ESA Management Console,консоли ESA Web Console.В случае установки ESA 3.0 в режиме отдельного сервера потребуется инсталляция только компонента ESA Web Console. Таблица 1. Описание основных компонентов серверной частиНаименование компонентаНазначение компонентаESA Web ApplicationДвухфакторная аутентификация в различных веб-приложениях Microsoft (Microsoft Web Applications).ESA Remote DesktopДвухфакторная аутентификация для протокола удалённого рабочего стола (Remote Desktop Protocol).ESA Windows LoginДвухфакторная аутентификация для компьютеров с ОС Windows.ESA RADIUS ServerДвухфакторная аутентификация в VPN с использованием RADIUS-сервера.ESA Authentication ServiceОсновной модуль системы. Позволяет добавлять двухфакторную аутентификацию в различные приложения и сервисы.ESA Management ToolsУправление пользователями, настройка продукта и его компонентов.ESA User Management для ADUCУправление пользователями в Active Directory Users and Computers (ADUC).ESA Management ConsoleУправление ESET Secure Authentication и его компонентами при интеграции сервера аутентификации в среду Active Directory.ESA Web ConsoleНастройка ESET Secure Authentication и управление пользователями через веб-консоль.Модуль отчётности (Elasticsearch)Просмотр отчётов в веб‑консоли ESET Secure Authentication.Active Directory Federation Services (AD FS) ProtectionОбеспечение двухфакторной аутентификации при интеграции в среду Active Directory.Identity Providers Protection (SAML)Обеспечение двухфакторной аутентификации при взаимодействии с поставщиками удостоверений, которые используют стандарт SAML. Рисунок 1. Схема работы решения ESA 3.0 Ключевые преимуществаК ключевым преимуществам решения ESA 3.0 можно отнести следующие возможности, отличающие его от других разработок подобного типа:Поддержка аппаратных токенов, работающих по стандартам ОАuth (Open Authentication), НОТР (HMAC-based One-Time Password algorithm) и ТОТР (Time-based One-Time Password algorithm).Возможность создать список исключений в виде IP-адресов или их диапазонов, для которых временный пароль запрашиваться не будет.Поддержка встроенной биометрии iOS и Android для защиты мобильного приложения.Наличие пуш-аутентификации через мобильное приложение для iOS или Android.Широкие возможности по интеграции решения с различными программными и аппаратными платформами.Решение ESA 3.0 — полностью программное. Системные требования и поддерживаемые платформыНиже, в табл. 2, перечислены поддерживаемые операционные системы для работы серверной и клиентской частей ESA 3.0, а также рабочей станции пользователя. Таблица 2. Системные требования для серверной и клиентской частейНаименование компонентаПоддерживаемые операционные системыСерверная частьESET Secure Authentication 3.0Windows Server 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 / 2019; Windows Small Business Server 2008 / 2011; Windows Server 2012 Essentials / 2012 R2 Essentials / 2016 Essentials / 2019 Essentials.Клиентская частьESET Secure Authentication 3.0iOS 9 и выше; Android 4.1 и выше; Windows Phone 8.1 и выше.Рабочая станция пользователяWindows 7 / 8 / 8.1 / 10 В серверную часть помимо сервера аутентификации входят также и другие компоненты. Системные требования для них представлены в табл. 3. Таблица 3. Системные требования для компонентов серверной частиНаименование компонентаСистемные требованияESA Authentication ServiceWindows Server 2008 и выше; .NET Framework версии 4.5 и выше.Модуль отчётности (Elasticsearch)Server JRE (Java SE Runtime Environment) версии 1.8.0_131 и выше; Java SE 11 или OpenJDK 11 / 13; .NET Framework версии 4.7.2.ESA Web ApplicationWindows Server 2008 и выше либо Windows 7 и выше; .NET Framework версии 4.5; Internet Information Services 7 и выше.Веб-консоль ESET Secure AuthenticationMicrosoft Internet Explorer 11; последние версии Google Chrome, Mozilla Firefox, Microsoft Edge, Safari.ESA Remote Desktop Windows Server 2008 R2 и выше либо Windows 7 и выше. Поддерживаются только 64-разрядные операционные системы.ESA Windows Login Windows 7/ 8 / 8.1 / 10; Windows Server 2008 R2 и выше; .NET Framework версии 4.5.ESA RADIUS ServerWindows Server 2008 и выше; .NET Framework версии 4.5.ESA Authentication ServiceWindows Server 2008 и выше; .NET Framework версии 4.5.ESA Management Tools Windows 7 и выше; Windows Server 2008 R2 и выше; .NET Framework версии 3.5; Windows Remote Server Administration Tools; компонент Active Directory Domain Services.Модуль AD FS 3.0 или 4.0Windows Server 2012 R2.База данных при установке сервера аутентификации в автономном режимеMicrosoft SQL / Microsoft SQL Express 2012 (11.0.2100.60); PostgreSQL 9.4.24 Функциональные возможности ESET Secure Authentication 3.0Решение ESET Secure Authentication 3.0 предлагает следующие функциональные возможности:Безопасный и удобный доступ к VPN.Защищённый удалённый доступ к корпоративным ресурсам.Дополнительная защита при входе в операционную систему Microsoft Windows.Двухфакторная аутентификация между любой облачной службой (поставщиком услуг) и поставщиками удостоверений, использующих стандарт SAML.Двухфакторная аутентификация для доступа к облачным сервисам (Office 365, Google Apps, Dropbox и другие), веб-приложениям Microsoft (Exchange, Outlook Web Access / Outlook Web App, Dynamics CRM, SharePoint / SharePoint Foundation, Remote Web Access / Remote Desktop Web Access, Terminal Services Web Access), а также при использовании VPN в средствах коммутации и сетевой защиты (Barracuda, Cisco ASA, Citrix Access Gateway, Citrix NetScaler, Check Point Software, Cyberoam, F5 FirePass, Fortinet FortiGate, Juniper, Palo Alto, SonicWall) и применении VDI-решений VMware Horizon View и Citrix XenApp.Обеспечение защищённого доступа к ресурсам системы 1С.Применение различных методов аутентификации: одноразовый пароль, высылаемый через мобильное приложение; пуш-аутентификация; одноразовый пароль, высылаемый через SMS; аппаратные токены; другие каналы передачи паролей (например, электронная почта). Работа с ESET Secure Authentication 3.0Установка серверной части ESET Secure Authentication 3.0Для начала корректной работы системы необходимо установить как минимум один экземпляр сервера аутентификации (Authentication Server) и как минимум одну конечную точку аутентификации (API, Windows Login, Web Application, Remote Desktop, RADIUS и т. д.).Все модули могут быть установлены на один сервер либо на несколько, в том числе — в распределённой среде. Исключением является веб-консоль ESA, которая устанавливается вместе с сервером аутентификации.Если был выбран вариант инсталляции в среде Active Directory, то нет необходимости обязательно размещать серверную часть на контроллере домена: можно установить её на любой другой сервер даже в автономном режиме.Ниже описан стандартный сценарий установки в автономном режиме.После запуска файла с установщиком сначала появится окно с текстом лицензионного соглашения. Рисунок 2. Лицензионное соглашение ESET Secure Authentication 3.0 После нажатия кнопки «I accept» появится окно с выбором варианта установки: «Active Directory Integration» (в среде Active Directory) или «Standalone» (в автономном режиме). Рисунок 3. Окно выбора варианта установки После выбора режима «Standalone» происходит предварительная проверка возможности установки системы. Рисунок 4. Проверка возможности установки необходимых компонентов Далее откроется окно с возможностью выбора устанавливаемых компонентов (рис. 5). Будут доступны модули из категорий «Core Components» (основные компоненты), «Local Login Protection» (защита локального входа), «Remote Login Protection» (защита удалённого доступа), «Web Application Protection» (защита веб-приложений), «Active Directory Federation Services (AD FS) Protection» (защита при доступе в Active Directory), «Identity Providers Protection (SAML)» (защита при взаимодействии с поставщиками удостоверений, использующих стандарт SAML). Рисунок 5. Окно выбора необходимых компонентов системы После выбора компонентов и нажатия на кнопку «Next» понадобится произвести конфигурирование ряда устанавливаемых модулей. Этап установки дополнительных настроек для взаимодействия с локальной базой данных изображён на рис. 6; этап установки логина и пароля для консоли Web Console — на рис. 7; та же процедура для модуля отчётности Reporting Engine (Elasticsearch) — на рис. 8. Рисунок 6. Этап настройки взаимодействия с локальной базой данных Рисунок 7. Окно установки необходимых параметров для Web Console Рисунок 8. Окно установки необходимых параметров для Reporting Engine После конфигурирования начнётся этап проверки условий, необходимых для установки. При наличии конкретных проблем, мешающих инсталляции отдельных компонентов, появится окно с перечнем тех условий, которые не соблюдены. Рисунок 9. Этап проверки необходимых условий По устранении всех проблем установка компонентов продолжится. После появления финального сообщения о завершении инсталляции можно приступать к использованию серверной части ESA 3.0. Установка клиентской части ESET Secure Authentication 3.0Для полноценного функционирования системы помимо серверной части необходимо установить и клиентскую. Если взять в качестве примера мобильное приложение ESET Secure Authentication для смартфонов под управлением операционной системы Android, то процесс будет прост: необходимо зайти в магазин приложений Google Play, а затем найти и скачать приложение ESET Secure Authentication. Рисунок 10. Этап выбора приложения ESET Secure Authentication для установки После стандартной установки мобильного приложения можно начинать пользоваться клиентской частью ESA. Настройка серверной части ESET Secure Authentication 3.0Все основные операции по настройке компонентов системы ESA 3.0 выполняются в консоли ESA Web Console, вход в которую осуществляется через браузер. При запуске ESA Web Console появится окно, где необходимо ввести данные для аутентификации. Рисунок 11. Процесс авторизации в консоли ESA Web Console После успешной аутентификации откроется главное окно консоли (рис. 12). В нём размещена информация о пользователях, составе компонентов, лицензиях, версии программного обеспечения и о серверах ESA 3.0, а также отображаются различные уведомления. Рисунок 12. Главное окно консоли ESA Web Console Операции по конфигурированию компонентов ESA 3.0 осуществляются в разделе «Settings».Для того чтобы установить лицензию для системы, необходимо выбрать строку «License». Перейдя в соответствующий раздел, можно установить лицензию введя её номер либо воспользовавшись возможностями ESET Business Account. Рисунок 13. Установка лицензии для ESA 3.0 Какие ещё возможности есть в разделе «Settings»?В подразделе «Console Administrators» можно управлять учётными записями администраторов системы. Рисунок 14. Управление учётными записями администраторов Управление учётными данными API осуществляется в подсекции «API Credentials». Подраздел «Mobile Application» позволяет настраивать возможности мобильного приложения ESET Secure Authentication, используемого для применения двухфакторной аутентификации (рис. 15). Рисунок 15. Настройка возможностей мобильного приложения Управление списками исключений производится в подсекции «IP Whitelisting». Рисунок 16. Управление списками в разделе IP Whitelisting Подраздел «Default Fields» предназначен для настройки отображения полей по умолчанию. Сектор «Delivery Options» позволяет выбрать способы доставки одноразовых паролей или уведомлений. Управление способами аутентификации осуществляется в подразделе «Enrollment» (рис. 17). Рисунок 17. Управление способами аутентификации При наличии установленного модуля Elasticsearch подраздел «Reports» позволяет управлять параметрами доступа к нему. Подсекция «FIDO» понадобится для настройки правил использования одноимённого аутентификатора. Указать реквизиты SMTP-сервера, обеспечивающего отправку электронных писем, можно в подразделе «SMTP Server». Сектор «Notifications» отвечает за отправку уведомлений. В группе настроек «Export Data» указываются сведения о базе данных для экспорта сведений из неё. Настройка клиентской части ESET Secure Authentication 3.0Для настройки клиентской части необходимо запустить на смартфоне ранее установленное мобильное приложение ESET Secure Authentication. При загрузке приложения сначала будет показано лицензионное соглашение. Рисунок 18. Просмотр лицензионного соглашения После того как оно будет принято, понадобится задать PIN-код (рис. 19) и установить дополнительную защиту приложения с использованием встроенной биометрической системы смартфона (рис. 20), если такая функциональность поддерживается мобильным устройством. Рисунок 19. Установка PIN-кода для входа в приложение Рисунок 20. Установка аутентификации по отпечатку пальца Применение ESET Secure Authentication 3.0Для выполнения всех основных операций по управлению системой предназначены вкладки с левой стороны консоли. Вкладка «Users» служит для администрирования учётных записей пользователей. Через секцию «Components» можно управлять компонентами системы и конечными точками, в том числе — создавать приглашения для новых терминалов. Для работы с аппаратными токенами предназначен раздел «Hard Tokens». На вкладке «Reports» можно просматривать отчёты и диаграммы.Далее мы рассмотрим содержимое всех этих вкладок более подробно и попробуем осуществить подключение к серверу с помощью двухфакторной аутентификации.Обзор основных разделов консолиНа вкладке «Users» (рис. 21) можно управлять областями («Realms»), т. е. типами пользователей. Также появление новых областей будет происходить автоматически при успешном добавлении сотрудников через приглашения. Правая часть раздела отводится под администрирование учётных записей. Можно создавать новых пользователей, устанавливать их имена, адреса электронной почты, номера телефонов, которые будут использоваться в процессе двухфакторной аутентификации. Помимо этого каждому пользователю можно задавать доступные методы удостоверения личности. Здесь же есть функциональность, позволяющая отправлять коллегам ссылки на скачивание мобильного приложения либо QR-коды с информацией для подключения. Рисунок 21. Содержимое вкладки «Users» С помощью вкладки «Components» (рис. 22), как уже говорилось выше, можно управлять установленными компонентами ESA 3.0, а также приглашениями («Invitations») для конечных устройств пользователей. Рисунок 22. Содержимое вкладки «Components» Возможности вкладки «Hard Tokens» (рис. 23) будут полезны при использовании аппаратных токенов для двухфакторной аутентификации. В окне раздела размещается информация по используемым токенам, включая серийные номера, модели, типы аутентификации (HOTP, TOTP) и другие данные. Информацию по токенам можно загружать в систему через файл формата PSKC. ESA 3.0 поддерживает все совместимые с OAuth аппаратные токены. Рисунок 23. Содержимое вкладки «Hard Tokens» Для работы с отчётностью применяется вкладка «Reports». Данный раздел использует возможности модуля Elasticsearch и позволяет отображать информацию о событиях в виде графиков, диаграмм и таблиц. Также применяется цветовая индикация компонентов системы. Доступна фильтрация данных для более удобной работы с ними. Также есть возможность экспортировать сведения в виде отчёта. Пример отображения показан на рис. 24. Рисунок 24. Содержимое вкладки «Reports» Проверка подключения к серверу с помощью модуля Remote Desktop ProtectionДалее мы проверим работу двухфакторной аутентификации на примере подключения к серверу через модуль Remote Desktop Protection, используя мобильное приложение.Для начала необходимо перейти на вкладку «Users» и создать в поле «Realms» новую область (рис. 25). Рисунок 25. Создание новой области Затем переходим на новую область и создаём нового пользователя. Рисунок 26. Создание нового пользователя Выбираются методы аутентификации «Mobile Application OTP» (отправка одноразового пароля через мобильное приложение) и «Mobile Application Push» (уведомление в мобильном приложении); далее через кнопку «Actions» необходимо выбрать команду «Send Application», чтобы отправить пользователю ссылку на загрузку приложения с установленными параметрами или QR-код для сканирования через ранее установленное приложение. В нашем случае мы воспользуемся QR-кодом (рис. 27). Рисунок 27. Изображение QR-кода В мобильном приложении выбираем команду добавления новой учётной записи («Add Account») и сканируем полученный QR-код. Рисунок 28. Добавление учётной записи в мобильном приложении После этой операции новая учётная запись будет добавлена в приложение. Рисунок 29. Новая учётная запись в мобильном приложении Далее следует вернуться в консоль ESA Web Console и перейти на вкладку «Components». В данном разделе создаём новое приглашение («Create invitation»), устанавливаем название и срок его действия. Подробности нового приглашения показаны на рис. 30. Рисунок 30. Подробности нового приглашения На следующем этапе необходимо установить подключаемый модуль удалённого рабочего стола. Для этого понадобится запустить установочный файл на конечном устройстве, с которого будет осуществляться удалённое подключение к серверу. На этапе выбора компонентов отмечаем только модуль Remote Desktop. Рисунок 31. Выбор подключаемого модуля Remote Desktop Далее следует ввести данные для доступа к серверу аутентификации ESA 3.0, которые были получены ранее в приглашении. Рисунок 32. Установка параметров для доступа к серверу аутентификации Теперь можно попробовать подключиться через удалённый рабочий стол к серверу. После ввода аутентификационной информации и подключения появится окно с информацией о том, что пуш-уведомление было отправлено на смартфон пользователя и для доступа необходимо принять приглашение. Рисунок 33. Окно с информацией для получения доступа Одновременно с этим на смартфон поступило то самое уведомление с запросом на подключение (рис. 34), который можно либо одобрить, либо отклонить. Рисунок 34. Пуш-уведомление на мобильном устройстве После подтверждения запроса подключение к серверу будет успешно осуществлено. ВыводыПо сравнению с предыдущей версией 2.8 у сборки 3.0 появился ряд любопытных нововведений. Из интересного можно выделить добавление функции дополнительной биометрической защиты мобильного приложения с помощью встроенных датчиков устройства, обогащение пуш-уведомления информацией о местоположении конечной точки, поддержку новых операционных систем, расширение списка сервисов и приложений, с которыми возможна интеграция.Преимуществами продукта по прежнему остались программное исполнение, отсутствие завышенных требований к аппаратному обеспечению для установки компонентов системы, наличие нескольких видов аутентификации, поддержка аппаратных токенов, простота и быстрота развёртывания системы, интеграция с большим количеством продуктов и сервисов, удобство работы для пользователей. Также отметим наличие подробного руководства на русском языке. Гибкая лицензионная политика с возможностью покупки лицензий уже от 5 рабочих мест позволяет рассматривать данное решение организациям любого масштаба.Однако, к сожалению, сохранились и «минусы»: нехватка русской локализации серверной части и отсутствие российских сертификатов соответствия требованиям, предъявляемым к средствам защиты информации.Резюмируя, следует сказать, что ESET Secure Authentication 3.0 является вполне удобным и доступным для большинства заказчиков решением, функциональность которого обеспечивает простую и надёжную двухфакторную аутентификацию для решения большого количества практических задач.

Обзор Orange Internet Umbrella, сервиса защиты от DDoS-атак

Internet Umbrella от компании Orange Business Services является сервисом, который позволяет противостоять DDoS-атакам. В его основу положено решение Arbor Sightline TMS компании Netscout (Arbor Networks), что даёт возможность эффективно защитить клиентский IPv4- / IPv6-трафик от множества типов DDoS-атак и проводить необходимое масштабирование сервиса для эффективного достижения поставленных целей. Автоматическая аналитика и мониторинг поступающего трафика обеспечивают оперативное реагирование на угрозы, а круглосуточная выделенная смена ИБ-специалистов Orange Business Services непрерывно контролирует эффективность противодействия инцидентам и осуществляет техническую поддержку. ВведениеАктуальные тенденцииАрхитектура Orange Internet UmbrellaОсобенности сервиса Orange Internet UmbrellaТестирование сервиса Orange Internet Umbrella5.1. Регистрация в сервисе5.2. Проведение тестирования5.3. Ликвидация и смягчение выявленных DDoS-атак5.4. Итоги тестированияВыводы ВведениеВ современных реалиях исполнение DDoS-атак становится всё сложнее — как по реализации самих нападений, так и по выбору конечных целей. Множество исследований указывают на то, что рост пропускной способности каналов связи и производительности сетевого оборудования влекут за собой ежегодное увеличение в геометрической прогрессии интенсивности, мощности и сложности таких типов атак.Специалисты Orange Business Services в своём блоге отмечают, что в результате DDoS-атак по всему миру примерно 12 % компаний теряют более 1 млн долларов США в час, порядка 77 % российских предприятий несколько раз в год подвергаются подобным кибернападениям, а 37 % из них — четыре и более раз. Также отмечается неуклонный рост доли DDoS-атак, которые используются в качестве отвлекающего манёвра от основного вредоносного воздействия на сетевое оборудование компании, и частоты их включения в состав сложных и многоступенчатых киберопераций злоумышленников.Кажущаяся на первый взгляд простота DDoS-атак на самом деле скрывает в себе большой потенциал для преступников. Например, проведение такой атаки на корневые сетевые серверы компании-цели может привести к отказу в обслуживании множества промышленных сегментов её сети, что непременно повлечёт за собой нарушение и остановку производственных и бизнес-процессов. Если же подумать более масштабно, то успешные DDoS-атаки на крупные корневые DNS-концентраторы могут нарушить адресацию в больших сегментах интернета, и последствия этого сейчас будет тяжело спрогнозировать. Единственное, что можно отметить, — это то, что потребуется большое количество финансовых и временных ресурсов для восстановления работоспособности оборудования, а самое главное — компания понесёт трудно восполняемые репутационные потери.Более подробно о различных видах DDoS-атак и их классификации можно узнать в наших ранее опубликованных статьях «DDoS-атака (Distributed Denial of Service)» и «Что собой представляет DDoS-атака». Актуальные тенденцииНаиболее остро необходимость защиты от DDoS-атак всё мировое сообщество ощутило в связи с недавно произошедшим глобальным событием, а именно — распространением по всему миру коронавирусной инфекции COVID-19. Подавляющая часть работодателей перевела своих сотрудников на удалённый режим работы и начала предоставлять услуги только в онлайн-режиме, а обыденная жизнь граждан по всему миру полностью перешла в интернет. Это событие не могло не отразиться и на конечных целях DDoS-атак.Согласно отчёту аналитического центра «Лаборатории Касперского» в первом квартале 2020 года основными целями DDoS-атак стали сайты медицинских компаний и служб доставки, а также игровые и образовательные платформы. Если же говорить о количественных и качественных показателях DDoS-атак, то по всем параметрам наблюдается их стабильный рост. Так, например, общее количество атак по отношению к предыдущему отчётному периоду увеличилось на 100 %. Атаки стали длительнее, наблюдается явный рост как средней, так и максимальной их продолжительности.Если же говорить без привязки к сложившейся ситуации, то необходимость защиты от DDoS-атак актуальна для каждой компании, которая осуществляет свою деятельность используя сеть «Интернет». Дополнительными и весомыми аргументами в пользу применения средств защиты служат наличие и обработка внутри компании критически важной клиентской и собственной конфиденциальной информации, а также наличие значимых и непрерывных бизнес-процессов, приостановка которых — даже на незначительное время — может негативно повлиять на компанию в целом. В большинстве своём к таким компаниям можно отнести:финансовые учреждения и предоставляемые ими сервисы, в том числе и криптовалютные биржи,страховые компании,правительственные учреждения и госкомпании,производственный и энергетический секторы,компании жилищно-коммунального хозяйства,IT- и телеком-компании,медицинские организации,ритейл.Сервис Internet Umbrella, о котором мы сегодня будем рассказывать, является средством защиты от DDoS-атак. Он полностью функционирует на стороне компании-провайдера Orange Business Services и базируется на платформе оборудования Netscout / Arbor Networks. Настройка Internet Umbrella осуществляется ИБ-специалистами Orange Business Services в соответствии с требованиями политики безопасности компании-заказчика.Сервис проводит постоянный мониторинг входящего трафика; в случае обнаружения атаки весь поток данных перенаправляется в центр очистки, который блокирует вредоносные пакеты по многочисленным алгоритмам, и на сторону клиента идёт только легитимный и очищенный трафик. Мониторинг осуществляется в круглосуточном режиме, а специалисты Orange Business Services в случае необходимости могут своевременно вносить поправки в процесс защиты для достижения наиболее эффективных результатов. Архитектура Orange Internet UmbrellaCервис Orange Internet Umbrella разворачивается и функционирует только на мощностях компании Orange Business Services. В основе сервиса лежит решение Arbor Sightline TMS от компании Arbor Networks. В силу этого Orange Internet Umbrella имеет централизованную архитектуру, которая легко масштабируется в зависимости от поставленных задач. Архитектура сервиса Orange Internet Umbrella представлена на рис. 1. Рисунок 1. Архитектура Orange Internet Umbrella Принцип работы сервиса Internet Umbrella заключается в том, что весь входящий трафик, который направляется на узел компании-заказчика, предварительно проходит через сервер Orange Business Services. Регистрируемые показатели сравниваются с параметрами стандартного легитимного трафика, который принят за шаблон (базовую модель). Если в потоке данных нет аномалий, то он напрямую поступает клиенту сервиса; при обнаружении DDoS-атаки сервис Internet Umbrella перенаправляет трафик на центр очистки, где отфильтровываются пакеты, не удовлетворяющие установленным параметрам и требованиям политики безопасности компании-заказчика. В случае если обнаружена DDoS-атака низкой мощности (до 10 Гбит/с), сервис перенаправляет весь входящий трафик на московский центр очистки. Если же мощность превышает 10 Гбит/с, подключается центр очистки во Франкфурте с перенаправлением через Европу. При этом доступ к веб-сервисам и веб-приложениям клиента сохраняется. После завершения DDoS-атаки поток данных вновь маршрутизируется через Россию, а задержка трафика возвращается к своему нормальному значению.Дополнительно к этому ИБ-специалисты Orange Business Services ведут непрерывный контроль качества процесса фильтрации и очистки трафика от вредоносных пакетов и при необходимости могут принимать дополнительные меры для улучшения конечного результата. Также специалисты компании Orange систематически проводят корректировку общих настроек сервиса защиты, учитывая при этом информацию из ежеквартальных и ежегодных отчётов ведущих разработчиков решений по борьбе с DDoS, из рекомендаций вендора Arbor, результатов мониторинга новостных и специализированных ресурсов на предмет появления новых векторов DDoS-атак и другие подобные сведения.В итоге клиенту поступает только очищенный поток данных, что позволяет осуществлять соединение только с реальными пользователями системы. При подозрении на DDoS-атаку или обнаружении таковой представителю компании-заказчика приходит уведомление о выявленном инциденте. Вендор также отмечает, что сервис Internet Umbrella осуществляет мониторинг и анализ входящего трафика в автоматическом и круглосуточном режиме, а время реакции сервиса на появление вредоносного трафика и скорость запуска мероприятий по противодействию DDoS-атаке составляют не более трёх минут.При наличии на стороне ЦОД клиента дополнительного оборудования компании Arbor / Netscout сервис Internet Umbrella способен эффективно противостоять медленным и использующим SSL-трафик DDoS-атакам.Представители Orange Business Services заявляют, что на сегодняшний день суммарная мощность сервиса Internet Umbrella при отражении ёмкостных DDoS-атак составляет 5 Тб/с, а в сложных случаях, которые требуют дополнительной фильтрации, этот показатель может достигать 200 Гбит/с, что на сегодняшний день является одним из лучших показателей на отечественном рынке. Наличие большого количества представительств и протяжённой сетевой инфраструктуры компании позволяет использовать сервис Internet Umbrella с минимальной сетевой задержкой не только в больших городах-миллионниках, но и в отдалённых точках нашей страны. Особенности сервиса Orange Internet UmbrellaCервис защиты от DDoS-атак Orange Internet Umbrella способен:Отражать простые и сложносоставные DDoS-атаки, которые на практике весьма разнообразны как по объёму трафика, так и по длительности. Мощности оборудования Orange Business Services, на котором развёрнут продукт Internet Umbrella, позволяют уверенно обрабатывать большие объёмы трафика. Распределённые центры очистки, которые находятся в Москве и во Франкфурте, эффективно и оперативно отфильтровывают вредоносные пакеты из входящего потока данных. При обнаружении подозрительных пакетов внутри защищаемого трафика система защиты присваивает им признак «alert», и в течение трёх минут активируются автоматические механизмы фильтрации.Проводить автоматический мониторинг и фильтрацию входящего трафика. Как уже говорилось, параметры потока данных сопоставляются с базовой моделью, которая принята за шаблон легитимного пользовательского трафика. При превышении какого-либо порогового значения сервис в течение тех же трёх минут активирует процедуру фильтрации вредоносных пакетов.Осуществлять круглосуточный мониторинг в режиме 24х7 входящего трафика компании-заказчика. Наблюдение осуществляется системой защиты в автоматическом режиме; дополнительно выделяется дежурная смена специалистов, которая способна своевременно вмешиваться в процессы противодействия выявленным DDoS-атакам для достижения лучших результатов.Предоставлять полную отчётность. Компания-заказчик в режиме онлайн в любой момент может получить полный отчёт, который содержит в себе как общую информацию обо всём обработанном трафике, так и детальные сведения о каждом выявленном инциденте. Также заказчик в момент обнаружения атаки оперативно получает соответствующее уведомление.Обеспечивать максимальную возможную скорость прохождения легитимного трафика на сторону компании-заказчика. При отсутствии подозрения на DDoS-атаку сервис Internet Umbrella отслеживает трафик без какого-либо вмешательства в него.Минимизировать финансовые затраты на оборудование и высококвалифицированных администраторов (офицеров) информационной безопасности, которые необходимы для эффективной защиты компании-заказчика. Тестирование сервиса Orange Internet UmbrellaРегистрация в сервисеВзаимодействие с сервисом защиты от DDoS-атак Internet Umbrella и наше тестирование начинаются с заполнения опросного листа, который необходим для создания пользовательского личного кабинета. Впоследствии там будет отображаться вся необходимая информация по обработанному трафику компании-заказчика.Также потребуется предоставить Orange Business Services список IP-адресов, с которых будет разрешён доступ к клиентскому личному кабинету сервиса. Internet Umbrella является реализацией провайдерской системы защиты от DDoS-атак, то есть для подключения защиты требуется наличие либо интернет-канала Orange Business Services, либо хостинга в ЦОД, где есть точка присутствия компании.По окончании процедуры регистрации клиенту сервиса предоставляются все необходимые реквизиты для доступа в личный кабинет. Пример личного кабинета Orange Internet Umbrella представлен на рис. 2. Рисунок 2. Внешний вид личного кабинета пользователя Orange Internet Umbrella Как уже отмечалось выше, в основе сервиса лежит решение от компании Arbor Networks, а именно — Arbor Sightline TMS, что хорошо заметно по консоли личного кабинета.Основное меню разделено на пять вкладок: «Status», «Alerts», «Traffic», «Mitigation» и «Administration». Как видно из рисунка 2, на основной вкладке «Status» доступна суммарная статистическая информация об обнаруженных инцидентах, которые также разбиты по уровню опасности. На вкладке «Alerts» приведены сводные данные обо всех обнаруженных атаках. Вкладка «Traffic» содержит количественную информацию об обработанном клиентском трафике. На вкладке «Mitigation» представлены сведения о принятых мерах по противодействию обнаруженным DDoS-атакам, отдельно по каждому выявленному инциденту. Наконец, вкладка «Administration» позволяет изменить пользовательские настройки личного кабинета. Проведение тестированияПосле начала тестовой DDoS-атаки сервис Internet Umbrella своевременно отправил на заранее указанную корпоративную электронную почту компании сообщение о выявлении инцидента, а следовательно, и о запуске процедуры фильтрации входящего клиентского трафика. На рис. 3 представлен пример такого оповещения. Рисунок 3. Оповещение Orange Internet Umbrella о подозрении на атаку Личный кабинет пользователя оперативно обновляет информацию обо всех выявленных DDoS-атаках. Так, например, на рис. 4 видно, что в личном кабинете на вкладке «Status» своевременно отобразилось оповещение о новом выявленном инциденте с высоким уровнем опасности. Рисунок 4. Личный кабинет пользователя Orange Internet Umbrella с оповещением о выявленной DDoS-атаке (ID 630231) Для того чтобы открыть окно с дополнительной информацией об интересующем нас инциденте, нажимаем на ID-номер DDoS-атаки. В нашем случае сервис присвоил ей идентификатор 630231. После этого открывается окно, в котором можно увидеть подробности (рис. 5). Рисунок 5. Детальная информация (вкладка «Summary») о выявленной DDoS-атаке в Orange Internet Umbrella Окно с детальной информацией содержит общие сведения об инциденте, а также графическое представление объёма заблокированного входящего трафика и мощности DDoS-атаки. На рисунке 5 мы видим, что в нашем случае основным источником зафиксированного инцидента явился IP-адрес, который географически относится к США, а суммарная мощность атаки составила порядка 150 Kpps (150 000 пакетов в секунду).Также в этом окне сервис предоставляет нам возможность просмотреть более детальную информацию об источнике атаки и о её конечной цели (вкладка «Traffic Details»). В нашем случае на рис. 6 видно, что система Internet Umbrella зафиксировала ещё четырёх дополнительных участников DDoS-атаки, которые территориально расположены в Германии, Китае, Японии и Южной Корее. Злоумышленники в 97,48 % времени проведения атаки использовали динамические TCP-порты. Вредоносные пакеты поступали на все системные порты TCP, но главным образом атака была сосредоточена на 80-м порте.Также сервис Internet Umbrella предоставляет информацию о наличии флагов в TCP-трафике атаки и о выявленных типах вредоносных пакетов. Для облегчения восприятия все разделы, касающиеся обнаруженного инцидента и его конечной точки, представлены в процентном соотношении, которое возможно отобразить в виде графиков и диаграмм. Рисунок 6. Детальная информация (вкладка «Traffic Details») о выявленной DDoS-атаке в Orange Internet Umbrella Проанализировав полученную информацию, приходим к выводу, что обнаруженная DDoS-атака с ID 630231 принадлежит конкурирующей компании. Поэтому на вкладке «Annotations» (рис. 7) добавляем соответствующую аннотацию к выявленному инциденту. Рисунок 7. Добавление аннотации к обнаруженной DDoS-атаке в Orange Internet Umbrella Вкладка «Alerts» в основном меню позволяет нам посмотреть все ранее выявленные сервисом DDoS-атаки и служит для их поиска и фильтрации. На рис. 8 представлен общий вид этой вкладки. Рисунок 8. Общий вид вкладки «Alerts» в основном меню личного кабинета Orange Internet Umbrella После запуска поиска обнаруживаем, что сервисом был ранее выявлен ещё один инцидент с высоким уровнем опасности. Нажав на ID-номер инцидента, мы получаем более детальную информацию о нём (рис. 9). Рисунок 9. Информация (вкладка «Summary») о выявленной DDoS-атаке (ID 629706) в Orange Internet Umbrella Вся информация об атаке разделена на блоки аналогично предыдущему описанию. В нашем случае из рисунка 9 видно, что DDoS-атака с ID 629706 имела мощность более 500 Kbps (500 килобит в секунду), была проведена по протоколу UDP, злоумышленники использовали как динамические, так и статические порты, основной злоумышленник (доля участия 67,02 %) территориально находится в США.Более детальную информацию по источнику и по конечной цели выявленного инцидента с ID 629706 посмотрим на вкладке «Traffic Details» (рис. 10). Рисунок 10. Информация (вкладка «Traffic Details») о выявленной DDoS-атаке (ID 629706) в Orange Internet Umbrella Из рисунка 10 можно увидеть, что в проведении атаки с ID 629706 участвовали ещё четыре злоумышленника, территориально находившиеся в Австралии (доля участия — 16,4 %), Китае (доля участия — 5,41 %), Нидерландах (1,54 %); ещё в одном случае (доля участия — 3,61 %) принадлежность IP-адреса определить не удалось. На протяжении 25,27 % всего времени проведения атаки злоумышленники использовали только один UDP-порт — 15494. Вся мощность атаки была сосредоточена на 53-м порте объекта нападения. По временному графику проведения инцидента можно точно определить время начала и общую длительность воздействия вредоносного трафика с того или иного IP-адреса злоумышленников.Далее рассмотрим общую информацию об обработанном сервисом входящем трафике компании. Для этого в основном меню перейдём на вкладку «Traffic». Информация для наглядности и удобства представляется в виде графиков, диаграмм и гистограмм. Имеющиеся сведения можно отобразить отдельно по каждому типу протокола. При этом существует возможность вывести на экран информацию как за всё время использования, так и за определённый промежуток. Так, на рис. 11 представлена информация по вредоносному трафику, который зафиксировал сервис Internet Umbrella 4 июня 2020 года. Из рисунка видно, что злоумышленники проявляли активность только в ночное время, начиная с 01:00 ночи и до 04:00 утра. Рисунок 11. Представление суточной информации о выявленных инцидентах на вкладке «Traffic» основного меню Orange Internet Umbrella На рис. 12 представлена суммарная информация о количестве входящего промониторенного трафика заказчика. Как видно, пик активности наблюдается 3 июня 2020 года (порядка 1 Мбит/с), а среднее значение за месяц составляет порядка 0,3 Мбит/с. Рисунок 12. Представление месячной информации (с выбором определённого типа трафика) о выявленных инцидентах на вкладке «Traffic» основного меню Orange Internet Umbrella На рис. 13 представлена сравнительная месячная информация о входящем и обработанном трафике клиента. Рисунок 13. Усреднённая месячная статистика обработанного трафика клиента в Orange Internet Umbrella На рис. 14 можно увидеть различные варианты представления информации по обработанному клиентскому трафику с возможностью выбора данных по конкретному типу протокола. Рисунок 14. Различные варианты представления необходимой информации о выявленных инцидентах на вкладке «Traffic» основного меню Orange Internet Umbrella Смягчение и нейтрализация выявленных DDoS-атакInternet Umbrella предоставляет подробную информацию о принятых мерах по противодействию выявленным DDoS-атакам. Для её просмотра заходим на вкладку «Mitigation» (рис. 15) основного меню личного кабинета. Перед нами открывается окно с выявленными DDoS-атаками, которым был присвоен высокий уровень опасности и к которым были применены дополнительные меры для смягчения их воздействия и / или их ликвидации. Рисунок 15. Вкладка «Mitigation» основного меню личного кабинета Internet Umbrella Для просмотра более детальной информации по каждому инциденту (и, в частности, принятых мер) необходимо нажать в поле имени на нужную позицию. После этого открывается окно, в котором указаны все необходимые сведения. На рис. 16 показано окно с мерами по смягчению и нейтрализации выявленной DDoS-атаки c ID 630231, а на рис. 17 — атаки c ID 629706. Рисунок 16. Окно с принятыми мерами по смягчению и ликвидации DDoS-атаки (ID 630231) в Orange Internet Umbrella Рисунок 17. Окно с принятыми мерами по смягчению и ликвидации DDoS-атаки (ID 629706) в Orange Internet Umbrella Информация по каждому инциденту является исчерпывающей; проанализировав её, клиент может принять собственное взвешенное решение о достаточности принятых мер или же о необходимости настройки дополнительных фильтров входящего трафика. Итоги тестированияСервис по защите от DDoS-атак Internet Umbrella от компании Orange Business Services своевременно уведомлял нас о выявлении каждого инцидента, а также адекватно реагировал на все тестовые попытки осуществить нападение. Проверочные DDoS-атаки никак не повлияли на работоспособность и доступность веб-сайта заказчика, и их воздействие было совершенно незаметным на стороне клиента.Таким образом, можно сделать вывод, что сервис Internet Umbrella применил оптимальные методы и меры для смягчения и полной нейтрализации обнаруженных инцидентов. Возможности сервиса соответствуют заявленной функциональности; он способен эффективно защитить веб-сайт от различных типов DDoS-атак.Пользовательский личный кабинет позволяет специалистам компании-заказчика самостоятельно добавлять и настраивать дополнительные фильтры для входящего трафика, что выделяет Internet Umbrella среди прочих решений подобного типа. Всю информацию об обработанном входящем трафике, которая представлена в личном кабинете пользователя, можно обобщить и оформить в отдельный отчёт, что в дальнейшем позволит специалистам по информационной безопасности более детально проанализировать эффективность существующей системы защиты от DDoS-атак, а также улучшить и ускорить расследование каждого инцидента. ВыводыРазличные типы DDoS-атак известны уже весьма давно. Для достижения максимальной выгоды и наибольшего деструктивного эффекта злоумышленники своевременно учитывают постоянно изменяющиеся внешние факторы и подстраиваются под них. Можно предположить, что DDoS-атаки с нами надолго, так как на текущий момент трудно разглядеть какие-либо предпосылки для снижения их количества и эффективности. Поэтому необходимо учиться правильно противодействовать им и иметь действенное решение, которое способно противостоять этому типу атак.При тестировании функциональных возможностей и эффективности сервиса Orange Internet Umbrella он показал себя с положительной стороны. В момент обнаружения атаки сервис своевременно известил заказчика о выявленном инциденте. Максимальная мощность атаки, которая была направлена на сторону клиента, соответствует средним показателям реальных DDoS-атак. Все попытки осуществить нападение были своевременно обнаружены и отражены путём фильтрации вредоносных пакетов. Таким образом легитимный клиентский трафик заблокирован не был, и поддерживалось беспрерывное взаимодействие пользователей с информационными ресурсами компании.Личный кабинет клиента предоставляет полную детальную информацию о каждом выявленном инциденте и общие сведения об обработанном трафике клиента с возможностью обобщения всех собранных данных в отдельные отчёты. Помимо этого в личном кабинете доступна возможность дополнительно настроить алгоритм фильтрации входящего трафика.Достоинства:Сервис основан на решении Arbor Sightline TMS от компании Arbor Networks, которое обеспечивает эффективную защиту веб-сайтов от DDoS-атак, а также легко масштабируется в зависимости от поставленной цели и задачи.Наличие в Москве и во Франкфурте распределённых центров очистки трафика, которые позволяют эффективно и своевременно отфильтровывать вредоносные пакеты.Суммарная мощность сервиса в случае отражения ёмкостных DDoS-атак может достигать 5 Тб/с, а в случае противодействия более сложным нападениям, которые требуют углублённой аналитики и фильтрации, составляет порядка 200 Гбит/с.При отсутствии DDoS-атак и аномалий в клиентском трафике сервис проводит только его мониторинг, так что весь входящий поток данных без задержек и непрерывно поступает заказчику услуги.Мониторинг клиентского трафика осуществляется автоматически в круглосуточном режиме.Смена технических специалистов в режиме 24х7 осуществляет непрерывную поддержку клиентов сервиса и контролирует эффективность отражения обнаруженных DDoS-атак, в случае необходимости внося своевременные поправки в процесс защиты.Информативный клиентский личный кабинет, в котором отображаются подробные сведения с общей статистикой о защищаемом трафике и обнаруженных инцидентах.Предоставление клиенту необходимой отчётности.Оперативное оповещение клиента об обнаружении инцидента.Сервис позволяет экономить финансовые ресурсы компании за счёт отсутствия расходов на приобретение собственного оборудования, а также ввиду отсутствия необходимости содержать штат высококвалифицированных специалистов.Недостатки:Эффективный анализ медленных и использующих SSL-трафик DDoS-атак, равно как и защита от них, осуществляется при наличии на стороне ЦОД клиента дополнительного оборудования компании Arbor / Netscout.В личном кабинете сервиса Internet Umbrella нет поддержки русского языка.

Обзор Kaspersky ASAP, платформы повышения осведомлённости сотрудников о кибербезопасности

Автоматизированная платформа Kaspersky Automated Security Awareness Platform (ASAP) от «Лаборатории Касперского» позволяет формировать и закреплять у сотрудников навыки безопасной работы. Она включает в себя программы онлайн-обучения для представителей различных структурных подразделений. В основе процесса лежат симуляция происходящих на практике событий и формирование у сотрудников личной заинтересованности в обеспечении кибербезопасности организации. ВведениеУчебные программы по повышению осведомлённости: проблемы и перспективыСистемные требованияФункциональные возможностиРабота с Kaspersky ASAP5.1. Ролевая модель5.2. Управление процессом обучения5.2.1. Управление пользователями5.2.2. Управление группами пользователей5.2.3. Запуск обучения сотрудников5.3. Мониторинг результатов5.4. Процесс обученияВыводы ВведениеВ условиях постоянного совершенствования угроз и способов борьбы с ними самым важным элементом системы информационной безопасности (ИБ) организации всё ещё остаётся человек. Обеспечение конфиденциальности, целостности и доступности значимых корпоративных данных существенным образом зависит от поведения сотрудника как на рабочем месте, так и за пределами контролируемой зоны. Отведённая ему ключевая роль обусловлена противоречием, заложенным в человеческой природе: склонность к совершению непреднамеренных просчётов и подверженность манипулированию со стороны третьих лиц сочетается с высоким потенциалом непрерывного и эффективного обучения на собственных и чужих ошибках.Недостаточно высокий уровень осведомлённости ИТ-персонала в сфере ИБ неизбежно приводит к реализации различных рисков, включая самые тривиальные: оставленный без присмотра конфиденциальный документ, USB-носитель неизвестного происхождения, подключённый к рабочему компьютеру, и т. д. Злоумышленники со своей стороны тоже небезуспешно эксплуатируют проблему «человеческого фактора» — с помощью фишинга, вредоносных программ и методов социальной инженерии.В целях информирования сотрудника о различных негативных последствиях компания может прибегнуть к реализации комплекса мер, направленных на повышение осведомлённости в области кибербезопасности. Следует также отметить, что в ряде случаев эти меры должны приниматься в соответствии с нормативными требованиями. Например, Постановления Правительства РФ № 313 от 16 апреля 2012 г., № 541 от 15 июня 2016 г., № 584 от 27 июня 2016 г., Положения Банка России № 382-П и № 552-П распространяют необходимость профессиональной переподготовки в сфере ИБ при известных условиях на весьма широкий круг лиц, включая:руководителей и сотрудников служб безопасности и защиты информации,представителей органов государственной власти и местного самоуправления,инженерно-технических работников, системных и сетевых администраторов, администраторов безопасности,лицензиатов (соискателей) ФСТЭК России и ФСБ России.Деятельность по повышению осведомлённости в области кибербезопасности часто позиционируется как отдельная исследовательская область ИБ, которая имеет целью решение проблемы «человеческого фактора» за счёт привития персоналу организации правил ответственного поведения, согласующегося с принципами обеспечения ИБ. Предполагается, что для этого нужно мотивировать сотрудника применять на практике полученные знания и убеждать его в важности ответственного поведения. Учебные программы по повышению осведомлённости: проблемы и перспективыЕсли правильность выбранного направления и необходимость прикладывания соответствующих усилий сейчас не вызывает сомнений, то вопрос выбора методов и средств достижения поставленной цели оставляет пространство для манёвра. Например, типичная программа повышения квалификации в области технической защиты информации, реализуемая на базе крупного вуза, содержит в себе тезис о том, что знания должны приобретаться в основном посредством проведения лекций, семинаров и самостоятельной работы.Практические занятия «с привлечением специалистов высшего уровня квалификации» рассматриваются при этом не более чем в качестве рекомендованной меры. Обращает на себя внимание также и устойчивая формула, регулирующая режим: «4 часа учебных занятий с преподавателем и 2 часа самостоятельной работы в день 3 раза в неделю». Таким образом, фактическая реализация программы повышения осведомлённости зачастую сводится к прослушиванию персоналом курса лекций по выбранной теме ИБ в течение заданных временных отрезков.Между тем опыт показывает, что предложение сотруднику массива теоретических сведений едва ли может сколь-нибудь значительно изменить его поведение при выполнении должностных обязанностей. Обобщённые данные относительно эффективности различных методов обучения взрослых, исчисляемой как усреднённый процент усвоения знаний, показывают, что эффективность лекционного формата не превышает 10 %. В то же время отдача от совершения обучающимся практических действий с немедленным применением полученных знаний может достигать 90 %.Применение научных подходов к решению проблемы обучения взрослых практикуется вот уже более 50 лет, и за это время был сформулирован ряд основополагающих принципов:индивидуальный подход к обучению с учётом частных образовательных потребностей, уровня подготовки, профессионального опыта, психологических особенностей личности обучающегося,высокий уровень самостоятельности,участие обучающегося в работе по планированию, реализации, оценке процесса обучения,использование полученных знаний и навыков в практической деятельности.Очевидно, что воплощение указанных принципов требует обеспечить высокий уровень автоматизации процесса обучения, поскольку вручную выстроить эффективную программу и контролировать ход её реализации чрезвычайно трудно. Не стоит забывать и о том, что содержание учебного курса должно в каждый момент времени быть адекватно постоянно изменяющимся внешним условиям. Это означает, что поддержание актуальности программы обучения составляет отдельную весьма трудоёмкую задачу.Перечисленные факторы предопределили устойчивый рост рынка автоматизированных платформ для повышения осведомлённости в области кибербезопасности. Существующие на рынке платформы представляют собой интерактивные программные модули, готовые к немедленному использованию либо в формате интернет-сервиса, либо в виде клиентской системы управления обучением, развёртываемой на собственной площадке организации. Мы уже проводили обзор рынка программ по повышению осведомлённости в сфере ИБ (Security Awareness).Хотя подходы к реализации процесса обучения, реализуемые разными производителями, могут отличаться в деталях, все они сходятся в необходимости достижения основной цели — поддержки корпоративных требований в части менеджмента рисков ИБ.Kaspersky Automated Security Awareness Platform (Kaspersky ASAP) от «Лаборатории Касперского» относится к числу относительно молодых, но быстро набирающих популярность автоматизированных платформ для повышения осведомлённости о кибербезопасности. Производителем заявлено, что Kaspersky ASAP предлагает новый подход к организации тренингов по защите от киберугроз. Цель настоящего обзора заключается в том, чтобы препарировать содержание предлагаемого нового подхода. Системные требованияДля работы с Kaspersky ASAP необходимо обеспечить сотрудников рабочими местами в соответствии с системными требованиями, представленными в табл. 1. Таблица 1. Системные требования платформы Kaspersky ASAPХарактеристикаАдминистраторыКонечные пользователиОСДля настольных компьютеров: Windows 10, Windows 7, macOS*Для мобильных устройств: iOS*, Android 5+БраузерДлянастольныхкомпьютеров: Microsoft Edge*, Internet Explorer 11, Firefox*, Google Chrome*Длямобильныхустройств: Safari (macOS)*, Safari (iOS), Google Chrome (Android)Почтовый клиентДлянастольныхкомпьютеров: Apple Mail 10+, Microsoft Outlook 2010+ (Windows, macOS)Для мобильных устройств: Mail.App (iPhone SE и более поздние модели), Outlook (для Google Pixel, iPhone 7 и более поздних моделей)Веб-клиенты: Gmail, Google Apps, Office 365, Outlook.com, Yahoo!-Процессор1,5 ГГц1 ГГцОЗУ2 ГБ1 ГБПропускная способность сети1 Мбит/сСвободное место на диске20 МБ* последняя версия ПО. Функциональные возможностиПлан обучения, принятый в Kaspersky ASAP, состоит из последовательно изучаемых тем в соответствии с целевым уровнем обучения, который настраивается администратором. На диаграмме ниже каждый сектор представляет конкретную тему кибербезопасности. Рисунок 1. План обучения основам кибербезопасности в Kaspersky ASAP Краткое описание тем обучения приведено в табл. 2.Таблица 2. Содержание различных тем кибербезопасности в Kaspersky ASAPТема кибербезопасностиОписание темыПароли и учётные записиСпособы хранения и создания паролейЭлектронная почтаСсылки, вложения, фишинг, учётная запись электронной почты и пароли, использование электронной почты для различных регистраций, приёмы социальной инженерии, которые используют злоумышленники с помощью электронной почтыВеб-сайты и интернетЛовушки и опасности, содержащиеся на злонамеренных (или законных, но скомпрометированных) веб-сайтах, на которые пользователи должны обращать внимание: ссылки, загрузка файлов, установка программного обеспечения, регистрация и вход, платежи, шифрование и SSLСоциальные сети и мессенджерыРазличные методы, используемые киберпреступниками (с учётом необходимости предоставления доступа к учётным записям и ссылкам, файлам, приложениям, защите конфиденциальных и личных данных)Безопасность ПКРазличные аспекты безопасного использования компьютера: обновления и антивирусы, программное обеспечение, файлы, портативные носители информации, признаки вредоносных программ, резервное копирование, учётные записи и праваБезопасность мобильных устройствРяд вопросов кибербезопасности при использовании мобильных устройств: пароли, обновления и антивирусы, программное обеспечение и приложения, файлы, ссылки, Bluetooth и USB, Wi-Fi, резервное копирование, учётные записи и праваЗащита конфиденциальных данныхКлассификация, защита паролями, шифрование, распространение / совместное использование, сбор / хранение / удаление и случайное раскрытие конфиденциальных данных, обеспечение конфиденциальности при использовании онлайн-связиGDPRБазовые принципы General Data Protection Regulation — регламента по защите персональных данных гражданина Европейского союза и Европейской экономической зоны Каждая тема обучения разделена на блоки, соответствующие уровням программы. Выбор необходимого уровня обучения определяется технологическими особенностями обработки информации конкретным сотрудником, а также степенью его влияния на бизнес-процессы организации — и, как следствие, величиной потенциального ущерба от нарушения этим работником установленных правил обеспечения кибербезопасности:начальный — подходит для сотрудников, которым достаточно уметь противостоять массированным (дешёвым и лёгким) атакам;элементарный — для тех сотрудников, которым стоит научиться противодействовать массированным атакам в адрес конкретных жертв;средний — может быть выбран, если в процессе работы сотрудников важно противостоять хорошо подготовленным нападениям на небольшую группу целей;продвинутый — подойдёт для сотрудников, которым стоит обладать навыками противодействия атакам, нацеленным на конкретные компании и конкретных людей. Уровень находится в разработке и ожидается к IV кварталу 2020 года. Работа с Kaspersky ASAPРолевая модельВсе административные полномочия по управлению платформой Kaspersky ASAP делятся на четыре роли:суперадминистратор — управляет основной учётной записью, остальными администраторами, настройками компаний, лицензионными ключами и квотами, фактически может быть руководителем компании;администратор компании — управляет аккаунтом компании и обучением в ней, а также может определять полномочия своих коллег внутри этой учётной записи;менеджер обучения — управляет обучением внутри компании и не имеет доступа к пользовательским отчётам;наблюдатель — может только просматривать параметры обучения, но не изменять их. У него есть доступ к пользовательским отчётам.Роль суперадминистратора создаётся автоматически при добавлении компании на платформу и назначается её создателю. Каждый администратор видит информацию и может управлять учётными записями только в пределах своей компании. Управление процессом обученияУправление пользователямиДля начала работы с платформой администратор, действующий от лица компании, должен добавить учётные записи пользователей, которым необходимо обучение. Доступны два способа это сделать: вручную и автоматически (путём импорта из XLSX-файла).При создании пользователя вручную необходимо заполнить ряд обязательных полей, показанных на рис. 2. Рисунок 2. Добавление учётной записи пользователя в Kaspersky ASAP Для импорта списка пользователей используется шаблон, который доступен на платформе в настройках компании. При этом независимо от способа добавления учётных записей возможно расширение перечня полей произвольными параметрами. Управление группами пользователейОбучение в Kaspersky ASAP организовано по группам. По умолчанию в системе присутствуют следующие группы с предварительно заданными параметрами обучения:Низкий риск. В эту группу рекомендуется добавлять коллег с ограниченным доступом к корпоративным IT-системам: рабочих, водителей, секретарей, сотрудников кол-центров и т. д.Средний риск. Эта группа предназначена для специалистов, которые полноценно работают в корпоративной сети, но не имеют доступа к конфиденциальной информации: редакторов, маркетологов, инженеров, менеджеров проектов и т. д.Высокий риск. В эту группу рекомендуется добавлять сотрудников, работающих с конфиденциальной информацией и личными данными, а также имеющих административный доступ к своим рабочим компьютерам и другим корпоративным системам: специалистов службы поддержки, юристов, программистов, врачей и т. д.Администратор может работать с этими группами, а также менять и удалять их или добавлять новые.У каждой группы пользователей есть следующие параметры (рис. 3):перечень тем — определяет, какие темы должны попасть в программу обучения членов группы;целевой уровень — определяет, какой объём знаний должны освоить учащиеся из группы по каждой теме. Когда учащийся успешно доходит до целевого уровня, его обучение в группе считается завершённым. Чем выше целевой уровень, тем больше знаний должны будут усвоить учащиеся из группы и тем больше времени займёт обучение;интенсивность обучения — определяет, сколько времени пользователи из группы должны тратить на обучение. Если интенсивность ограничена, то она может принимать значения от 10 до 30 минут в неделю;календарный план, даты начала и окончания — параметры, вычисляемые автоматически при старте обучения группы. Рисунок 3. Создание группы в Kaspersky ASAP Пример плана обучения представлен на рис. 4. Рисунок 4. План обучения группы в Kaspersky ASAP Распределять пользователей по группам также возможно вручную либо автоматически — с помощью созданных администратором правил. Рисунок 5. Добавление правила в Kaspersky ASAP Запуск обучения сотрудниковСформировав группы и определив настройки для каждой из них, необходимо выбрать те, для которых следует запустить учебный процесс. При этом возможно управление датой начала обучения (рис. 6). Рисунок 6. Запуск обучения в Kaspersky ASAP Если появились новые кандидаты на обучение, а лицензий на всех не хватает, нужно либо докупить дополнительные, либо сократить число одновременно обучающихся. При выборе второго варианта можно приостановить работу нескольких пользователей. Когда места вновь освободятся, те, чьё обучение было приостановлено, смогут продолжить его.После запуска обучения пользователям рассылаются приглашения на адреса электронной почты, указанные в настройках учётных записей (рис. 7). Рисунок 7. Приглашение на обучение в Kaspersky ASAP Мониторинг результатовПосле начала обучения администратор может отслеживать успехи учащихся с помощью виджетов контрольной панели (рис. 8). Рисунок 8. Контрольная панель в Kaspersky ASAP Здесь показана основная статистика, включающая имена отстающих и темы, в которых они испытывают трудности. Администратору доступен переход из виджета к более детальной информации по группе или показателю. При необходимости система может разослать мотивационные сообщения или предупреждения по хранящимся в ней шаблонам.Прогресс обучения группы или конкретного пользователя можно просмотреть также из свойств группы или пользователя с возможностью экспорта детальной информации в форме отчёта. Рисунок 9. Отчёт по пользователю в Kaspersky ASAP Формирование отчётов полезно, например, в случаях, когда существующие регламенты компании подразумевают необходимость подтверждения результатов обучения или нужно предоставить информацию о текущей ситуации руководству для дальнейшего обсуждения (в том числе — с самими обучающимися). Процесс обученияПользователь имеет доступ к личному кабинету и может просмотреть план работы (рис. 10). Рисунок 10. Личный кабинет обучающегося в Kaspersky ASAP Обучение идёт вплоть до достижения целевого уровня, заданного для группы пользователей. Например, если для группы в качестве целевого задан третий уровень (средний), пользователю необходимо пройти начальный и элементарный этапы, а затем собственно средний.Каждый учебный модуль начинается с нескольких теоретических уроков (рис. 11). Как правило, в рамках модуля нужно изучить от 6 до 11 таковых. Впрочем, если пользователь уверен, что знает тему на должном уровне, он может приступить к тестированию и без прохождения теоретической части (если данная возможность в явном виде не запрещена администратором). Рисунок 11. Пример теории на начальном уровне в Kaspersky ASAP Теория в рамках урока сменяется практическими заданиями, предлагающими пользователю проверить усвоение изученного, что не даёт относиться к учёбе небрежно. Рисунок 12. Пример задания на начальном уровне в Kaspersky ASAP По результатам изучения модуля пользователи проходят тестирование. Если тест сдан успешно, теоретические уроки из модуля считаются пройденными. В противном случае тест становится доступным через семь дней после того, как учащийся пройдёт теорию.Пересдать после неудачной попытки можно только через три дня (это не касается тестов, сдаваемых экстерном).Также в процессе обучения учащийся получает электронное письмо, которое похоже на фишинговую атаку, но не наносит никакого вреда. Если он сделает то, что предлагается в письме, например перейдёт по ссылке, испытание имитацией атаки будет провалено. Если учащемуся не удалось успешно отразить имитацию атаки, уровень не считается пройденным, а если сотрудник просто её не заметил, то она будет проведена повторно через три дня. Рисунок 13. Имитация фишинговой атаки в Kaspersky ASAP Платформа подводит итоги и передаёт информацию о результатах учащимся и руководителю по обучению.Чтобы завершить уровень и получить сертификат, учащемуся необходимо успешно пройти все теоретические уроки, тесты и имитации атак на этом уровне.Если пользователь достиг заданной администратором цели, он получает сертификат, доступный в разделе «Мои достижения» (рис. 14). Рисунок 14. Полученные сертификаты в Kaspersky ASAP При желании пользователь может обратиться к истории прохождения уроков, чтобы самостоятельно оценить выполненный объём работы и успехи (рис. 15). Рисунок 15. История пройденных уроков в Kaspersky ASAP ВыводыПо различным авторитетным оценкам более 80 % всех инцидентов кибербезопасности обусловлены влиянием «человеческого фактора». Промышленные предприятия вынуждены затрачивать значительные средства на восстановление ресурсов после нарушений безопасности, вызванных действиями сотрудников. При этом типовые программы академического образования, призванные предотвращать такие инциденты, демонстрируют низкий уровень эффективности. Как правило, прохождение такого обучения не позволяет сформировать у персонала организации поведенческие стереотипы, соответствующие базовым принципам ИБ.Осознавая недостатки традиционного образования, компании по всему миру пытаются внедрять собственные программы повышения осведомлённости сотрудников о киберугрозах, но и в этом случае обучение и его результаты зачастую оставляют желать лучшего. Чаще всего со сложностями сталкиваются предприятия малого и среднего бизнеса, поскольку им недостаёт опыта и имеющихся образовательных ресурсов для того, чтобы выработать удовлетворительные решения в следующих направлениях:постановка целей и планирование обучения,разработка режима обучения, который не отнимал бы у сотрудников чрезмерного количества времени при сохранении должного уровня эффективности,разработка формы отчётности, позволяющей отслеживать процесс достижения целей,обеспечение приемлемого уровня мотивации сотрудников.Испытывают трудности даже те организации, в которых повышением осведомлённости занимаются выделенные рабочие группы.«Лаборатория Касперского» предлагает собственную автоматизированную платформу для повышения осведомлённости о кибербезопасности — Kaspersky ASAP. Она представляет собой онлайн-инструмент, позволяющий сформировать и закрепить навыки безопасной работы. Реализованные в Kaspersky ASAP функции и автоматизация процесса обучения призваны оказать организациям поддержку на всех этапах: от постановки цели до оценки эффективности.В основу обучения положена симуляция происходящих на практике событий и осознание сотрудниками личной значимости кибербезопасности. Цель платформы — сформировать навыки, а не только передать знания, поэтому практические задания — неотъемлемый компонент каждого модуля. Различные типы упражнений поддерживают интерес пользователей к обучению и стимулируют их осваивать навыки безопасного поведения.Достоинства:Полностью автоматизированный процесс обучения, построенный в форме коротких уроков (от 2 до 10 минут) на различные актуальные темы в игровом формате.Наличие образовательных программ для различных уровней: платформа определяет набор навыков, необходимых определённому сотруднику, в соответствии с его профилем риска и выстраивает график прохождения программы.Персонализированный подход, в рамках которого сотрудники получают только необходимые знания в удобном для них темпе.Разнообразное содержание уроков, включающее тесты, симуляторы фишинговых атак, интерактивные упражнения, мотивационные обращения.Последовательное прохождение обучения шаг за шагом, от простого к сложному, с постоянным закреплением пройденного материала.Возможность выбора российских серверов для хранения данных обучения.Чат с командой поддержки Kaspersky ASAP, наличие постоянной обратной связи.Предоставление бесплатной пробной версии платформы.Возможность использования платформы для обучения сотрудников организаций любого размера.Общедоступная «дорожная карта» развития платформы, постоянное добавление новых модулей.Недостатки:Относительно невысокий уровень индивидуализации в части добавления пользовательских учебных материалов и других собственных файлов, новых учебных тем, добавления / редактирования контрольных вопросов с учётом специфики организации и пр.Отсутствие возможности развёртывания платформы на корпоративной площадке организации.Отсутствие полноценной интеграции со службами каталогов.

Обзор Kaspersky Safe Kids, продукта для обеспечения детской онлайн-безопасности

Kaspersky Safe Kids — это уже больше, чем просто приложение для родительского контроля и ограждения от всего несоответствующего возрасту, работающее на всех популярных платформах (iOS, Android, Windows, macOS). Оно призвано помогать родителям в воспитании современных детей, жизнь и увлечения которых в значительной части происходят в онлайне. Мы протестировали основные функции продукта по контролю времени использования устройства, мониторингу местонахождения ребёнка и заряда батареи гаджета, блокированию нежелательных запросов в поисковиках (и даже в YouTube) и другие. Здесь речь пойдёт о том, как Kaspersky Safe Kids помогает родителям по всему миру и в чём состоят его преимущества для образовательных организаций. ВведениеПреимущества для образовательных учрежденийКак начать пользоваться Kaspersky Safe KidsСоветы психологаФункциональные возможности и работа с продуктом5.1. Фильтрация контента5.2. Контроль использования приложений5.3. Работа устройства по расписанию5.4. Контроль местонахождения ребёнка и заряда батареи5.5. Контроль активности в социальных сетях5.6. Мгновенные оповещения и история активности ребёнкаСистемные требованияПокупка и особенности лицензированияСоциальные мероприятия «Лаборатории Касперского» по детской онлайн-безопасностиВыводы ВведениеДля описания неотъемлемой части процесса взросления современных детей специалисты даже придумали особый термин — киберсоциализация. По данным различных исследований, на одного ребёнка в 2020-м приходится в среднем уже более одного устройства, и это количество растёт с каждым годом. Игры, обучение, общение, покупки, хобби и первые заработки — всё переходит в онлайн, что не может не отражаться на развитии, интересах, здоровье и отношениях с родителями. И это — далеко не полный перечень аспектов, связанных с постоянной «жизнью в гаджетах». Цитируя одного из ярких популяризаторов темы детской киберграмотности в России Олега Седова, «если наше поколение потихоньку оцифровывается, то современные дети уже родились цифровыми». Как выяснила «Лаборатория Касперского», 54 % детей в возрасте 4—6 лет уже имеют свой смартфон или планшет, а в категории подростков (11—14 лет) он есть у подавляющего большинства (97 %). Кроме того, серьёзно растёт активность по отдельным направлениям, таким как онлайн-покупки, общение и учёба. Рисунок 1. Сравнение активности детей в интернете в 2018-м и 2019-м, данные «Лаборатории Касперского» Темой анализа увлечений, поведения детей и обеспечения их безопасности в интернете занимаются многие компании, в том числе технологические гиганты: Google, Microsoft и др. Но несколько под другим углом видят и предлагают решать эту проблему компании из отрасли кибербезопасности. Практически все известные мировые вендоры (антивирусные компании, производители решений для сетевой безопасности и т. п.) так или иначе предоставляют свои услуги или разрабатывают продукты в этом направлении. И ключевое отличие в их подходах состоит в том, что они уже хорошо умеют защищать корпорации и сотрудников от различных угроз и готовы транслировать накопленный опыт в обеспечение детской безопасности.«Лаборатория Касперского» здесь не просто не осталась в стороне, а находится в числе самых активных компаний, нацеленных на помощь родителям в воспитании киберграмотности по всему миру. Теме детской безопасности и её популяризации вендор уделяет большое внимание. Проводятся тематические мероприятия, заключаются партнёрства с образовательным сектором, издаются книги и видеоконтент, а для целей практической помощи родителям и их детям выпускается специализированный продукт Kaspersky Safe Kids. Он переведён на 21 язык, а число скачиваний только мобильной версии перевалило за миллион. Продукт нацелен в основном на родителей детей в возрасте от 5 до 12 лет и поддерживает операционные системы всех популярных гаджетов: Android, Windows, iOS, macOS. Мы протестировали основную функциональность Kaspersky Safe Kids и готовы поделиться впечатлениями в сегодняшнем обзоре. Преимущества для образовательных учрежденийПрививание основ кибергигиены сегодня — точно такой же образовательный процесс, как и обучение детей математике или русскому языку. К сожалению, нередки ситуации, когда родители не в силах уделить ему должное внимание. Здесь как раз и приходят на помощь технологии, основная функция которых — предоставить удобный инструмент для решения повседневных задач (в данном случае — для мониторинга поведения детей в интернете и контроля их безопасности в целом).Именно поэтому Kaspersky Safe Kids позволяет получить дополнительные преимущества образовательным учреждениям (департаментам образования, школам, детским садам, оздоровительным лагерям и т. п.), поскольку привносит в воспитательный процесс крайне важную составляющую: инструмент обучения киберграмотности и повышения уверенности в том, что ребёнку ничто не угрожает. «Лаборатория Касперского» активно развивает сотрудничество с образовательными учреждениями, для которых готова предложить особые условия; за подробностями необходимо обращаться напрямую к вендору. Такого рода партнёрства позволяют как задуматься о детской безопасности в интернете тем родителям, которые по каким-либо причинам не делали этого ранее, так и сразу предложить готовый инструмент для решения этой задачи. Из публичных кейсов отметим распространение 25600 лицензий на продукт Kaspersky Safe Kids среди родителей первоклассников Ханты-Мансийского автономного округа — Югры в 2019 году.Такого рода проекты позволяют образовательным учреждениям и региональным органам власти решить сразу две задачи. Во-первых, повышается осведомлённость родителей и прививается культура безопасного детского поведения в киберпространстве как новый обязательный элемент общеобразовательной программы в современном мире. Во-вторых, благодаря подобным партнёрствам достигается массовое распространение передовых технологий по детской безопасности. Поскольку количество родителей, воспользовавшихся, например, Kaspersky Safe Kids, в этом случае будет несравненно больше, число детей под защитой также возрастёт на порядки, что и является главной целью. Как начать пользоваться Kaspersky Safe KidsKaspersky Safe Kids нацелен на массовую аудиторию, а значит, простоте установки и удобству интерфейса уделено максимальное внимание. Необходимо скачать приложение с официального сайта (для использования на компьютере) либо в одном из магазинов для мобильных устройств (App Store или Google Play). Для целей тестирования мы установили клиент для Windows и для Android. Процесс инсталляции на Windows предельно прост и сопровождается простыми и полезными советами. Рисунок 2. Установка Kaspersky Safe Kids на компьютер под управлением Windows С самого начала использования продукта в глаза бросается одна из ключевых «фич» продукта: советы профессионального психолога. Они сопровождают родителя в процессе использования Kaspersky Safe Kids и помогают понять, как лучше реагировать на те или иные действия детей. Рисунок 3. Первый запуск Kaspersky Safe Kids на компьютере под управлением Windows После регистрации учётной записи на сайте My Kaspersky (или выполнения входа, если таковая уже имеется) и создания аккаунтов маленьких пользователей компьютера с указанием года рождения для каждого из них Kaspersky Safe Kids автоматически активирует настройки, подходящие по возрасту вашему ребёнку. При этом на компьютере соответствующие правила защиты применяются к учётным записям детей, в то время как родители, авторизовавшись под своим именем, могут использовать компьютер без ограничений. Рисунок 4. Первоначальная настройка Kaspersky Safe Kids на компьютере под управлением Windows Рисунок 5. Конфигурация учётных записей в Kaspersky Safe Kids на компьютере под управлением Windows Процесс установки на мобильном устройстве также вполне привычен, приложение Kaspersky Safe Kids легко найти в Google Play или App Store. Рисунок 6. Установка Kaspersky Safe Kids на устройство под управлением Android Приложению необходимо выдать все запрашиваемые разрешения (в том числе — на геолокацию, управление экраном блокировки и другими приложениями и т. п.), после чего оно будет готово к работе. Эти привилегии необходимы Kaspersky Safe Kids для корректного функционирования и применения всех правил защиты, которые настроит родитель. Рисунок 7. Первый запуск Kaspersky Safe Kids на устройстве под управлением Android Управлять всеми устройствами с установленными Kaspersky Safe Kids и отслеживать активность своих детей можно как в личном кабинете на сайте My Kaspersky, так и в мобильном приложении, выбрав при установке «Режим родителя». Для повседневного контроля, скорее всего, большинство родителей, как и мы, остановятся на втором варианте. Рисунок 8. Управление профилями детей в Kaspersky Safe Kids Из полезных настроек до начала активного использования отметим возможность задания входа по отпечатку пальца, полезные советы по трём самым частым вопросам («Как установить приложение…» и т. п.), а также опции оповещения. Рисунок 9. Настройка базовых параметров приложения Kaspersky Safe Kids Уведомления доступны по электронной почте или в пуш-формате прямо в приложении. Кроме того, можно гранулированно настроить типы уведомлений. Например, нам может быть неинтересно оповещение «Не удалось определить местоположение устройства», когда ребёнок находится в школе и его телефону трудно подключиться к GPS. Рисунок 10. Настройка уведомлений в Kaspersky Safe Kids Советы психологаПродукт Kaspersky Safe Kids разрабатывался совместно с практикующими психологами, которые записали более 100 рекомендаций родителям по тем или иным ситуациям. Эти советы органично встроены в продукт и предлагаются именно там и в той ситуации, где это необходимо. Например, в меню настройки «Контроль в интернете» логично узнать, как реагировать на поисковые запросы ребёнка, а при блокировке платёжной активности — как научить ребёнка критически оценивать покупки в интернет-магазинах. Рисунок 11. Примеры советов психолога в Kaspersky Safe Kids К советам приводятся примеры, а их содержание легко и доступно для восприятия. Функциональные возможности и работа с продуктомВ начале статьи мы упоминали, что Kaspersky Safe Kids — больше чем обычный родительский контроль, и это действительно так. Набор функциональных возможностей здесь — один из самых широких для подобных продуктов:Фильтрация контента и безопасный поиск в YouTube.Контроль использования приложений и времени использования устройств.Использование устройства по расписанию.Определение местонахождения ребёнка и контроль заряда батареи.Контроль активности в социальных сетях.Все они настраиваются индивидуально и гибко для каждого ребёнка, представляя собой отдельные профили, что весьма удобно. Давайте разбираться с особенностями работы всех функций по порядку. Фильтрация контентаПозволяет защитить детей от столкновения с подозрительными сайтами и нежелательной информацией по 14 различным категориям («Для взрослых», «Алкоголь», «Оружие» и т. п.). Можно индивидуально настроить режимы запрета по каждой из них, задать исключения, включить режим блокировки или предупреждения. Отметим, что возможность глобального блокирования доступна для компьютеров с Windows и macOS, а также устройств на Android. Чтобы ребёнок был защищён при входе в интернет с устройств, имеющих операционную систему iOS, ему необходимо пользоваться браузером Kaspersky Safe Kids, иконка которого при установке автоматически появляется на экране. Только в этом (и ни в каком другом) браузере будут применимы правила веб-фильтрации. Рисунок 12. Настройка фильтрации контента в Kaspersky Safe Kids Важно отметить, что безопасный поиск работает как в браузерах при использовании популярных сайтов (Google, «Яндекс», Bing, Yahoo, YouTube), так и внутри мобильных приложений для Android (YouTube, «Окей, Google»). Кроме того, при запуске в браузере того или иного поисковика Kaspersky Safe Kids сам находит штатную настройку «Безопасный поиск» и активирует её. При попытке ребёнка поискать запрещённую информацию отображается предупреждение или срабатывает блокировка. Рисунок 13. Попытка ребёнка набрать в поисковике запрещённый контент и реакция Kaspersky Safe Kids Также пресекаются попытки зайти на YouTube (если он полностью запрещён) или поискать там небезопасные видео. При этом неважно, воспользовался ли ребёнок браузером или приложением. Интересной особенностью является возможность в реальном времени «спросить разрешения» у родителя. Рисунок 14. Блокировка запросов в YouTube и запрос разрешения у родителя в Kaspersky Safe Kids В это время родителю приходят оповещения о действиях ребёнка, а также запросы на одобрение. Рисунок 15. Уведомления в приложении родителя Kaspersky Safe Kids Контроль использования приложенийТочно так же, как и в случае с контентом, управлять доступными ребёнку приложениями родители могут исходя из предварительно настроенных категорий; здесь их 17. Кроме того, доступна опция распознавания маркировок возраста (12+, 16+, 18+ и т. п.) и автоматической блокировки установки программ из магазинов приложений в соответствии с настроенным возрастным профилем. Рисунок 16. Настройка контроля использования приложений в Kaspersky Safe Kids При попытке открыть приложение из списка запрещённых (например, игру) оно не запустится, а у ребёнка появится возможность запросить разрешение. Рисунок 17. Реакция Kaspersky Safe Kids на попытку ребёнка запустить запрещённое приложение Для отдельных приложений и игр можно задать ограничение по времени (например, 2 часа в день) с возможностью продления сеанса с разрешения родителя. Работа устройства по расписаниюКрайне важно не допускать «пропадания» ребёнка в гаджете сутки напролёт. Для профилактики ситуаций, когда дети целыми днями сидят даже в разрешённых играх и приложениях, доступна настройка работы устройства по расписанию (режим блокировки недоступен на iOS, отображаются только уведомления). Например, целесообразно задать ограничение на «сидение в телефоне» ночью. Рисунок 18. Настройка лимитов на «сидение в телефоне» для ребёнка в Kaspersky Safe Kids В ряде случаев целесообразно воспользоваться комбинированным расписанием, т. е. родитель может одновременно задать количество разрешённых часов в день и периоды времени, когда использование гаджета запрещено. К примеру: с 9-ти вечера до 8-ми утра работать с телефоном нельзя, а в оставшееся время — можно, но не более трёх часов. Контроль местонахождения ребёнка и заряда батареиЗнать, что ребёнок без проблем дошёл до школы или действительно посетил секции, — крайне важно для родителей. Рисунок 19. Контроль местоположения ребёнка в Kaspersky Safe Kids При необходимости можно задать на карте «периметр», например для своего района. Рисунок 20. Настройка разрешённого периметра для перемещения ребёнка в Kaspersky Safe Kids Далее настраиваются интервалы времени допустимого перемещения, например только на выходных с 8-ми до 18-ти (а по будням ребёнок должен быть, например, в школе). Рисунок 21. Настройка расписания и исключений для выхода из разрешённого периметра для перемещения ребёнка в Kaspersky Safe Kids При выходе ребёнка из разрешённого периметра с учётом временных ограничений родитель получит оповещение.Также крайне полезная возможность — контроль заряда батареи устройства. Она позволяет заранее предупредить родителя в случае возникновения риска потерять связь с ребёнком. Рисунок 22. Мониторинг заряда батареи телефона ребёнка в Kaspersky Safe Kids Контроль активности в социальных сетяхТема общения ребёнка в социальных сетях, его защиты от негативного влияния, подозрительных «друзей» и групп, кибербуллинга — крайне важна, прежде всего с психологической точки зрения. Kaspersky Safe Kids предоставляет необходимый для этого инструментарий. На данный момент поддерживаются две социальные сети: «ВКонтакте» и Facebook. Для включения такой возможности ребёнку на электронную почту приходит уведомление с просьбой дать доступ приложению Kaspersky Safe Kids. Рисунок 23. Пример письма на почту ребёнка для разрешения контроля социальных сетей с помощью Kaspersky Safe Kids После активации защиты панель управления родителя будет отображать отчёты об активности ребёнка. Kaspersky Safe Kids анализирует открытые посты и пользовательские группы «ВКонтакте» на предмет потенциально опасного контента и при его обнаружении сразу оповещает родителя. Кроме того, продукт отправляет предупреждение в том случае, если к ребёнку в друзья добавился подозрительный взрослый или ребёнок вступил в сомнительную группу. Рисунок 24. Пример отчёта по группам в социальной сети «ВКонтакте», участником которых является ребёнок, в Kaspersky Safe Kids В социальной сети Facebook Kaspersky Safe Kids может отслеживать количество друзей и опубликованные посты. Мгновенные оповещения и история активности ребёнкаОтдельно отметим глубоко проработанную функциональность взаимодействия с оповещениями и историей активности ребёнка. Как уже отмечалось ранее, сообщения о нарушении «политики детской безопасности» приходят в режиме реального времени по почте или посредством пуш-механизма либо отображаются в браузере при открытом портале — панели управления. Рисунок 25. Работа с уведомлениями родителям в Kaspersky Safe Kids Удобно, что можно не просто ознакомиться с текущей активностью, разрешить или отклонить запрос ребёнка, но и посмотреть всю историю, «провалиться» в отдельные интересующие темы, подкорректировать настройки. Системные требованияПриложение по детской онлайн-безопасности Kaspersky Safe Kids может быть без проблем установлено на всех популярных операционных системах, для его работы не требуется серьёзных ресурсов, основное — это наличие выхода в интернет.Для ОС Windows необходимы как минимум:200 МБ свободного места на жёстком диске;Microsoft Internet Explorer 9 и выше;Microsoft .NET Framework 4 и выше;Microsoft Windows 10 Домашняя / Профессиональная;Microsoft Windows 8 и 8.1 / Профессиональная / 8.1 с обновлением;Microsoft Windows 7 Начальная / Домашняя базовая / Домашняя расширенная / Профессиональная / Максимальная — SP1 и выше;процессор с частотой 1 ГГц и выше;1 ГБ (32 бита) или 2 ГБ (64 бита) оперативной памяти;разрешение экрана 1024 x 768.Минимальные требования к macOS — следующие:280 МБ свободного места на жёстком диске;2 ГБ оперативной памяти;macOS 10.13 и выше.Kaspersky Safe Kids доступен для устройств на Android начиная с версии 4.4 и для iOS (iPhone, iPad) начиная с версии 12.0.Для управления настройками родителям необходимо либо зайти в свой личный кабинет на сайте My Kaspersky (там же можно посмотреть и отчёты об активности ребёнка), либо установить себе на мобильный телефон приложение Kaspersky Safe Kids и выбрать «Родительский режим». Покупка и особенности лицензированияKaspersky Safe Kids в случае покупки частным лицом (родителем) имеет максимально прозрачную систему лицензирования. Есть полностью бесплатная версия, а для платной доступен пробный период в 7 дней, позволяющий оценить все функциональные возможности продукта. Стоимость приложения фиксированна и составляет 900 рублей в год, что делает его одним из самых доступных продуктов своего класса. Рисунок 26. Различия бесплатной и платной версий Kaspersky Safe Kids Кроме того, в стоимость платной подписки на одного родителя включено неограниченное число детских устройств, на которые можно установить программу, что является несомненным достоинством в нынешних реалиях, когда на одного современного ребёнка могут приходиться два и более различных устройств. Социальные мероприятия «Лаборатории Касперского» по детской онлайн-безопасности«Лаборатория Касперского» как производитель решений по кибербезопасности для домашних пользователей, корпораций и государственных организаций по всему миру уделяет особое внимание защите детей и видит в такой деятельности свою социальную ответственность. Функционирует полностью бесплатный портал kids.kaspersky.ru, который помогает «войти в мир безопасности» как взрослому, так и ребёнку. Рисунок 27. Портал kids.kaspersky.ru На портале есть статьи, ролики, тесты и тренировки, направленные на повышение уровня киберграмотности.Кроме того, «Лаборатория Касперского» совместно с «Фиксиками» выпустила серию простых и понятных видеосоветов, которые доступны маленьким телезрителям по всей России. Рисунок 28. Совместный видеоролик «Лаборатории Касперского» и «Фиксиков» «Лаборатория Касперского» активно сотрудничает как с государственными учреждениями различных стран (например, совместная с полицией Рима общегородская акция «Социальная жизнь»), так и с международными организациями (например, совместные вебинары с «Unicef Беларусь»).Отметим также разработку и выпуск совместно с издательством «Просвещение» пособия для школьников «Информационная безопасность, или На расстоянии одного вируса». Рисунок 29. Совместное пособие «Лаборатории Касперского» и группы компаний «Просвещение» ВыводыНесколько дней работы с Kaspersky Safe Kids оставили приятные впечатления. Пусть читателей не пугает версия продукта 1.x, он выглядит вполне зрелым. Поскольку основная аудитория — это «обычные родители» или школьные учителя (не ИБ- и даже не ИТ-специалисты), при тестировании продукта особое внимание мы уделяли процессу установки, а также интерфейсу приложения, и они нисколько не разочаровали. Пользоваться всеми возможностями — просто, разобраться даже с тонкими настройками не составит труда: везде есть подсказки и ссылки на инструкцию. Богатство функциональности позволит, пожалуй, заменить с помощью Kaspersky Safe Kids сразу несколько отдельных приложений, ведь такое обилие возможностей редко сочетается в одном продукте.Для образовательных учреждений Kaspersky Safe Kids должен стать настоящей находкой, поскольку продуктов подобного качества на отечественном рынке не так много. Важно, что продукт имеет положительные истории массовых внедрений и вендор готов помогать адаптировать образовательный процесс к современным реалиям и технологиям.Благодаря таким полезным мелочам, как советы психолога, милые детские аватарки и вежливый стиль сообщений, приложение обладает своего рода «душой» и позволяет снизить градус напряжения как для родителей, так и для детей.Отметим, что «под капотом» Kaspersky Safe Kids работают защитные технологии из решений корпоративного класса. Например, для отслеживания использования и блокировки приложений подключены возможности Kaspersky Endpoint Security, а для формирования категорий запрещённых сайтов и поисковых запросов применяется глобальная база знаний Threat Intelligence.Достоинства:Советы психолога. Отслеживание поисковых запросов в YouTube. Простота лицензирования и низкая цена. Удобный и понятный интерфейс.Богатая для приложений этого класса функциональность.Недостатки:Нет возможности переключаться между режимами «родитель» и «ребёнок» в приложении на одном телефоне без переустановки.Родителю в мобильном приложении доступна не вся функциональность.Ограниченные возможности блокировки на устройствах с iOS.

Обзор Гарда Монитор, аппаратно-программного комплекса для выявления и расследования сетевых инцидентов

Комплекс «Гарда Монитор» от компании «Гарда Технологии» выявляет в сетевом трафике признаки вредоносных программ, осуществляет мониторинг и сбор информации о сетевой активности. Система класса NTA (Network Traffic Analysis) обеспечивает полную запись потоков данных для эффективного анализа событий сетевой безопасности. Мы расскажем об архитектуре решения и его основных функциональных возможностях, а также рассмотрим работу с продуктом. ВведениеАрхитектура АПК «Гарда Монитор»Основные функциональные возможности АПК «Гарда Монитор»Системные требования АПК «Гарда Монитор»Выполнение требований действующего законодательства и стандартов по ИБПрименение АПК «Гарда Монитор»6.1. Поиск данных в разделе «Трафик»6.2. Факты сетевой разведки и угрозы безопасности6.3. Журнал авторизации6.4. Политики информационной безопасности6.5. Аномалии в сетевом трафике6.6. Карта сети6.7. Журнал пользовательской активности6.8. Диагностические данные6.9. НастройкиВыводы ВведениеБезопасность корпоративной сети включает в себя две большие категории задач: первая — безопасность периметра, вторая — контроль внутренней сети. Для защиты периметра используют различные программно-аппаратные межсетевые экраны, но не менее важно не допустить «слепых зон» во внутреннем сегменте сети. Как определить, что злоумышленник проник во внутреннюю сеть и закрепился в ней? Каким образом расследовать путь хакерской атаки или обнаружить нарушение корпоративной политики информационной безопасности? С помощью каких средств получить мгновенное оповещение для оперативного реагирования на инцидент? Ответы на эти вопросы дают системы класса NTA (Network Traffic Analysis).Не так давно мы опубликовали обзор таких систем. С их помощью можно проводить ретроспективное изучение сетевых событий, обнаруживать и расследовать действия злоумышленников, реагировать на инциденты.Согласно определению аналитического агентства Gartner, системы NTA анализируют «сырые» сетевые данные на уровне пакетов в режиме реального времени. Они обладают возможностью мониторинга и анализа всего сетевого трафика, «подсвечивая» аномальные потоки данных с помощью технологий поведенческой аналитики.Сегодня мы рассмотрим одно из решений класса NTA — «Гарда Монитор» от российской компании «Гарда Технологии» (входит в «ИКС Холдинг»). Система представляет собой аппаратно-программный комплекс (АПК) для выявления и расследования сетевых инцидентов. Решение позволяет осуществлять непрерывный мониторинг и запись всего трафика предприятия с последующей индексацией, быстрым поиском и воспроизведением событий за любой период времени. При этом система автоматически выявляет попытки вторжения в сеть предприятия и нарушения политик ИБ, отправляя уведомления об этом офицеру безопасности. Архитектура АПК «Гарда Монитор»АПК «Гарда Монитор» состоит из следующих функциональных модулей:Модуль съёма трафика — выполняет отбор передаваемых данных из выделенного сегмента сети.Модуль анализа и хранения трафика — обрабатывает и хранит полученный трафик.Модуль управления — выполняет агрегацию пользовательских запросов, предоставляет единый интерфейс для работы со всеми модулями съёма и хранения. Рисунок 1. Схема информационных потоков между функциональными модулями в «Гарда Мониторе» Комплекс поддерживает различные варианты комплектаций, позволяющие контролировать как отдельный сегмент, так и всю сеть: совмещённый, когда все модули находятся на одном сервере, и разнесённый, где модули располагаются на разных серверах, связанных между собой информационной вычислительной сетью. Рисунок 2. Типовая схема интеграции «Гарда Монитора» в сети Для записи и анализа сетевого трафика АПК «Гарда Монитор» подключается к сети пассивным образом и позволяет вести мониторинг сетевых взаимодействий в режиме, приближённом к реальному времени.Процесс мониторинга сетевых взаимодействий осуществляется следующим образом: весь объём перехватываемых IP-потоков анализируется и помещается в хранилище, откуда пользователь системы в любое время может извлечь информацию об интересующих его потоках, а также их «сырые» данные с помощью фильтрации по заданным параметрам — времени перехвата, IP-адресам инициатора или назначения, используемому протоколу, размеру потока и т. п.Комплекс «Гарда Монитор» не только легко масштабируется в рамках одного дата-центра, но и поддерживает территориально-распределённый режим работы с единым центром администрирования и мониторинга.Основной способ подачи трафика в комплекс — технология зеркалирования (SPAN). Также возможно подать статистику с маршрутизаторов в формате NetFlow / IPFIX и копию потоков данных с помощью GRE- или ERSPAN-туннеля. Кроме того, доступна возможность получения копии трафика от агентов зеркалирования сетевых подключений с рабочих станций.Система функционирует полностью автономно: наблюдение и сбор данных ведутся постоянно, независимо от того, работают в системе пользователи или нет. Основные функциональные возможности АПК «Гарда Монитор»АПК «Гарда Монитор» можно отнести к двум классам ИБ-решений — Network Traffic Analysis (анализ сетевого трафика использует сочетание сигнатурного подхода, машинного обучения и расширенной аналитики для обнаружения подозрительной активности в корпоративной сети) и Network Forensics (криминалистика, а именно комплекс мер для выявления и расследования внутрикорпоративных киберпреступлений и случаев мошенничества, а также для поиска уязвимостей в сетевой инфраструктуре компании).Уточним, какие классы решений NTA включает в себя «Гарда Монитор». В первую очередь это — DPI-система (Deep Packet Inspection, глубокое исследование пакетов), выполняющая анализ сетевого трафика со второго уровня модели OSI и выше. Система выделяет метаинформацию о свойствах сетевых соединений, такую как типы транспортных и прикладных протоколов, IP- и MAC-адреса, имена хостов и логины пользователей, а также декодирует команды из потоков некоторых прикладных протоколов, например SMB. При этом содержимое данных, передаваемых по сети, сохраняется в системе и доступно для критериального поиска по свойствам, выделенным из трафика. Также комплекс включает в себя систему обнаружения вторжений (IDS, Intrusion Detection System), предназначенную для выявления вредоносной активности с помощью сигнатурного анализа сетевого трафика на базе Suricata- и Snort-совместимого набора решающих правил. Кроме этого система строит профили поведения устройств и находит отклонения от нормального поведения, то есть содержит функциональность поведенческой аналитики (EBA, Entity Behavior Analytics).«Гарда Монитор» решает следующие задачи по обеспечению безопасности: долгосрочное хранение сетевого трафика и его категоризация, построение отчётов по различной метаинформации, извлечённой из трафика, наглядное представление схемы информационных потоков, обнаружение попыток вторжения в информационную сеть предприятия и эксплуатации уязвимостей, детектирование нарушений политик информационной безопасности, обнаружение аномального поведения устройств, а также выявление потоков, содержащих обращения к скомпрометированным ресурсам.При этом комплекс подразумевает территориально-распределённую установку, что позволяет выполнять администрирование и анализ данных во всех филиалах (как бы далеко друг от друга они ни находились) из единого центра мониторинга. Центр даёт возможность непрерывно контролировать ситуацию на всех участках сети, детектировать атаки и принимать оперативные меры по противодействию киберугрозам.Перечислим основные функциональные возможности «Гарда Монитора»:Выполняет классификацию трафика по протоколам транспортного и прикладного уровней (TCP, UDP, HTTPS, SSL, POP3, FTP, SSH, YOUTUBE, VK и ещё более 250 типов).Позволяет выгрузить содержимое интересующей сессии в формате PCAP для повторного воспроизведения в лаборатории или «песочнице».Даёт возможность просмотреть декодированное содержимое сессии без использования сторонних средств.Для некоторых протоколов позволяет извлекать текст (HTTP, почта, TELNET).Обнаруживает попытки осуществления сетевой разведки.Детектирует попытки эксплуатации уязвимостей с целью вторжения или влияния на сеть предприятия.Уведомляет службу безопасности о наступлении событий, удовлетворяющих пользовательским фильтрам.Выявляет в сетевом трафике признаки вредоносных программ.В режиме реального времени обнаруживает «аномальное» поведение сетевых служб и устройств и уведомляет ИБ-подразделение, наглядно демонстрируя при этом профиль поведения аномального устройства и позволяя перейти оттуда непосредственно к трафику.Определяет географическое положение внешних информационных ресурсов.Позволяет наглядно отобразить взаимодействие сегментов сети на карте.В АПК «Гарда Монитор» обеспечено автоматическое обновление баз сигнатурных правил, территориальной принадлежности IP-адресов, индикаторов компрометации, а также их распространение на всю инфраструктуру системы через единый интерфейс управления.«Гарда Монитор» осуществляет быстрый поиск содержимого перехваченных данных по следующим критериям: IP- и MAC-адреса, порты, учётные записи и доменные имена источника и получателя; версия IP; тип протокола транспортного уровня, прикладного протокола; страна источника и получателя; адреса почты отправителя и получателей; метаданные протокола HTTP (URL, хост, метод, тип содержимого, код ответа и т. п.); размер передаваемых данных; направление потока; доменные имена, запрашиваемые посредством DNS.Предусмотрены широкие возможности экспорта данных из «Гарда Монитора», в том числе интеграция в SIEM-систему. Благодаря стандартизованным форматам отправки данных (LEEF, CEF) поддерживаются все популярные на рынке SIEM. Системные требования АПК «Гарда Монитор»Рекомендуемые требования к выделяемым ресурсам платформы при установке ПО «Гарда Монитор» в случае обработки трафика до 1 Гбит/с в режиме «всё на одном узле»:ЦП — 2 x Intel Xeon Silver 4116 (кеш 16,5 МБ, 2,1 ГГц, 12 ядер, 85 Вт);объём оперативной памяти (ОЗУ) — 64 ГБ;логическая ёмкость дискового пространства — не менее 4 ТБ.Если объём сетевого трафика превышает 300 Мбит/с, то необходимо использовать сетевые адаптеры с чипсетом Intel.Возможна установка АПК «Гарда Монитор» в виртуальной среде. Требования к ресурсам платформы виртуализации аналогичны. При таком внедрении необходимо обеспечить наличие выделенных физических Ethernet-портов для приёма трафика.«Гарда Технологии» поставляет решение с возможностью неограниченного горизонтального масштабирования в зависимости от пропускной способности. Выполнение требований действующего законодательства и стандартов по ИБРешение «Гарда Монитор» позволяет обеспечить соответствие требованиям следующих документов:Приказы ФСТЭК России № 489 и ФСБ России № 416 от 31 августа 2010 года «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» (в части пунктов 17.1 и 17.2).Федеральный закон № 187-ФЗ от 26 июня 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации».Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».Федеральный закон № 8-ФЗ от 09 февраля 2009 года «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».Положения Банка России 683-П\684-П и ГОСТ Р 57580.1-2017.GDPR (General Data Protection Regulation, постановление Европейского союза «Генеральный регламент о защите [персональных] данных») от 27 апреля 2016 года.Международный стандарт (руководство) по работе с инцидентами в сфере компьютерной безопасности NIST-800-61. Применение АПК «Гарда Монитор»Работа с АПК «Гарда Монитор» начинается с авторизации на сервере. В веб-браузере необходимо набрать URL сервера. После ввода появляется стартовая страница. В комплексе предусмотрена возможность авторизации как по локальной, так и по доменной учётной записи. Рисунок 3. Авторизация в «Гарда Мониторе» При входе в систему пользователь попадает на главную страницу (панель мониторинга, «дашборд»), где отображаются статистические отчёты по различным показателям за выбранный промежуток времени — сегодня, вчера, за неделю, за установленный вручную интервал. Рисунок 4. Главная страница в «Гарда Мониторе» Панель содержит графики и диаграммы с информацией о количестве объектов и об объёмах данных, передаваемых по сети с использованием протокола TCP / UDP либо приложений, а также список последних инцидентов. Все графики интерактивны — поддерживается принцип «drill-down», когда по нажатию на элемент можно получить детализированные сведения.На графике «Распределение по протоколам (количество)» нажмём на сектор DNS. Система перейдёт в раздел «Трафик» и предоставит информацию обо всех DNS-потоках за указанный интервал времени. На скриншоте ниже представлено отображение списка потоков, удовлетворяющих заданному фильтру, и пакетов одного из них. На вкладке «Свойства» отображаются атрибуты, извлечённые из этого потока, а вкладка «Просмотр» предоставляет возможность сохранить исходный «сырой» поток в формате PCAP. Перейдя на вкладку «Следовать потоку», увидим декодированное содержимое в текстовом формате. Рисунок 5. Детальная информация о потоках, удовлетворяющих фильтру «protocol=DNS» В разделе «Трафик» помимо таблицы с потоками есть режим отображения сводной статистики в виде графических отчётов, представленный для примера на следующем скриншоте. Рисунок 6. Сводная статистика о потоках, удовлетворяющих фильтру «protocol=UDP» В данном режиме отображается сводная статистика в виде графиков по всей метаинформации, извлекаемой из сетевых соединений. В частности, на графике «Распределение по времени» видим информацию о количестве и объёме данных, поступающих в систему за выбранный временной промежуток, которые удовлетворяют пользовательскому фильтру. На виджете отображаются сведения об используемых протоколах в виде диаграммы: транспортный протокол → прикладной протокол → приложение (надстройка над прикладным протоколом), например UDP → DNS → LLMNR.Из виджета «IP получателя» видим, что есть значительное количество подключений в обход корпоративного DNS. Каким образом определить список узлов, использующих постороннюю службу? Расширим наш критерий поиска, указав направление потока: «protocol=DNS && direction=”Внутренний → внешний”». В результате увидим список всех отправителей, использующих некорпоративный DNS, и перечень всех внешних DNS-серверов.Предположим, что, обнаружив подобное небезопасное поведение, служба ИБ приняла меры и настроила инфраструктуру таким образом, что все компьютеры во внутренней сети используют корпоративный DNS. Как быть уверенным, что нарушение этой политики не произойдёт вновь? Сохраним выбранные критерии и построим на их основе политику ИБ. В данном случае политика — это фильтр, на соответствие которому проверяются все потоки в момент поступления в систему. Если объект удовлетворяет указанному фильтру, то, во-первых, он отмечается соответствующим значком, а во-вторых, для каждой политики может быть настроен способ реагирования: уведомление на почту или экспорт в SIEM-систему. Более детально о механизме политик расскажем в особом разделе обзора. Поиск данных в разделе «Трафик»Примеры того, как можно выполнять поиск в разделе «Трафик», уже приводились выше. В этом пункте отметим, что поиск возможен по любым метаданным, извлечённым из потоков. При этом для IP-адресов есть возможность указывать маску подсети в поисковом запросе. Для текстовых свойств, таких как почтовый адрес, тип содержимого HTTP, хост, URL и т. п., доступен поиск с поддержкой символа «*». Например, запрос «http_host=*video*» покажет все сетевые потоки, содержащие обращения к HTTP-ресурсам, в названии которых присутствует «video». Кроме того, в комплексе предусмотрена возможность поиска объектов, входящих в списки хостов и IP- / email- / URL-адресов; эти списки могут быть составлены пользователем, а также автоматически доставляются в систему с помощью сервера обновлений компании «Гарда Технологии».Отметим, что любой поисковый фильтр может быть сохранён для последующего использования в интерактивном поиске или политиках.Результаты можно экспортировать в форматах CSV, PDF, XML. В режиме отчётов пользователю доступно графическое представление результатов поиска, которое выгружается в формате PDF. При этом можно добавлять и удалять интересующие отчёты, а также располагать их в удобном порядке и изменять их размер. Факты сетевой разведки и угрозы безопасностиРаздел «Угрозы безопасности» содержит функциональность обнаружения вторжений с помощью сигнатурного анализа трафика на основе набора решающих правил и состоит из двух подразделов: «Факты сетевой разведки» и «Угрозы».«Факты сетевой разведки» — это информация об инцидентах сканирования сети с целью получения данных, которые могут быть использованы злоумышленниками для организации атак. Рисунок 7. Раздел «Факты сетевой разведки» в «Гарда Мониторе» Здесь доступны поиск информации о попытках сетевой разведки и создание фильтров, на основе которых работают политики информационной безопасности. Есть возможность фильтрации фактов по времени и по параметрам, которые соответствуют их свойствам.Факты отображаются в таблице, которая содержит дату и время первого / последнего инцидента, IP-адрес источника, название угрозы, количество целей, уровень опасности. Рисунок 8. Карточка факта сетевой разведки в «Гарда Мониторе» В карточке факта сетевой разведки отображаются данные об инциденте, включая дату и время обнаружения, название и тип угрозы, набор условий, позволяющий её детектировать, и другие сведения.Факты сетевой разведки также можно экспортировать в форматах CSV, PDF, XML.Подраздел «Угрозы» содержит данные о сетевой активности, которая может быть опасной для информационной системы предприятия (попытки эксплуатации уязвимостей, повышения привилегий или осуществления DoS-атак, троянские программы и прочее). В этом разделе пользователь тоже может вести поиск метаданных об угрозах и создавать фильтры, на основе которых работают политики ИБ. Рисунок 9. Раздел «Угрозы» в «Гарда Мониторе» Аналогично фактам угрозы отображаются в таблице, которая содержит дату и время события, идентификаторы источника и цели, название и тип угрозы, а также уровень её опасности. Рисунок 10. Карточка угрозы в «Гарда Мониторе» В карточке, как видно по рис. 10, доступны дата и время выявления угрозы, её название и тип, направление потока, списки IP-адресов, в которые входит источник проблемы, набор условий для обнаружения и другие сведения. Пользователю предоставляется возможность перейти из карточки угрозы непосредственно к потоку, содержащему эту угрозу. Журнал авторизацииРаздел «Журнал авторизации» содержит данные о соответствующих событиях на компьютерах предприятия. Здесь доступна возможность фильтровать авторизации по времени и по параметрам, сопряжённым с их свойствами. Работа с параметрами фильтрации аналогична той, что выполняется в разделе «Трафик». Рисунок 11. Раздел «Журнал авторизации» в «Гарда Мониторе» Доступен просмотр статистики по отфильтрованным авторизациям в виде графиков «Топ используемых учётных записей» и «Топ используемых рабочих станций». Предоставляется возможность увидеть историю авторизации пользователя на рабочих станциях — например, кто кроме администратора выполнял вход на контроллер домена. Политики информационной безопасностиОдин из особо полезных разделов — это «Политики». Он позволяет службе ИБ автоматизировать работу с комплексом, превращая настроенные фильтры по любому из разделов в регистрацию инцидентов в режиме реального времени. Здесь отображаются список созданных политик ИБ и общая статистика по ним за выбранный промежуток времени. Политики предназначены для выявления сетевой активности, нарушающей правила информационной безопасности компании. Политики строятся на основе сохранённых фильтров из разделов «Трафик», «Факты сетевой разведки», «Угрозы», «Журнал авторизации». Рисунок 12. Раздел «Политики» в «Гарда Мониторе» В случае выявления таких событий «Гарда Монитор» может в автоматическом режиме оповещать пользователя по электронной почте и отправлять информацию о событии в SIEM-систему. Предусмотрен переход из карточки политики к объектам, которые удовлетворяют условию фильтра. Аномалии в сетевом трафикеВ разделе «Аномалии»доступен список выявленных существенных отклонений от нормального поведения устройств в сети. Для обнаружения аномалий в сетевом трафике систему нужно настроить и обучить. Для этого офицеру безопасности понадобится указать наблюдаемые сегменты сети и свойства, по которым требуется выявление отклонений. Система отображает профиль поведения устройства за исследуемый период времени для всех обнаруженных аномалий. Рисунок 13. Раздел «Аномалии» в «Гарда Мониторе» Аномалии представлены в таблице, содержащей дату и время, идентификатор участника сети, политику, в рамках которой состоялось обнаружение, и максимальное отклонение от ожидаемого значения.В карточке аномалии есть график распределения данных по времени, где отображаются значения параметров, по которым были зафиксированы отклонения. Эти параметры перечислены над графиком. Также в карточке предусмотрена возможность перехода непосредственно к трафику устройства. Карта сетиВизуализировать информационные потоки можно с помощью «Карты сети». Она представляет собой граф, на котором отображены подсети и взаимодействия между ними. По умолчанию в разделе строится карта внутренней сети. При этом есть возможность отобразить на карте результаты фильтрации из раздела «Трафик». Доступны выбор версии отображаемого протокола — IPv4 или IPv6 — и указание маски отображаемых подсетей либо для всей карты, либо для конкретного узла. Для выделенной связи между узлами отображаются список портов и количество соединений, используемых при взаимодействии подсетей за выбранный промежуток времени. Рисунок 14. Раздел «Карта сети» в «Гарда Мониторе» Журнал пользовательской активностиПросмотр протокола действий пользователя осуществляется в разделе «Журнал». В частности, здесь фиксируются все изменения в настройках комплекса. Рисунок 15. Раздел «Журнал» в «Гарда Мониторе» Диагностические данныеПользователь может проверить корректность функционирования системы. Соответствующая информация доступна в разделе «Диагностика». Рисунок 16. Раздел «Диагностика» в «Гарда Мониторе» НастройкиВ разделе «Настройки» можно выполнять, например, следующие действия:Задавать конфигурацию географически распределённого решения.Управлять учётными записями пользователей (в комплексе предусмотрены ролевая модель с разграничением прав доступа к разделам в зависимости от роли и авторизация с помощью доменных учётных записей).Формировать списки, которые могут быть использованы при создании политик информационной безопасности.Создавать логические группы, позволяющие подсветить IP-адреса, имена компьютеров и аккаунты при их отображении.Задавать списки локальных подсетей.Настраивать параметры экспорта в SIEM.Задавать правила записи трафика (например, не записывать содержимое SSL-потоков). Рисунок 17. Раздел «Настройки: Логические группы» в «Гарда Мониторе» Выводы«Гарда Монитор» — решение класса NTA для непрерывного мониторинга сети, оперативного выявления и расследования сетевых инцидентов, позволяющее контролировать как периметр, так и внутренний сегмент сети. Анализ проводится на основе глубокого разбора пакетов (DPI), позволяющего выделять метаинформацию о сетевых потоках, детектировать транспортные и прикладные протоколы. Также комплекс выполняет функции системы обнаружения вторжений (IDS), выявляющей угрозы в сети. При этом система строит профили поведения устройств (EBA) и сигнализирует в случае обнаружения аномального поведения пользователей или систем.Комплекс наделён возможностями гибкого многокритериального поиска с помощью фильтров, сохранив которые можно настроить реагирование в случае детектирования подозрительных объектов, подпадающих под этот фильтр. Любой поток, сохранённый в системе, может быть выгружен для проведения анализа или предоставления в качестве доказательной базы при расследовании.«Гарда Монитор» работает с зеркалированной копией трафика (SPAN) и не оказывает влияния на сеть предприятия.Функциональные возможности «Гарда Монитора» позволяют обеспечить соответствие требованиям отдельных разделов действующих законов и стандартов по ИБ, в том числе — наиболее актуальных на текущий момент: Федерального закона № 187-ФЗ от 26 июня 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации», Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», Положений Банка России 683-П\684-П, ГОСТ Р 57580.1-2017, GDPR.Достоинства:Распределённая архитектура — мониторинг трафика всех филиалов компании из единого центра.Разнообразие способов подачи трафика: SPAN, NetFlow, агенты, GRE, ERSPAN.Сочетание в одном продукте нескольких классов решений (анализ трафика на основе глубокого разбора содержимого пакетов, сигнатурный анализ, выявление аномального поведения).Неограниченный объём записи трафика и оперативный доступ к данным за любой период времени.Возможность выгрузки «сырого» трафика с гарантией его неизменности.Непосредственный переход от информации об угрозе к «сырому» трафику, в котором эта угроза содержится.Моментальное оповещение о нарушении политик безопасности.Библиотека предустановленных политик выявления инцидентов.Возможность отображения сетевых взаимодействий на карте.Не требуются сторонние лицензии.Недостатки:Нет сертификатов соответствия требованиям безопасности ФСТЭК России (планируется сертификация в 2020 году).Отсутствует визуализация действий атакующих по матрице MITRE ATT&CK.

Обзор UserGate Log Analyzer, системы анализа событий межсетевых экранов

Аппаратно-программный комплекс класса SOAR предназначен для визуализации статистики и для комплексного мониторинга событий, о которых сообщают межсетевые экраны, а также для автоматизации реагирования на сетевые инциденты. Комплекс дополняет функциональность шлюза безопасности UserGate, однако может быть использован и как автономная система. ВведениеАрхитектура UserGate Log AnalyzerФункциональные возможностиСценарии использования UserGate Log Analyzer4.1. Журналирование и отчёты4.2. Аналитика и визуализация4.3. Автоматизация и управлениеВыводы ВведениеВектором развития для российского вендора ИБ-решений UserGate стала концепция SOAR (Security Orchestration, Automation and Response — координация, автоматизация и реагирование в области безопасности). Этот подход предписывает ускорять процесс отработки инцидентов, заменяя повторяющиеся ручные задачи автоматизированными рабочими операциями.Появление UserGate Log Analyzer стало закономерным продолжением развития основного продукта компании — шлюза безопасности UserGate. Основная задача решения — создать единую точку для анализа отчётов всех межсетевых экранов, используемых в организации. Применение внешнего сервера для обработки журналов, визуализации отчётных сведений и процессинга статистических данных помогает увеличить глубину журналирования и сроки хранения архивов без снижения производительности основного шлюза безопасности. Особенно актуально оно для крупных, регионально распределённых инфраструктур: выявить общие характеристики инцидентов и сложных атак без автоматического анализа журналов межсетевых экранов было бы гораздо более трудозатратно. Архитектура UserGate Log AnalyzerРешение представляет собой предварительно настроенный аппаратно-программный комплекс, поэтому технологию внедрения и установки мы в обзоре рассматривать не будем. Серверная часть UserGate Log Analyzer поставляется в трёх форм-факторах, в зависимости от объёма обрабатываемых данных: 6- / 14- / 25-терабайтные серверы. Рисунок 1. Схема работы UserGate Log Analyzer Log Analyzer оперирует данными, которые получает с сенсоров — межсетевых экранов UserGate NGFW или сторонних устройств по протоколу SNMP. В дальнейшем разработчик планирует добавить интеграцию с Windows-серверами.Система управляется через веб-интерфейс, что удобно для кроссплатформенной работы администраторов. Веб-интерфейс интуитивно понятен, администратор может начать работу без специального обучения, тем более если он уже знаком с другими продуктами UserGate.Кроме того, UserGate Log Analyzer может быть развёрнут в виртуальной среде: решение поддерживает многие популярные системы виртуализации (VMware, Oracle VirtualBox, Microsoft Hyper-V).Лицензируется Log Analyzer по количеству подключённых сенсоров. Если у организации нет потребности в масштабировании, техподдержке и обновлениях, никаких дополнительных платежей за пользование купленным сервисом не будет. Функциональные возможностиДля выстраивания стратегии информационной безопасности необходимо получить количественные показатели защищённости сети — и инструменты комплексного лог-мониторинга здесь необходимы. Обычно в этих целях используются SIEM-решения, но они есть не у всех. Вдобавок, помимо статистических данных в ряде случаев нужно иметь возможность быстро обратиться к первоисточникам, и встроенные в шлюз безопасности возможности комплексного управления журналами становятся существенным преимуществом. UserGate Log Analyzer позволяет получать суммарную и детализированную информацию ото всех межсетевых экранов организации. Решение предоставляет наглядную инфографику по активности пользователей сети, типам и источникам атак, работоспособности серверов и другим данным. Встроенные панели мониторинга («дашборды») с оперативными сводками позволяют реализовать принцип непрерывности обеспечения информационной безопасности.Основные функциональные возможности решения:Консолидация журналов всех межсетевых экранов UserGate и сторонних производителей.Тематическое разграничение журналов по событиям, гибкие настройки фильтрации для поиска и анализа конкретных событий.Представление статистической информации в сводных отчётах — как предварительно настроенных, так и индивидуальных пользовательских.Отправка регулярных отчётов по расписанию.Визуализация инфографики на интерактивных рабочих столах (дашбордах).Возможность настройки политик активного реагирования для межсетевых экранов на основе выявляемых закономерностей и событий.Ролевая модель системы позволяет выдавать администраторам различные права доступа, ограничивая по функциональным возможностям или по доступу к конкретным устройствам.Решение передаёт данные в SIEM-систему для верхнеуровневого анализа.Работа со сводками протоколов позволит быстрее решить такие задачи, как выявление бот-активности в корпоративной сети, исключение из правил нерелевантных сигнатур и приложений для оптимизации настройки IPS, построение защиты различных узлов сети от однотипных атак. Именно для этого нам понадобятся наглядные отчёты и инфографика, которые предоставляет UserGate Log Analyzer. Сценарии использования UserGate Log AnalyzerЖурналирование и отчётыОсновная работа с системой ведётся через журналы. Log Analyzer собирает информацию обо всём, что происходит во время работы подключённых серверов:Журнал событий — изменение настроек собственного сервера, авторизация пользователей и администраторов, обновление различных списков и т. п.Журнал веб-доступа — подробный перечень всех веб-запросов пользователей сети.Журнал трафика — история срабатывания правил межсетевого экрана, NAT, DNAT, переадресации портов (port forwarding), маршрутизации на основе политик (policy-based routing).Журнал СОВ — события, регистрируемые системой обнаружения и предотвращения инцидентов.Журнал АСУ ТП — отображает сработавшие правила соответствующей системы, требующие журналирования или блокировки.История поиска — запросы пользователей в популярных поисковых системах.Для удобства поиска необходимых событий можно отфильтровать записи по различным критериям, таким как протокол, диапазон дат, действие и т. д. Для детального анализа администратор может скачать отфильтрованные данные журнала в CSV-файл.Сам по себе журнал — это полезный инструмент для ручного выявления и расследования подозрительной активности и аномалий. По умолчанию администратор видит сводную таблицу всех данных по всем событиям в календарном порядке, однако для удобства он может выбрать для показа только те столбцы, которые ему необходимы. Для этого понадобится щёлкнуть мышью на любом из них и в появившемся контекстном меню отметить нужные показатели. Рисунок 2. Журнал веб-доступа в UserGate Log Analyzer Каждое действие пользователей сети раскладывается на составные части для последующего мониторинга безопасности. Элементарное событие, когда пользователь зашёл на веб-сайт, оставит в журнале порядка 50 записей — о запущенных Java-скриптах, скачанных данных, загрузке ЦП, отправленных запросах и полученных ответах от серверов из разных стран и т. п. Функции поиска и фильтрации в UserGate Log Analyzer представлены в двух форматах — графическом и текстовом (SQL-запрос).Расширенный вариант запроса позволяет делать сложные выборки по нестандартным критериям, недоступным в графическом интерфейсе. Запросы, к которым администратор будет обращаться регулярно, можно сохранить в его профиле, чтобы не тратить время на их настройку в следующий раз.Поскольку ручной разбор инцидентов занимает много времени, данные журналов сводятся в читаемые отчёты. Рисунок 3. Шаблоны отчётов в UserGate Log Analyzer UserGate Log Analyzer предлагает несколько тематических категорий отчётов: по captive-порталу, системным событиям, системе обнаружения вторжений (СОВ), сетевой активности, веб-порталу, трафику, веб-активности.В формате PDF- / XML- / CSV-файла пользователь может получить статистическую сводку по выбранной группе данных за назначенный промежуток времени. Отчёты доступны на русском и английском языках, для большинства сведений можно выбрать тип визуализации — таблица, диаграмма, карта или другой актуальный вид. Моментальной выгрузки отчёта ждать не стоит: для обработки материала за продолжительный временной период требуются большие вычислительные мощности, поэтому на формирование обобщающего документа может уходить до 24 часов. Впрочем, есть возможность сохранить запрос для получения регулярных отчётов — обновление данных происходит быстрее, чем формируются новые сводки. Отчёты будут регулярно отправляться ответственному за выбранные показатели администратору по электронной почте. Рисунок 4. Часть регулярного отчёта, высылаемого UserGate Log Analyzer В отчётах по captive-порталу можно увидеть данные о количестве авторизаций за выбранные периоды, перечень наиболее часто авторизуемых пользователей.Отчёты о системных событиях предоставляют информацию о действиях администраторов межсетевых экранов (обращения к консоли, изменения конфигурации), а также сведения о других операциях на уровне системы по степени значимости.В разделе «СОВ» собрана информация о выявленных атаках на сетевую инфраструктуру — топ IP-адресов источников нападений, цели атакующих (IP-адреса хостов), часто используемые протоколы, типы атакующих устройств.Раздел отчётов о сетевой активности содержит информацию о DoS-атаках по времени суток, дням недели и месяца, по месяцам. Доступны данные по заблокированным приложениям в соотношении с пользователями, топ заблокированных приложений, список чаще всего сработавших правил.Отчёты о трафике покажут сводки за день / неделю / месяц, топ приложений в соотношении с интернет-пользователями и источники потоков данных.В разделе веб-активности содержится подробный список всех посещённых веб-сайтов, чаще всего блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам. Рисунок 5. Примеры отчётов UserGate Log Analyzer Ключевое отличие решения Log Analyzer от модуля статистики основного продукта UserGate — это возможность настройки пользовательских шаблонов отчётов. В соответствующем меню можно задать свои правила: какие именно данные и за какой период времени собирать, в какой форме их визуализировать и как часто отправлять. Функция настройки отчётов предоставляет гибкие возможности фильтрации, но стоит учитывать, что для полноценного управления этим инструментом администратор должен быть знаком с синтаксисом языка SQL при написании фильтров. В то же время Log Analyzer предоставляет подсказки при формировании SQL-подобного запроса. Рисунок 6. Настройка пользовательского шаблона отчётов в UserGate Log Analyzer Аналитика и визуализацияПомимо статистических отчётов за продолжительные периоды пользователю доступны оперативные сводки данных, которые Log Analyzer собирает с серверов межсетевых экранов. По умолчанию предлагаются три рабочих стола (дашборда) с предварительно настроенными виджетами, разграниченных по функциональному назначению. Некоторые виджеты позволяют настроить формат отображения, назначить диапазон показываемых записей и задать другие параметры.Дашборд Log Analyzer — это характеристики самого сервера системы, такие как график загрузки интерфейсов, производительность, актуальность лицензии. Рисунок 7. Дашборд Log Analyzer Дашборд SOC (Security Operations Center) содержит сводки данных с межсетевых экранов, такие как информация об атаках, популярных приложениях, активных веб-пользователях, характеристиках трафика и срабатывающих правилах — всего около 40 предустановленных виджетов с возможностью изменения их вида и структуры. К этим отчётам администраторы будут обращаться чаще всего, ведь именно здесь визуализирована статистика инцидентов NGFW.Оперативный мониторинг данных поможет повысить эффективность в ежедневной работе — например, увеличить пропускную способность при превышении плановых пиковых значений пользовательского трафика. Кроме того, инструменты SOC помогут выявить общие характеристики атак на различные межсетевые экраны (это может сигнализировать о начале распределённой атаки). В любом случае, доступ к наглядным оперативным сводкам о сетевых событиях существенно оптимизирует работу администратора, особенно при отсутствии в компании SIEM-системы. Рисунок 8. Дашборд SOC в UserGate Log Analyzer Дашборд NOC (Network Operations Center) показывает данные о работоспособности сенсоров. В этом разделе фактически создано единое окно мониторинга инфраструктуры межсетевых экранов. Здесь мы видим всплески уровня загрузки каждого сервера, занятую память, последние и наиболее активные соединения, а также другую информацию, которая помогает администратору прогнозировать работоспособность каждого межсетевого экрана в отдельности и всей инфраструктуры в целом. Рисунок 9. Дашборд NOC в UserGate Log Analyzer Кроме того, пользователь может самостоятельно добавлять или изменять виджеты и настраивать дашборды под себя. Функция настройки виджетов совмещает графический интерфейс и SQL-строку для запросов фильтра. Рисунок 10. Управление виджетами в UserGate Log Analyzer Автоматизация и управлениеВозможности UserGate Log Analyzer не ограничены пассивной аналитикой. При интеграции с основной системой UserGate новое решение позволяет автоматизировать реакцию межсетевых экранов на выявленные угрозы. Например, если UserGate Log Analyzer выявит аномальную активность, угрожающую одному межсетевому экрану, то комплекс UserGate может дать команду для превентивной защиты сети — заблокировать специфичный трафик или полностью ограничить его пропуск к межсетевым экранам. Также можно заблокировать или ограничить поток данных интернет-пользователя или группы при выявлении потенциально опасных действий — например, попыток использования torrent-протоколов или посещения сайтов категории «Threats», при срабатывании СОВ-сигнатур высокого риска или обнаружении вируса в трафике.Настроить правила автоматического реагирования нужно непосредственно в интерфейсе подключённого к Log Analyzer межсетевого экрана UserGate с помощью механизма сценариев (SOAR). Сценарий — это дополнительное условие в правилах межсетевого экрана и пропускной способности, определяющее реакцию комплекса UserGate на события, произошедшие за продолжительное время. Рисунки 11—12. Настройки правил реагирования межсетевых экранов UserGate на основе данных Log Analyzer ВыводыРасширение штатных аналитических возможностей UserGate с помощью отдельного решения Log Analyzer даёт ряд существенных преимуществ.Во-первых, уменьшается нагрузка на шлюз, поскольку обработкой журналов, визуализацией отчётов и построением инфографики занимается внешний сервер Log Analyzer. В зависимости от объёма сервера можно также увеличить глубину журналирования данных для обогащения внутренних расследований инцидентов.Во-вторых, объединение журналов с нескольких шлюзов UserGate для общего анализа существенно экономит трудовые ресурсы и повышает эффективность аналитики. Кроме того, Log Analyzer даёт возможность собирать (по SNMP) и анализировать информацию со сторонних устройств.В-третьих, возможность автоматизации активного реагирования на инциденты выводит управление межсетевыми экранами на уровень SOAR-систем. Принятие правил автоматического реагирования всей цепочки межсетевых экранов на основе данных одного из них позволит предотвратить такие актуальные угрозы, как, например, массовые заражения шифровальщиками, распределённые атаки на сетевые ресурсы. Система лог-менеджмента межсетевых экранов окажет большую помощь компаниям, в которых не внедрена SIEM-система. Визуализация сводных данных NGFW поможет автоматизировать и ускорить процессы обеспечения информационной безопасности, позволив реализовать принцип непрерывной защиты.Достоинства:Гибкие возможности фильтрации для анализа журналов событий.Возможность выгрузки визуальных отчётов в различных форматах.Тематическое разграничение панелей мониторинга (дашбордов).Возможность настройки пользовательских дашбордов и отчётов.Наличие групповых политик реагирования на инциденты для межсетевых экранов.Возможность ограничения доступа для различных администраторов.Недостатки:Настройка собственных отчётов требует знания SQL-синтаксиса.Небольшое количество предварительно настроенных дашбордов по сравнению с конкурентами.Виджеты панелей мониторинга не откликаются на нажатия, перейти напрямую к протоколам событий можно только через интерфейс журналов.Нет возможности настроить правила или оповещения о пороговых значениях событий безопасности.

Обзор Solar webProxy, шлюза информационной безопасности (SWG)

Основное назначение Solar webProxy — контроль доступа сотрудников и приложений к веб-ресурсам и защита веб-трафика от вредоносных программ и навязчивой рекламы. Расскажем об основных функциях системы и о практике её применения. ВведениеПринцип работы Solar webProxyФункциональные возможности Solar webProxy3.1. Аутентификация3.2. Контроль HTTPS-трафика3.2.1. Проверка установки и перенаправление на страницу установки сертификата3.3. Фильтрация трафика3.4. Учёт активности пользователей и отчёты3.5. Ведение досье сотрудника3.6. Категоризация ресурсов3.7. Блокировка рекламы3.8. Интеграция с антивирусным ПО3.9. Балансировка и отказоустойчивость3.10. Интеграция со смежными системамиПрименение Solar webProxy4.1. Интерфейс системы4.2. Карточка персоны4.3. Главная страница зоны «Статистика» (отчёты)4.4. Рабочий стол4.5. Мониторинг состояния шлюза веб-безопасности4.6. ПолитикиВыводы ВведениеШлюз веб-безопасности по сути является для специалистов точкой входа, с которой начинается поиск ИБ-инцидентов в компании. Программный комплекс Solar webProxy предназначен для защиты корпоративных сетей от рисков, связанных с использованием веб-ресурсов. Защита обеспечивается комплексом мер, включающим авторизацию пользователей и протоколирование их действий, а также фильтрацию данных, передаваемых по протоколам HTTP, HTTPS и FTP over HTTP.Веб-прокси даёт возможность увидеть полную картину активности пользователей в сети «Интернет»: как сотрудники используют интернет-ресурсы, какими категориями сайтов они интересуются, что ищут в сети, что скачивают из интернета или, наоборот, загружают в него. Принцип работы Solar webProxyШлюз веб-безопасности Solar webProxy устанавливается в корпоративной сети предприятия «в разрыв» и контролирует доступ сотрудников к интернету. Решение осуществляет проверку всех данных, которыми работники организации обмениваются с ресурсами глобальной сети. Данные фильтруются с помощью методов, учитывающих среди прочей информации и служебные сведения. Благодаря этому осуществляется детальный анализ передаваемых данных, определяются их кодировка, формат, заголовки сетевых пакетов, а в случае текстовой информации — и язык. Упрощённая схема работы приведена на рисунке ниже. Рисунок 1. Упрощённая схема работы Solar webProxy Рассмотрим чуть детальнее каждый из этапов работы шлюза.Шаг первый. Когда сотрудник обращается к тому или иному веб-ресурсу, используемое им для этого приложение должно пройти аутентификацию в Solar webProxy. При этом возможна организация входа в прозрачном режиме, а для некоторых ресурсов можно вообще настроить доступ без запроса аутентификационной информации.Шаг второй. Шлюз анализирует полученные от сотрудника данные, а также информацию о сервере назначения и технические параметры запроса, после чего применяет соответствующую политику безопасности. На этом этапе может происходить запрос дополнительной информации — например, от антивируса или DLP-системы.Шаг третий. В случае если политика позволила осуществить передачу данных, запрос от приложения поступает на сервер назначения.Шаг четвертый. Прокси-сервер также проверяет соответствие ответа, полученного от сервера назначения, заданной политике безопасности. Если верификация прошла успешно, ответ передаётся запрашивавшему его приложению.Шаг пятый. Если запрос или ответ вошли в противоречие с политиками безопасности, то вместо доступа к веб-ресурсу сотрудник видит на экране рабочего стола всплывающее окно с информацией о причинах запрета, а приложение получает отказ в доступе. Функциональные возможности Solar webProxyКак показывает практика, компании, использующие прокси-серверы для ограничения доступа пользователей к интернет-ресурсам, не ставят себе цель ввести режим тотального запрета на всё и вся. Чаще всего ограничение доступа к сайтам определённых категорий обеспечивает дополнительную безопасность как рабочим станциям сотрудников, так и компании в целом. Далее рассмотрим ряд функциональных возможностей решения Solar webProxy, способствующих повышению уровня защищённости корпоративной сети предприятия. АутентификацияВ Solar webProxy реализована поддержка всех наиболее распространенных механизмов предоставления пользователям прав доступа к ресурсам глобальной сети, начиная с протоколов Basic, NTLM, Kerberos и заканчивая аутентификацией по IP-адресам и доменной аутентификацией в прозрачном режиме.Решение может интегрироваться с Microsoft Active Directory. Для служб обновления ПО, банковских приложений и прочих программ, не поддерживающих AD, можно настроить исключения аутентификации. Такая настройка доступна в слое правил политики «Доступ без аутентификации» раздела «Политики» (см. рис. 2). Рисунок 2. Слой политики «Доступ без аутентификации» Контроль HTTPS-трафикаСовременный интернет практически невозможно себе представить без защиты информации, передаваемой от клиента к серверу. Однако такая информация может нести в себе и угрозу. В этом случае не обойтись без вскрытия HTTPS. У Solar webProxy есть возможность расшифровки HTTPS-трафика в прозрачном режиме, поскольку шлюз по сути встраивается между клиентом и сервером. В такой реализации становится возможной проверка всего трафика, проходящего через шлюз, с помощью заданной в системе политики, а также средствами антивирусной защиты. Для расшифровки HTTPS-трафика Solar webProxy, в отличие от конкурирующих решений, позволяет запрашивать всю цепочку сертификатов в том случае, если интернет-сайт её не предоставил.Для тех компаний, в которых уже используется система защиты от утечек Solar Dozor, возможности шлюза по расшифровке HTTPS будут полезны для своевременного выявления попыток передачи вовне конфиденциальной информации даже при том условии, что она была предварительно зашифрована.Пример страницы блокировки, которая отображается в веб-браузере при попытке сотрудника передать файл с конфиденциальной информацией, приведён на рисунке ниже. Рисунок 3. Страница блокировки, отображаемая при попытке передачи файла с конфиденциальной информацией Проверка установки и перенаправление на страницу установки сертификатаЗачастую процесс установки сертификата для вскрытия HTTPS-соединений даже в доменных сетях вызывает затруднения. Для недоменных рабочих станций это представляет собой особую сложность, так как удалённо установить нужный сертификат не всегда представляется возможным. Чтобы администратору было проще решить эту задачу, в Solar webProxy реализована функциональность проверки установки сертификата. Если на рабочей станции он установлен, система беспрепятственно пустит пользователя в интернет. Если сертификат отсутствует или браузер пользователя применяет собственное (несистемное) хранилище сертификатов, шлюз веб-безопасности выдаст сообщение об отсутствии нужного сертификата и предложит его установить используя инструкцию в соответствии с ОС и браузером сотрудника. Доступ в интернет до момента установки сертификата будет приостановлен. Такое решение задачи является уникальной особенностью Solar webProxy, которая не реализована ни в одной из конкурирующих российских систем данного класса — да и в зарубежных разработках эта опция встречается крайне редко, хотя она позволяет существенно ускорить процесс распространения сертификатов для вскрытия HTTPS-трафика. Фильтрация трафикаSolar webProxy осуществляет фильтрацию всего проходящего через него трафика по определённому набору правил, заданных в политике. Политику можно применять как к отдельному пользователю или IP-адресу, так и к группе пользователей и диапазону IP-адресов.Рассматриваемый шлюз веб-безопасности позволяет фильтровать информационные потоки по множеству различных параметров: по ключевым словам, портам, протоколам, типам пересылаемых файлов, IP-адресу и URL сайта или категориям веб-ресурсов и т. п. Если ресурс поддерживает протокол HTTPS, то запрос пользователя может быть принудительно перенаправлен на HTTPS-версию ресурса. Учёт активности пользователей и отчётыС помощью решения Solar webProxy можно осуществлять мониторинг активности пользователей в глобальной сети «Интернет», результаты которого доступны в виде удобных отчётов. Система генерирует отчёты по самым разнообразным срезам данных, как видно из примера ниже (см. рис. 4). Рисунок 4. Отчёт по активности пользователя в сети «Интернет» Для удобства администратора в решении доступны разные виды шаблонов отчётов. Примеры сводок, которые можно создать, приведены далее (см. рис. 5). Применив к ним специальные фильтры, можно сконструировать «под себя» отчёт по любым интересующим вас показателям и параметрам. Кроме того, система имеет и набор предварительно настроенных, рекомендуемых отчётов под наиболее часто встречающиеся у заказчиков задачи. Рисунок 5. Типы отчётов Свои настроенные отчёты можно сохранять, выгружать их в файлы формата PDF и обмениваться ими с коллегами непосредственно в самой системе. Более подробное описание работы с отчётами приведено ниже.По любому из представленных в разделе отчётности срезов данных можно посмотреть более детальную статистику и даже сугубо техническую детализацию (журналы активности на различных интернет-ресурсах). Например, ниже на рисунке можно ознакомиться с детализацией запросов по социальным сетям группы персон «Управление информатизацией». Рисунок 6. Детализированная статистика по категории «Социальные сети» группы персон «Управление информатизацией» Ведение досье сотрудникаИнформацию о трафике, создаваемом каждым сотрудником при работе с приложениями, Solar webProxy помещает в специальное досье — другими словами, карточку со всеми данными по работнику. Система ведёт учёт этого трафика, применяет к нему те или иные правила политики, он составляет основу для отчётности.Благодаря тесной интеграции шлюза с DLP-системой Solar Dozor досье сотрудника автоматически синхронизируется в обеих системах. Таким образом формируется единое досье персоны, содержащее все данные на работника из обеих систем: изменения в интерфейсе одной немедленно отображаются и в интерфейсе другой. Более того, если сотрудник компании нарушит политику DLP-системы, шлюз веб-безопасности автоматически заблокирует для этого работника выход в интернет. Категоризация ресурсовSolar webProxy осуществляет категоризацию интернет-ресурсов, используя сразу несколько сервисов их определения: это — как внешние службы, например Symantec BlueCoat или «Интернет Администратор» (iAdmin), так и собственный внутренний справочник. Поддерживается возможность переопределения и формирования локального перечня категорий. Такая комбинированная схема позволяет определять категории интернет-ресурсов максимально точно. Блокировка рекламыОдна из удобных дополнительных функций шлюза веб-безопасности от «Ростелеком-Солар» — возможность блокировки содержащихся в трафике рекламных сообщений на основании встроенной базы adware-сигнатур. Это позволяет пользователям быстрее и комфортнее работать с различными сайтами и защищает рабочие станции компании от заражения вредоносными программами, которые могут содержаться в навязчивых рекламных сообщениях из входящего веб-трафика. Также эта функциональность позволяет защитить пользовательские данные, которые может незаметно собирать встроенное в веб-ресурсы рекламное ПО. Интеграция с антивирусным ПОАдминистратору Solar webProxy доступна проверка передаваемых в веб-трафике файлов на наличие вредоносных программ. Эта возможность реализована с помощью лёгкой интеграции с любыми серверами антивирусного ПО, например c Symantec Scan Engine, Dr.Web или ClamAV. Балансировка и отказоустойчивостьРассматриваемое SWG-решение демонстрирует высокую работоспособность как в системах с единым сервером, так и в распределённых сетях со множеством серверов. В последнем случае шлюз веб-безопасности устанавливается на нескольких служебных узлах, а потоки данных перенаправляются с помощью балансировщика нагрузки.Распределённая система актуальна для компаний с большой численностью персонала — именно они нуждаются в высокой производительности и отказоустойчивости. Применение балансировщика помогает контролировать работоспособность узлов сети и в случае отказа автоматически исключает их из процесса обработки запросов.Для обеспечения балансировки в Solar webProxy интегрировано серверное программное обеспечение HAProxy. Оно позволяет реализовать высокую доступность и балансировку нагрузки для TCP- и HTTP-приложений посредством распределения входящих запросов на несколько обслуживающих серверов. Система полностью поддерживает «родной» протокол Proxy, предоставляет как готовые конфигурации для балансировщика по умолчанию, так и возможность самостоятельной настройки пользователем. Всё это позволяет расширить спектр решаемых задач. Интеграция со смежными системамиШлюз Solar webProxy способен функционировать параллельно с другим вышестоящим прокси-сервером, а также с комплексами дополнительной проверки трафика, например DLP-системами и решениями класса Sandbox. Возможность лёгкой интеграции с аналогичными системами позволяет решению принимать от другого прокси-сервера или маршрутизатора запросы по протоколу ICAP, применять к полученной информации заданную политику безопасности и транслировать ответ в систему-источник бесконфликтно со смежными комплексами.При этом благодаря интеграции с Solar Dozor весь веб-трафик может проходить проверку на соответствие политикам безопасности DLP-системы, а содержащаяся в нём конфиденциальная информация — блокироваться без применения анализа по ключевым словам (например, при попытке отправки вовне документа, содержащего секреты производства, с личного ящика на бесплатном почтовом сервисе). Применение Solar webProxyИнтерфейс системыУправление системой выполняется с помощью графического веб-интерфейса по протоколу HTTPS. Работа с веб-интерфейсом Solar webProxy начинается с авторизации пользователя. Фрагмент страницы приведён ниже (см. рис. 7). Рисунок 7. Вход в веб-интерфейс Solar webProxy После успешной идентификации в Solar webProxy пользователь получает доступ к интерфейсу системы. На экране отобразится «Рабочий стол» — единая информационная панель, предназначенная для оценки сетевой активности пользователей (сотрудников компании) на узлах фильтрации в режиме реального времени.Если при первой загрузке веб-интерфейса в браузере возникает ошибка сертификата безопасности этого веб-узла, то для доступа к интерфейсу Solar webProxy необходимо пройти по ссылке «Продолжить открытие этого веб-узла (не рекомендуется)».При наведении курсора мыши на область меню отображается главное меню (см. рис. 8), пункты которого обеспечивают доступ к основным разделам интерфейса:«Рабочий стол» — позволяет выполнять мониторинг активности сотрудников компании;«Досье» — обеспечивает доступ ко всей имеющейся личной, контактной и сетевой информации о персонах (сотрудниках компании). Можно отслеживать деятельность персон и их групп на предмет подозрительного поведения;«Политики» — позволяет перейти к средствам настройки функций безопасности, а также к редактированию наборов групп пользователей и ПК;«Статистика» — обеспечивает доступ к средствам просмотра информации, собранной модулем в процессе мониторинга;«Система» — даёт возможность задавать настройки модуля, служит для конфигурирования различных параметров работы, их просмотра и редактирования;«Администрирование» — обеспечивает доступ к административным функциям, предоставляемым Solar webProxy.В Solar webProxy имеется возможность разграничения доступа к разделам интерфейса и системным функциям. Пользователь может просматривать только те разделы и выполнять только те функции, к которым у него есть доступ. Рисунок 8. Главное меню веб-интерфейса Solar webProxy В правом верхнем углу веб-интерфейса Solar webProxy расположено поле «Поиск персоны», предназначенное для оперативного получения информации о персонах из «Досье».При нажатии кнопки , расположенной в верхнем правом углу, отображается меню пользователя, которое позволяет:сменить пароль на вход в модуль (при этом нужно ввести текущий и новый пароли),просмотреть информацию о лицензии (при необходимости можно загрузить новый лицензионный файл),завершить сеанс работы с модулем.Ниже приведён внешний вид этого меню (см. рис. 9). Рисунок 9. Меню пользователя Карточка персоныОткрываем карточку персоны.Если вы знакомы с DLP-системой Solar Dozor, то увидите, что дизайн карточки сотрудника в Solar Dozor и в Solar webProxy во многом схож, и это не случайно. Прокси-сервер имеет общее досье персон с DLP-системой, и таким образом всю информацию о деятельности сотрудника можно посмотреть сразу из двух систем, не переключаясь между интерфейсами. Специалисты по безопасности могут обмениваться информацией о сотруднике и оставлять комментарии в одной системе, а храниться и отображаться она будет в обеих одновременно.В карточке персоны представлена статистика использования интернет-ресурсов работником. Здесь можно выбрать данные за интересующий нас период. Например, мы открываем карточку сотрудника пресс-службы Райзберг Василисы Александровны и видим, что в течение рабочего дня она посещала сайты instagram.com, redd.it и ещё несколько новостных сайтов (см. рис. 10). Таким образом, мы видим, что сотрудником в рабочее время весьма востребованы ресурсы развлекательного характера. Рисунок 10. Карточка пользователя Аналогичную статистику можно посмотреть по категориям запросов (см. рис. 11). В частности, в статистике нашего пользователя видны запросы из категорий «Эротика / секс» или «Поиск / распространение информации» — доступ к ним был заблокирован веб-прокси. Рисунок 11. Карточка пользователя: данные об активности в сети интернет Также в интерфейсе веб-прокси мы видим, какие правила политики настроены для данного пользователя. Вся информация по активности работника собрана в его «досье» (карточке персоны). Здесь же мы можем посмотреть, что данный сотрудник скачивал в сети «Интернет» (см. рис. 12). Мы видим, что наш пользователь Василиса Райзберг скачивала графику и мультимедиа-файлы, а также что эта сотрудница имеет примерно одинаковый характер скачиваемых и выгружаемых данных. Рисунок 12. Карточка пользователя: данные о скачиваемых и выгружаемых пользователем файлах Кроме того, можно просмотреть журнал разрешённых и запрещённых запросов, выполненных пользователем (см. рис. 13). Рисунок 13. Карточка пользователя: журнал запросов Главная страница зоны «Статистика» (отчёты)На данной странице отображаются основные типы отчётов, которые предоставляет Solar webProxy. В разделе можно быстро и просто ознакомиться со статистикой активности сотрудников в сети «Интернет», сгенерировав сводки по конкретному работнику, группе, подразделению и т. д. (см. рис. 14).Можно создать отчёт по посещению персоналом компании конкретного ресурса или же сайтов определённой категории — например, «Социальные сети» или «Поиск работы, карьера». Рисунок 14. Раздел «Статистика» В отчётах доступна информация о распределении посещений веб-ресурсов сотрудниками по рабочему времени. Обычно пик использования интернета приходится на обеденное время, с 12:00 до 13:00. Также здесь отображается статистика взаимодействия с интернет-ресурсами различных отделов компании. Технические специалисты могут посмотреть информацию об обращениях к тем или иным веб-сайтам по IP-адресам, а также детализацию всех пользовательских запросов.Все отчёты в системе построены по единому принципу: сначала выдаётся общая статистика о посещении интернет-ресурсов, по каждому из параметров которой можно посмотреть детализацию. Для этого не нужно открывать вкладку в соседнем окне или подгружать эти данные отдельно. Вся информация, представленная в карточке персоны, доступна и в формате отчёта.Полная отчётность веб-прокси по любому из запрошенных параметров выгружается в виде PDF-файлов для оперативного предоставления данных руководству (см. рис. 15). Таким образом, администратору Solar webProxy не приходится самостоятельно строить отчёты в Excel. Рисунок 15. Выгруженный отчёт в формате PDF Более того, доступна настройка автоматической отправки отчётов на выбранный адрес электронной почты, например отчёта по активности конкретного сотрудника для его непосредственного руководителя. При этом можно задать регулярность отправки — скажем, еженедельно. Таким образом система существенно экономит время администратора: можно не заходить в неё каждый день, а просто регулярно получать отчёты на свою почту.Техническую информацию по конкретным записям можно посмотреть в журнале запросов. Рабочий столНа рабочем столе отображается информация о распределении нагрузки по узлам фильтрации и пользователей по каждому узлу, сведения о степени активности пользователей в сети «Интернет» (см. рис. 16). Такая расширенная техническая информация позволяет осуществлять мониторинг состояния системы: доступно для просмотра среднее количество запросов на каждый её узел. Рисунок 16. Раздел «Рабочий стол» Если система установлена на нескольких серверах (имеет несколько нод), мы увидим статистику по всем узлам сразу (см. рис. 17). Рисунок 17. Статистика по нескольким узлам фильтрации Мониторинг состояния шлюза веб-безопасностиРаздел «Мониторинг» представляет собой центр отслеживания нагрузки на узлы фильтрации Solar webProxy, который позволяет оценить в режиме реального времени работоспособность системы и сетевую активность пользователей на узлах фильтрации.В разделе можно посмотреть подробную информацию о работе системы: диагностику проблем на узлах фильтрации Solar webProxy, а также мониторинг работы шлюза и показателей, полученных средствами ОС.Можно изменить период времени, за который отображается информация по показателям (см. рис. 18). Для этого следует в соответствующем списке выбрать или задать требуемое значение. Рисунок 18. Выбор / задание периода времени Например, для анализа сетевого трафика узла за 8-часовой рабочий день следует задать диапазон и нажать кнопку «Применить» (см. рис. 19). Рисунок 19. Пример отображения данных за 8 часов Область включает график и поясняющую информацию: строку заголовка и легенду, которая может располагаться справа или снизу.Можно просмотреть информацию по конкретному показателю — например, определить максимальную и минимальную скорости входящего и исходящего трафика на узле, как показано на рисунке выше.Цвет графика можно выбрать из раскрывающегося списка, нажав на цвет линии в легенде. На каждом графике отображаются один или несколько показателей работы системы, их выбор доступен в процессе редактирования графика.Разные показатели на графике обозначены линиями соответствующего цвета. При наведении курсора мыши на конкретную точку появляется подсказка, показывающая значение в определённый момент времени (см. рис. 20). Рисунок 20. Просмотр значения показателя в конкретный момент времени С помощью набора статистических показателей «Наличие проблем на узлах» (средние и выше) на каждом узле кластера Solar webProxy можно определить количество проблем с тем или иным уровнем значимости («высокая», «средняя», «низкая»). Вся эта информация видна на вкладке «Мониторинг» → «Состояние» раздела «Система»(см. рис. 21). Таким образом можно оценить состояние всех узлов шлюза. Рисунок 21. Диагностика проблем Solar webProxy В интерфейсе Solar webProxy отображаются проблемы, сгруппированные по уровню значимости. При появлении проблем система отправляет администратору письмо с уведомлением об этом.В интерфейсе также можно просмотреть статистическую информацию о системных показателях работы Solar webProxy (см. рис. 22) — например, данные о фильтрации, архивации и т. д. Рисунок 22. Информация о показателях Solar webProxy Solar webProxy предоставляет возможность ознакомиться с информацией по статистическим показателям, которые были получены средствами ОС (см. рис. 23). Сюда относятся, в частности, размер доступной оперативной памяти, загрузка центрального процессора и т. п. Рисунок 23. Информация о показателях ОС ПолитикиВ разделе «Политики» можно выяснить, какие правила настроены в веб-прокси для пользователей в целом. Мы сразу видим любой источник, какие запреты на него установлены, какие действия сотрудникам запрещены (обозначены красным значком блокировки). Под источником мы подразумеваем пользователя или их группу, IP-адрес или их диапазон, а также маску подсети. В данном разделе можно настроить применение той или иной политики для всех работников, их групп или для конкретного сотрудника. Пример настроенной политики для слоя фильтрации ответов можно увидеть ниже (см. рис. 24). Рисунок 24. Раздел «Политики» Какие политики позволяет настраивать прокси-сервер? Во-первых, базовые: каким пользователям открыт доступ в интернет, а каким — нет, к каким ресурсам разрешён / запрещён доступ, какие действия на веб-ресурсе разрешены / запрещены пользователю. Во-вторых, в Solar webProxy предусмотрены дополнительные настройки политик: можно выбирать протокол (HTTP, HTTPS, FTP), методы протокола HTTP (например, GET, POST, CONNECT и т. д.), порты, по которым будет осуществляться соединение. Можно проверять заголовки сетевых пакетов, типы подгружаемых файлов. Например, если мы не хотим, чтобы пользователь загружал себе на рабочую станцию мультимедиа-файлы, можно установить для него запрет на действия с объектами данного формата. Можно устанавливать и ограничения на размеры скачиваемых и выгружаемых файлов.Кроме того, у Solar webProxy есть часть функциональности DLP-системы, что позволяет проверять файлы перед их отправкой на сервер назначения по ключевым словам, если мы хотим запретить пользователям выгружать какие-то конкретные данные в сеть. Это будет полезным, когда по ряду причин нет возможности с помощью DLP-системы заблокировать передачу конфиденциальной информации, но необходимо гарантированно сделать так, чтобы она не попала на сервер назначения и не дошла до адресата.Также можно выполнять проверку и блокировку ресурсов по ключевым словам. Например, мы не хотим, чтобы пользователь попал на сайты, где есть пропаганда нетрадиционных сексуальных течений или информация о них. Для этого мы собираем все слова по этой теме в единый список, а затем указываем его в правиле политики фильтрации интернет-трафика. В итоге при попытке пользователя найти информацию по словосочетанию «горбатая гора» или перейти на ресурс, который содержит эту фразу, в браузере будет отображена страница блокировки.На практике наиболее часто используется настройка запрета выгрузки документов с различными грифами, чтобы они не попадали на сторонние серверы, облачные файлообменники и т. п. Такую политику можно настроить непосредственно на прокси-сервере, не связывая её с DLP-системой. Пример сформированного правила для блокировки передачи файлов представлен далее (см. рис. 25). Рисунок 25. Формирование правила на блокировку передачи файлов со служебной информацией Рассматриваемый шлюз веб-безопасности позволяет настроить расписание доступа сотрудников к определённым ресурсам, ориентируясь на рабочее время. Например, можно установить запрет на просмотр видео или прослушивание музыкального контента в рабочие часы. Однако если сотрудник остался на рабочем месте по окончании трудового дня, то можно в качестве поощрения установить для него автоматическое разрешение доступа к этим ресурсам, при этом ограничив максимальное потребление трафика объёмом в 1 ГБ.Что касается стандартных политик прокси-сервера, наиболее востребованна блокировка ресурсов по определённым категориям, таким как «Порно», «Экстремизм», «Социальные сети» и т. д. При этом доступна и индивидуальная настройка исключений для привилегированных пользователей.Все категории ресурсов можно просмотреть, выгрузив их из базы категоризации. Также можно проверить или изменить классификационную информацию сайта в разделе «Политики» → «База категоризации» (см. рис. 26). Рисунок 26. База категоризации ресурсов Следует отметить, что база категоризации постоянно обновляется. ВыводыКак и у любой ИТ-системы, у шлюзов веб-безопасности есть и ряд очевидных преимуществ, и определённое количество недостатков. В частности, от некоторых ощутимых для компании «плюсов» при эксплуатации SWG-решений рядовые пользователи могут быть, мягко говоря, не в восторге. И всё же не следует забывать: если безопасность собственных данных на личном ноутбуке — это ваше частное дело, то проблемы с безопасностью корпоративной сети из-за вашей рабочей станции, на которую вы подцепили вредоносный объект, гуляя в интернете, — уже головная боль всего предприятия. Поэтому если рассуждать «по-взрослому», то применение шлюзов веб-безопасности — один из дополнительных, вполне рабочих инструментов в арсенале корпоративных систем защиты.Что касается рассмотренного в данном обзоре решения, ниже отметим основные его преимущества и честно признаемся в некоторых недостатках.Достоинства:Высокая производительность системы, ограниченная лишь возможностями аппаратного обеспечения компании-пользователя.Удобный поиск параметров конфигурации.Удобство настройки и наглядность предоставляемых системой отчётов с возможностью настраивать их отправку пользователям по расписанию и выгружать их в файлы формата PDF.Возможность использовать распространяемую политику фильтрации интернет-трафика от вендора.Динамическая привязка интернет-трафика к пользователям.Возможность централизованного управления многоуровневой архитектурой системы.Отдельная карточка на каждого сотрудника с детализированной информацией о работе с интернет-ресурсами.Простая и удобная масштабируемость интерфейса системы.Наличие поддержки отказоустойчивой конфигурации.Возможность тесной интеграции с DLP-системой Solar Dozor для комплексного предотвращения утечек конфиденциальной информации.Недостатки:Отсутствие поддержки фильтрации по интернет-протоколу HTTP версии 3.Отсутствие возможности указывать локальные сайты (адреса) в хостах (планируется в ближайших версиях).Отсутствие возможности указывать адреса IPv6 в списках ресурсов.

Обзор RuSIEM, отечественной SIEM-системы

RuSIEM или, как его называют сами основатели, «первый русский сием» — решение одноимённого отечественного производителя, которое относится к классу средств анализа информационных систем и событий в области безопасности в режиме реального времени. Оно предназначено как для сбора и анализа информации, так и для обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз (Threat Hunting), а также оперативного реагирования на инциденты и их дальнейшего расследования. RuSIEM способен выявить угрозу, когда обычные средства детектирования по отдельности её не видят, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. Какие есть особенности у решения и как работать с системой на практике — разберём в данном обзоре. ВведениеАрхитектура RuSIEM и его версииСистемные требования RuSIEMПрименение RuSIEM4.1. Главная страница4.2. События4.3. Парсеры4.4. Симптомы4.5. Корреляция4.6. Инциденты4.7. Отчёты4.8. Модуль аналитики RuSIEM AnalyticsОсобенности лицензирования RuSIEMСоответствие нормативным требованиямВыводы ВведениеТрудно поверить, но первые упоминания SIEM-систем датируются далёким 2005 годом, а создание термина приписывают аналитической компании Gartner. SIEM (Security Information and Event Management) — функциональное и смысловое объединение двух терминов, обозначающих область применения инструментов SIM (Security Information Management — управление информацией о безопасности) и SEM (Security Event Management — управление событиями, связанными с безопасностью). Технология обеспечивает анализ данных, поступающих от сетевых устройств, рабочих станций и приложений, в режиме реального времени и позволяет выявлять то, что относится к критическим событиям, блокируя их в кратчайшие сроки и предотвращая возможный ущерб; при этом она даёт возможность не обращать внимания на незначительные события безопасности либо регистрировать их с меньшим приоритетом, не тратя на них значимое время специалистов. Поэтому многие организации рассматривают использование SIEM-системы в качестве дополнительного и очень важного элемента защиты от современных сложных и целенаправленных атак.Конечно же, SIEM не является единственной системой, которая позволяет выстроить защиту организации. Современные крупные компании формируют особые подразделения, называемые SOC (Security Operations Center — центр обеспечения безопасности, или кибербезопасности), основу которых составляют три части: процессы, технологии и люди. И реальная польза от SOC будет видна только тогда, когда все они выстроены грамотно и работают слаженно. Так вот, SIEM является ядром центров обеспечения информационной безопасности и все процессы и дополнительные технологии строятся вокруг неё, поэтому очень важно выбрать правильную и функциональную SIEM-систему.За 15 лет существования мировой ландшафт SIEM-решений достиг серьёзного уровня зрелости. Согласно свежему отчёту аналитического ресурса Market Reports World, вышедшему в апреле 2020 года, объём рынка SIEM увеличится до 3,94 млрд долларов США к 2024 году со средним приростом на 12 % в год. Даже в нашем обзоре двухгодичной давности («Сравнение SIEM-систем: Часть 1 и Часть 2») уже участвовало 14 поставщиков популярных в России решений, что говорит о насыщенности рынка в том числе и в нашей стране.В настоящее время рынок SIEM в России, как и во всём мире, очень активно развивается. Если ранее решения данного класса могли позволить себе лишь крупные игроки, то сегодня SIEM-системы становятся всё более доступным инструментом для средних и даже небольших компаний. Этому есть очень простое и логичное объяснение. Уровень технологий и количество систем, которые требуются сегодня каждой компании для осуществления своей деятельности, постоянно растут, киберпреступность также не стоит на месте, а человеческое время как было, так и остаётся самым ценным ресурсом. Лет 20 назад небольшой компании хватало одного—двух человек, чтобы отслеживать её инфраструктуру и всё что в ней происходит, однако сейчас этого уже недостаточно. Без SIEM-системы, осуществляющей сбор, нормализацию и автоматическую обработку информации, даже небольшим компаниям для обеспечения требуемого уровня защищённости пришлось бы держать десятки систем для мониторинга множества разрозненных консолей и потоков данных, и даже это им бы не сильно помогло.Не стоит сбрасывать со счетов и такой драйвер, как регулирование. Принятие ряда нормативных актов для различных сфер, включая банковский сектор, а также требования по линии федерального закона № 187-ФЗ о безопасности критической информационной инфраструктуры диктуют необходимость задумываться о SIEM компаниям практически изо всех сфер деятельности.Основной предмет сегодняшнего обзора — это SIEM-система RuSIEM, разрабатываемая отечественным вендором ООО «РуСИЕМ» (является резидентом инновационного центра «Сколково») на протяжении 6 лет. Некоторое время назад в самой компании случились серьёзные кадровые изменения, которые в том числе позволили вывести на новый уровень продукт, уже успевший заслужить доверие пользователей не только в России, но и за рубежом. Привлекательности ему добавляет в том числе и то, что вендор, понимая важность вопроса и ограниченность ресурсов небольших компаний, предлагает полностью бесплатную версию продукта (RvSIEM free), поддерживая и постоянно развивая её.RuSIEM позволяет решать все три ключевых задачи для данного класса продуктов:качественный мониторинг того, что происходит в инфраструктуре компании, и автоматическая корреляция поступающих событий для выявления тех из них, которые являются значимыми, без необходимости ручного «ковыряния» во всём массиве журналов в поисках единственно важной «иголки в стоге сена»,аудит и контроль доступа к важным ресурсам, детектирование вредоносных программ, анализ сетевой активности, обнаружение сложных кибератак и неочевидных инцидентов,ретроспективное расследование инцидентов в области безопасности, фиксация фактов и сбор доказательной базы.На текущий момент RuSIEM — это зрелое решение, имеющее более 100 клиентов и 10 тыс. установок по всему миру (включая RvSIEM free). По данным нашего сравнения SIEM-систем именно RuSIEM на тот момент имел самую крупную публичную инсталляцию в России. Продукт способен соперничать в том числе и с зарубежными игроками — как по функциональности, так и по производительности. Чтобы убедиться в этом на практике, мы получили в своё распоряжение полнофункциональную версию продукта и намерены, как и всегда, честно рассказать читателям обо всех «плюсах и минусах» работы с системой. Архитектура RuSIEM и его версииНачать стоит с того, что под брендом RuSIEM разрабатывается линейка продуктов следующих версий: RvSIEM free, RuSIEM (включая RuSIEM Network Sensor) и RuSIEM Analytics. Рисунок 1. Различия между версиями RuSIEM RvSIEM — это бесплатно распространяемая версия системы, охватывающая функциональность управления журналами (Log Management), включая сбор событий из различных источников, гибкий поиск по ним и систему построения отчётов.RuSIEM — коммерческая версия, имеющая помимо базовых расширенные возможности корреляции (в режиме реального времени и по историческим данным — ретроспективно), инцидент-менеджмента и риск-менеджмента, то есть является полноценной системой класса SIEM.RuSIEM Analytics дополняет основной продукт возможностями управления активами, выявления аномалий на базе машинного обучения, а также другими функциями для того, чтобы повысить способность своевременно обнаруживать различные угрозы и визуализировать данные.Переход между версиями возможен в любую сторону, без потери событий и практически без остановки работы системы.Перед развёртыванием RuSIEM необходимо определиться с масштабом инсталляции, исходя из количества и географической распределённости площадок, а также решаемых задач. Таблица 1. Варианты инсталляции RuSIEMПервый вариант развёртыванияВторой вариант развёртыванияТретий вариант развёртыванияЧетвёртый вариант развёртывания Установка в виде одной совмещённой ноды: основной компонент + хранилищеУстановка в виде одной ноды основного компонента и отдельного хранилищаУстановка в виде одной ноды основного компонента с отдельным хранилищем в центральном подразделении и в виде отдельных нод основных компонентов в удалённых офисахУстановка в виде разнесённых модулей основного компонента на одной ноде и отдельного хранилищаПодойдёт для «пилотов» либо инсталляций в небольших компанияхПодойдёт для организаций среднего размераПодойдёт для организаций среднего размера, имеющих географически распределённую инфраструктуруПодойдёт для крупных организаций, больших SOC, облачных и сервис-провайдеров, MSS-провайдеров Для упреждения всех возможных вопросов относительно заимствования сторонних компонентов в RuSIEM разберём архитектуру продукта чуть подробнее.Ядро RuSIEM, веб-интерфейс, бэкенд и сопутствующие компоненты создавались и разрабатываются силами отечественных программистов, решение не является «форком» никакого стороннего продукта. Архитектурно решение использует в качестве СУБД признанных лидеров в своих сегментах (PostgreSQL, ClickHouse и Elastic), в качестве веб-сервера — NGINX, а все основные компоненты, включая парсеры, модули нормализации, обогащения событий и другие, написаны «с нуля» своей командой. Заимствованных компонентов гораздо меньше, чем можно было бы ожидать от продукта такого класса, что говорит о действительно серьёзной и проработанной базе.RuSIEM состоит из двух ключевых программных модулей: агента и основной (серверной) части.Агент собирает данные с рабочих станций и серверов, используется преимущественно для тех источников, которые невозможно подключить по Syslog (например, локальных журналов событий). Несмотря на своё название, агент может собирать события не только посредством локальной установки на конечное устройство, но и удалённо из множества источников безагентским методом. Для этого имеются универсальные транспорты, позволяющие извлекать события из Windows Event Log (любые журналы), Check Point LEA, Cisco SDEE, файловых журналов, журналов на FTP-серверах, хеш-логов (запущенные процессы и их SHA1- / MD5- / SHA256-суммы), протоколов MySQL / Oracle / Microsoft SQL, журналов WMI и так далее.Канал связи между агентом и сервером зашифрован, а в случае отсутствия соединения агент может временно хранить события в офлайне.Модуль серверной части отвечает за приём событий напрямую из Syslog-источников и имеет отказоустойчивую архитектуру: в случае каких-либо аппаратных сбоев либо достижения предела производительности сервера события будут сохранены на диске и впоследствии обработаны, так что ни одно событие не может пропасть.В зависимости от решаемых задач и исходя из выбранного типа инсталляции RuSIEM модуль серверной части может быть масштабирован как единая нода с набором всех функций и баз данных либо в виде отдельных разнесённых серверов. Например, на одной ноде разворачиваются компоненты, отвечающие за нормализацию, на другой — за корреляцию, на третьей — за базу данных событий. Рисунок 2. Масштабируемость RuSIEM Гибкое масштабирование RuSIEM позволяет решать разноплановые задачи при внедрении решения:Вертикальное масштабирование — для подключения удалённых офисов и филиалов.Горизонтальное масштабирование — для наращивания производительности.«Горячее» расширение — для модернизации без остановки сбора событий.Кеширование данных — для поддержки неустойчивых каналов между удалёнными объектами.Корреляция только в головном офисе — без необходимости передачи всех событий в единый центр.Распределённый поиск по событиям — без необходимости создания единого центрального хранилища.Хранение событий в RuSIEM устроено так, что пользователь в любой момент может обратиться к первоисточнику — например, для глубокого расследования инцидента, — и это не идёт в ущерб полноценной нормализации всех событий для их дальнейшей корреляции с другими: в модуль RuSIEM Analytics передаются только нормализованные события, с которыми уже дальше работает система.В RuSIEM, в отличие от классического представления, нет разделения на оперативное и архивное хранилища. Данные разделяются на три основных типа событий — «не распарсенные», «информационные» и «важные». В настройках системы указывается вес, который и ранжирует события по значимости. Такая архитектура позволяет настроить длительное хранение важных сведений без необходимости расширения дискового хранилища и обеспечить работу даже с теми событиями, для которых в данный момент нет парсера. Системные требования RuSIEMRuSIEM выделяется среди всех систем подобного класса своей нетребовательностью к ресурсам. Установка системы может быть выполнена как на физическом сервере, так и на виртуальном (поддерживаются среды под управлением Hyper-V и VMware ESX). В качестве базовой операционной системы применяется Ubuntu 14.04 x64. Использование штатной ОС Ubuntu в качестве платформы для работы продукта является несомненным достоинством. Это позволяет минимизировать время предварительной подготовки к установке, а также упрощает процесс обновления пакетов и в целом администрирование (в том числе — поиск и решение проблем) системы. При планировании развёртывания RuSIEM необходимо верно рассчитать выделение ресурсов, поскольку источники событий могут быстро заполнить дисковое пространство. Для удобства вендор подготовил оценочную таблицу. Таблица 2. Количество и средний объём генерируемых событий для приёма в RuSIEM Также необходимо иметь в виду следующие важные рекомендации вендора:Детализация аудита на источниках — важный фактор. Включать детальный аудит на всех источниках бессмысленно и очень затратно.Необходимо учитывать загруженность имеющихся гипервизоров. Большой поток событий требует больших ресурсов для работы с ним.Необходимо учесть, что планируется собирать и из каких источников, и определить, нужно ли сохранять все события (например, есть ли смысл хранить данные о разрешённых соединениях и если да, то как долго).Качество каналов связи между удалёнными объектами. Возможно, стоит выделить специальный сервер или виртуальную машину для передачи событий.Необходимо учитывать сегментацию сети. Возможно, если политикой запрещены сетевые соединения, стоит пересмотреть расположение агентов или серверов, организовать выделенные VLAN или заранее настроить нужные правила.После предварительного подсчёта количества событий в секунду (EPS) подбирается конфигурация сервера или виртуальной машины. Таблица 3. Минимальные системные требования RuSIEM Всё управление RuSIEM осуществляется из веб-консоли. После первой установки и обращения к веб-интерфейсу зачастую можно заметить предупреждение о небезопасном сертификате. Это объясняется тем, что по умолчанию используются самоподписанные сертификаты, которые после установки можно изменить на свои, доверенные.Для установки RuAgent предъявляются следующие требования к целевой ОС: Windows 2008 R2 или выше, все редакции Windows 7, 8, 10. Сам по себе агент является легковесным, не нагружает ресурсы компьютера. Применение RuSIEMКогда мы приступили к тестированию RuSIEM и начали досконально изучать возможности системы, оказалось, что их слишком много для подробного отражения всего объёма в рамках одной статьи; возможно, их хватило бы и на книгу. Поэтому разберём самые важные «фишки» и расскажем о том, что «зацепило» больше всего. Главная страницаНикакое современное ИБ-решение не обходится без панелей мониторинга («дашбордов»). Так же и в RuSIEM главная страница представляет собой настраиваемый набор различных виджетов. Рисунок 3. Дашборд главной страницы в RuSIEM Виджеты добавляются на дашборд в произвольном порядке и количестве, доступен выбор из 7 категорий (в том числе можно добавить результаты работы модуля аналитики). Конфигурировать каждый из них можно гибко, добавляя в качестве отображаемой статистики любые поля. 10 наиболее популярных дашбордов предустановлены производителем и доступны «из коробки».Настроив под себя главную страницу, необходимо сохранить её в виде именованного дашборда, которых можно создать бесконечно много. Это удобно, когда в RuSIEM работают несколько разноплановых специалистов или нужно делать статистические срезы по разным событиям. СобытияНа вкладке событий отображается поступление данных изо всех подключённых источников с привязкой ко временной шкале. Несмотря на возникающую при первом взгляде иллюзию «каши» и огромное количество событий, работать с инструментом очень удобно благодаря расширенному фильтру. Например, проанализируем события неуспешных входов по SSH с группировкой по IP-адресу потенциального атакующего. При этом автоматически перестраивается и графическая временная шкала («таймлайн»). Рисунок 4. Поступление и фильтрация событий в RuSIEM По каждому событию доступна подробная детализация. Данные отображаются как в «сыром» виде, так и с разбором свойств по полям, которые также кликабельны. Рисунок 5. Детализация события в RuSIEM Как мы уже сказали, вендор поддерживает все распространённые способы сбора событий, включая Syslog, WMI, FTP, Check Point LEA, Cisco SDEE, File, Microsoft SQL, MySQL, Oracle, 1C, Windows Event Log, PostgreSQL и, конечно же, собственный агент для Windows RuAgent. ПарсерыПодробный разбор и нормализация событий выполняются за счёт настроенных в системе парсеров, «заточенных» под соответствующие источники. «Из коробки» поддерживается более 70 уникальных типов источников и более 300 разновидностей и версий. Можно как самостоятельно добавлять и редактировать их, так и обратиться за помощью к производителю в рамках программ технической поддержки. Рисунок 6. Редактирование парсеров в RuSIEM Совсем недавно вендор выпустил коннектор для Amazon AWS, который есть далеко не у всех производителей SIEM, тем более отечественных. СимптомыВ приведённом чуть выше примере мы не случайно демонстрировали возможности фильтрации событий по «человекопонятной» фразе «Попытки доступа по SSH». За приведение необработанных данных к такому виду отвечает механизм симптоматики. Рисунок 7. Редактирование симптомов в RuSIEM Фактически это — соотносительный перевод («маппинг») свойств поступающих событий в термины, важные для обнаружения и расследования инцидентов в сфере безопасности. Помимо очевидных параметров (название, условие, источник и т. п.) для каждого симптома можно задать вес, который впоследствии будет влиять на определение значимости инцидента при корреляции. Рисунок 8. Работа с категориями симптомов в RuSIEM Все симптомы разбиты на категории, которые также настраиваются. Помимо стандартных отметим полезные группы «PCI DSS», «Кадровые системы», «СКУД», «Выход из строя оборудования», «Операции с репозиториями (git)». КорреляцияОдним из главных механизмов, ради которого внедряют SIEM-системы, является инструмент корреляции. Вендор поставляет более 300 предустановленных правил корреляции (список постоянно пополняется), которые для удобства также разбиты на редактируемые категории с возможностью удобного поиска и сортировки. Рисунок 9. Работа с категориями правил корреляции в RuSIEM Самое важное здесь — настройка условий срабатывания правила. Их можно добавлять бесконечно много (по любым поступающим источникам данных), используя логические операторы и регулярные выражения. Сама система позволяет настроить условия и правила срабатывания очень тонко, что продиктовано практикой многолетнего применения системы у заказчиков. Учёт всех возможных условий и исключений позволяет добиться минимального числа ложных срабатываний. Отдельно отметим, что RuSIEM позволяет выполнять корреляцию по историческим данным. ИнцидентыУправление инцидентами в RuSIEM осуществляется в одноимённом разделе, где отображается собственный мини-дашборд с полноценной функциональностью управления инцидентами: отображаются инциденты, назначенные текущему пользователю, который после работы с инцидентом должен изменить его статус с «Назначен» на «В работе», «Эскалирован», «Приостановлен», «Переоткрыт» или «Закрыт». Рисунок 10. Сводка по инцидентам в RuSIEM «Провалимся» в карточку одного из инцидентов и попробуем его решить. Рисунок 11. Обработка инцидента в RuSIEM Берём в работу; видим, что система зафиксировала брутфорс. Мы можем изменить приоритет инцидента, изменить срок его решения, описать инцидент, сформировать задачу и назначить ответственного. Все поля в карточке активны: нажатие на них позволяет перейти в соответствующий список событий. Дополнительно можно просмотреть исходное правило или открыть историю инцидента. Рисунок 12. Назначение задачи по итогам анализа инцидента в RuSIEM Сохраняем и далее будем отслеживать движение по данной задаче в том же списке инцидентов. ОтчётыПредставление агрегированных данных об инцидентах и оперативной обстановке с точки зрения ИБ — важная задача SIEM-системы. В RuSIEM есть более 50 предустановленных отчётов, скомпонованных по категориям. Разумеется, можно создавать пользовательские группы и неограниченное количество собственных отчётов. Для создания нового шаблона необходимо выбрать содержание (поддерживаются любые данные, собранные системой, и информация изо всех разделов продукта); для удобства можно загрузить логотип, а также задать расписание. Рисунок 13. Создание шаблонов отчётов в RuSIEM Сгенерированные отчёты доступны пользователю для выгрузки в форматах PDF и XLSX. Рисунок 14. Пример выгруженного из RuSIEM отчёта Модуль аналитики RuSIEM AnalyticsКогда изучаешь ИБ-решение практически любого класса, в том числе — SIEM, непременно заходит речь о мониторинге поведения пользователей и устройств, то есть о функциональности User and Entity Behavior Analytics (UEBA). Разработчики RuSIEM не остались в стороне и разработали отдельный модуль RuSIEM Analytics, основанный на искусственном интеллекте (AI) и машинном обучении (ML). Он позволяет обнаружить сбои и инциденты на ранней стадии их возникновения без необходимости писать правила корреляции под каждый конкретный случай. Рисунок 15. Настройка модуля аналитики в RuSIEM Отдельно отметим продуманность всей системы: результаты работы модуля можно вынести самостоятельными дашбордами на главную страницу, а генерируемые события — использовать в фильтрах и корреляциях, создавать по ним инциденты. В состав RuSIEM Analytics входит несколько важных инструментов:«Отслеживание аутентификации» — позволяет осуществлять полный контроль и аудит аутентификации по отношению к любым системам, будь то сетевые устройства, базы данных, рабочие станции и т. д.«Уязвимости» — база знаний по всем опубликованным уязвимостям (включая детальную информацию с описанием) и полноценный поиск по ней.«Compliance» — специализированная «записная книжка» с системой отчётов, необходимая аналитикам, которые работают в сфере аудита и реализации организационно-технических мер, предусмотренных каким-либо стандартом (например, PCI DSS) или законодательным актом.«Аналитика» — ключевая часть модуля. Первая её подсистема отвечает за составление базовой модели путём обучения на основе данных (Data Learning). Фактически это и есть определение типового профиля поведения пользователя. Вторая подсистема на основе Machine Learning отвечает за выявление так называемых отклонений от базового поведения, например аномально большой активности в электронной почте, массового удаления файлов с рабочего компьютера или внезапного частого «падения» приложений. «Аналитика» видит это отклонение, оценивает суммы весов симптомов в разрезе объектов (хостов, пользователей, сервисов и т. п.) и в случае накопления критического веса формирует событие, которое попадает на корреляцию. Корреляция формирует инцидент, который видит пользователь — аналитик SIEM-системы. Таким образом, создав некое распределение с уникальными ключами, можно покрыть аналитикой весьма большой объём сценариев без необходимости писать сотню правил корреляции.«Активы» — автоматический инструмент инвентаризации инфраструктуры. Строится первоначальная структура активов, которая автоматически дополняется информацией из событий, получаемых SIEM-системой. Чуть выше мы разбирали функциональность списка уязвимостей; так вот, помимо автоматического наполнения активы проверяются на известные уязвимости в соответствии с базой в режиме реального времени. В случае обнаружения уязвимости формируются специальное событие и инцидент по нему — мы получаем некоторую функциональность системы управления уязвимостями (Vulnerability Management).«Фиды» — модуль для получения внешних потоков данных в виде индикаторов из сторонних систем киберразведки (Threat Intelligence). Это могут быть данные различных типов: IP, URL, FQDN, SHA1, MD5, SHA256. Далее полученные индикаторы сравниваются с поступающей в SIEM информацией из различных источников, что позволяет детектировать известные угрозы и потенциально опасные объекты: вредоносные программы, эксплойты, фишинг и многое другое. Особенности лицензирования RuSIEMRuSIEM имеет три типа лицензий:Стандартная on-premise. Является бессрочной, но для доступа к обновлениям продукта и фидам необходима действующая техническая поддержка.Стандартная on-premise, ограниченная по времени. Полезна, когда приобретать продукт удобнее по OpEx-модели с периодическими платежами.SaaS (Software-as-a-Service). Модель, предполагающая периодические платежи и доступ к интерфейсу системы в облаке вендора или партнёра.Итоговая стоимость приобретения RuSIEM рассчитывается исходя из следующих параметров:EPS — количество поступающих событий в секунду,количество серверов RuSIEM (основных компонентов),состав модулей.При этом не ограничиваются:размер и длительность хранения событий,количество пользователей, агентов, источников и устройств,наборы правил корреляции, дашбордов, отчётов и других инструментов, доступных в интерфейсе.Такой подход является максимально прозрачным и в большинстве случаев оказывается наиболее выгодным для заказчиков.Ещё раз подчеркнём возможность установки полностью бесплатной полнофункциональной версии продукта класса LM (Log Management) — RvSIEM free, которая поддерживается и обновляется аналогично коммерческим.В RvSIEM free есть следующие ограничения:не более 500 EPS,не более 1 ноды основного компонента сервера.При этом срок хранения и объём информации, количество баз данных, источников, пользователей системы и агентов тоже не лимитированы.Стоит также упомянуть об экосистеме. Вендор имеет около 100 партнёров по всему миру (в частности, сейчас ведётся активная работа на турецком направлении). Всего предлагается три уровня партнёрской программы (описаны на сайте), а для того, чтобы стать партнёром, необходим хотя бы один обученный инженер по продукту либо «продвинутый» пресейл. Соответствие нормативным требованиямRuSIEM уже сейчас развёрнут у многих государственных заказчиков и в сегменте оборонно-промышленного комплекса, готов учитывать особенности установки в подобных организациях. В частности этому помогают разнообразные возможности инсталляции, в том числе — в закрытом контуре без прямого доступа в интернет.RuSIEM зарегистрирован в реестре отечественного ПО под номером 3808. На данный момент продукт проходит процесс сертификации по новым требованиям безопасности информации ФСТЭК России на соответствие уровням доверия (УД-4), имеет интеграцию с НКЦКИ для помощи субъектам КИИ при взаимодействии с ГосСОПКА с целью обмена данными об инцидентах и компьютерных атаках. ВыводыТекущий уровень развития SIEM-систем подтверждает зрелость рынка этого класса решений. Как мы уже сказали в начале, SIEM является ядром любого, хоть самого маленького, хоть уже очень зрелого и большого SOC.В ходе тестирования RuSIEM мы убедились, что развернуть систему и начать пользоваться ею не составляет большого труда. Несмотря на обилие функциональных возможностей (которые даже не смогли целиком поместиться в обзор), интерфейс продукта не является перегруженным. Работа с ним будет интуитивно понятной и удобной. Мониторинг инфраструктуры, корреляция и анализ событий в области безопасности, расследование и отработка инцидентов — выполнение всех этих задач органично ложится на предусмотренные возможности. Порадовали обилие вариантов для разворачивания системы под разные потребности, а также гибкое лицензирование. Последнее, кстати, позволяет RuSIEM оставаться одним из самых доступных решений своего класса на российском рынке.Одним из важных преимуществ RuSIEM является вспомогательный аналитический блок RuSIEM Analytics, который дополняет основную функциональность применением технологий машинного обучения для выявления аномалий, управлением активами и многими другими функциями для повышения способности своевременно обнаруживать различные угрозы и визуализировать данные. Наконец, отметим действительно серьёзные возможности интеграции, причём с передачей данных как в одну, так и в другую сторону. Имея дело с разного рода ИБ-решениями, можем смело утверждать, что наличие API в случае RuSIEM — это не просто декларация, а реально работающий инструмент.Строя планы относительно совершенствования RuSIEM, вендор делает ставку на систему аналитики для ИБ. Учитывая современные угрозы и уровень злоумышленников, равно как и объём обрабатываемой информации, который неуклонно растёт, сейчас очень важно строить комплексы, всё более активно применяющие машинное обучение для выявления угроз, понимающие человеческий язык (Natural Language Processing, NLP) при общении с оператором и в принципе выступающие самостоятельными системами, которые не просто поддерживают принятие решений, но и сами их принимают в кратчайшие сроки. Также одной из приоритетных задач, стоящих перед RuSIEM, является выход на международный рынок; уже сегодня вендор обладает необходимым для этого пулом партнёров. Версия RvSIEM free, которая имеет огромное количество установок за рубежом, даёт понимание того, что продукт интересен не только внутри страны, но и за её пределами.Достоинства:Интуитивный интерфейс с учётом большого числа функциональных возможностей.Высокая производительность продукта — до 90 тыс. EPS на одну ноду.Обновление компонентов без остановки системы и потери событий.Прозрачная система лицензирования.Нет необходимости приобретать лицензии на стороннее ПО (СУБД, ОС и т. п.).Присутствует в реестре отечественного ПО.Поддерживает интеграцию с продуктами различных вендоров для загрузки индикаторов компрометации.Широкие возможности интеграции как новых источников, так и потоков данных киберразведки без обращения к вендору.Недостатки:Некоторые дашборды неинформативны.Нет сертификата ФСТЭК России.Мало предустановленных комплаенс-проверок и отчётов.

Обзор Ideco UTM 8, универсального шлюза безопасности

В августе 2020 года российская компания «Айдеко» анонсировала выход новой версии своего универсального шлюза безопасности — Ideco UTM 8. В восьмой версии продукта, созданной на полностью новой платформе, представлены новые возможности для контроля и глубокого анализа сетевого трафика пользователей и организации защищённого доступа в интернет из корпоративных и ведомственных сетей, исправлены ошибки и переработан интерфейс. ВведениеВозможности, реализованные в новой версии Ideco UTM 8Системные требования Ideco UTM 8Обновление до версии Ideco UTM 8Установка и первичная настройка Ideco UTM 8Работа с Ideco UTM 86.1. Управление пользователями6.2. Мониторинг состояния сети и активности пользователей средствами Ideco UTM 86.3. Правила доступа6.4. Сервисы, предназначенные для управления сервером6.5. Генерация отчётов6.6. ТерминалВыводы ВведениеIdeco UTM 8 — универсальный шлюз безопасности в программном исполнении. Продукт включает в себя такие механизмы безопасности, как межсетевое экранирование, предотвращение вторжений (IPS), фильтрация на уровне приложений и почты, антивирусная защита, VPN. Ideco UTM 8 обеспечивает активную безопасность сетевого периметра за счёт блокирования шифровальщиков, майнеров, командных серверов бот-сетей, а также недоверенных IP-адресов, выявленных по репутации и местоположению.Ideco UTM 8 предназначен для применения в коммерческих организациях, государственных и муниципальных учреждениях с целью обеспечить импортозамещение зарубежных СЗИ (Ideco UTM зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 329). На конец 2020 года запланирована сертификация во ФСТЭК России по классу А4/Б4 (соответствует профилям защиты ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ) и оценочному уровню доверия 4 (ОУД4). Возможности, реализованные в новой версии Ideco UTM 8Новая версия Ideco UTM 8 основана на ядре Linux 5.4.17 и устанавливается на сервер или на виртуальную машину.В Ideco UTM 8 полностью обновлён веб-интерфейс администратора, внедрена новая реализация балансировки и резервирования каналов. Теперь администратор может формировать правила управления трафиком в маршрутах по источнику, указывая объекты (включая пользователей и группы). Обновлённые правила межсетевого экрана применяются автоматически без разрыва текущих соединений, в отличие от Ideco UTM 7.9.Для сетевой диагностики в веб-интерфейс администратора Ideco UTM 8 добавлен терминал, поддерживающий команды ping, mtr, host, tcpdump и т. д.Также в Ideco UTM 8 полностью обновлены модули системы предотвращения вторжений (IPS), межсетевого экрана для веб-приложений (WAF), прокси-сервера. Системные требования Ideco UTM 8Для работы Ideco UTM 8 необходимо наличие на сервере UEFI (Unified Extensible Firmware Interface) — интерфейса между операционной системой и микропрограммами, пришедшего на замену классическому BIOS.Производитель советует применять чипсеты, контроллеры, сетевые карты фирм Intel и Broadcom. Минимальное число сетевых адаптеров — 2. Процессор сервера должен поддерживать инструкции SSE 4.2. Производительность сервера зависит от объёма обрабатываемого трафика и механизмов безопасности Ideco UTM 8, задействованных на нём. Таблица 1. Минимальные характеристики сервера для Ideco UTM 8 в зависимости от числа пользователей в сети Количество пользователей2550-200200-50010002000Модель процессораIntel Pentium Gold G5400 или аналогичныйIntel i3 8100 или аналогичныйIntel i5, i7, Xeon E3 от 3 ГГц или аналогичныйIntel Xeon E3, E5 или аналогичныйIntel Xeon E5 или аналогичный 8-ядерныйОбъём оперативной памяти8 ГБ8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБ500 ГБ2x1000 ГБ, аппаратный RAID* либо SSD 1 ГБ2x1000 ГБ, аппаратный RAID* либо SSD 1 ГБ* Встроенные в материнские платы программные и полуаппаратные RAID-контроллеры не поддерживаются Ideco UTM 8 поддерживает гипервизоры Microsoft Hyper-V 2-го поколения (с отключённым SecurityBoot), VMware, VirtualBox, KVM, Citrix XenServer. Обновление до версии Ideco UTM 8В связи с обновлением системных пакетов автоматический апгрейд Ideco UTM 7.9 до версии 8 не представляется возможным. Для удобства администрирования предусмотрена миграция настроек путём сохранения их резервной копии и последующего восстановления в Ideco UTM 8. Установка и первичная настройка Ideco UTM 8Установка Ideco UTM 8 осуществляется с образа диска. Предварительно выполняется проверка аппаратных характеристик сервера. Инсталляционный процесс включает в себя выбор системного времени и локального сетевого интерфейса, подготовку дискового пространства и копирование системных файлов на диск. После завершения установки и перезагрузки сервера администратору отображаются информационное окно (рис. 1) и интерфейс изменения сетевых настроек и управления электропитанием (рис. 2). Рисунок 1. Информация о Ideco UTM 8, отображаемая на сервере после загрузки Рисунок 2. Управление некоторыми параметрами Ideco UTM 8 через консоль администратора на сервере Основная настройка Ideco UTM 8 и работа с ним осуществляются через интерфейс администратора в веб-браузере. Рисунок 3. Интерфейс администратора Ideco UTM 8 По умолчанию веб-интерфейс доступен только из локальной сети, однако специальная настройка позволит администратору подключаться и извне. Рисунок 4. Изменение параметров администрирования Ideco UTM 8 — доступ из внешней сети разрешён При первом подключении к веб-интерфейсу необходимо зарегистрировать сервер Ideco UTM 8. Регистрация осуществляется в личном кабинете на сайте my.ideco.ru. При регистрации сервера выдаётся бесплатная пробная лицензия на 40 дней, охватывающая все модули и техническую поддержку Ideco UTM 8, а также обеспечение авторизации до 10 000 пользователей. Рисунок 5. Регистрация нового сервера Ideco UTM 8 Генерация токена сервера происходит автоматически.По завершении настройки лицензии в личном кабинете на сайте «Айдеко» отобразятся доступные серверы. Рисунок 6. Управление лицензиями Ideco UTM 8 в личном кабинете пользователя продуктов «Айдеко» В веб-интерфейсе администратора Ideco UTM 8 доступна подробная информация о настроенной лицензии и доступных модулях Ideco UTM 8. Рисунок 7. Параметры лицензии Ideco UTM 8 в веб-интерфейсе администратора Работа с Ideco UTM 8Управление пользователямиПользователи в интерфейсе управления Ideco UTM 8 отображаются в виде дерева и для удобства администрирования и наследования параметров могут быть организованы в группы. При этом уровень вложенности групп не ограничен. Рисунок 8. Раздел «Пользователи» в веб-интерфейсе Ideco UTM 8. Добавление новых пользователей в группу «Бухгалтерия» и настройка основных параметров для неё Ideco UTM 8 поддерживает автоматическое создание пользователей с авторизацией по IP-адресу: адреса задаются диапазоном или при подключении нового устройства. Например, администратор может создать группу для сотрудников, подключающихся к сети Wi-Fi, назначить им квоту по объёму трафика и ограничить скорость подключения. Рисунок 9. Создание новых пользователей для группы «Бухгалтерия» по IP-адресу в веб-интерфейсе Ideco UTM 8 Квоты создаются в одноимённом подразделе секции «Правила доступа». Веб-интерфейс Ideco UTM 8 позволяет просматривать, устанавливать и увеличивать квоту сотрудника в случае использования лимитов трафика. Рисунок 10. Подраздел «Квоты» в веб-интерфейсе Ideco UTM 8, создание нового ограничения входящего трафика для пользователя Рисунок 11. Назначение квоты по входящему трафику для группы «Бухгалтерия» в веб-интерфейсе Ideco UTM 8 Мониторинг состояния сети и активности пользователей средствами Ideco UTM 8Ideco UTM 8 предоставляет администратору подробную информацию об активности пользователей в контролируемой сети, авторизации и VPN-подключениях. Рисунок 12. Активные сессии пользователей в Ideco UTM 8 В разделе «Мониторинг» доступны электронные журналы модулей Ideco UTM 8, благодаря которым администратор может отследить активность последних или выявить ошибки в случае их возникновения. Рисунок 13. Доступные журналы модулей Ideco UTM 8, записи отображаются при нажатии на соответствующую категорию Для анализа загрузки процессора, оперативной памяти и интерфейсов сервера, а также активности пользователей администратору предоставляются графики загруженности. Ideco UTM 8 хранит и отображает информацию за последние 3 месяца. Рисунок 14. Графики загруженности сервера Ideco UTM 8 Монитор трафика предоставляет администратору перечень активных пользователей с указанием сетевых параметров — IP-адресов и протоколов. Рисунок 15. Монитор трафика, проходящего через Ideco UTM 8 В Ideco UTM 8 реализована поддержка управления по протоколу SNMP v3. Рисунок 16. Настройка параметров SNMP для управления Ideco UTM 8 Ideco UTM 8 для интеграции с SIEM-системой поддерживает передачу журнала событий на удалённый сервер по протоколу Syslog. Рисунок 17. Настройка параметров Syslog для передачи журнала событий Ideco UTM 8 В Ideco UTM 8 встроена интеграция с системой мониторинга Zabbix. Поддерживаются два режима: активный и пассивный. В активном режиме Ideco UTM 8 инициирует соединение с Zabbix-сервером, в пассивном — наоборот. Рисунок 18. Параметры Zabbix-агента в Ideco UTM 8 Контроль сетевого трафика пользователейМежсетевой экран, встроенный в Ideco UTM 8, предназначен для ограничения трафика пользователей, проходящего через сервер из локальной сети или в неё. Компонент анализирует заголовки пакетов и применяет глобальные правила управления трафиком (сетевые протоколы, порты, IP-адреса и т. д.). Заметим, что межсетевой экран не предназначен для решения задач по контролю доступа пользователей к ресурсам сети «Интернет» на основе URL-адреса, доменного имени или типа контента. С этими задачами лучше справится контент-фильтр Ideco UTM 8. Рисунок 19. Межсетевой экран в Ideco UTM 8 Модуль контроля приложений выполняет глубокий анализ сетевого трафика и интеллектуальное распознавание протоколов прикладного уровня (L7) за счёт сигнатурного анализа. Модуль позволяет блокировать анонимные сетевые соединения, средства удалённого подключения, сетевые игры, майнинговые системы, сервисы видеотрансляций. Рисунок 20. Правила фильтрации для модуля контроля приложений, встроенного в Ideco UTM 8 Контентная фильтрация в Ideco UTM 8 реализована на основе данных о веб-трафике, получаемых от встроенного прокси-сервера, что позволяет блокировать доступ к различным ресурсам сети «Интернет». Механизм контентной фильтрации заключается в проверке адреса, запрашиваемого пользователем, или отдельной страницы сайта на наличие в списках запрещённых ресурсов. Списки, в свою очередь, поделены на категории для удобства администрирования. Ideco UTM 8 предлагает 145 встроенных категорий сайтов, включающих более 500 млн URL-адресов, обновляемых автоматически. Рисунок 21. Правила контентной фильтрации в Ideco UTM 8 Встроенные базы контент-фильтра доступны при подписке на обновления в enterprise-лицензии. Модуль контент-фильтрации может работать и без такой подписки (в этом случае администратору предоставляются только пользовательские категории).Администратору Ideco UTM 8 также предоставляется инструмент ограничения скорости входящего интернет-трафика для зарегистрированных пользователей. Ограничения настраиваются как для группы учётных записей, так и индивидуально для конкретного сотрудника. При групповом ограничении скорость делится между всеми выбранными пользователями. Рисунок 22. Правило, ограничивающее скорость входящего трафика для группы «Бухгалтерия», в Ideco UTM 8 Модуль антивирусной фильтрации в Ideco UTM 8 заблаговременно настроен и не требует ручного конфигурирования. Доступно 2 ядра: open source-программа ClamAV и «Антивирус Касперского», предоставляемый по отдельной платной лицензии. Рисунок 23. Модуль антивирусной проверки трафика в Ideco UTM 8 Модуль предотвращения вторжений блокирует сетевой трафик троянских программ, ботнетов, торрент-трекеров, шпионских программ, клиентов P2P-сетей, анонимайзеров, сетей TOR и т. д. Рисунок 24. Журнал модуля предотвращения вторжений в Ideco UTM 8 Правила модуля предотвращения вторжений предустановлены и доступны для просмотра и отключения / включения на вкладке «Правила». Рисунок 25. Правила модуля предотвращения вторжений в Ideco UTM 8 Ideco UTM 8 позволяет отключать определённые правила и не проводить по ним проверку. Исключения настраиваются по идентификаторам правил. Рисунок 26. Список правил, игнорируемых модулем предотвращения вторжений, в Ideco UTM 8 На вкладке «Настройки» содержатся параметры модуля предотвращения вторжений — контролируемые локальные подсети и срок хранения записей электронного журнала. Рисунок 27. Настройки параметров модуля предотвращения вторжений в Ideco UTM 8 Администратор может самостоятельно описывать объекты для их использования при формировании правил межсетевого экрана и контент-фильтра, задавая им удобочитаемые названия. Рисунок 28. Объекты, используемые для формирования правил фильтрации и межсетевого экранирования в Ideco UTM 8 В Ideco UTM 8 количество учётных записей с правами на доступ к настройкам и администрирование сервера не ограничено. Допускается корректировать список администраторов, а также предоставлять им удалённый доступ по протоколу SSH. Рисунок 29. Настройка учётных записей администраторов Ideco UTM 8 Сервисы, предназначенные для управления сервером Ideco UTM 8Ideco UTM 8 поддерживает несколько типов авторизации пользователей. Во-первых, возможна верификация устройства, с которого сотрудник выходит в сеть, по IP- и / или MAC-адресу. Этот вариант включается в общих настройках конкретной учётной записи. IP-адрес устройства, с которого пользователь будет получать доступ в сеть «Интернет», назначается администратором вручную или автоматически из подсети основного локального интерфейса. Для одной учётной записи можно авторизовать по IP-адресу только одно устройство. Рисунок 30. Настройка параметров авторизации пользователей в Ideco UTM 8 Для получения доступа к локальной сети извне Ideco UTM 8 поддерживает VPN-авторизацию. Доступно пять протоколов туннельных соединений: PPTP, PPPoE, IKEv2/IPsec, SSTP, L2TP/IPsec. Производитель не рекомендует использовать первый из перечисленных, поскольку тот не отвечает современным требованиям безопасности и поддерживается только ради совместимости с устаревшими операционными системами и оборудованием, а также для авторизации в локальной сети, где нет требований к строгому шифрованию трафика. Настройка VPN осуществляется в несколько нажатий мышью, при этом для IKEv2/IPsec, SSTP автоматически применяются валидные сертификаты Let’s Encrypt, что позволяет, в свою очередь, упростить настройку на клиентской стороне без необходимости установки сторонних доверенных сертификатов. Рисунок 31. Параметры VPN-авторизации пользователей в Ideco UTM 8 Ideco UTM 8 поддерживает одностороннюю синхронизацию со службой каталогов Microsoft Active Directory. В этом случае аутентификация пользователей осуществляется средствами AD по протоколам Kerberos / NTLM и журналам безопасности контроллеров домена. Последний способ весьма редок, если не единичен, среди российских продуктов. Рисунок 32. Настройка параметров Active Directory для синхронизации списка пользователей с Ideco UTM 8 В верхнем правом углу подраздела «Сетевые интерфейсы» секции «Сервисы» администратор может задать локальные и внешние интерфейсы и протоколы, используемые при подключении к провайдеру. Рисунок 33. Настройка сетевых интерфейсов сервера Ideco UTM 8 В Ideco UTM 8 предусмотрены балансировка и резервирование каналов при подключении к нескольким интернет-провайдерам. Рисунок 34. Балансировка трафика между несколькими подключениями на сервере Ideco UTM 8 На случай отключения основного канала можно предусмотреть прохождение сетевого трафика через запасной. Рисунок 35. Основной и резервный каналы сервера Ideco UTM 8 Ideco UTM 8 позволяет указывать сеть источника прямо в маршруте, что даёт преимущество по сравнению с некоторыми другими традиционными системами маршрутизации. В качестве источника могут выступать не только сети, но и пользователи либо группы последних — вне зависимости от их меняющихся IP-адресов и различных устройств. Рисунок 36. Создание статического маршрута через Ideco UTM 8 Для автоматического создания пользователя с возможностью авторизации по IP-адресу для устройства, пытающегося получить доступ к сети «Интернет» через Ideco UTM 8, предусмотрен модуль обнаружения устройств. Он работает в пассивном режиме, не осуществляя сканирования локальной сети. Новые пользователи, имеющие соответствующие IP-адреса устройств, будут добавлены в выделенную администратором группу. Рисунок 37. Пользователи из заданных подсетей будут автоматически добавлены в группу «Бухгалтерия» при попытке получить доступ к сети «Интернет» через Ideco UTM 8 Прокси-сервер Ideco UTM 8 по умолчанию настроен для прозрачной работы с веб-трафиком пользователей. Продукт осуществляет кеширование потоков данных в оперативной памяти сервера. Как правило, этого достаточно, однако администратор может вручную перевести кеширование трафика на жёсткий диск.Допускается настраивать прямые подключения к прокси-серверу, указав IP-адрес и порт сервера Ideco UTM 8. Эти адрес и порт задаются на устройствах сети, трафик которых нужно пропускать через прокси. Рисунок 38. Настройки модуля проксирования в Ideco UTM 8 Модуль прокси также играет роль мастер-службы для сервисов Ideco UTM 8, связанных с обработкой, контролем и учётом веб-трафика (антивирус, сервис отчётности по трафику пользователей, контент-фильтр).Благодаря технологии обратного проксирования (reverse proxy) появляется возможность переводить трафик из интернета в локальную сеть. Данный механизм применяется для предоставления доступа ко внутренним веб-ресурсам извне. Также он позволяет перенаправлять все HTTP-запросы на HTTPS и публиковать сервисы Microsoft с авторизацией (например, Outlook Web Access). Рисунок 39. Создание правила публикации для обратного проксирования в Ideco UTM 8 Служба DNS в Ideco UTM 8 позволяет задать для внешних сетей DNS-серверы, через которые принудительно будут разрешаться все интернет-имена, запрашиваемые пользователями локальной сети. Дополнительно можно назначить сторонние серверы с указанием конкретных DNS-зон, которые будут ими обслуживаться («forward-зоны»).Ideco UTM 8 также может перехватывать DNS-обращения к сторонним серверам, указанным пользователями на рабочих станциях с целью обхода блокировок веб-ресурсов. Рисунок 40. Настройки службы DNS в Ideco UTM 8 В Ideco UTM 8 также есть DHCP-сервер, позволяющий автоматически назначать IP-адреса сетевым устройствам в локальной сети. Рисунок 41. Параметры DHCP-сервера в Ideco UTM 8 Модуль поддержки IPsec, входящий в состав Ideco UTM 8, предназначен для организации VPN-подключений по соответствующему протоколу. Администратор может настроить межсайтовую (site-to-site) VPN между сервером Ideco UTM 8 и сторонними активными сетевыми устройствами, а также клиентскую (client-to-site) VPN для подключения пользователей. Разделяются следующие соединения: главный офис, филиалы, устройства.«Филиалы» и «главный офис» позволяют объединять локальные сети нескольких серверов Ideco UTM 8. Для этого продукт из главного офиса должен иметь публичный адрес в сети «Интернет» и принимать подключения от других серверов Ideco UTM 8 и рабочих станций. Филиал подключается к главному офису и, как правило, не имеет публичного адреса. Рисунок 42. Настройка взаимодействия между филиалами организации с помощью модуля IPsec в Ideco UTM 8 В Ideco UTM 8 впервые добавлена панель управления SSL-сертификатами. Рисунок 43. Панель управления SSL-сертификатами в Ideco UTM 8 Ideco UTM 8 поддерживает автоматическое инкрементальное обновление — загружаются только изменённые данные. Рисунок 44. Панель автоматических обновлений в Ideco UTM 8 Ideco UTM 8 обеспечивает следующие типы автоматического резервного копирования: на локальный жёсткий диск, а также в сетевое файловое хранилище по протоколу FTP или CIFS. Рисунок 45. Резервные копии Ideco UTM 8, созданные автоматически по расписанию Через веб-интерфейс администратор может отправить на сервер Ideco UTM 8 команды управления питанием: перезагрузка и выключение. Рисунок 46. Управление питанием сервера Ideco UTM 8 Генерация отчётовIdeco UTM 8 автоматически генерирует отчёты по следующим параметрам: посещаемые сайты, активность пользователей, категории сетевого трафика. Во всех отчётах доступны фильтрация и временная градация. Рисунок 47. Отчёт Ideco UTM 8 по посещаемости сайтов Рисунок 48. Отчёт Ideco UTM 8 по активности пользователей Рисунок 49. Отчёт Ideco UTM 8 по категориям трафика Журнал событий содержит сводную информацию по всем отчётам. Рисунок 50. Журнал событий Ideco UTM 8, сформированный по активности пользователей ТерминалДля сетевой диагностики и получения журналов с сервера Ideco UTM 8 в новой версии продукта впервые добавлен терминал — эмулятор интерфейса командной строки. Терминал поддерживает сетевые команды Linux. Рисунок 51. Терминал интерфейса командной строки в Ideco UTM 8 ВыводыIdeco UTM 8 — универсальный шлюз безопасности, который успешно выполняет поставленные перед ним задачи. Разработчики продолжают развивать свой продукт, добавляя в него новые функции по обеспечению безопасности. На наш взгляд, веб-интерфейс Ideco UTM 8 по сравнению с предыдущей версией стал более удобным и интуитивно понятным. Для работы с продуктом достаточно базовых знаний об администрировании сетевого оборудования, многие модули Ideco UTM 8 запускаются будучи уже настроенными. На уровне L7 предусмотрена блокировка различного типа трафика, начиная от видеостриминговых сервисов и заканчивая TOR.Ideco UTM 8 имеет гибкую схему лицензирования, позволяющую потребителю подобрать оптимальную для своей сети защиту.Достоинства:Отечественный продукт, имеющий соответствующие сертификаты безопасности и регистрацию в реестре Минкомсвязи.Быстрое развёртывание, поддержка как аппаратных, так и виртуальных платформ.Обновлённый веб-интерфейс имеет подробное справочное описание по каждому механизму безопасности.Предусмотрена урезанная версия консоли администратора на сервере Ideco UTM 8.Техническая поддержка в режиме 24х7 и чат со специалистом ТП непосредственно из веб-интерфейса.Автоматическое создание новых учётных записей пользователей по IP-адресу устройства.Интеграция с Active Directory.Поддержка протокола Syslog и интеграции с системой мониторинга Zabbix.Фильтрация трафика по источнику.Правила межсетевого экрана теперь применяются автоматически без разрыва текущих соединений.Полностью переписаны некоторые модули безопасности.Блокировка сетевого трафика на уровне L7.Недостатки:Администратор не может управлять настройками антивирусов.Администратор не может самостоятельно задавать сигнатуры IPS.Отсутствует шифрование по ГОСТу.Отсутствует функциональность по обнаружению утечек информации (DLP).

Обзор FortiEDR, системы защиты конечных точек от сложных атак

FortiEDR 4.2 в режиме реального времени отслеживает работу конечных точек, автоматически блокирует вредоносную активность, а также предоставляет операторам SOC детальную информацию, необходимую для расследования сложных киберинцидентов. Возможности системы позволяют использовать её для борьбы с нетиповыми, целевыми атаками, минимизировать ущерб от программ-шифровальщиков, быстро устранять последствия вредоносных действий на рабочих станциях. ВведениеАрхитектура FortiEDRСистемные требования FortiEDRФункциональные возможности FortiEDRПрименение FortiEDR5.1. Настройка политик безопасности и плейбуков в FortiEDR5.2. Расследование инцидентов: обработка событий из области безопасности5.3. Контроль сетевых соединений5.4. Управление конечными точками5.5. Панель управленияВыводы ВведениеНеобходимость применения систем класса Endpoint Detection & Response (EDR) продиктована постоянно растущей сложностью кибератак, направленных на корпоративный сектор. С одной стороны, продукты, предназначенные для контроля сетевого трафика, не покрывают весь потенциальный фронт нападения, оставляя вне сферы своего внимания процессы, происходящие внутри конечных точек. С другой стороны, классические антивирусы и решения уровня Endpoint Protection Platform (EPP) не всегда имеют возможность детектировать многоэтапные, целевые атаки. Сравнение сигнатур и эвристический анализ зачастую бессильны при обнаружении нападений, с использованием бесфайловой вредоносной программы, или атак, развивающихся через легитимные программы и социальную инженерию.Ещё одним аспектом, осложняющим борьбу с угрозами для конечных точек, является большое количество срабатываний традиционных средств защиты. При ручной обработке данных о потенциально небезопасной активности с рабочих станций операторы SOC (центра мониторинга и реагирования на инциденты в области информационной безопасности) будут перегружены разбором массовых, типовых происшествий. При таком подходе внимательное расследование по-настоящему серьёзных событий в масштабах организации потребует увеличения штата, а значит, и бюджета SOC, что не всегда возможно и целесообразно.EDR-системы являются одним из наиболее эффективных решений проблемы защиты конечных точек от сложных атак. Они позволяют контролировать все процессы, запущенные на рабочих станциях, автоматически детектировать, классифицировать и устранять угрозы, а также предоставлять ИБ-специалистам детальные сведения для расследования нетиповых инцидентов.Функциональные возможности EDR-продуктов обычно включают в себя развитые средства мониторинга, протоколирования и наглядного представления выявленных угроз. Важно, что такие системы могут иметь функциональные возможности антивирусных и EPP-решений или допускать взаимодействие с внешними продуктами. Это позволяет интегрировать EDR в общий контур безопасности предприятия без замены имеющихся средств защиты конечных точек.Подробнее о возможностях современных EDR-систем можно узнать в нашем обзоре этого сегмента рынка информационной безопасности.Функциональность типовой системы класса EDR состоит из следующих элементов.Средства мониторинга активности конечных точек:контроль запуска новых процессов и внесения изменений в существующие,отслеживание установки и удаления программного обеспечения,мониторинг операций с файлами,выявление операций по повышению уровня привилегий учётных записей,сканирование сетевых соединений,контроль изменений ключей реестра.Обнаружение потенциально вредоносной активности:собственный антивирусный компонент или взаимодействие с внешней системой,анализ индикаторов компрометации (IoC),элементы поведенческого анализа для выявления аномалий в действиях пользователей или работе запущенных процессов,методы Threat Hunting и Threat Intelligence (проактивный поиск угроз и киберразведка),проверка журналов работы.Идентификация и классификация выявленных угроз:обогащение сведений об инциденте при помощи собственных баз данных или внешних источников,получение метаданных от конечной точки,анализ дополнительной информации, связанной с инцидентом — сведений о сетевой активности, работе с памятью, истории использования командной строки и т. д.Реагирование на инциденты:блокировка сетевых соединений поражённой конечной точки,изоляция вредоносного процесса в песочнице,удаление связанных с атакой файлов,восстановление изменённых записей реестра.FortiEDR представляет собой полнофункциональную систему защиты конечных точек в режиме реального времени. Развитые средства мониторинга и реагирования позволяют ей в упреждающем режиме снижать количество направлений атак, предотвращать поражение вредоносными программами, выявлять и обезвреживать потенциальные угрозы. FortiEDR несёт «на борту» собственный антивирусный модуль, оснащённый технологией машинного обучения и NGAV-ядром (Next Generation Antivirus, антивирус нового поколения). Кроме того, система может взаимодействовать с EPP-решением FortiClient или другим программным обеспечением для защиты рабочих станций.После обнаружения подозрительной активности FortiEDR автоматически блокирует потенциальные угрозы и при необходимости изолирует рабочую станцию от сети. Такая политика позволяет эффективно бороться с атаками, направленными на утечку данных, а также пресекать работу программ-шифровальщиков. Одновременно с купированием атаки FortiEDR собирает дополнительные сведения о событии, взаимодействуя с облачным сервисом Fortinet Cloud Services, VirusTotal и базой MITRE.Реакция системы на выявленные угрозы определяется набором политик безопасности и автоматических сценариев, которые могут быть настроены пользователем. Для каждой группы конечных точек может быть назначен свой собственный набор ИБ-политик. Сотрудник SOC имеет возможность оперативно перенести выбранную конечную точку в группу с более строгими правилами безопасности.Контроль сетевых соединений в разрезе программ, установленных на рабочие станции, позволяет FortiEDR эффективно противодействовать эксплуатации известных уязвимостей. Система автоматически понижает уровень доверия к любому приложению, у которого зафиксированы незакрытые бреши, и ограничивает его возможности по взаимодействию с внешними источниками.Мы изучили FortiEDR версии 4.2, чтобы на практике ознакомиться с функциональностью системы. Архитектура FortiEDRFortiEDR состоит из шести базовых компонентов, перечисленных далее.Коллектор — агентский модуль, экземпляры которого устанавливаются на конечные точки (рабочие станции и серверы). Коллектор осуществляет мониторинг деятельности конечной точки, передаёт данные для анализа центральному компоненту системы, а также самостоятельно блокирует известные угрозы при помощи встроенного антивирусного модуля.Центральный компонент отвечает за анализ данных, полученных от коллектора, обогащение этих сведений, выбор и выполнение сценария («плейбука») для реагирования на инцидент.Fortinet Cloud Services — сервис, содержащий данные об угрозах, необходимые для обогащения собранной и переданной коллектором информации.Менеджер — модуль управления системой, осуществляющий взаимосвязь всех компонентов.Агрегатор выполняет функции прокси-сервера, перенаправляя запросы от менеджера к центральному компоненту и обратно. Кроме того, агрегатор отвечает за выдачу лицензий и конфигурационной информации коллекторам.Репозиторий Threat Hunting — база данных для хранения вредоносных файлов, обнаруженных FortiEDR на конечных точках.При обнаружении подозрительной активности коллектор передаёт данные о ней в центральный компонент, который обращается к Fortinet Cloud Services за дополнительной информацией, чтобы идентифицировать угрозу. Определив вредоносный характер происходящего, центральный компонент выбирает соответствующий плейбук и отсылает на коллектор набор команд для блокировки и нейтрализации угрозы.В дальнейшем центральный компонент создаёт записи о выявленных вредоносных объектах в репозитории Threat Hunting, а также через агрегатор отправляет информацию об инциденте в менеджер. Последний формирует уведомления для пользователя и при необходимости передаёт данные во внешние системы (например, FortiSOAR). Рисунок 1. Схема работы FortiEDR Варианты развёртывания FortiEDR:Облачный — все компоненты, за исключением коллекторов, располагаются на серверах Fortinet. В этом случае все задачи, связанные с выделением ресурсов для бесперебойной работы системы, решаются силами производителя.Гибридный — центральный компонент и агрегатор (или же только центральный компонент) могут быть развёрнуты на серверах пользователя, а репозиторий, менеджер и Fortinet Cloud Services — размещены на ресурсах Fortinet.Локальный — все модули системы, за исключением Fortinet Cloud Services, устанавливаются на серверы пользователя. В этом случае FortiEDR обращается ко внешним ресурсам только для обогащения информации об инциденте при анализе очередного сервисного запроса («тикета»).Офлайн — пользователи, которые уделяют повышенное внимание автономности работы системы, могут отключить функцию обращения к Fortinet Cloud Services. При этом обогащение данных об инциденте выполняться не будет.Лицензирование FortiEDR ведётся по количеству рабочих станций и серверов, на которые установлена система. Системные требования FortiEDRКоллекторы FortiEDR могут быть установлены на компьютеры под управлением Windows, macOS и Linux. Также агенты поддерживают виртуальные рабочие столы VDI. Для работы коллектора требуется менее 1 % вычислительной мощности процессора, 120 МБ оперативной памяти и 20 МБ на жестком диске.Остальные компоненты могут быть установлены как на физические серверы, так и на виртуальную машину. Требования к аппаратной платформе — следующие:Центральный компонент — 2 процессора, 8 ГБ оперативной памяти, 60 ГБ дискового пространства.Агрегатор — 2 процессора, 16 ГБ оперативной памяти, 80 ГБ дискового пространства.Менеджер — 2 процессора, 16 ГБ оперативной памяти, 150 ГБ дискового пространства.Репозиторий — 8 ГБ оперативной памяти для каждого центрального компонента, от 250 ГБ дискового пространства. Функциональные возможности FortiEDRFortiEDR предназначена для защиты конечных точек от кибератак в режиме реального времени. Система контролирует процессы, запускаемые на рабочих станциях и серверах, выявляя подозрительную активность и при необходимости блокируя её. Работа FortiEDR значительно сужает потенциальный фронт атаки за счёт отслеживания сетевых соединений и автоматического прерывания вредоносных процессов. Развитые возможности реагирования позволяют в ручном или автоматическом режиме блокировать несанкционированные действия и изолировать заражённое устройство.Ключевые функции FortiEDR:Мониторинг работы конечных точек (контроль процессов, запущенных на устройствах, с целью выявления подозрительной, вредоносной или потенциально нежелательной активности; контроль сетевых соединений в разрезе создавших их программ; выявление незащищённых или неуправляемых устройств, в том числе IoT; отслеживание и оценка приложений).Антивирусная защита конечных точек (выявление потенциально вредоносных действий на подконтрольных устройствах при помощи антивирусного движка NGAV на основе искусственного интеллекта; выявление скрытых атак, бесфайловых проникновений, работы программ-вымогателей; предотвращение изменения ключей реестра и восстановление его в случае атаки; обнаружение и блокировка известных угроз на основании информации, получаемой из постоянно пополняемой облачной базы данных; изоляция конечных точек в случае заражения; автономная защита устройств; контроль USB-устройств).Реагирование на инциденты (автоматическая классификация событий из области безопасности; поддержка автоматических стратегий реагирования на инциденты на базе политик безопасности и плейбуков; широкий спектр реакций на инциденты — удаление файлов, прерывание вредоносных процессов, откат постоянных изменений, уведомление пользователей, изоляция приложений и устройств, создание запросов; отслеживание всех стадий атак и вредоносных изменений с помощью запатентованной технологии трассировки кода; автоматическое устранение вредоносных изменений и восстановление системы без прерывания её работы; дополнительная управляемая служба выявления и реагирования на угрозы (MDR) для поддержки SOC).Расследование инцидентов (автоматический анализ происшествий без прерывания обслуживания пользователя; возможность создания дампов памяти, использованной вредоносными процессами; информационная поддержка принятия решений — отображение критериев, на основании которых событие было признано подозрительным или вредоносным, и структуры атаки по MITRE ATT&CK, а также предложение логически обоснованных мер противодействия). Применение FortiEDRНастройка политик безопасности и плейбуков в FortiEDRПолитики определяют реакцию FortiEDR на события из области безопасности, выявленные на конечных точках. Конфигурирование политик производится в разделе «Security Policies» меню «Security Settings». Пользователь может применять предустановленные политики, поставляемые «в коробке», или создавать на их основании собственные наборы правил.В FortiEDR предусмотрено четыре типа политик безопасности: Execution Prevention (контроль запуска файлов), Exfiltration Prevention (предотвращение утечки данных), Ransomware Prevention (противодействие программам-вымогателям) и Device Control (контроль работы устройств). Рисунок 2. Политики безопасности в FortiEDR Каждая политика может быть настроена на автоматическую блокировку вредоносной активности или протоколирование выявленных действий в журнал для разбора оператором SOC. Кроме этого на уровне группы политик или всех объектов системы можно активировать режим «Simulation», который отключает автоматическое реагирование на инциденты. Соответствующий переключатель находится в правом верхнем углу экрана.Политики безопасности могут быть назначены определённым коллекторам или их группам. Таким образом администратор системы может гибко настраивать реакцию FortiEDR на события в зависимости от конкретной конечной точки.При нажатии на конкретное правило открывается информационное окно в нижней части экрана, где помимо краткого описания выбранной политики отображаются рекомендации по расследованию инцидента. Например, при попытке загрузки подозрительного драйвера система советует удалить файл, проверить его происхождение и выявить использование на других устройствах, а также перейти на вкладку «Forensics» для детального анализа проблемы. Рисунок 3. Политики безопасности и рекомендации по расследованию инцидента в FortiEDR За автоматизацию реагирования на инциденты в FortiEDR отвечают плейбуки — сценарии действий, расположенные в разделе «Playbooks» меню «Security Settings». Плейбук определяет, какие именно действия выполнит система при выявлении события, описанного в политиках безопасности. Рисунок 4. Настройка сценария реагирования (плейбука) в FortiEDR Реакция плейбука на инцидент варьируется в зависимости от степени угрозы. FortiEDR позволяет настраивать действия по пяти градациям опасности события: вредоносное (malicious), подозрительное (suspicious), потенциально нежелательное (PUP), неподтверждённое (inconclusive), скорее всего безопасное (likely safe). Для каждого случая можно автоматически выполнить одно или несколько действий:отправить уведомление на заданную электронную почту,выслать нотификацию по syslog,создать тикет,изолировать устройство,перенести устройство в другую логическую группу, где к нему будут применены более строгие политики безопасности,завершить небезопасный процесс,удалить вредоносный файл,восстановить ключи реестра, которые были изменены вредоносной программой,заблокировать IP-адрес, от которого исходит вредоносная активность, добавив соответствующее правило для межсетевого экрана. Расследование инцидентов: обработка событий из области безопасностиВсе инциденты, зарегистрированные в системе FortiEDR, хранятся в разделе «Event Viewer» главного меню. События могут быть сгруппированы по рабочим станциям / коллекторам или по связанным с ними процессам. Выбрав конкретное событие, пользователь может увидеть дополнительную информацию о нём — имя конечной точки, наличие или отсутствие цифровой подписи, полный путь к поражённому объекту, а также причину, по которой инцидент признан вредоносным. Рисунок 5. Информация о событии в разделе «Events» системы FortiEDR Для удобства пользователя в нижней части экрана выводится графическая информация о цепочке атаки — последовательность запуска вредоносных процессов, обращения к сторонним ресурсам и другие данные, вплоть до блокировки активности. Помимо этого пользователю доступна детальная информация о событии, которая, в частности, содержит список сработавших правил безопасности. Открыв правило, можно увидеть его описание, а также перечень рекомендуемых действий со ссылкой на соответствующие техники MITRE, если таковые применимы к конкретному событию. Пользователь имеет возможность отредактировать статус события: пометить его как обработанное или изменить уровень опасности инцидента, назначенный системой. Рисунок 6. Визуализация цепочки атаки в разделе «Events» системы FortiEDR Расследование события удобно производить в режиме «Forensics», который доступен из списка инцидентов или в соответствующем разделе главного меню. Здесь можно ознакомиться с детализированной цепочкой атаки, каждый узел которой может быть раскрыт для получения подробных сведений о связанных с ним действиях. Кроме того, в разделе содержатся полные данные, необходимые для анализа события: имена хоста и пользователя, операционная система, инициировавший действия процесс, классификация активности, назначение и цель вредоносных действий, даты обнаружения и последней зафиксированной активности, идентификатор инцидента, путь к исполняемому файлу и разрядность запущенного процесса, наличие или отсутствие цифровой подписи. Рисунок 7. Раздел «Forensics» в FortiEDR Атака представлена в виде последовательности этапов, по каждому из которых можно получить полную техническую информацию, включая список всех файлов, к которым обращался вредоносный процесс, и адреса областей памяти, использованные ими. Непосредственно из раздела «Forensics» оператор SOC может сохранить дамп памяти, используемой вредоносным процессом в целом или отдельными элементами, затронутыми атакой. Рисунок 8. Детальная информация об этапе кибератаки в FortiEDR Событие или отдельные его части, не представляющие опасности, можно добавить в исключения. FortiEDR позволяет гибко настраивать применимость таких исключений — пользователю доступны выбор конкретного коллектора или группы конечных точек, добавление исключений только для внешних или только для внутренних адресов. В исключения можно внести и отдельные правила, сработавшие внутри события, причём пользователь вправе отменить выполнение политик для конкретного файла в определённой папке или для всех аналогичных объектов вне зависимости от их расположения. Рисунок 9. Настройка исключений в FortiEDR Система предоставляет пользователю следующие инструменты для реакции на события:Изоляция рабочей станции от сети.Завершение вредоносного процесса.Восстановление ключей реестра, затронутых атакой.Удаление файлов, связанных с процессом.Поиск аналогичных объектов на всех рабочих станциях, контролируемых FortiEDR.После завершения расследования и блокировки атаки оператор SOC может непосредственно из системы запросить дополнительную информацию о подобных инцидентах на сервисе VirusTotal. Контроль сетевых соединенийFortiEDR даёт пользователю возможность управлять сетевыми соединениями, которые инициируют установленные на конечных точках программы. Коллектор собирает информацию обо всех приложениях, которые обращаются к сети, и устанавливает для каждого из них уровень доверия, который получает автоматически, из облака. Если в какой-либо программе присутствуют известные уязвимости, её сетевые коммуникации могут быть ограничены до момента выпуска обновлений. Таким образом эксплуатация уязвимостей злоумышленниками будет затруднена. Рисунок 10. Контроль сетевых соединений в FortiEDR Пользователь имеет возможность самостоятельно изменять действия, назначенные для конкретного приложения. Например, заблокировать его, даже если оно имеет статус доверенного. Кроме того, есть возможность устанавливать правила, ограничивающие сетевую активность последнего для разных групп конечных точек (коллекторов). Например, система может быть настроена так, чтобы браузер мог без ограничений передавать данные с рабочих станций, но был изолирован на сервере.В разделе «Communication Control» представлен список всех программ, осуществляющих сетевое взаимодействие, а также детальная информация об их активности. Пользователю доступны перечень политик безопасности, применяемых к текущей версии приложения, список незакрытых уязвимостей со ссылкой на базу данных MITRE, сведения об IP-адресах, с которыми коммуницировала программа, и о частоте её использования на контролируемых устройствах. Управление конечными точкамиВ разделе «Inventory» главного меню FortiEDR пользователь может включить конечную точку в определённую группу. Для каждой группы может быть сформирован уникальный набор политик безопасности, что позволяет гибко управлять правилами срабатывания системы. Например, можно вынести устройства удалённых пользователей в отдельные группы и применить к ним более строгие политики безопасности. Рисунок 11. Раздел «Inventory» системы FortiEDR В этом же окне можно получить информацию о текущем статусе рабочей станции, её MAC-адресе и версии установленной операционной системы. При необходимости конечная точка двумя щелчками мыши изолируется от сети или подключается обратно. Для удобства администратора можно вывести список компьютеров, на которые ещё не установлены коллекторы, чтобы определить план развертывания агентов. Панель управления FortiEDRСводная информация обо всех аспектах безопасности конечных точек, находящихся под контролем FortiEDR, собрана в окне «Dashboard». В этом разделе располагаются настраиваемые графические информеры, наглядно — в виде диаграмм — представляющие информацию о количестве срабатываний системы, проблемных сетевых соединениях, запущенных коллекторах, сгруппированных по операционным системам, и другие данные. Из этого же окна можно сформировать ряд отчётов, связанных с работой FortiEDR. Рисунок 12. Панель управления FortiEDR ВыводыВ процессе тестирования мы изучили основные функции FortiEDR 4.2 и оценили её возможности по мониторингу активности конечных точек и оперативному реагированию на возникающие киберинциденты. Программный продукт способен существенно разгрузить операторов SOC за счёт автоматической реакции на типовые события и предоставить ИБ-специалистам возможность сконцентрироваться на расследовании сложных инцидентов.В случае сложной, целевой атаки функциональный инструментарий FortiEDR позволяет существенно затруднить её развитие и в большинстве случаев купировать вредоносную активность ещё на начальном этапе. Это особенно важно в свете нарастающей активности программ-шифровальщиков, атака которых может привести к серьёзным финансовым потерям. Система даёт специалистам по информационной безопасности возможность отследить и классифицировать активность киберпреступников в режиме реального времени, а также быстро принять ответные меры.Развитые средства автоматизации — наборы политик и плейбуки — позволяют операторам SOC сконцентрироваться в первую очередь на расследовании инцидентов, а не на оперативном реагировании. В случае индивидуализированной атаки управление реагированием можно перевести в ручной режим, отключив блокировку и оставив только уведомления о возникающих угрозах.Достоинства FortiEDR:Удобная модульная архитектура и большой выбор вариантов развёртывания.Развитый набор настраиваемых средств автоматизации реагирования на инциденты.Широкие возможности обогащения данных о произошедшем событии — через Fortinet Cloud Services и сторонние базы данных.Возможность контроля сетевой активности программ, установленных на рабочих станциях.Наглядное представление информации об инциденте.Возможность изолировать рабочую станцию, заблокировать процесс и восстановить повреждённые записи реестра в несколько щелчков мышью.Недостатки FortiEDR:Отсутствие русскоязычного интерфейса.Относительно небольшое количество информеров панели управления и слабые возможности их индивидуальной настройки.Система разработана зарубежным вендором и не включена в реестр отечественного ПО.

Обзор Makves DCAP, системы аудита и контроля информационных активов

Makves DCAP — первый российский программный продукт для мониторинга информационных ресурсов организации. Система позволяет выявить коллизии прав доступа к файлам, определить критически важные информационные активы компании, оценить риски утечки данных. Система собирает сведения для поведенческого анализа и выявления аномальных действий пользователей. ВведениеАрхитектура системыСистемные требованияФункциональные возможностиПрименение Makves DCAP5.1. Аудит пользователей5.2. Мониторинг компьютеров5.3. Анализ работы с файлами5.4. Анализ событий5.5. Контроль почтовых ящиков и работа с оповещениями5.6. Управление рисками и расследования5.7. Панель сводной информацииВыводы ВведениеТермин DCAP — Data-Centric Audit and Protection (аудит и защита с фокусом на данных) — появился относительно недавно. Gartner выделила программные продукты этого класса в особую группу лишь в 2017 году. Первоначально это понятие относилось преимущественно к задачам файлового аудита, однако сегодня большинство специалистов определяет функции DCAP-систем несколько шире.К системам уровня DCAP можно отнести продукты со следующими возможностями:Сбор и классификация данных.Обработка данных для выявления объектов, содержащих критически важную информацию.Анализ и управление правами доступа к объектам.Аналитика поведения пользователей.Мониторинг и аудит изменений в данных и разрешениях.При этом классические разработки, «заточенные» исключительно на работу с файловыми архивами, по-прежнему с полным правом могут быть отнесены к DCAP.В общем случае DCAP-разработки решают задачи контроля и мониторинга неструктурированных данных «в покое». Объекты информационной системы, которые не перемещаются и зачастую не изменяются в течение длительного периода времени, тем не менее могут представлять угрозу для информационной безопасности предприятия. Продукты класса DCAP могут осуществлять контроль прав доступа к файлам, размещённым на серверах, рабочих станциях, в облачных хранилищах и не являющимся частью какой-либо базы данных.В качестве примера можно привести документы, подпадающие под действие регламентов GDPR, федерального закона № 152-ФЗ или банковской тайны. Даже если администратор установил для папки с такими файлами правильные ограничения, копии объектов могут быть выведены в хранилища с общим доступом. Скорее всего, это будет сделано не с целью кражи данных, а в процессе выполнения рутинных рабочих операций, когда целевой файл потребуется другому сотруднику.В результате на сервере или рабочей станции компании окажется «бомба замедленного действия» — объект, который может стать причиной штрафов при проверке или причинит большой ущерб, будучи украден в процессе атаки. DCAP-система поможет выявить такие документы и собрать данные о копиях конфиденциальных файлов, расположенных в хранилищах с общим доступом.Другой важный аспект работы таких систем — выявление отклонений в поведении пользователей и сущностей, обозначаемое термином UEBA (User and Entity Behavior Analytics). Анализ журналов событий в режиме реального времени сопряжён с рядом трудностей, одна из которых — быстрое обновление. Нагруженный сервер может перезаписывать такой журнал каждые несколько часов, что иногда мешает отследить аномальные отклонения.Многие DCAP-системы способны накапливать данные журналов событий. Это даёт администратору возможность увидеть общую картину действий за произвольный период времени относительно пользователя или другого объекта. Резкий рост активности, действия, выполняемые в выходные дни или в неурочное время, большое количество неудачных попыток авторизации должны привлечь внимание ИБ-специалиста или администратора сети. Возможность наложить данные об активности пользователя на сведения о содержимом файлов, которыми он оперирует, позволит также расследовать возможные утечки или предотвратить их.Makves DCAP предлагает комплексный взгляд на вопрос аудита и защиты информационных ресурсов предприятия. Помимо классического анализа файловых хранилищ и обработки журналов действий система собирает данные о компьютерах, пользователях и почтовых аккаунтах организации, что значительно расширяет возможности анализа информации. Рисунок 1. Основные возможности Makves DCAP Работу Makves DCAP можно условно разделить на два этапа — определение структуры данных и аудит информации с целью оценки рисков утечки. На основании сведений из множества источников программный продукт формирует матрицу доступа на уровне каждого файла и пользователя. Далее программа выполняет поиск потенциальных проблем в сфере хранения и обработки информации — выявляет избыточные права и коллизии доступа, оценивает вероятность утечки конфиденциальных сведений. Если данные регулярно обновляются и обогащаются актуальными материалами из журналов событий, Makves DCAP может быть использована для поведенческого анализа действий сотрудников.Дополнительно система позволяет обнаруживать дубликаты файлов и непрофильные файловые архивы (музыку, фильмы), хранящиеся на серверах и рабочих станциях организации. При помощи Makves DCAP можно также выявлять устаревшие и неактивные аккаунты пользователей, анализировать состав установленного ПО, получать информацию о проблемах с лицензированием ОС.Makves DCAP является полностью российской разработкой и включена в реестр отечественного программного обеспечения под номером 6299. По информации от разработчиков, это — первый в своём классе программный продукт, не содержащий зарубежного кода, и система сохранит свою работоспособность в случае изоляции Рунета или введения дополнительных санкционных мер.Последняя на данный момент версия Makves DCAP вышла в конце мая 2020 года. Мы проанализировали возможности системы и изучили основные сценарии её использования. Архитектура системыАрхитектура Makves DCAP включает в себя три основных компонента — консоль, хранилище и агенты. Рисунок 2. Архитектура Makves DCAP Хранилище представляет собой базу данных PostgreSQL, в которую записываются все сведения, собранные системой.Консоль является центральным элементом пользовательского интерфейса, отвечающим за представление информации из БД. Здесь проводится поведенческий анализ, формируются отчёты, выполняется управление рисками. Консоль представляет собой единое рабочее пространство для всех продуктов Makves. Если организация использует также программный продукт для управления инцидентами Makves IRP, его инструменты будут добавлены в консоль.Агент предназначен для автоматизации задач по обновлению базы данных. Для получения сведений об объектах информационной системы Makves DCAP использует PowerShell-скрипты, однако при большом количестве компьютеров удобнее собирать информацию одного типа при помощи агента, который может обрабатывать несколько устройств.Агенты принимают и обогащают информацию из реестров Active Directory, протоколов событий, журналов SIEM-продуктов, почтового сервера Exchange, а также сканируют папки с общим доступом.Makves DCAP поставляется в виде Docker-контейнера или как MSI-файл. Последний может быть установлен как на физический носитель, так и на виртуальную машину. Системные требованияДля нормальной работы Makves DCAP требуются следующие аппаратные ресурсы:процессор Intel Core i5,8 ГБ оперативной памяти,10 ГБ свободного места на жёстком диске.Makves DCAP поддерживает следующие операционные системы:Windows 10,Windows Server 2016 и 2019,Mac OS X 10.9—10.11,macOS 10.14 и более поздние версии,Ubuntu 16 LTS (Xenial Xerus) и 18 LTS (Bionic Beaver)Понадобятся также браузер Chrome и доступ в интернет.Дополнительное программное обеспечение, необходимое для работы Makves DCAP:Под управлением ОС семейства Windows — Docker Desktop 18 или выше для Windows 10, Docker Enterprise для Windows Server; СУБД PostgreSQL 9.6 х64 или более поздняя версия (при установке из MSI-файла).Для macOS: Docker 18.*.Для ОС Linux: Docker 18.*; docker-compose 3.6 или выше. Функциональные возможностиMakves DCAP предназначена для сбора и анализа информации об объектах корпоративной сети — компьютерах, пользователях, почтовых ящиках и файлах. Эти данные могут быть использованы для описания структуры информационной системы и определения её «узких мест», выявления перекосов в распределении прав доступа, предотвращения утечки конфиденциальных сведений. Кроме того, Makves DCAP позволяет выполнять анализ рисков, в том числе и в разрезе пар объектов: «Пользователь—Файлы», «Приложения—Компьютеры», «Пользователь—Почтовый ящик».Перечислим далее основные функциональные возможности этого программного продукта.Сбор данных о событиях:Получение информации об изменениях, внесённых в файлы и папки.Получение информации из Active Directory об изменениях в списках пользователей, в группах учётных записей и компьютеров, а также в параметрах этих объектов.Получение информации из журналов событий (Event Log).Анализ почтовых ящиков Exchange.Просмотр статистики об объектах и событиях в различных разрезах.Анализ зависимостей пар объектов: приложения—компьютер, файлы—пользователи, пользователи—почтовые ящики, пользователи—файлы.Аудит структуры данных и прав доступа к ним.Анализ и сводная оценка рисков в разрезе объектов информационной системы.Анализ текстовых файлов для определения документов, регулируемых стандартами.Поведенческий анализ действий пользователей и детектирование аномалий.Автоматизация реагирования на риск-факторы с применением заданных процедур.Создание отдельных задач на сбор данных определённого типа.Автоматизация сбора информации при помощи программных агентов. Применение Makves DCAPАудит пользователейИнформация о пользователях домена, собранная системой, находится в разделе «Пользователи» главного меню. На главную страницу секции выведены информеры, содержащие основные данные об объектах этого типа — количество пользователей, количество групп, сводная информация о рисках и число выявленных аномалий. Рисунок 3. Раздел «Пользователи» в Makves DCAP В списке пользователей кроме имени можно отображать большое количество дополнительной информации об учётной записи: домен, риск-фактор, дату последней авторизации, дату последней смены пароля, дату последней неудачной авторизации и другие сведения. Все поля таблицы настраиваются — можно отключить ненужные и изменить их порядок. Рисунок 4. Список полей табличной части раздела «Пользователи» в Makves DCAP Система позволяет быстро отбирать информацию путём установки фильтра по определённому полю прямо из интерфейса таблицы. Настройки фильтра можно сохранить для последующего применения. Кроме сохранения пользовательских запросов имеется ряд конфигураций «из коробки», при помощи которых формируются типовые отчёты — «Заблокированные пользователи», «Пользователи с высоким риском», «Междоменные учётные записи» и другие. Результаты отбора можно сохранить в Excel-формате и отправить по электронной почте. Точно так же построена работа со списками в других разделах главного меню.Карточка пользователя помимо информации из Active Directory содержит диаграмму связей пользователя с группами, а также список файлов, к которым у него есть доступ. Эта информация располагается на отдельной вкладке «Файлы». Рисунок 5. Диаграмма связей в Makves DCAP Администратор системы может быстро отфильтровать список файлов по нескольким критериям — например, вывести на экран документы, содержащие информацию, которая подпадает под действие GDPR или 152-ФЗ. Рисунок 6. Карточка пользователя, закладка «Файлы» в Makves DCAP На вкладке «Процедуры» той же карточки администратор может заблокировать пользователя или инициировать принудительную смену пароля. Скрипты, выполняющие эти действия, доступны непосредственно из интерфейса Makves DCAP.Для каждого пользователя система вычисляет риск-фактор на основании нескольких возможных параметров, имеющих разный вес. Это — своего рода сводная оценка уровня безопасности аккаунта. Риск-фактор и компоненты, на основании которых он рассчитан, также отображаются в карточке пользователя. Тут же можно отправить сотруднику электронное письмо с информацией о выявленных проблемах. Рисунок 7. Информация о риск-факторах пользователя в Makves DCAP Непосредственно из карточки пользователя можно перейти в карточку любой из групп, в которых он состоит — посмотреть её состав, параметры и другую информацию. Перечень данных для пользователей и групп во многом совпадает, поскольку и в том, и в другом случае информация извлекается из Active Directory.Секция «Статистика пользователей» содержит ряд графических виджетов, наглядно отображающих основные показатели для этой категории объектов. Здесь можно найти:Диаграмму, группирующую пользователей по различным параметрам (активность, блокировка, бессрочный пароль и т. д.).График последнего входа в систему.Распределение пользователей по доменам.Сводную диаграмму по факторам риска. Мониторинг компьютеровСведения о вычислительных ресурсах организации собраны в разделе «Компьютеры». Makves DCAP получает информацию из Active Directory и отображает её в удобном для анализа виде. Для каждого сервера или рабочей станции указываются домен, IP-адрес, количество входов в систему, число неверных вводов пароля и другие данные. Табличная часть может быть настроена, а фильтры — сохранены для быстрого доступа таким же образом, как и в разделе «Пользователи».Makves DCAP выводит название и версию операционной системы для каждого компьютера. Кроме того, программный продукт отдельно помечает ОС с активированной лицензией. Таким образом оператор получает возможность быстро найти устройства с истёкшим сроком лицензии или машины, на которых установлены устаревшие версии операционной системы. Рисунок 8. Информация об операционной системе, установленной на компьютере, в Makves DCAP В главном окне раздела, над таблицей, расположены графические виджеты, которые показывают базовую статистику по компьютерам — количество активных и отключённых устройств, сводную информацию по риск-факторам, количество групп, в которых состоят компьютеры.В карточке конкретного устройства отображается риск-фактор компьютера, рассчитанный на основании нескольких параметров с разным весом. Вкладка «Профили» содержит список аккаунтов, которые авторизовались на выбранном компьютере, а «Папки общего доступа» — перечень «расшаренных» объектов. Рисунок 9. Карточка компьютера в Makves DCAP Кроме того, администратор системы может посмотреть полный список программного обеспечения, установленного на выбранном устройстве. Эта функция будет полезна при проведении аудитов соответствия набора и версий ПО корпоративным стандартам. Анализ работы с файламиВ разделе «Файлы» собрана информация о документах и других объектах, включённых в пул мониторинга Makves DCAP. Система получает исходную информацию при помощи PowerShell-скриптов. Важно понимать, что DCAP-система не копирует файлы и не хранит их содержимое, а лишь собирает и анализирует информацию о них и хранит ссылки на конечные объекты. Параметры скриптов позволяют получать данные о файлах, расположенных в определённых папках, извлекать данные из документов Word и электронных таблиц, выявлять сведения, подпадающие под требования регулирующих органов. Мониторинг может проводиться разово, в произвольные промежутки времени (ручной запуск скрипта) или по расписанию. В планах разработчиков — добавить возможность распознавания текста в графических файлах.В главном окне раздела «Файлы» расположены четыре информера со сводными данными о наблюдаемых объектах. Из них можно узнать количество объектов (файлов и папок), просканированных системой, их размер, количество обнаруженных дубликатов и число документов, попадающих под действие 152-ФЗ, GDPR и других регулирующих актов. Рисунок 10. Раздел «Файлы» в Makves DCAP К списку файлов можно применить более 20 готовых фильтров, которые помимо прочего позволяют найти большие объекты или «неделовые» файлы. С помощью таких отборов можно выявить нецелевое использование дискового пространства на компьютерах организации, обнаружить хранилища фильмов и музыки.Можно выделить несколько типовых сценариев использования информации о файлах, собранной Makves DCAP:Поиск дубликатов. Копии файлов чаще всего связаны с риском утечки информации. Документ с конфиденциальными данными, хранящийся в папке с ограниченным доступом, может быть скопирован её владельцем, передан другому пользователю и размещён в каталоге с общим доступом. Makves DCAP позволяет найти такие документы, анализируя полное бинарное совпадение. Поэтому файлы с одинаковым содержанием, но разными именами также будут найдены и помечены как дубликаты.Определение реальных владельцев файла. Пользователи, открывавшие файл в течение периода наблюдения, помечаются как его владельцы. При этом список аккаунтов, имеющих доступ к документу, может быть шире. Сведения об избыточных правах, когда пользователь может открывать определённые документы, но никогда этого не делает, помогут лучше настроить политики доступа в организации.Выявление коллизий доступа. Доступ к файлам и папкам осуществляется на уровне групп пользователей. Если сотрудник имеет доступ к файлу, но не состоит ни в одной из групп, имеющих такие права, возникает коллизия, которую можно выявить при помощи Makves DCAP.Аудит файлов, попадающих под действие стандартов. При анализе текста документов Makves DCAP проводит поиск слов и регулярных выражений, которые могут свидетельствовать о наличии сведений, подпадающих под действие стандартов. Например, на информацию о паспортных данных физического лица могут распространяться требования федерального закона № 152-ФЗ и ряда зарубежных регламентов. Система помечает такие файлы, что даёт возможность выяснить, соответствуют ли разрешения на доступ к ним предписаниям законодательства. Анализ позволяет выявить документы, регулируемые GDPR, 152-ФЗ, PCI-DSS, HIPAA и другими регламентами, а также содержащие банковскую тайну и медицинскую информацию. Рисунок 11. Файлы, подпадающие под действие стандартов, в Makves DCAP На вкладке «Связи» карточки файла информация о пользователях и группах, имеющих к нему доступ, представлена в виде диаграммы. Из вкладки «Процедуры» можно при необходимости удалить выбранный файл или папку. Анализ событийMakves DCAP собирает информацию из различных журналов событий Active Directory, Exchange и из других источников. Одной из проблем, связанных с анализом многих системных журналов, является их регулярное обновление. В зависимости от размеров организации некоторые логи могут перезаписываться раз в несколько дней, часов или минут из-за ограничения размера файла. Таким образом ценная информация о событиях может быть утеряна. Makves DCAP имеет возможность сохранять эти данные, что позволяет анализировать действия внутри информационной системы за произвольный период времени.Собранные сведения хранятся в разделе «События» главного меню. Все элементы классифицированы по типу — события Active Directory, операции с файлами, авторизация в системе и другие. Программа позволяет отслеживать все ключевые действия — изменения прав, сброс пароля, операции с файлами. Администратор может быстро отобрать необходимый ему тип события и настроить видимость тех или иных колонок в таблице. Рисунок 12. Раздел «События» в Makves DCAP Все действия, выполненные определённым пользователем, можно посмотреть не только в разделе «События», но и на одноимённой вкладке карточки пользователя. Там же расположен блок анализа статистики с графиками количества событий по дням и часам, по типам действий, по важности и с другими диаграммами. По кнопке «Статистика» в разделе «События» те же сведения можно получить не относительно конкретного пользователя, а по всем объектам системы. Рисунок 13. События по дням с отмеченными аномалиями Обнаружив на графике аномальный всплеск активности, администратор может одним кликом вывести на экран сведения о том, какими действиями каких пользователей он был вызван. Контроль почтовых ящиков и работа с оповещениямиРаздел «Почтовые ящики» содержит полную информацию об учётных записях электронной почты, полученную из Exchange. Здесь можно как найти сводные данные о количестве ящиков и объектов, хранящихся в них, так и получить детальные сведения о конкретном аккаунте. В карточке почтового ящика отображаются все сотрудники, имеющие к нему доступ, что позволяет выявить пользователей с избыточными правами этого типа.Администратор системы имеет возможность отфильтровать почтовые ящики по размеру и определить аккаунты, занимающие значительное дисковое пространство. Как и в случае с другими объектами, Makves DCAP рассчитывает для каждого почтового ящика риск-фактор на основании ряда показателей. Сводные данные о количестве аккаунтов в разрезе их риск-фактора отображаются на главном экране раздела.Для уведомления администраторов и ответственных лиц об определённых событиях, зафиксированных по результатам мониторинга, предназначен механизм оповещений. Оповещения представляют собой особый вид отчётов, которые генерируются на основании созданных пользователем шаблонов. Для описания шаблона применяется последовательность условий, в которых можно задать тип события (например, удаление файла или изменение прав доступа), его локализацию (например, конкретная папка) и другие параметры. Оповещения могут быть отправлены на электронную почту, а также отображаются в особом одноимённом разделе. Управление рисками и расследованияСводная информация по всем обнаруженным рискам собрана в разделе «Риски» главного меню Makves DCAP. Основной экран раздела содержит набор виджетов, отображающих количество рисков в разрезе объектов системы (пользователи, файлы и т. д.) и типов угроз (неактивные, без обязательного пароля и пр.). В частности, при помощи информера можно как узнать общее число файлов с доступом «для всех», так и отобрать документы, содержащие конфиденциальную информацию. Рисунки 14—15. Виджеты раздела «Риски» в Makves DCAP Для расследования несоответствий Makves DCAP имеет возможность анализировать данные в разрезе пары объектов, например «Пользователь—Файлы» или «Пользователь—Почтовый ящик». Этот инструментарий находится в разделе «Анализ» главного меню.Сценарии расследования могут быть такими:На вкладке «Пользователь—Файлы» выбрать пользователя и посмотреть список объектов, к которым он имеет доступ. Файлы можно отфильтровать по ряду параметров, в том числе и по ключевым словам.На вкладке «Файл—Пользователи» можно выполнить обратное действие — посмотреть, какие учётные записи имеют доступ к конкретному объекту.На вкладке «Пользователь—Почтовый ящик» администратор имеет возможность узнать, к каким почтовым аккаунтам имеет доступ выбранный сотрудник.Вкладка «Приложение—Компьютер» отображает список рабочих станций и серверов, на которые установлена определённая программа. Такой анализ необходим для поиска устаревших версий ПО и запрещённых корпоративными стандартами приложений. Рисунок 16. Вкладка «Файл—Пользователи» раздела «Анализ» в Makves DCAP Панель сводной информацииСводная информация обо всех объектах компьютерной инфраструктуры организации хранится в разделе «Сводка». Здесь собраны данные о количестве компьютеров, пользователей, событий и файлов, мониторинг которых осуществляет система. На один экран выведена ключевая статистика по всем объектам:Диаграмма рисков применительно к пользователям.Распределение файлов по типам.Количество документов, содержащих регулируемые законодательством сведения.Данные по событиям, которые относятся к действиям, пользователям, компьютерам и регламентам.Сведения о размере файлов, находящихся на компьютерах. Рисунок 17. Раздел «Сводка» в Makves DCAP Эта панель мониторинга («дашборд») даёт администратору возможность комплексно взглянуть на компьютерную инфраструктуру компании и определить проблемные места с точки зрения информационной безопасности. Все информеры и графики позволяют перейти к данным, на основе которых они сформированы. ВыводыMakves DCAP представляет собой комплексную систему анализа информационных активов предприятия. Программа позволяет собрать в едином интерфейсе полные данные о компьютерной инфраструктуре организации и определить критически важные информационные активы, нуждающиеся в повышенном внимании ИБ-специалистов и администраторов системы.Одной из наиболее востребованных функций продукта является возможность анализа содержимого документов на предмет подпадения под действие отечественных и зарубежных регламентов. Возможность выявлять объекты, связанные с 152-ФЗ, GDPR, PII и другими актами, есть почти во всех логических модулях системы. Так, данные об активности пользователя или список доступных ему файлов могут быть легко проанализированы в разрезе регламентируемых сведений.Makves DCAP не хранит файлы и их содержимое в своей базе данных, а лишь собирает необходимую для их классификации информацию. Таким образом существующие контуры безопасности компании не нарушаются и конфиденциальные данные не копируются в новое хранилище.Другой важный элемент программного продукта — система оценки рисков, которая позволяет наглядно показать объекты, которые могут представлять угрозу для безопасности предприятия. Отсутствие пароля на вход в аккаунт, длительные периоды бездействия, пустые группы, неограниченный доступ и другие показатели формируют комплексный риск-фактор для каждого исследуемого актива. Обычно эта оценка складывается из нескольких составляющих, каждая из которых имеет свой вес, учитываемый при расчёте итогового значения.Ещё одна интересная функция Makves DCAP — аудит программного обеспечения, установленного на компьютерах организации. Она поможет администратору выявить устаревшие, потенциально небезопасные версии системных и прикладных программ. Кроме того, во многих организациях состав ПО на рабочих станциях ограничен внутренними актами — функциональность системы даёт возможность оперативно проверить весь парк и выявить отклонения. Дополнительно продукт следит за активацией Windows и помечает компьютеры, на которых она не выполнена.Подводя итог, отметим преимущества и недочёты Makves DCAP.Достоинства:Механизм выявления конфиденциальной информации в документах без копирования их содержимого.Алгоритм поиска дубликатов файлов по бинарному совпадению.Собственная система оценки рисков.Поведенческий анализ пользователей и сущностей на основании данных из нескольких журналов событий и сведений из Active Directory.Возможность анализа данных в разрезе пар объектов («Пользователь—Файлы» и другие).Механизм поиска нецелевых хранилищ информации на серверах предприятия.Функция сбора данных об установленном ПО.Гибкий интерфейс представления информации с возможностью настройки полей таблиц и отбора по ним, а также сохранения пользовательских запросов для быстрого доступа.Продукт включён в реестр российского программного обеспечения.Недостатки:Небольшой набор действий с объектами, доступных для выполнения непосредственно из интерфейса программы.Слабая автоматизация процесса аудита программного обеспечения, отсутствие инструментов для задания шаблона стандартного ПО рабочей станции.В целом можно утверждать, что Makves DCAP — перспективный полнофункциональный продукт для аудита информационных ресурсов. Это первая полноценная программа такого класса, созданная российскими разработчиками. Возможности системы не уступают западным аналогам по функциональности и в то же время превосходят их по экономической эффективности: стоимость внедрения и эксплуатации отечественного продукта будет ниже, а поддержка — оперативнее.Кроме того, нынешняя реальность заставляет российские компании (особенно — с участием государственного капитала) с осторожностью относиться к зарубежным системам. Makves DCAP устойчива к любым санкционным мерам и включена в реестр отечественного ПО, что позволяет смело рекомендовать её бюджетным организациям и предприятиям энергетического сектора. Внедрение системы поможет понять структуру информационных активов компании и определить слабые места политик безопасности, регламентирующих доступ к данным.

Обзор One Identity Privileged Account Governance (PAG), модуля для интеграции с системами управления привилегированным доступом (PAM)

Управление привилегированными учётными записями обычно выходит за рамки проекта и возможностей систем класса IGA (Identity Governance and Administration). C одной стороны, это разумно — в силу специфики привилегированного доступа и потенциальных возможностей его обладателей. С другой стороны, базовые процессы пересмотра (ресертификации), своевременной блокировки доступа, назначения ответственных (владельцев) и др., которые по умолчанию имеются в системе IGA, зачастую отсутствуют в комплексах управления привилегированным доступом. Восполнить этот пробел призван модуль Privileged Account Governance (PAG) от компании One Identity. ВведениеО привилегированном доступеСистема One Identity SafeguardМодуль интеграции Privileged Account Governance (PAG)4.1. Управление привилегированными учётными записями в One Identity Manager4.1.1. Устройства (Appliances)4.1.2. Учётные записи пользователей (User accounts)4.1.3. Группы пользователей (User groups)4.1.4. Активы (Assets)4.1.5. Группы активов (Asset groups)4.1.6. Учётные записи актива (Asset accounts)4.1.7. Учётные записи каталогов (Directory accounts)4.1.8. Группы учётных записей (Account groups)4.1.9. Полномочия (Entitlements)4.2. Привязка учётной записи пользователя в системе PAM к карточке сотрудника4.3. Запрос привилегированного доступа из портала самообслуживания IT Shop4.4. ОтчётыВыводы ВведениеДанной публикацией мы продолжаем обзор системы управления идентификационными данными и доступом One Identity Manager.В первой части обзора нами были рассмотрены история продукта и его функциональные возможности, детально описан портал самообслуживания как основное рабочее средство для сотрудников компании (рядовых пользователей, их руководителей, а также сотрудников отдела информационной безопасности и аудиторов).Во второй части мы рассказали об архитектуре решения, среде настройки и разработки коннекторов и средствах конфигурирования системы в целом.Третью часть обзора мы посвятили более детальному описанию возможностей One Identity Manager по интеграции с системой SAP R/3, широко используемой на российском и мировом рынке, и функциональности по разделению полномочий (Segregation of Duties).Ниже мы рассмотрим основные возможности модуля Privileged Account Governance (PAG), входящего в состав продукта One Identity Manager. Этот программный модуль предназначен для интеграции с системами управления привилегированным доступом (в IT-индустрии класс таких систем именуют Privileged Access Management — PAM). Наш обзор мы будем вести применительно к собственному PAM-решению компании One Identity — системе Safeguard. О привилегированном доступеПрежде чем начать обзор, необходимо сказать несколько слов об управлении доступом (сотрудников компании к информационным ресурсам организации, в которой они работают) в целом. Доступ сотрудников можно условно разделить на два типа:стандартный (набор учётных записей и полномочий, выданных сотруднику для выполнения должностных обязанностей);привилегированный (набор повышенных прав доступа, вплоть до административных — для настройки и обслуживания информационных систем и оборудования IT-инфраструктуры компании).Для управления доступом первого типа используются решения класса Identity Governance and Administration (IGA). Управление происходит централизованно, при помощи настраиваемой ролевой модели (Role-based Access Control — RBAC), через запросы доступа с последующим согласованием, посредством автоматизированных процессов аттестации / ресертификации — всё это мы подробно рассматривали в первой и второй частях обзора One Identity Manager.Проблема состоит в том, что второй тип доступа — привилегированный — в большинстве случаев не покрывается системой IGA. Для управления привилегированным доступом часто используют отдельные решения (класса Privileged Access Management — PAM), никак не связанные с системой IGA. Таким образом очень важная по своим потенциальным возможностям часть всех доступов хоть и контролируется через PAM, но всё равно выпадает из системы централизованного контроля и управления (IGA). Это происходит в силу того, что в PAM-системе обычно заводятся отдельные учётные записи для администраторов разных уровней и ведутся уникальные индивидуальные наборы доступов для каждой из них; там также присутствует необходимость поведенческого контроля действий администраторов (User Behavior Analytics — UBA), чего нет в системе IGA.Восполнить этот пробел призван механизм интеграции систем IGA и PAM — модуль Privileged Account Governance (PAG), входящий в стандартную поставку решения One Identity Manager. Система One Identity SafeguardНесколько слов также скажем о PAM-решении компании One Identity. В 2018 году One Identity приобрела Balabit — известного и популярного производителя продуктов в сфере информационной безопасности, таких как Session Control Box или syslog-ng, и интегрировала его разработки в своё собственное PAM-решение — Safeguard. В частности, Session Control Box превратился в модуль Safeguard for Privileged Sessions (SPS), а функции аналитики — в Safeguard for Privileged Analytics (SPA). О том и другом будет подробнее сказано ниже.One Identity Safeguard — это решение, сочетающее в себе возможности безопасного хранения паролей привилегированных учётных записей, а также мониторинга и записи «админских» сессий. Оно представлено в виде аппаратного (hardware appliance) или программного (virtual appliance) комплекса и состоит из двух основных независимых, но интегрирующихся между собой модулей:Safeguard for Privileged Passwords (SPP) — автоматизирует процессы запросов и процедуры предоставления привилегированного доступа с использованием ролевой модели и политик безопасности компании. Safeguard for Privileged Passwords позволяет организовать полноценную систему управления жизненным циклом паролей привилегированных учётных записей (включая встроенные, такие как «administrator», «root», «supervisor» и проч.) — запрос, согласование, утверждение, смена, ротация (на регулярной основе), отзыв и т. д. Система имеет свой собственный пользовательский портал для запроса и получения доступа. Также имеется в наличии мобильное приложение для утверждения запросов пользователей.Safeguard for Privileged Sessions (SPS) — с помощью этого модуля можно контролировать, отслеживать и записывать привилегированные сессии администраторов, подрядчиков и других пользователей, представляющих высокий уровень риска. Вся активность в рамках сессии (вплоть до нажатия клавиш, движений мыши и просмотра окон) записывается, индексируется и сохраняется в защищённых от несанкционированного доступа журналах аудита. Сессии можно просматривать как видеоролики и искать по любому слову, которое появлялось на экране пользователя. С помощью Safeguard for Privileged Sessions также можно контролировать вредоносные действия администраторов и блокировать команды, подвергающие опасности инфраструктуру компании.Отдельно опишем ещё один модуль PAM-системы One Identity — Safeguard for Privileged Analytics (SPA). Этот модуль используется совместно с модулем записи «админских» сессий (Safeguard for Privileged Sessions) и позволяет выявлять аномалии в поведении пользователей (UBA), находить и пресекать ранее неизвестные типы внутренних и внешних угроз. Алгоритмы продукта умеют выявлять отклонения от базовой линии поведения конкретного пользователя, исследуя динамику нажатия клавиш и движения мыши, время и место начала сессии, продолжительность сеанса. Эти и другие параметры служат для непрерывной биометрической аутентификации пользователей и помогают выявлять инциденты в области безопасности. Safeguard for Privileged Analytics также оценивает уровень потенциального риска каждого пользователя для принятия превентивных мер в отношении первоочередных угроз. Модульинтеграции Privileged Account Governance (PAG)PAM-решение One Identity Safeguard интегрируется с IGA-системой One Identity Manager при помощи стандартного модуля (PAG), входящего в комплект поставки последней. После активации модуля и настройки подключения к системе Safeguard становятся возможными следующие типовые сценарии:Автоматическое назначение доступа в PAM-систему из системы IGA. Например, для вновь принятого на работу сотрудника (или для уже существующего) в случае его приёма / перевода в «Отдел системного администрирования» можно автоматически создать учётную запись в PAM-системе (локальную или связанную с аккаунтом сотрудника в каталоге Active Directory) и / или добавить его учётную запись в ту или иную группу в той же PAM-системе (с группами могут быть связаны те или иные полномочия и политики привилегированного доступа, определяющие, к каким активам, аккаунтам, сессиям, в какое время и т. п. сотрудник сможет запрашивать привилегированный доступ). При увольнении или переходе в другой отдел учётную запись и весь доступ в PAM-системе можно автоматически заблокировать (удалить).Периодическая аттестация / ресертификация всех сотрудников (и их полномочий), у которых есть доступ в PAM-систему. Про функциональность аттестаций мы рассказывали в первой части обзора One Identity Manager. Здесь же отметим, что для аттестации / ресертификации привилегированного доступа используются тот же самый механизм и те же средства настройки, что и для стандартного доступа сотрудников.Показать всю полноту доступов конкретного сотрудника — как стандартного, так и привилегированного, с подробной информацией о том, откуда тот или иной доступ взялся — в виде отчётов и графических схем.Выявить неиспользуемый привилегированный доступ (например, сотрудник не заходил в PAM-систему в течение 6 месяцев — вероятно, его права нужно пересмотреть / заблокировать), а также учётные записи в PAM-системе, не привязанные ни к какому сотруднику (т. е. не имеющие владельца, «бесхозные»).Автоматическое создание учётных записей в PAM-системе и добавление их в нужные группы можно гибко настроить, используя ролевую модель, которая ведётся в решении IGA (бизнес-роли), и /или организационно-штатную структуру компании.В дополнение рядовые сотрудники могут запрашивать привилегированный доступ к системам (временно или на постоянной основе), используя портал самообслуживания IGA-решения — точно так же, как они запрашивают любой другой, стандартный доступ. При одобрении заявки (через настроенный процесс согласования) создание для них учётных записей в PAM-системе и добавление аккаунтов в те или иные группы доступа произойдёт автоматически.Считаем необходимым также упомянуть возможность системы Safeguard предоставлять доступ при помощи как локальных учётных записей и групп (т. е. когда для сотрудника создаётся локальная учётная запись в PAM-системе, которую он использует для авторизации в ней и запроса паролей привилегированных аккаунтов и сессий), так и взятых из каталога Active Directory. Другими словами, система одновременно поддерживает работу и автономно, и через интеграцию с корпоративным каталогом AD.В свою очередь, модуль Privileged Account Governance (PAG) обеспечивает функционирование в обоих режимах «из коробки». Управление привилегированными учётными записями в One Identity ManagerИнтерфейс системы управления привилегированным доступом One Identity Safeguard на данный момент — англоязычный. Он позволяет проводить настройку типовых объектов (элементов) PAM-системы, таких как пользователи, привилегированные учётные записи, группы пользователей, группы учётных записей, активы, группы активов, полномочия, политики доступа и др. Рисунок 1. Интерфейс PAM-системы One Identity Safeguard При подключении PAM-системы One Identity Safeguard к IGA-решению One Identity Manager посредством модуля Privileged Account Governance (PAG) объекты PAM-системы отображаются следующим образом (см. иллюстрации ниже). Устройства (Appliances) Рисунок 2. Устройства системы PAM — отображение в административной консоли One Identity Manager Показывает все виртуальные или «железные» устройства (appliances), составляющие основу системы PAM и её объекты. Учётные записи пользователей (User accounts) Рисунок 3. Локальная учётная запись пользователя в системе PAM — отображение в административной консоли One Identity Manager Рисунок 4. Свойства локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager Рисунок 5. Права доступа в свойствах локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager Рисунок 6. Учётная запись пользователя в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager Группы пользователей (User groups) Рисунок 7. Локальная группа в системе PAM — отображение в административной консоли One Identity Manager Рисунок 8. Свойства локальной группы в системе PAM — отображение в административной консоли One Identity Manager Рисунок 9. Группа в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager Рисунок 10. Свойства группы в системе PAM, связанной с Active Directory — отображение в административной консоли One Identity Manager Активы (Assets) Рисунок 11. Активы, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager Показывает все устройства (серверы, сетевое оборудование и пр.), привилегированными учётными записями которых управляет система PAM. Рисунок 12. Свойства активов, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager Группы активов (Asset groups) Рисунок 13. Группы активов — отображение в административной консоли One Identity Manager Рисунок 14. Свойства группы активов — отображение в административной консоли One Identity Manager Учётные записи актива (Asset accounts) Рисунок 15. Привилегированные учётные записи на активах, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager Показывает привилегированные учётные записи на устройствах (серверах, сетевом оборудовании и пр.), которыми управляет система PAM. Рисунок 16. Свойства привилегированных учётных записей на активах, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager Учётные записи каталогов (Directory accounts) Рисунок 17. Учётные записи Active Directory, связанные с PAM-системой — отображение в административной консоли One Identity Manager Показывает все привилегированные учётные записи Active Directory, которыми управляет система PAM. Группы учётных записей (Account groups) Рисунок 18. Группы привилегированных учётных записей на активах — отображение в административной консоли One Identity Manager Полномочия (Entitlements) Рисунок 19. Объекты полномочий в системе PAM — отображение в административной консоли One Identity Manager Показывает, какие полномочия выданы каким пользователям (группам) в системе PAM и какие политики доступа связаны с этими правами. Привязка учётной записи пользователя в системе PAM к карточке сотрудникаВся полнота доступа пользователя представлена на одной картинке. Отображается карточка сотрудника с привязкой всех имеющихся у него учётных записей, включая аккаунт в системе PAM. Рисунок 20. Привязка учётной записи пользователя в системе PAM к карточке сотрудника в системе IGA — отображение в административной консоли One Identity Manager Запрос привилегированного доступа из портала самообслуживания IT ShopИз портала самообслуживания One Identity Manager можно запрашивать:Привилегированные сессии к системам (RDP, SSH, Telnet и др.).Пароли привилегированных учётных записей.Создание новой учётной записи в PAM-системе для сотрудника.Добавление учётной записи в PAM-системе в те или иные группы PAM.Ниже приведено несколько примеров таких запросов. Рисунок 21. Запрос RDP-сессии из портала самообслуживания One Identity Manager После отправки запроса и прохождения настроенной процедуры согласования запросившее лицо получает уведомление по электронной почте с прямой ссылкой на открытие сессии RDP (без необходимости ввода пароля привилегированной учётной записи). Рисунок 22. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager После отправки запроса и прохождения процедуры согласования сотрудник получит уведомление по электронной почте со ссылкой в систему PAM, где он сможет получить текущий пароль запрашиваемой привилегированной учётной записи. Рисунок 23. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager — продолжение При запросе указывается дополнительная информация: пароль какой привилегированной учётной записи нужен и на каком активе (сервере, сетевом устройстве и т. п.). Рисунок 24. Запрос создания учётной записи в системе PAM из портала самообслуживания One Identity Manager После отправки запроса и прохождения процедуры согласования для сотрудника автоматически будет создана учётная запись в системе PAM. Вся история запроса и его согласования будет бессрочно храниться в системе IGA. Рисунок 25. Запрос членства в группе PAM из портала самообслуживания One Identity Manager После отправки запроса и прохождения процедуры согласования учётная запись пользователя (которая принадлежит сотруднику, запросившему доступ) в системе PAM будет добавлена в запрошенную группу; таким образом сотрудник получит доступ к тем или иным активам / привилегированным учётным записям. Отчёты Рисунок 26. Пример отчёта «Неиспользуемые учётные записи» — показывает сотрудников, которые не заходили в систему PAM в течение последних N месяцев Рисунок 27. Пример отчёта «Неиспользуемые учётные записи» — продолжение Рисунок 28. Пример отчёта «Висячие учётные записи» — показывает аккаунты в системе PAM, не связанные ни с какой карточкой сотрудника в системе IGA Рисунок 29. Пример отчёта «Висячие учётные записи» — продолжение ВыводыМодуль Privileged Account Governance (PAG) помимо управления стандартным доступом сотрудников компании позволяет также «взять под зонтик» и администрирование расширенных полномочий. Таким образом система управления доступом и контроля над ним (IGA) действительно становится центральной точкой, отвечающей за всю полноту доступа сотрудников к информационным ресурсам предприятия — что и является её истинным предназначением.Видео, которое наглядно демонстрирует данный тезис, вы можете посмотреть на официальном канале One Identity в YouTube.

Обзор Kaspersky Endpoint Detection and Response для бизнеса Оптимальный, решения для управления киберинцидентами

Мы протестировали решение «Kaspersky EDR для бизнеса Оптимальный» от «Лаборатории Касперского», которое предоставляет администраторам безопасности удобный инструментарий для работы с инцидентами в сфере ИБ, включая выявление массовых атак и вредоносных действий, ускользающих от обнаружения, их визуализацию для дальнейшего расследования и анализа первопричин и путей распространения, автоматическое создание IoC-файлов или их импортирование, а также возможности практически моментального реагирования в случае выявления угроз, в том числе — по сетевой изоляции хоста и блокировке запуска файлов. ВведениеФункциональные возможности «Kaspersky EDR для бизнеса Оптимальный»Архитектура решения «Kaspersky EDR для бизнеса Оптимальный»Системные требования «Kaspersky EDR для бизнеса Оптимальный»Установка и первоначальная настройка «Kaspersky EDR для бизнеса Оптимальный»5.1. Установка Kaspersky Security Center5.2. Установка Kaspersky Endpoint AgentСценарии использования «Kaspersky EDR для бизнеса Оптимальный»6.1. Анализ информации о вредоносных программах в «Kaspersky EDR для бизнеса Оптимальный»6.2. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»6.3. Карантин вредоносного файла в «Kaspersky EDR для бизнеса Оптимальный»6.4. Сетевая изоляция устройства в «Kaspersky EDR для бизнеса Оптимальный»6.5. Запрет запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»Выводы ВведениеПо результатам исследования, проведённого «Лабораторией Касперского», в 2019 году доля фишинговых атак только в финансовом секторе по отношению ко всем зафиксированным случаям фишинга возросла с 44,7 % до 51,4 %. Помимо финансового и банковского секторов основными целями кибернападений являются государственные учреждения и промышленные предприятия. Организации, относящиеся к данным категориям, являются субъектами критической информационной инфраструктуры (КИИ) в соответствии с Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». По сведениям Министерства иностранных дел России, с начала 2020 года было выявлено более миллиарда атак только в отношении объектов КИИ.Для защиты от сложных угроз и целевых атак крупные организации, выбирающие защиту от «Лаборатории Касперского», обычно применяют Kaspersky Anti Targeted Attack Platform, а для анализа событий по безопасности на конечных точках — решение Kaspersky Endpoint Detection and Response. Однако малым и средним компаниям оно может показаться дорогостоящим, тем более что часть его функциональности иногда не востребованна подобными предприятиями при выявлении, расследовании и обработке свойственных им киберинцидентов. Такие организации чаще всего используют для защиты рабочих мест продукт Kaspersky Endpoint Security для Windows. Впрочем, зачастую для противостояния более сложным современным угрозам им требуется базовая функциональность систем класса EDR, обеспечивающая лучшую видимость обнаружений, а также возможности для дальнейшего анализа и реагирования на угрозы.В связи с этим «Лаборатория Касперского» решила дополнить линейку Kaspersky Security для бизнеса, представив «Kaspersky EDR для бизнеса Оптимальный», который включает в себя не только технологии защиты конечных устройств, доступные в продукте «Kaspersky Endpoint Security для бизнеса Расширенный», но и упомянутую выше базовую функциональность EDR: возможности по анализу обнаруженных угроз, реагированию на них и предотвращению подобных происшествий в будущем. Если в инфраструктуре компании уже развёрнут «Стандартный» или «Расширенный» уровень линейки, то переход на «Оптимальный» не потребует значительных усилий. Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»«Kaspersky EDR для бизнеса Оптимальный» предназначен для выявления и расследования кибератак, реагирования на них, а также предоставляет инструментарий для работы с инцидентами в сфере информационной безопасности.К основным возможностям «Kaspersky EDR для бизнеса Оптимальный» относятся:Обнаружение угроз и аккумуляция необходимой информации по ним в одном месте. В карточке инцидента автоматически строится граф цепочки развития угрозы, а также предоставляется доступ к информации об устройстве, сведениям по обнаружению кибератаки и событиям, имеющим отношение к безопасности (когда и какие действия, связанные с инцидентом, выполнялись в операционной системе).Интеграция со средствами анализа угроз, такими как облачная служба Kaspersky Security Network, программа Kaspersky Private Security Network, информационная система Kaspersky Threat Intelligence Portal и база данных Kaspersky Threats.Различные варианты реагирования на угрозы: помещение заражённых объектов в карантин или их удаление, сетевая изоляция хостов, работа с процессами на защищаемых рабочих станциях (поддерживается возможность запрета определённых процессов, их удалённого запуска или завершения).Поиск на конечных устройствах индикаторов компрометации (IoC), сгенерированных на основании расследованного обнаружения или импортированных.При интеграции с Kaspersky Sandbox подозрительные или неизвестные объекты могут автоматически отправляться на дополнительную проверку в песочницу. Рисунок 1. Архитектура работы решения «Kaspersky EDR для бизнеса Оптимальный» совместно с Kaspersky Sandbox Архитектура решения «Kaspersky EDR для бизнеса Оптимальный»«Kaspersky EDR для бизнеса Оптимальный» включает в себя компонент Endpoint Agent, который устанавливается на рабочие станции в составе платформы защиты конечных точек Kaspersky Endpoint Security. Первоначальное развёртывание агентов и дальнейшая настройка осуществляются в привычной локальной консоли Kaspersky Security Center. Агентское приложение запускается на рабочих местах сотрудников компании или серверах под управлением операционных систем семейства Microsoft Windows.Возможности решения могут быть расширены за счёт технологий песочницы Kaspersky Sandbox, которая выполняет дополнительную проверку подозрительных объектов путём анализа угроз нулевого дня (0-day) и других вредоносных сущностей, ускользающих от обнаружения, в изолированной среде. Эта функциональность может быть добавлена посредством приобретения лицензии Kaspersky Sandbox.Таким образом, решение «Kaspersky EDR для бизнеса Оптимальный» может состоять из следующих компонентов:агент Kaspersky Endpoint Agent (в составе приложений Kaspersky Security для бизнеса),локальный сервер управления Kaspersky Security Center с соответствующей консолью администрирования,песочница Kaspersky Sandbox, которая не входит в состав решения по умолчанию, но позволяет улучшить детектирование труднообнаружимых угроз и реагирование на них. Системные требования «Kaspersky EDR для бизнеса Оптимальный»«Kaspersky EDR для бизнеса Оптимальный» не нуждается в большом количестве ресурсов; требования к ним — такие же, как у Kaspersky Endpoint Security и Kaspersky Security Center. Соответственно, при наличии этих средств защиты в инфраструктуре организации выделять дополнительные мощности под «Kaspersky EDR для бизнеса Оптимальный» не понадобится. Минимальные аппаратные требования для агентов и консолей управления приведены в таблицах ниже. Таблица 1. Минимальные аппаратные требования для установки агента «Kaspersky EDR для бизнеса Оптимальный»ПараметрЗначениеПроцессор1,4 ГГц (одноядерный)Оперативная память256 / 512 МБ для 32-разрядной / 64-разрядной операционной системыОбъём свободного места на диске500 МБ Таблица 2. Минимальные требования к установке консолей для управления «Kaspersky EDR для бизнеса Оптимальный»ПараметрЗначениеKaspersky Security CenterKaspersky Security Center Cloud ConsoleПроцессор1 ГГцНеобходимые для работы браузераОперативная память4 ГБОбъём свободного места на диске10—100 ГБПрограммные требованияMicrosoft Data Access Components (MDAC) 2.8; Microsoft Windows DAC 6.0; Microsoft Windows Installer 4.5Наличие браузера: Mozilla Firefox 68 / Google Chrome 75 / Safari 12 Перечень поддерживаемых «Kaspersky EDR для бизнеса Оптимальный» операционных систем:Windows 7 SP1 Home / Professional / Enterprise (32- и 64-разрядная);Windows 8.1.1 Professional / Enterprise (32- и 64-разрядная);Windows 10 Home / Professional / Education / Enterprise (32- и 64-разрядная);Windows Server 2008 R2 Foundation / Standard / Enterprise (64-разрядная);Windows Server 2012 Foundation / Standard / Enterprise (64-разрядная);Windows Server 2012 R2 Foundation / Standard / Enterprise (64-разрядная);Windows Server 2016 Essentials / Standard / Datacenter (64-разрядная);Windows Server 2019 Essentials / Standard / Datacenter (64-разрядная). Установка и первоначальная настройка «Kaspersky EDR для бизнеса Оптимальный»Установка «Kaspersky EDR для бизнеса Оптимальный» не отличается от процесса внедрения Kaspersky Endpoint Security для Windows. Организациям, где данные продукты уже установлены, для получения возможности работать с инцидентами или IoC-файлами потребуется только добавить соответствующую лицензию. Установка Kaspersky Security CenterВ первую очередь потребуется запустить инсталляционный пакет и проследовать указаниям мастера установки. Рисунок 2. Схема развёртывания Kaspersky Security Center Мастер установки проверит наличие .NET Framework, предложит ознакомиться с лицензионным соглашением и политикой конфиденциальности, а также дать согласие на обработку персональных данных.Далее происходит выбор варианта установки — стандартная или выборочная. При выборочной инсталляции мастер запрашивает примерное количество устройств, которыми планируется управлять.Для работы Kaspersky Security Center требуется подключение к системе управления базами данных, параметры которого следует указать во время установки. Для администратора доступны два варианта подключения — к Microsoft SQL Server и к MySQL. Рисунок 3. Параметры подключения к СУБД MySQL в процессе установки Kaspersky Security Center Рисунок 4. Параметры подключения к СУБД Microsoft SQL Server в процессе установки Kaspersky Security Center После успешного создания базы данных автоматически регистрируются новые учётные записи, от имени которых Kaspersky Security Center будет запускать собственные службы. Можно указать уже зарегистрированные служебные «учётки» — при их наличии.В заключение создаётся (или указывается) папка общего доступа, которая предназначена для хранения установочных пакетов и пакетов обновлений продуктов «Лаборатории Касперского», а также настраиваются параметры сервера администрирования — его адрес, порты для подключения, длина ключа шифрования. Рисунок 5. Стартовая страница веб-консоли Kaspersky Security Center Стоит отметить, что установка веб-консоли Kaspersky Security Center выбирается опционально в мастере установки или осуществляется дополнительно либо на сам узел Kaspersky Security Center, либо на выделенный сервер. После установки веб-консоль Kaspersky Security Center будет доступна по адресу https://<DNS-name / IP address>:8080. Установка Kaspersky Endpoint AgentПо завершении установки Kaspersky Security Center запускается мастер развёртывания защиты. С его помощью администратор может выполнить ряд подготовительных действий:настроить параметры уведомлений о событиях, связанных с безопасностью,загрузить инсталляционные пакеты,сконфигурировать агенты, которые будут установлены на отдельные хосты,указать хосты, где требуется установка агентов (мастер развёртывания защиты отображает перечень доменных серверов и АРМ, к которым имеется сетевой доступ),назначить параметры задач для удалённой установки агентов,указать лицензионный ключ (при необходимости) и учётную запись с правами администратора на АРМ, где будет производиться установка.После выполнения этих действий можно запустить созданную задачу по установке. Стоит обратить внимание на то, что для использования возможностей «Kaspersky EDR для бизнеса Оптимальный» необходимо установить Kaspersky Endpoint Security 11.4 (и новее) для Windows с компонентом Endpoint Agent. Рисунок 6. Параметры задачи удалённой установки в интерфейсе веб-консоли Kaspersky Security Center Кроме того, в настройках можно указать необходимость автоматического удаления программ, несовместимых с устанавливаемыми продуктами (различные версии средств антивирусной защиты других производителей).Существуют и другие способы развёртывания «Kaspersky EDR для бизнеса Оптимальный»:путём запуска установки из командной строки;с помощью мастера установки программы (аналогично установке Kaspersky Security Center);с помощью групповых политик операционной системы Microsoft Windows. Рисунок 7. Перечень задач в интерфейсе веб-консоли Kaspersky Security Center Сценарии использования «Kaspersky EDR для бизнеса Оптимальный»Анализ информации о вредоносных программах в «Kaspersky EDR для бизнеса Оптимальный»При обнаружении вредоносной программы на рабочей станции в Kaspersky Endpoint Security создаётся событие по информационной безопасности, которое можно также увидеть в отчёте «Kaspersky EDR для бизнеса Оптимальный». Помимо общих сведений о вредоносном объекте там доступны дополнительные данные о происшествии. Также вся информация размещается в карточке инцидента. Рисунок 8. Отчёт «Kaspersky EDR для бизнеса Оптимальный» в консоли Kaspersky Security Center Карточка инцидента доступна из веб-консоли Kaspersky Security Center. В ней можно выполнять следующие действия:посмотреть информацию об устройстве,проанализировать граф цепочки развития угрозы,поместить заражённые объекты на карантин или удалить их с устройства,запретить запуск исполняемых файлов,обеспечить сетевую изоляцию устройства с целью предотвращения дальнейшего распространения атаки,создать задачу по поиску индикаторов компрометации (IoC) и настроить автоматическое реагирование при обнаружении таковых. Рисунок 9. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный» В верхней части карточки инцидента находится граф распространения угрозы на рабочей станции, с помощью которого можно увидеть, какие действия выполняла вредоносная программа и как развивалась атака на анализируемом компьютере. В проиллюстрированном выше случае на заражённом устройстве были созданы 2 временных файла и 2 процесса. Рисунок 10. События инцидента в «Kaspersky EDR для бизнеса Оптимальный» В дополнение к детектирующей и превентивной функциональности Kaspersky Endpoint Security для бизнеса «Kaspersky EDR для бизнеса Оптимальный» позволяет проанализировать расширенную информацию по обнаружению, такую как данные о файле, пользователе или хосте, а также параметры запуска вредоносного файла (в примере — команда PowerShell), которые можно в дальнейшем декодировать и проанализировать. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»Ввиду того что злоумышленники могут выбрать тактику заражения как можно большего количества хостов, в «Kaspersky EDR для бизнеса Оптимальный» предусмотрена возможность создания индикаторов компрометации или IoC-файлов.В «Kaspersky EDR для бизнеса Оптимальный» есть три способа создания IoC: импортировать, создать вручную или сгенерировать на основании событий или файлов в процессе расследования.Для импортирования индикаторов компрометации администратор может загрузить данные, полученные из других источников (например, ФинЦЕРТ), или подготовить их самостоятельно. Основное требование в данных случаях — это поддержка стандарта OpenIOC. В документации на «Kaspersky EDR для бизнеса Оптимальный» имеется подробное руководство по теме индикаторов компрометации, включая таблицу со списком IoC-терминов стандарта OpenIOC, которые поддерживаются Kaspersky Endpoint Agent. Рисунок 11. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный» «Kaspersky EDR для бизнеса Оптимальный» также поддерживает возможность автоматического создания индикаторов компрометации после обнаружения угроз с помощью Kaspersky Sandbox (при наличии песочницы).Данное решение позволяет администратору самостоятельно подготовить индикаторы компрометации, которые будут использоваться в дальнейшей работе, или же сгенерировать их в процессе расследования в несколько щелчков мышью. Сценарий поиска IoC из инцидента даёт возможность выявить угрозу сразу на всех машинах сети — в том числе на тех, где остановлена часть компонентов защиты или же полностью отключён Kaspersky Endpoint Security.После запуска поиска индикаторов администратор безопасности сможет просмотреть перечень рабочих станций, на которых были найдены файлы с указанными хеш-суммами. В случае выявления признаков компрометации решение «Kaspersky EDR для бизнеса Оптимальный» позволяет в автоматизированном режиме реализовать различные варианты реагирования: от помещения вредоносных файлов на карантин до сетевой изоляции поражённых устройств.На рисунке ниже представлен скриншот события в «Kaspersky EDR для бизнеса Оптимальный». Стоит отметить, что решение предоставляет детальную информацию по всем собранным событиям операционной системы, связанным с инцидентом. Рисунок 12. Сведения о процессе, запущенном вредоносным объектом, в «Kaspersky EDR для бизнеса Оптимальный» Из карточки инцидента можно сразу открыть страницу портала киберразведки (Threat Intelligence Portal) от «Лаборатории Касперского», где доступна дополнительная информация по вредоносному файлу. Для этого нужно нажать на хеш-сумму файла. Рисунок 13. Портал Threat Intelligence Portal от «Лаборатории Касперского» Карантин вредоносного файла в «Kaspersky EDR для бизнеса Оптимальный»Полезной возможностью «Kaspersky EDR для бизнеса Оптимальный» может оказаться отправка файлов в карантин. Это также можно сделать из карточки инцидента. При нажатии кнопки «Поместить на карантин» создаётся соответствующая задача, после выполнения которой вредоносный файл будет помещён в защищённое хранилище. Это позволяет в дальнейшем работать с данным файлом через консоль Kaspersky Security Center — например, скачать его для проведения исследования. Рисунок 14. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный» Сетевая изоляция устройства в «Kaspersky EDR для бизнеса Оптимальный»В «Kaspersky EDR для бизнеса Оптимальный» предусмотрено два сценария сетевой изоляции — вручную и в автоматизированном режиме. При выявлении угроз информационной безопасности программный комплекс оборвёт сетевые соединения между заражённым хостом и сетью компании. Останутся только те, которые администратор заранее добавил в исключения, а также необходимые для взаимодействия с другими продуктами «Лаборатории Касперского» (в том числе для управления агентом Kaspersky Endpoint Agent). Добавление исключений позволит при необходимости вернуть сетевое взаимодействие с хостом из консоли управления Kaspersky Security Center. Рисунок 15. Добавление исключений сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный» Полезной является возможность оповещения пользователя о том, что его компьютер изолирован от сети компании. В критической ситуации такое оповещение позволит успокоить сотрудника и при этом снизить нагрузку на внутреннюю поддержку. Рисунок 16. Параметры настройки сетевой изоляции устройства в «Kaspersky EDR для бизнеса Оптимальный» Запрет запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»На устройствах с Kaspersky Endpoint Agent имеется возможность запретить запуск файлов, в том числе исполняемых, скриптовых и офисных (документов). Для использования данного механизма администратор может в первую очередь настроить применение запрещающих правил в режиме сбора статистики. Тогда «Kaspersky EDR для бизнеса Оптимальный» будет только регистрировать попытки запуска приложений и открытия документов.По завершении первого этапа рекомендуется включать активный режим, который не позволит пользователям открывать запрещённые файлы. Добавление хешей запрещённых файлов может производиться как вручную, так и из карточки инцидента одним щелчком. При попытке выполнить такое действие сотруднику будет направляться уведомление. Рисунок 17. Параметры настройки запрета запуска файлов в «Kaspersky EDR для бизнеса Оптимальный» Выводы«Kaspersky EDR для бизнеса Оптимальный» подойдёт тем организациям, которые уже используют продукты «Лаборатории Касперского» для обеспечения безопасности конечных устройств и / или нуждаются в усиленной защите последних с возможностями по расследованию инцидентов в сфере защиты информации, а также по реагированию на них (например, для выполнения требований регуляторов).Разработчики «Kaspersky EDR для бизнеса Оптимальный» хорошо продумали те действия, которые выполняют администраторы безопасности в «боевой» среде. Например, возможность изолировать устройство в случае его заражения не позволит вредоносным программам распространиться по внутренней сети компании и вывести из строя критически значимые ресурсы. Реагирование может осуществляться одним кликом или в автоматизированном режиме при поиске IoC. Кроме того, администратору безопасности будет доступна возможность запрета запуска исполняемых файлов или документов в автоматизированном режиме. «Kaspersky EDR для бизнеса Оптимальный» имеет функцию поиска индикаторов компрометации и поддерживает возможность создавать собственные IoC-файлы. Работа с карточками инцидентов снижает временные затраты на выяснение причин инцидента и его последствий.Другими словами, «Kaspersky EDR для бизнеса Оптимальный» решает множество задач в рамках процесса защиты инфраструктуры организации от компьютерных атак и в то же время помогает выполнить требования нормативных актов, в том числе предписаний ФСТЭК России по защите объектов критической информационной инфраструктуры (организация процесса реагирования на ИБ-инциденты в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждёнными приказом ФСТЭК России № 239 от 25.12.2017).Достоинства:Отсутствует необходимость дополнительного развёртывания продукта в том случае, если в инфраструктуре уже применяется Kaspersky Security для бизнеса.Интуитивно понятный интерфейс и удобство использования.Создание карточки инцидента, в которой аккумулированы все сведения об атаке и действиях вредоносных программ.Импортирование или автоматизированное генерирование IoC-файлов и сканирование на предмет присутствия индикаторов компрометации на конечных устройствах.Возможность запрета запуска как исполняемых файлов, так и документов.Включение сетевой изоляции устройства двумя щелчками мышью.Возможность совместного использования с Kaspersky Sandbox.Недостатки:На момент подготовки обзора отсутствуют сертификаты соответствия (впрочем, решение уже передано на сертификацию).На текущий момент «Kaspersky EDR для бизнеса Оптимальный» поддерживает работу только с агентским решением Kaspersky Endpoint Security.

Обзор WEB ANTIFRAUD v2, обновлённой комплексной системы защиты от мошеннической активности

Обновлённое решение для борьбы с мошенничеством («фродом») WEB ANTIFRAUD v2 расширило свои функциональные возможности и теперь дополнительно позволяет своевременно определять использование программного обеспечения для удалённого доступа к защищаемому ресурсу. Помимо этого новая версия системы контролирует и защищает все страницы личного кабинета пользователя, а не только форму для авторизации. В обзоре мы рассмотрим, что представляет собой обновлённая система фродмониторинга WEB ANTIFRAUD v2, а также протестируем её новые возможности. ВведениеОсновные изменения в WEB ANTIFRAUD v2Проблематика удалённого доступа к устройству (ресурсам)Почему сканирование портов неэффективноОпределение удалённого доступа в WEB ANTIFRAUD v25.1. Обнаружение ПО для удалённого доступа: LogMeIn5.2. Обнаружение ПО для удалённого доступа: NetSupport5.3. Обнаружение ПО для удалённого доступа: AnyDesk5.4. Обнаружение ПО для удалённого доступа: UltraVNC5.5. Обнаружение клиента для удалённого доступа: RDP5.6. Обнаружение ПО для удалённого доступа: TeamViewerАналитика системы WEB ANTIFRAUD v2Выводы ВведениеВ связи с сегодняшними реалиями, а именно — неблагоприятной эпидемиологической обстановкой, которая складывается по всему миру, множество компаний было вынуждено перевести большую часть своего персонала на удалённую работу. С одной стороны, эти меры позволяют не прекращать бизнес-процессы и дают возможность обезопасить персонал и клиентов от массового инфицирования, а также сэкономить немалую часть финансовых средств, которые были бы направлены на обеспечение офисной активности. С другой стороны, все эти меры неминуемо влекут за собой возникновение серьёзных киберугроз, которые непосредственно направлены на информационные активы компаний.Ещё больше усугубляет проблематику информационной безопасности удалённой работы то, что сотрудники компаний используют домашние настольные системы, а также личные ноутбуки и смартфоны, доступ к которым легко (в силу отсутствия должного внимания и контроля со стороны пользователя) могут получить злоумышленники.Поэтому для качественной и безопасной организации удалённой работы нужен комплексный подход, где среди прочего необходимо наличие системы борьбы с кибермошенничеством, которая будет проводить своевременный мониторинг и анализ всех действий пользователя и гарантированно определять среди них злонамеренную активность.Ранее мы уже рассматривали антифрод-систему WEB ANTIFRAUD. В этой статье речь пойдёт о её обновлённой версии — WEB ANTIFRAUD v2. Основные изменения в WEB ANTIFRAUD v2Главным отличием от прошлого выпуска является функция, которая выявляет применение программного обеспечения и различных клиентов для получения удалённого доступа к защищаемому ресурсу (устройству), причём без сканирования открытых портов в системе и обратного пинга пользователей.Также обновлённая версия WEB ANTIFRAUD определяет, не была ли перехвачена пользовательская информация при помощи фишинга, путём проверки текущего IP-адреса на предмет применения прокси-серверов или других средств анонимизации. Обновления непосредственно коснулись и личного кабинета пользователя: теперь WEB ANTIFRAUD может отследить мошенническую активность на любой из его страниц.Новая версия продукта позволяет более эффективно связывать мошеннические аккаунты и их действия друг с другом; улучшен механизм определения поведенческого и технического «отпечатка» пользователя, а также расширена линейка поддержки мобильных устройств.Немаловажным является и то, что в обновлённой версии используется переработанный клиентский API, что положительно отразилось на возможностях интеграции и на гибкости системы в целом. Проблематика удалённого доступа к устройству (ресурсам)Предоставить сотрудникам удалённый доступ ко внутренним информационным ресурсам компании — это для для многих организаций единственная в настоящий момент возможность оставаться «на плаву» и не останавливать бизнес-процессы. Полностью учесть угрозы и риски такой работы удаётся не всем, хотя их весьма много и вероятность их наступления велика.В качестве основных проблем обеспечения безопасности при осуществлении удалённого доступа сотрудников компании к её информационным ресурсам можно выделить следующее:Проблема правильной эксплуатации, настройки, а также своевременного обновления пользователем на домашних информационных системах, из которых осуществляется удалённый доступ, персональных средств защиты (антивирусного программного обеспечения, межсетевого экрана). Личные компьютеры, ноутбуки, смартфоны и планшеты, а также домашние локальные сети при отсутствии или неправильной настройке / эксплуатации защитных программ находятся в группе риска. К источникам угрозы можно отнести, например, возможность кражи паролей и конфиденциальной информации из пользовательского трафика. Также остро ощущается важность вопроса, связанного с социальной инженерией. Пользователь может не распознать фишинговую ссылку, и тогда злоумышленники, например, получат аутентификационную информацию от личного кабинета сотрудника.Проблема использования нелицензионного программного обеспечения. В данном случае речь идёт о пиратских версиях операционных систем и общедоступных средств защиты. Даже если такой антивирус или файрвол настроен правильно и его обновление происходит своевременно, не исключены изменения внутреннего кода продукта с целью скрыть использование нелицензионной версии; тогда гарантировать необходимый уровень защиты будет тяжело. То же самое можно сказать и об операционных системах. Как правило, пираты отключают в них механизмы обновления, и в том числе может оказаться недоступной установка патчей по безопасности из официального источника. Тем самым полезность любых, даже самых современных и грамотно настроенных, средств защиты сводится к нулю, так как велика вероятность существования программных закладок на уровне ОС.Проблема изменения защитного периметра. Компании, как правило, годами выстраивают оптимальную систему обеспечения внутренней информационной безопасности и проводят постоянный мониторинг используемых стратегий борьбы с угрозами, чтобы определить эффективность противодействия злоумышленникам. Перевод сотрудников на удалённую работу расширяет и размывает этот периметр, а также часто сводит к нулю результативность вышеупомянутых стратегий, так как рабочие места выпадают из поля зрения администраторов (офицеров) информационной безопасности и ИТ-специалистов.Представленный список проблем удалённой работы — далеко не полный. В каждой организации должен быть применён системный подход, который будет учитывать все её особенности для выстраивания наиболее эффективной стратегии противодействия информационным угрозам в сложившихся условиях. Единственное, что можно отметить, — в большинстве случаев отправной точкой для выстраивания такой стратегии в условиях удалённой работы персонала служит точное и своевременное определение признаков мошеннической активности с целью её дальнейшей блокировки. Почему сканирование портов неэффективноИнструментом более качественного выявления мошеннической активности призваны быть функциональные возможности, которые позволяют определять наличие программ (в том числе — троянских) для удалённого доступа к защищаемому объекту. Чаще всего разработчики антифрод-систем решают эту задачу путём сканирования открытых на пользовательском устройстве сетевых портов, которые потенциально могут быть использованы таким ПО, а также путём измерения времени пинга.Создатели WEB ANTIFRAUD пришли к выводу, что для обнаружения нежелательного программного обеспечения, с помощью которого возможно получить удалённый доступ к объекту, неэффективно и нежелательно использовать сканирование открытых сетевых портов пользовательского устройства. На это есть следующие причины:Наличие открытого порта не означает гарантированного использования устройства злоумышленником.При сканировании портов возможны как ложноположительные, так и ложноотрицательные результаты.Открытый порт может использовать легитимная пользовательская программа.Удалённое сканирование портов в большинстве своём вызывает срабатывание защитных систем (антивирусного ПО и межсетевых экранов) с блокировкой «вредоносной» активности и уведомлением пользователя о выявленной атаке.Сканирование портов увеличивает сетевые задержки.Также не совсем корректно и использование обратного пинга пользовательского IP-адреса — по следующим причинам:Многие компании направляют весь пользовательский трафик через различные прокси-серверы или же используют корпоративную VPN.Система обеспечения безопасности может быть настроена таким образом, чтобы отсутствовала реакция на внешний пинг.Различная топология и неочевидность сети могут дать ложные результаты сканирования.Таким образом, эффективность применения вышеописанных технологий для выявления нежелательного ПО в существующих реалиях заметно ниже необходимой, а ложные срабатывания пользовательских систем безопасности из-за сканирования сетевых портов и вовсе могут привести к незаслуженным репутационным потерям не только в организациях, где эксплуатировалась такая антифрод-система, но и в компаниях, которые были привлечены к её разработке, настройке и установке. Определение удалённого доступа в WEB ANTIFRAUD v2В целях тестирования функции по поиску программного обеспечения для удалённого доступа был собран тестовый стенд, который схематично представлен на рисунке 1. Рисунок 1. Тестовый стенд для проверки новой функции WEB ANTIFRAUD v2 по определению удалённого доступа Из рисунка 1 можно увидеть, что в тестовом стенде использовались два рабочих места, которые имитируют злоумышленника (настольный ПК) и потенциальную жертву (ноутбук). Выход в интернет на настольном ПК осуществлялся с помощью 4G-модема, а в ноутбуке использовалась физическая кабельная выделенная линия. В обеих системах была предустановлена свежая Windows 10; доступ в защищаемый при помощи антифрод-системы WEB ANTIFRAUD v2 пользовательский личный кабинет осуществлялся посредством браузера Google Chrome.Для проведения максимально масштабного и объективного тестирования мы выбрали наиболее популярное на сегодняшний день программное обеспечение в интересующей нас области, а именно — LogMeIn, NetSupport, AnyDesk, UltraVNC, TeamViewer и клиент удалённого рабочего стола Windows. Для чистоты проводимого эксперимента все программы были загружены с официальных информационных ресурсов компаний-разработчиков. Продукты для удалённого доступа устанавливались и тестировались строго поочерёдно, чтобы исключить их влияние друг на друга и возникновение нештатных ситуаций, способных привести к ложным срабатываниям тестируемой антифрод-системы. Обнаружение ПО для удалённого доступа: LogMeInПервой в списке была программа LogMeIn, версия 4.1.0.13744. Для корректной настройки ПО использовалась официальная информация, с которой можно ознакомиться на сайте компании-разработчика.После установки и настройки программы проводим процедуру удалённого подключения к рабочему месту «жертвы». Далее пытаемся проникнуть в личный кабинет пользователя (рис. 2). Рисунок 2. Страница удалённой авторизации в личном кабинете при помощи LogMeIn После успешного получения удалённого доступа к личному кабинету пользователя система WEB ANTIFRAUD не оставила это событие без внимания, о чём имеется отметка в журнале выявленных инцидентов (см. рис. 3). Рисунок 3. Запись о выявлении инцидента — удалённый доступ с помощью LogMeIn Обнаружение ПО для удалённого доступа: NetSupportДалее тестировалось использование программного обеспечения NetSupport (версия 12.80.5). Так же, как и в предыдущем случае, после установки и настройки мы выполняем процедуру удалённого подключения и пытаемся проникнуть в личный кабинет пользователя. В итоге видим, что аналитика WEB ANTIFRAUD зафиксировала и эту попытку (рис. 4). Рисунок 4. Запись о выявлении инцидента — удалённый доступ с помощью NetSupport Обнаружение ПО для удалённого доступа: AnyDeskДалее проверим реакцию системы WEB ANTIFRAUD на применение злоумышленником программы AnyDesk (версия 6.0.7). Аналогично предыдущим тестам мы устанавливаем и настраиваем ПО, после чего получаем удалённый доступ к рабочему месту «жертвы» и пытаемся авторизоваться от её лица.После успешной авторизации и имитации действий злоумышленника в личном кабинете система успешно определила использование ПО для удалённого доступа (рис. 5). Рисунок 5. Запись о выявлении инцидента — удалённый доступ с помощью AnyDesk Обнаружение ПО для удалённого доступа: UltraVNCСледующим проверялся продукт UltraVNC, версия 1.2.4.0. С помощью официального источника устанавливаем и настраиваем его. Далее успешно получаем удалённый доступ и пытаемся авторизоваться в защищаемом личном кабинете. Рисунок 6. Страница удалённой авторизации в личном кабинете при помощи UltraVNC Видим, что антифрод-система оперативно выявила и этот инцидент, о чём имеется отметка в журнале (рис. 7). Рисунок 7. Запись о выявлении инцидента — удалённый доступ с помощью UltraVNC Обнаружение клиента для удалённого доступа: RDPТеперь мы протестируем реакцию системы на применение самого распространённого средства внешнего управления — встроенного в Windows клиента удалённого рабочего стола (RDP). Так как он имеется в большинстве версий операционных систем этого семейства, мы не могли обойти его стороной.После непродолжительной настройки клиента получаем удалённый доступ к ноутбуку, который имитирует жертву злоумышленника. Как и в предыдущих испытаниях, пробуем авторизоваться в личном кабинете пользователя.Авторизация проходит успешно. Как видно из рисунка 8, система выявила инцидент и записала информацию о нём в журнал. Рисунок 8. Запись о выявлении инцидента — удалённый доступ с помощью клиента RDP Обнаружение ПО для удалённого доступа: TeamViewerВ завершение тестирования функции по поиску ПО для удалённого доступа мы узнаем, как система WEB ANTIFRAUD отреагирует на применение программного обеспечения TeamViewer. Также мы попытаемся изменить используемые этим популярным продуктом сетевые порты и посмотрим на результат.Загружаем из официального источника версию TeamViewer 15.9.4. Далее осуществляем настройку продукта и получаем необходимый нам удалённый доступ. Авторизируемся в пользовательском личном кабинете.На рисунке 9 представлена запись из журнала системы аналитики WEB ANTIFRAUD, в которой отмечено обнаружение программного обеспечения для удалённого доступа. Рисунок 9. Запись о выявлении инцидента — удалённый доступ с помощью TeamViewer Далее определим, какой открытый локальный порт в настоящий момент используется для удалённого доступа программным обеспечением TeamViewer. Рисунок 10. Определение используемого локального порта Как следует из рисунка 10, в TeamViewer для удалённого доступа используется локальный порт 5939. Для тестирования заявленной особенности WEB ANTIFRAUD, а именно — отсутствия сканирования локальных портов для определения используемого программного обеспечения, мы попытаемся изменить порт TeamViewer на произвольный, например на 5929. На рисунке 11 видно, что используемый локальный порт в TeamViewer сменился на требуемый. Рисунок 11. Определение изменённого локального порта Теперь повторно получаем удалённый доступ и пытаемся авторизоваться в личном кабинете пользователя. Процесс авторизации показан на рисунке 12. Рисунок 12. Страница авторизации в личном кабинете при помощи TeamViewer на 5929 локальном порте После успешной авторизации проверяем журнал инцидентов WEB ANTIFRAUD и убеждаемся, что антифрод-система успешно распознаёт подобные инциденты и заносит всю необходимую для дальнейшего расследования информацию о них в протокол (рис. 13). Рисунок 13. Запись о выявлении инцидента — удалённый доступ с помощью TeamViewer при использовании нестандартного сетевого порта Аналитика системы WEB ANTIFRAUD v2Аналитика системы в основном не претерпела значительных изменений по сравнению с предыдущей версией. На главном экране можно наблюдать графическое представление выявленных инцидентов (рис. 14); в нашем случае все происшествия касаются обнаружения программного обеспечения для удалённого доступа. Рисунок 14. Графическое представление выявленных инцидентов на главной странице в системе WEB ANTIFRAUD Все выявленные инциденты заносятся в соответствующий журнал (рис. 15). Рисунок 15. Список выявленных инцидентов на странице общей статистики в системе WEB ANTIFRAUD По каждому пользователю и по каждому выявленному инциденту система аналитики WEB ANTIFRAUD позволяет получить (через пункт меню «Поиск») подробную информацию для проведения объективного расследования, а также — при необходимости — и для выбора адекватных ответных мер. На рисунке 16 показана вся собранная информация по инциденту удалённого доступа с использованием программного обеспечения TeamViewer. Рисунок 16. Информация по инциденту: удалённый доступ с использованием программного обеспечения TeamViewer ВыводыОбновлённая система фродмониторинга WEB ANTIFRAUD v2 является действенным средством для определения факта компрометации пользовательского устройства и своевременного выявления мошеннической активности, что позволяет оперативно реагировать на обнаруженные инциденты и тем самым минимизировать ущерб. Изменения в уже существующих функциях системы и добавление новых возможностей в конечном итоге значительно повышают эффективность решения в целом.В ходе тестирования было установлено, что новая функция системы — определение использования программного обеспечения для удалённого доступа при обращении к защищаемому ресурсу — работает корректно и вполне эффективно. Также мы установили, что система WEB ANTIFRAUD v2 успешно определяет подобное ПО даже при смене стандартных сетевых портов; это доказывает, что система не проводит их сканирования по фиксированному списку, тем самым предотвращая ложные срабатывания антивирусных средств защиты и межсетевых экранов на стороне пользователя.Достоинства:Определение широкого спектра мошеннических действий.Выявление фактов использования ПО для удалённого доступа без сканирования сетевых портов пользователя.Отслеживание мошеннической активности на всех страницах и вкладках в личном кабинете пользователя.Определение перехвата пользовательской информации вследствие фишинговой атаки.Автоматическая обработка информации в режиме реального времени.Решение не требует доступа к внутренней инфраструктуре и базе данных компании.Круглосуточная и индивидуальная поддержка продукта.Недостатки:Для полноценной работоспособности продукта необходимо наличие бэкенд-API для интеграции решения с сайтом клиента.Нет ручной настройки отдельных модулей и параметров системы.С разработчиком системы можно связаться через официальный сайт или через твиттер-аккаунт (@AntiFraud2ru).

Обзор систем биометрической идентификации

В чём заключаются основные преимущества и недостатки биометрии? Какие биометрические системы являются наиболее точными? В чём состоит отличие поведенческих систем от статических? Попробуем разобраться в принципах работы и областях применения биометрии. ВведениеОсобенности систем биометрической идентификацииТипы систем биометрической идентификации3.1. Статические системы3.1.1. Отпечатки пальцев3.1.1.1. Sherlock (Integrated Biometrics)3.1.1.2. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)3.1.2. Рисунок вен на пальцах / руках3.1.2.1. Bio-Plugin: Биометрическая система СКУД (M2SYS)3.1.2.2. Palm Jet (BioSmart)3.1.3. Геометрия ладоней3.1.3.1. HandKey II (Schlage Recognition Systems)3.1.4. Радужная оболочка глаза3.1.4.1. Iris Access (Iris ID)3.1.4.2. Системы ВЗОР3.1.5. Сетчатка глаза3.1.5.1. HBOX (EyeLock)3.1.6. Лицо3.1.6.1. Blink Identity3.1.6.2. Face-Интеллект (ITV Group: Axxon Soft)3.1.6.3. PERCo-Web (PERCo)3.1.6.4. ПАК «Визирь» — СКУД на базе технологий компьютерного зрения3.1.7. Форма ушной раковины3.1.8. Голос3.1.8.1. ArmorVox (Auraya)3.1.8.2. IDVoice (ID R&D)3.1.9. Термограмма3.1.9.1. ESTONE FSAC-80 (Estone Technology)3.1.10. ДНК3.2. Поведенческие системы3.2.1. Походка3.2.1.1. SFootBD (University of Manchester)3.2.1.2. Watrix3.2.2. Движение губ3.2.2.1. Lip password (Hong Kong Baptist University, HKBU)3.2.3. Подпись3.2.3.1. SIGNificant Biometric Server (Namirial GmbH)3.2.4. Нажатие клавиш3.2.4.1. TypingDNA3.3. Мультимодальные биометрические системы3.3.1. Smart Authentications (CPqD)3.3.2. VoiceKey.PLATFORM (Группа компаний ЦРТ)3.3.3. Единая биометрическая система (Ростелеком)ПрименениеВыводы ВведениеНа сегодняшний день биометрические системы уже привычны каждому и активно участвуют в нашей жизни. Сканеры отпечатков пальцев, встроенные в смартфоны, технологии распознавания лиц и прочие инструменты постепенно приходят на замену традиционным методам идентификации и всё чаще проникают в крупные бизнесы, такие как банковское обслуживание и розничная торговля (ритейл). Биометрические системы имеют ряд преимуществ в сравнении с традиционными методами, так как приспособлены под идентификацию личности без возможности передачи ключа и во многом являются более удобными с точки зрения пользователя. Однако чем более активно ведётся внедрение такого вида систем, тем более остро встаёт вопрос обеспечения информационной безопасности.В данной статье рассмотрены основные виды биометрических систем, их принципы работы, преимущества и недостатки. Также приведён обзор компаний-производителей и конкретных продуктов, которые используются на коммерческом рынке на сегодняшний день. Особенности систем биометрической идентификацииБиометрическая идентификация — это процесс сравнения и определения сходства между данными человека и его биометрическим «шаблоном». Биометрия позволяет идентифицировать и провести верификацию человека на основе набора специфических и уникальных черт, присущих ему от рождения. Этот метод распознавания принято считать одним из самых надёжных, так как в отличие от стандартных логина и пароля биометрическими данными гораздо сложнее несанкционированно воспользоваться. Давайте рассмотрим механизм действия биометрических систем.Сначала в базе данных или на защищённом переносном элементе, таком как смарт-карта, сохраняется эталонная модель, основанная на биометрических характеристиках человека. Для этого могут использоваться один или несколько биометрических образцов.Сохранённые данные преобразуются в математический код; таким образом формируется база данных, представляющая собой набор кодов до 1000 бит, фиксирующих уникальные биометрические характеристики пользователей.При считывании отпечатка пальцев или радужки глаза сканер не распознаёт само изображение, а преобразовывает его в цифровой код, который затем сравнивает с загруженной ранее эталонной моделью. Типы систем биометрической идентификацииЧаще всего при мысли о биометрических системах нам на ум приходят сканеры отпечатков пальцев или системы распознавания лиц. Возможно, эти типы систем получили наибольшую известность благодаря кинофильмам и телесериалам. В любом случае наука не стоит на месте, и в последние годы границы биометрии стали намного шире. На данный момент существуют и активно применяются в безопасности, системах контроля доступа и предотвращения краж уже 14 типов биометрических устройств. Статические системыВ данном разделе мы расскажем о тех методах и инструментах, которые оценивают биометрические параметры в статике — без развития во времени. Отпечатки пальцевРаспознавание отпечатков пальцев является одним из первых биометрических методов. Он основан на определении структуры линий на подушечках пальцев рук, иначе — папиллярных узоров. После считывания сканером уникальный рисунок трансформируется в цифровой биометрический шаблон, при помощи которого система определяет, кто перед ней находится.Такие сканеры разделяются на два основных типа: оптические и кремниевые (тепловые и ёмкостные). Каждый из типов имеет свои преимущества и недостатки. Например, оптические сканеры являются наиболее точными с точки зрения определения узора, однако их можно обмануть с помощью силиконовых или латексных накладок и других нехитрых приёмов. Также они быстро загрязняются, в отличие от линейных тепловых, и для исключения погрешностей их приходится очищать после каждого применения. Для пользователя отличие состоит лишь в том, как взаимодействовать со сканером— прикасаться либо проводить по нему.Сейчас благодаря встроенным в смартфоны сканерам можно разблокировать таким образом мобильное устройство, оплатить покупки в интернете. В ближайшем будущем планируется внедрить подобные технологии и в другие устройства общего пользования, например в банкоматы (как это сделали Сбербанк и «Тинькофф»), и даже в метрополитене для замены билетов (такой проект собираются реализовать в Британии, чтобы сократить нагрузку на турникеты). Sherlock (Integrated Biometrics)Компания Integrated Biometrics со штаб-квартирой в Спартанбурге, Южная Каролина, была основана в 2002 году. Integrated Biometrics продолжает расти как глобальный поставщик биометрических решений.Компания занимается разработкой датчиков регистрации и проверки отпечатков пальцев. В продуктах Integrated Biometrics используется плёнка LES (светоизлучающий датчик), обеспечивающая скорость, простоту использования и долговечность мобильных устройств биометрической верификации. Интегрированные биометрические датчики отпечатков пальцев Sherlock, единственные сертифицированные ФБР, работают под прямыми солнечными лучами на сухих или влажных пальцах, устойчивы к стиранию и на 90—95 процентов меньше и легче традиционных оптических сканеров. Они больше подходят для мобильных устройств, чем кремниевые или традиционные оптические датчики. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)Устройства позволяют получить дактилоскопические отпечатки в различных режимах. Имеют встроенный алгоритм проверки качества отпечатка и подсветку для контроля состояния сканирования. Запуск сканирования выполняется автоматически при прикладывании пальца. После получения изображения сканер самостоятельно проводит проверку качества. Кодирование и декодирование изображения осуществляются с использованием алгоритма WSQ (вейвлет-скалярное квантование). Рисунок вен на пальцах / рукахДанный тип является усовершенствованной версией предыдущего. Взломать алгоритм его работы значительно труднее, чем при другом биометрическом сканировании, поскольку вены находятся глубоко под кожей. Инфракрасные лучи проходят через поверхность кожи, где они поглощаются венозной кровью. Специальная камера фиксирует изображение, оцифровывает данные, а затем либо сохраняет их, либо использует для подтверждения личности.Не так давно технология, получившая название FingoPay, была протестирована в одном из лондонских баров. Система идентифицирует уникальный рисунок вен пальцев рук и, по заявлению производителей, является почти совершенным устройством благодаря тому факту, что совпадение структуры рисунка вен у двух разных людей равно 1 к 3,4 млрд.Также аналогичная система производителя Hitachi была использована производителями японских банкоматов. Bio-Plugin: Биометрическая система СКУД (M2SYS)Разработка M2SYS Bio-Plugin может распознавать как отпечатки пальцев, так и рисунок вен на пальцах и позволяет предприятиям любого масштаба и любой отрасли быстро интегрировать в работу систему биометрического программного обеспечения. Bio-plugin может проводить сопоставление 100 миллионов отпечатков пальцев в секунду на одном сервере и поддерживает совместимость с Windows и веб-приложениями. Преимуществами системы являются возможность быстрой интеграции (несколько часов), отсутствие необходимости компиляции ПО и глобальная инфраструктура поддержки. Система была интегрирована в комплексное биометрическое решение производителя — Гибридную биометрическую платформу, мультимодальную систему, которая поддерживает несколько форм биометрии, включая отпечатки пальцев, вены пальца и распознавание лиц. Palm Jet (BioSmart)Одной из новейших разработок компании BioSmart является бесконтактный сканер Palm Jet. Это — комплексная биометрическая система, которая избавляет сотрудников от необходимости прикасаться к одним и тем же поверхностям. В данный момент используется некоторыми предприятиями в качестве мер для профилактики COVID-19.Palm Jet сканирует сеть подкожных вен и сравнивает результат с шаблоном в базе данных. Контрастный рисунок вен ладони формируется за счёт различных коэффициентов поглощения излучения венами и тканями ладони. Устройство отлично защищено от подлога — его невозможно обмануть с помощью силиконового муляжа или фотографии. Расстояние сканирования составляет 40—100 мм, при этом скорость распознавания — менее секунды.Прочие устройства вендора:BioSmart PV-WTC — терминал для организации пропускного режима и учёта рабочего времени;BioSmart PV-WM и BioSmart DCR-PV — считыватели вен ладони. Геометрия ладонейОпределение геометрии руки относится к измерению таких характеристик, как длина и ширина пальцев, их кривизна и относительное расположение. На данный момент этот метод является устаревшим и уже почти не используется, хотя когда-то был доминирующим вариантом биометрической идентификации. Современные достижения в области программного обеспечения для распознавания отпечатков пальцев и лиц затмили его актуальность.Существует также тип биометрических методов распознавания рисунка ладони, получивший название «дактилоскопия». Впервые он был применён в Лондоне 18 апреля 1902 г. при установлении личности преступника и на протяжении 20 века использовался в области криминалистики во многих странах. Однако на текущий момент этот метод также используется крайне редко в силу своей неточности и наличия более современных биометрических технологий. HandKey II (Schlage Recognition Systems)Считыватели HandKey II разработки компании Schlage Recognition Systems фиксируют форму и размер руки, делая более 90 различных измерений. Затем они преобразуют и сохраняют эти измерения в виде 9-байтового цифрового шаблона идентификации, полностью уникального для каждого человека, который делает руку ключом.HandKey II функционирует как автономное устройство или легко интегрируется в существующую систему контроля доступа. В качестве контроллера доступа сканер обеспечивает управление механизмом блокировки с отслеживанием запросов на выход и сигналов тревоги. Аварийные оповещения предупреждают об отказе в доступе, чрезмерном количестве попыток сканирования, сбое питания и прочих событиях. Радужная оболочка глазаРадужная оболочка, или цветная часть глаза, состоит из толстых нитевидных мышц. Эти мышцы помогают формировать зрачок, чтобы контролировать количество света, попадающего в глаз. Измеряя уникальные складки и характеристики этих мышц, инструменты биометрической верификации могут подтвердить личность с невероятной точностью. Технологии динамического сканирования (например, сканирование того, как человек моргает) добавляют дополнительный уровень точности и безопасности. Iris Access (Iris ID)Iris ID с 1997 года является одним из крупнейших разработчиков технологий распознавания радужной оболочки глаза. IrisAccess — известная в мире платформа такого рода, которая уже была выпущена в четырёх версиях. По сведениям производителя, в данный момент система IrisAccess используется на 6 континентах и является более востребованной, чем все аналогичные продукты для распознавания радужной оболочки глаза вместе взятые.Одной из самых популярных серий является iCAM 7000. Новое поколение устройств способно осуществлять бесконтактную идентификацию человека по радужной оболочке глаза с расстояния около 30 см. Устройство имеет интуитивно понятный интерфейс с визуальным и звуковым оповещением, что позволяет быстро зарегистрировать человека в системе, а затем распознать его. Автоматическая подстройка угла наклона считывателя даёт возможность ускорить процесс распознавания при использовании устройства как отдельно, так и в комбинации с картами доступа или PIN-клавиатурой. Системы ВЗОРКомпания является одним из наиболее востребованных производителей биометрических систем данного типа в России. Ниже представлены несколько самых популярных разработок.ВЗОР-Регистратор / ВЗОР-Мини: сканеры для записи биометрических шаблонов в базу (ВЗОР-Регистратор) и для идентификации (ВЗОР-Мини) с дистанцией захвата около 40 см. Пропускная способность — до 20 человек в минуту.ВЗОР-Пилон: сканер биометрической идентификации человека по радужной оболочке глаза с дистанцией захвата 0,9—1,1 м при движении человека со скоростью до 1 м/с. Обеспечивает скорость прохода через турникетную группу до 40 человек в минуту.ВЗОР-Портал: сканер биометрической идентификации по радужке глаза с дистанцией захвата до 1,6 метров и обеспечивающий захват радужки глаза при движении человека со скоростью до 2 м/с. Пропускная способность — до 80—90 человек в минуту. Сетчатка глазаПроверка сетчатки позволяет отсканировать капилляры глубоко внутри глаза с помощью камер ближнего инфракрасного диапазона. Получившееся изображение сначала предварительно обрабатывается для улучшения его качества, а затем преобразовывается в биометрический шаблон для регистрации нового пользователя и для последующей сверки с эталоном во время попыток распознавания пользователя. Высокая стоимость и необходимость помещать глаз близко к камере мешает более широкому использованию подобных сканеров. HBOX (EyeLock)HBOX является устройством идентификации и верификации личности в наборе решений от компании-производителя Eyelock, которое осуществляет в режиме реального времени считывание и анализ сетчатки глаза на расстоянии и в движении. Гибкая конструкция предполагает несколько вариантов размещения — на мобильных стендах-воротах, фиксированных рамках и настенных креплениях — для максимальной гибкости в условиях нового строительства или модификации существующей конфигурации помещения.Пропускная способность HBOX обеспечивает прохождение до 50 человек в минуту и подходит для таких объектов, как аэропорты, вокзалы, стадионы. Сканер имеет возможности интеграции со всеми доступными стандартными системами и платформами управления доступом. ЛицоТехнология распознавания лиц, безусловно, является одной из первых форм биометрических систем идентификации. Программное обеспечение такого рода измеряет геометрию лица, включая расстояние между глазами и от подбородка до лба (и это — лишь некоторые из параметров). После сбора данных усовершенствованный алгоритм преобразует их в зашифрованный код, иначе — подпись (сигнатуру) лица.Согласно отчёту Computer Sciences Corporation (CSC), многие магазины уже внедрили системы распознавания лиц для отслеживания определённых групп покупателей. Принцип работы такого вида систем можно сравнить с таргетированной рекламой, цель которой — изучить предпочтения и предлагать наиболее релевантные товары.Недавно технология стала очень популярной среди пользователей смартфонов благодаря различным приложениям (например, для определения возраста) или встроенным сканерам лица, позволяющим снимать блокировку с устройства. Благодаря масштабному распространению среди пользователей и относительной простоте метода стало появляться всё больше приложений, использующих эту технологию.В 2019 году произошло несколько скандалов из-за утечки данных из приложения Zao для создания поддельных изображений (дипфейков). В ответ 16 марта 2020 года стало известно, что Китай ввёл обновлённые стандарты для приложений, собирающих биометрические данные, в том числе — для систем распознавания лиц. Blink IdentityКомпания Blink Identity использует собственную технологию распознавания лиц для идентификации людей во время движения на полной скорости, которая позволяет опознавать более 60 человек в минуту. Система может быть использована для улучшения взаимодействия с гостями и безопасного контроля доступа на «живых» мероприятиях. Для регистрации человеку нужно пройти мимо датчика, который сфотографирует его и внесёт в базу данных.По словам представителей Blink Identity, технология позволит обнаружить лицо пользователя среди 50 тысяч человек и сопоставить его с фотографией из базы данных за полсекунды. Face-Интеллект (ITV Group: Axxon Soft)Система «Face-Интеллект» позволяет проводить идентификацию по лицу в местах массового скопления людей — на вокзалах и стадионах, в аэропортах и метрополитене, а также в магазинах, ресторанах, барах и т. д. Преимущество системы состоит в том, что она способна сравнивать лица с базами данных госучреждений и правоохранительных органов, поддерживает протокол обмена данными с КАРС. «Face-Интеллект» позволяет осуществлять поиск видеозаписей с лицами, интересующими службу безопасности или правоохранительные органы, по фотографии, фотороботу или видеокадру. Система сравнивает лицо, захваченное камерой, с фотографией из базы данных СКУД. Доступ предоставляется автоматически; при низкой степени сходства решение принимает оператор. PERCo-Web (PERCo)Производитель оборудования для обеспечения безопасности PERCo разработал веб-систему контроля доступа PERCo-Web, которая поддерживает работу с терминалами распознавания лиц Suprema и ZKTeco. Алгоритмы глубинного обучения терминалов позволяют собирать метаданные объекта и проводить более точную идентификацию, постоянно увеличивая скорость распознавания путём накопления характеристик объекта. Терминалы подключаются по интерфейсу Ethernet. Данные сотрудников могут быть оперативно добавлены в систему как основной или дополнительный идентификатор. Все события проходов через терминалы сохраняются в системе PERCo-Web. При необходимости в системе можно настроить алгоритм реакций, например уведомление при входе сотрудника, поступающее оператору. Для усиления мер безопасности на критически важных объектах система может быть использована совместно с другими методами идентификации. ПАК «Визирь» — СКУД на базе технологий компьютерного зренияКомплексное решение для заказчиков любого масштаба, поставляется «под ключ», с наличием всех необходимых сертификатов. Построено на базе российского алгоритма распознавания лиц, зарекомендовавшего себя в десятках проектов по всей России. Исключает возможность мошенничества с помощью обмена пропусками, передачи пропуска лицам, не являющимся сотрудниками компании. Предотвращает проникновение на объект нежелательных лиц (сопоставление с «чёрным списком»), лиц с подозрением на инфекционное заболевание (измерение температуры). Решение обеспечивает бесконтактный проход на объект для снижения рисков заражений в условиях неблагоприятной эпидемиологической ситуации, выявляет факты нарушения трудовой дисциплины (контроль времени прихода / ухода сотрудников). В ПАК «Визирь» включена технология антиспуфинга — Liveness Detection (предотвращает атаки и попытки взлома). Продукт имеет хорошо документированный API с поддержкой большого количества методов (более 60) для решения любых задач, имеет готовые интеграционные модули для СКУД и билетно-кассовых систем ведущих вендоров. Форма ушной раковиныВ отличие от многих других биометрических методов, для которых требуются специальные камеры, эти биометрические системы измеряют акустику уха с помощью специальных наушников и неслышимых звуковых волн. Микрофон внутри каждого наушника измеряет то, каким образом звуковые волны отражаются от ушной раковины и расходятся в разных направлениях в зависимости от изгибов слухового прохода. Цифровая копия формы уха преобразуется в биометрический шаблон для дальнейшего использования.На текущий момент коммерческие аналоги пока ещё недоступны, однако ведутся многочисленные исследования в этой области. Весной 2015 года в Yahoo Labs предложили идентифицировать владельца смартфона по его ушным раковинам. В том же году патент на подобное изобретение получила компания Amazon. ГолосТехнология распознавания голоса попадает в сферы и физиологических, и поведенческих биометрических данных. С физиологической точки зрения такие системы распознают форму голосового тракта человека, включая нос, рот и гортань, определяют производимый звук. С поведенческой точки зрения они фиксируют то, как человек что-то говорит — вариации движений, тон, темп, акцент и т. д., что также является уникальным для каждого человека. Объединение данных физической и поведенческой биометрии создаёт точную голосовую подпись, хотя могут возникать некоторые несоответствия (например, в случае болезни или действия других факторов). ArmorVox (Auraya)Омниканальный голосовой биометрический процессор от компании Auraya представляет собой запатентованную технологию голосовой биометрии, разработанную с использованием алгоритмов машинного обучения. Система позволяет проводить идентификацию и проверку голоса в цифровых приложениях, браузерах, роботах AI, голосовых помощниках, чате, контакт-центре, IVR и других цифровых каналах.Клиенты могут варьировать параметры безопасности — например, установить базовый уровень защиты для всех или повышенный её уровень для отдельных пользователей. ArmorVox может сопоставлять образцы на одном сервере в режиме реального времени со скоростью более 125 млн голосов в час.EVA на базе ArmorVox используется облачным сервисом Amazon Connect. Система представляет собой простое в использовании облачное голосовое биометрическое расширение для цифровых каналов, обеспечивающее идентификацию и проверку голоса, а также предоставляющее возможности по обнаружению мошенничества. IDVoice (ID R&D)IDVoice от ID R&D — это управляемое при помощи искусственного интеллекта голосовое биометрическое ядро, которое осуществляет распознавание по голосу. Продукт построен на свёрточной нейронной сети и усовершенствованной технологии извлечения характеристик голоса, занимая первое место в рейтинге ведущих тестов отрасли.В данный момент IDVoice уже интегрирован в приложения для мобильного банкинга и программное обеспечение колл-центров для упрощения распознавания и предотвращения мошенничества.Чтобы обеспечить более быстрое внедрение и интеграцию корпоративными разработчиками, IDVoice может быть реализован на C ++, Python и Java и поставляется в виде образа Docker для гибких облачных развёртываний. IDVoice поддерживается платформами iOS, Android, Linux и Windows, что делает его универсальным для мобильных устройств, серверов, частных облаков и устройств интернета вещей. ТермограммаТермограмма — это представление инфракрасной энергии в виде изображения распределения температуры. Биометрическая термография лица фиксирует тепловые узоры, вызванные движением крови под кожей. Поскольку кровеносные сосуды каждого человека неповторимы, соответствующие термограммы также уникальны даже среди однояйцевых близнецов, что делает этот метод биометрической верификации даже более точным, чем традиционное распознавание лиц. ESTONE FSAC-80 (Estone Technology)Компания Estone Technology запустила интегрированную систему инфракрасного теплового измерения температуры, распознавания лиц и определения состояния человека для контроля доступа в офисных зданиях, гостиницах, транспорте и других областях.Тепловизор с искусственным интеллектом ESTONE FSAC-80 проводит сегментирование изображения и сканирование сегментов, благодаря чему обеспечивает быстрое и точное определение температуры с точностью до 0,5 °C. Когда камера сканирует температуру тела, на ЖК-экране отображается видимый предупреждающий сигнал (и звуковое оповещение), а операционная система автоматически сохраняет изображение теплограммы человека. В данный момент разработка является особенно востребованной на рынке, так как помимо идентификации она позволяет выявить потенциальных больных COVID-19. ДНКДНК издавна использовалась в качестве метода идентификации. Кроме того, это — единственная форма биометрии, которая может отслеживать семейные связи. Сопоставление ДНК особенно ценно при работе с пропавшими без вести, выявлении жертв катастроф и потенциальной торговли людьми. Кроме того, помимо отпечатков пальцев, ДНК — единственный биометрический объект, который невозможно непреднамеренно «забыть». ДНК, собранная из волос, слюны и т. д., содержит последовательности коротких тандемных повторов (англ. short tandem repeat sequences, STR). С их помощью можно однозначно подтвердить личность, сравнивая их с другими STR в базе данных.В настоящее время технология мало представлена на биометрическом рынке. ДНК считается идеальной биометрической характеристикой, но её недостаток заключается в том, что однояйцевые близнецы будут иметь одну и ту же ДНК. Поведенческие системыПринципы поведенческой биометрии основаны на особенностях движения человека и его поведенческих характеристиках. Ниже перечислены основные виды поведенческой биометрии. Рисунок 1. Типы поведенческих биометрических систем ПоходкаБиометрия походки фиксирует шаблоны шагов с помощью видеоизображения, а затем преобразует сопоставленные данные в математическое уравнение. Этот тип биометрических данных является ненавязчивым и незаметным, что делает его идеальным для массового наблюдения за толпой. Также преимуществом является то, что эти системы могут быстро идентифицировать людей издалека.Технология может быть очень полезной для использования в магазинах, банках и других организациях — например, для выявления возможных преступников. На данный момент одними из наиболее успешных разработок были названы SFootBD (Манчестерский университет) и технология китайской компании Watrix. SFootBD (University of Manchester)При помощи нейронных сетей эта система находит особые закономерности в движениях человека при ходьбе, позволяющие распознавать личность. SFootBD, по заявлениям учёных-разработчиков, является в 380 раз более точной по сравнению с предыдущими методами.Во время ходьбы каждого человека можно выделить примерно 24 различных параметра движения. Разрабатывая систему, исследовательская группа собрала базу данных, состоящую из 20 тысяч «сигнальных» шагов от более чем 120 человек. Походка изучалась при помощи камеры высокого разрешения и напольных датчиков, фиксирующих давление при ходьбе. Система ИИ анализировала распределение веса, скорость походки и трёхмерные показатели каждого стиля ходьбы. Результаты показали, что в среднем система выдавала почти стопроцентную точность при идентификации людей. Частота ошибок составила 0,07 процента. WatrixТехнология распознавания походки Watrix загружает видеоклип с изображением идущего человека, вырезает силуэт и создаёт модель его ходьбы. Компания планирует стать первой в мире, которая начнёт использовать технологию распознавания походки в коммерческих целях. Хотя Watrix утверждает, что её технология обеспечивает точность в 94 %, анализ не проводится в режиме реального времени. Следует отметить, что эти утверждения не были подтверждены независимыми экспертами, а эффективность программного обеспечения всё ещё остается неизвестной. Движение губЭто — одна из новейших форм биометрической верификации. Подобно тому, как глухой человек может отслеживать движение губ, чтобы определить сказанное, биометрические системы фиксируют активность мышц вокруг рта, чтобы сформировать шаблон их движения. Биометрические датчики такого рода часто требуют воспроизведения пользователем пароля, чтобы определить соответствующие движения губ, а затем на основе сравнения с записанным шаблоном предоставить или запретить доступ.На сегодняшний день одним из самых известных подобных решений является разработка учёных из Гонконгского баптистского университета (HKBU), которая пока ещё не вышла на рынок для коммерческого применения. Lip password (Hong Kong Baptist University, HKBU)Согласно заявлению HKBU, система может подтвердить личность пользователя, сопоставив содержание пароля с «основными поведенческими характеристиками движения губ». Исследователи считают, что этот метод распознавания может иметь преимущество перед классическими биометрическими датчиками. Если пароль, сгенерированный биометрическим датчиком, скомпрометирован, сам метод генерации пароля перестаёт быть безопасным, поскольку отпечаток пальца или форма уха не могут быть изменены. Однако с помощью идентификации движения губ новый функциональный пароль можно создать просто произнеся другую фразу. На данный момент устройство находится на этапе разработки и пока ещё не анонсировано для коммерческого использования. ПодписьРаспознавание подписи — это поведенческая биометрическая система, которая измеряет пространственные координаты, давление пера, его наклон и ход как в автономных, так и в интерактивных приложениях. Цифровой планшет записывает измерения, а затем использует эту информацию в ходе автоматического создания биометрического профиля для будущей верификации.В настоящее время для ввода подписи используются планшеты, которые автоматически фиксируют положение ручки в разные моменты времени, углы наклона и давление, оказываемое на планшет. SIGNificant Biometric Server (Namirial GmbH)Технология, называемая «SIGNificant Biometric Server», обеспечивает биометрическую проверку подписи в режиме реального времени на платформе SIGNificant путём сравнения биометрических параметров собственноручной подписи с предварительно зарегистрированным профилем. Документы обрабатываются только в том случае, если подписывающие их лица верифицированы.Основная идея SIGNificant Biometric Engine — преобразование движения руки в математическую структуру, называемую личным профилем. Это преобразование — одностороннее, т. е. обратная операция практически невозможна. Движение пера измеряется четырьмя способами (по горизонтали и вертикали, траектории движения, давлению, углу наклона). Для создания личного профиля система потребует примерно 4—6 попыток подписи. Клиентам доступны три типа настроек безопасности. Система также обладает технологией машинного обучения, что позволяет всё более точно проводить распознавание пользователей по мере увеличения количества попыток входа в систему. Нажатие клавишДинамика нажатия клавиш выводит стандартные пароли на новый уровень, отслеживая ритм их ввода. Такие датчики могут реагировать на время, затрачиваемое на нажатие каждой клавиши, задержки между клавишами, количество символов, вводимых за минуту, и так далее. Шаблоны нажатия клавиш работают вместе с паролями и PIN-кодами для повышения уровня безопасности. TypingDNAРумынский стартап TypingDNA позволит распознавать людей по манере печатания. С помощью собственной технологии компания планирует укрепить онлайн-безопасность без ущерба для удобства работы пользователей. По словам создателей, технология обеспечивает высокую точность сопоставления при работе со всего одним предыдущим образцом набора текста.API верификации TypingDNA регистрирует нажатия клавиш пользователем в стандартизированном формате с открытым исходным кодом, что позволяет легко и просто интегрировать его в любое настольное или мобильное приложение. Разработчики могут реализовать API TypingDNA в качестве варианта пассивной двухфакторной верификации, метода восстановления пароля или просто для обеспечения соответствия входных данных заданному пользователю. SDK разработчика TypingDNA для мобильных устройств в настоящее время также поддерживает последние версии приложений для iOS и Android.TypingDNA соответствует требованиям ACE (Automated Commercial Environment) для онлайн-проверки студентов. Европейское банковское управление подтвердило, что ввод биометрических данных соответствует требованиям SCA (двухфакторная идентификация в банковском деле и платежах в ЕС); как следствие, разработки компании пользуются большим спросом со стороны отрасли. Мультимодальные биометрические системыБиометрию рассматривают и как мультимодальную технологию. Сочетание нескольких типов измерений позволяет повысить и уровень безопасности, и эффективность работы систем идентификации. Поэтому в последнее время всё больше компаний предлагают мультимодальные биометрические системы, а потребители ориентируются на комплексные решения. Smart Authentications (CPqD)Бразильская компания CPqD запустила продукт Smart Authentications в партнёрстве с IBM. Платформа CPqD сочетает распознавание лица и голоса для аутентификации пользователей в сфере банковского обслуживания и электронной коммерции. Программное обеспечение позволяет осуществлять работу системы почти с любого устройства. VoiceKey.PLATFORM (Группа компаний ЦРТ)VoiceKey.PLATFORM — мультифункциональная платформа, предназначенная для создания высоконагруженных систем с использованием целого стека AI-технологий: биометрии, распознавания и синтеза речи, акустических событий. Решение позволяет отказаться от PIN-кодов и паролей, а алгоритмы защиты от взлома с помощью аудио- и видеозаписи — liveness detection, «определение живого человека» — дают возможность выявлять мошенников и повышать уровень безопасности. Единая биометрическая система (Ростелеком)Единая биометрическая система (ЕБС) представляет собой цифровую платформу, которая была разработана компанией «Ростелеком» по инициативе Министерства связи и массовых коммуникаций РФ и Центрального банка РФ. Система позволяет осуществлять идентификацию по голосу и изображению лица. Вместе с логином и паролем от «Госуслуг» система наделяет банки возможностью без личного присутствия гражданина открыть ему счёт или вклад, предоставить кредит. Со временем планируется провести масштабирование системы и в другие отрасли, например телемедицину или дистанционное обучение. ПрименениеДавайте рассмотрим наиболее распространённые области применения биометрических систем идентификации:Правоохранительные органы и общественная безопасность: выявление преступников / подозреваемых.Военная отрасль: идентификация противника / союзника.Финансовый сектор: идентификация и мониторинг пользователей банковского обслуживания / страхования.Государственный сектор: системы электронных документов, содержащие биометрические данные (электронные паспорта и удостоверения, водительские права и т. п.).Пограничный, туристический и миграционный контроль: идентификация путешественников, мигрантов, пассажиров.Здравоохранение и социальное обеспечение: идентификация пациентов и медицинских работников, получателей социальной помощи.Ритейл: идентификация и мониторинг потребителей / покупателей.Конечно, область применения биометрических технологий не ограничивается вышеперечисленными пунктами. Однако стоит отметить, что на данный момент этот вид технологий больше всего используется в военной отрасли и банкинге.По данным специалистов Comparitech, во многих странах, в особенности в Китае, Пакистане, Малайзии, США и Индии, в последние годы очень активно ведётся сбор биометрических данных. К сожалению, говорить о контроле их безопасности со стороны правоохранительных органов можно далеко не везде. В Китае, как упоминалось ранее, уже был ряд случаев утечки биометрических данных.В Ирландии, Португалии, Великобритании, Румынии и на Кипре сбор такой информации ведётся не так активно и скорость распространения биометрических технологий не так высока. Однако благодаря действию «Общего регламента по защите данных» (GDPR) с безопасностью дела там обстоят лучше. Россия на данный момент вместе с Канадой, Японией и Аргентиной занимает позицию «середнячка». ВыводыБиометрические системы распознавания всё больше внедряются в нашу жизнь, во многом облегчая её и упрощая процессы получения доступа. Они также помогают крупному бизнесу автоматизировать процессы поведенческого анализа и обнаруживать потенциальных злоумышленников, оказываясь незаменимыми помощниками в дополнение к традиционным методам защиты.Однако, несмотря на все вышеописанные преимущества, стоит также упомянуть и о недостатках биометрических систем. К сожалению, биометрическая информация, как и любая другая, уязвима. Банки, больницы и любые другие учреждения то и дело подвергаются хакерским атакам, и часть информации попадает в руки злоумышленников. Но одно дело, если это — стандартные логин и пароль, а другое — если речь идёт о биометрических данных. Ведь пароль можно сменить, а палец или радужку глаза — нет. В последнем случае при компрометации данных злоумышленник получает доступ ко всем активам с биометрической верификацией.Также биометрические системы бывают технологически несовершенны. Например, сотрудникам Vkansee удалось обмануть систему Touch ID при помощи пластилина, а Цутому Мацумото, известный японский криптограф и эксперт по безопасности, проделал подобную операцию и вовсе при помощи мишки из мармелада. Вносят свой негативный вклад и штампы из популярных фильмов, где сканеры взламывают буквально посредством пудры и скотча. Неудивительно, что общество смотрит на биометрические системы с определённой степенью недоверия.Вследствие наличия уязвимостей вроде описанных выше, а также из-за отсутствия надёжных систем безопасности большинство компаний — потенциальных заказчиков пока ещё не готово к масштабному переходу на биометрию повсеместно. Очевидно, что широкое применение подобных систем сопряжено с высоким уровнем риска. Остаётся лишь ожидать от их разработчиков, что те усилят меры безопасности для повышения доверия к своим продуктам, и наблюдать за развитием рынка биометрии.

Обзор Eset Enterprise Inspector, системы для защиты конечных точек от сложных угроз

ESET Enterprise Inspector 1.4 — комплексная система класса EDR (Endpoint Detection and Response), предназначенное для обнаружения киберинцидентов и реагирования на них. Поддерживает как облачное, так и локальное развёртывание, что обеспечивает лучшую масштабируемость в зависимости от размера и потребностей организации. Имеет открытую архитектуру и публичный REST API, что упрощает интеграцию с другими решениями и позволяет усилить возможности Enterprise Inspector (например, подключив SIEM или SOAR). ВведениеФункциональные возможности ESET Enterprise InspectorАрхитектура ESET Enterprise InspectorСистемные требования ESET Enterprise Inspector4.1. Требования к аппаратному обеспечению для сервера Enterprise Inspector4.2. Требования к программному обеспечению для сервера Enterprise Inspector4.3. Требования к программному обеспечению для агента Enterprise InspectorРазвёртывание и базовая настройка Enterprise Inspector. Сервер и агенты5.1. Развёртывание серверной части Enterprise Inspector5.2. Развёртывание и подключение агента Enterprise Inspector5.3. Работа с интерфейсом Enterprise Inspector5.4. Правила обнаружения кибератакСценарии использования ESET Enterprise Inspector6.1. Сценарий 1. Ловим сканер NMap с модулем NSE (скриптовое ядро)6.2. Сценарий 2. Обнаруживаем и блокируем mimikatzВыводы ВведениеПо данным аналитического агентства Technavio, рынок средств класса EDR будет расти в течение 2020—2024 годов и увеличится на 7,67 млрд долларов США (рис. 1).Трансформация и рост рынка вызваны увеличивающимся интересом злоумышленников к конечным устройствам как одному из векторов атак на организации. В том числе количество нападений выросло из-за пандемии и перехода сотрудников на удалённую работу; при этом пользователи чаще всего не были готовы противостоять фишинговым письмам, атакам через средства удалённого доступа и т. д. Рисунок 1. Рост рынка EDR в период с 2020 по 2024 годы Также ранее отмечались тенденции роста применительно к полнофункциональным решениям EDR, дополняющим линейки разных производителей платформ защиты конечных точек (Endpoint Protection Platform, EPP). Такие платформы присутствуют в инфраструктуре крупных организаций и неплохо защищают от массовых атак, но по большей части ориентированы на уже известные, ранее встречавшиеся вредоносные программы и атаки.В свою очередь, тактики и приёмы киберпреступников постоянно дорабатываются и изменяются, уходят от массовых нападений в сторону целевых, которые сложнее выявлять при помощи традиционного инструментария EPP. Поэтому разработчики средств защиты, стремясь соответствовать запросам рынка, обновляют линейки своих решений и активно развивают средства класса EDR, внедряя новые, инновационные подходы (обнаружение и реагирование на комплексные атаки на конечных устройствах).В большинстве случаев для систем класса EPP основой является антивирусное ядро, которое работает по сигнатурам и занимается блокировкой уже фактически свершившегося инцидента; для EDR оно служит одним из компонентов, ориентированных на обнаружение сложных угроз в комплексе с другими детектирующими механизмами, такими как IoC-сканирование, YARA-правила, песочница (поддерживают не все производители), доступ к данным киберразведки (Threat Intelligence).Компания ESET — международный разработчик антивирусных решений для дома и бизнеса — недавно улучшила свою систему Enterprise Inspector, относящуюся к классу EDR. Посмотрим внимательнее на обновлённый продукт. Функциональные возможности ESET Enterprise InspectorЗабегая немного вперёд, можно отметить, что Enterprise Inspector реализует всю необходимую функциональность решений класса EDR. Являясь значимым инструментом оценки и обнаружения следов кибератак, ESET Enterprise Inspector представляет собой комплексную систему, которая обеспечивает обнаружение инцидентов (через контроль всех видов активности с возможностью своевременно обнаруживать целевые атаки), управление инцидентами и реагирование на них (можно использовать встроенный набор правил или создавать собственные правила для реагирования на обнаруженные события; руководство по правилам доступно в разделе «Справка» веб-консоли Enterprise Inspector), сбор данных (Enterprise Inspector определяет, когда и кем исполняемый файл был запущен в первый раз, фиксирует время первой попытки атаки и дальнейшие шаги, предпринимаемые киберпреступником).Продукт использует индикаторы компрометации (IoC), выполняет обнаружение аномалий и мониторинг поведения процессов— контролирует активность на конечных точках сети, фиксирует изменения файлов, запись в реестр, сетевые подключения. Операции оцениваются через репутационную систему ESET LiveGrid, в которой содержится информация о ранее выявленных случаях применения в атаке тех или иных процессов (исполняемых файлов). Следует также отметить возможность создавать политики для блокировки выполнения вредоносных исполняемых файлов на любом компьютере в сети организации и отправку уведомлений по электронной почте сотрудникам службы ИБ.Ниже перечислены функциональные возможности версии 1.4, которую мы изучили в ходе подготовки обзора.Поддержка macOS агентом Enterprise Inspector.Публичный REST API.Изменения в веб-консоли:поддержка 2FA для входа в веб-консоль Enterprise Inspector,маркировка (тегирование) объектов для упрощения работы с ними,новая панель фильтров,улучшение поиска: переименование, всплывающие подсказки, поиск процессов,возможность настроить порядок выводимой информации в интерфейсе,автоматическая обработка событий, подпадающих под правила исключения.Возможности обнаружения:мониторинг учётных записей пользователей,возможность работы с WMI,видимость сценариев, выполняемых PowerShell, CScript, WScript и Microsoft Office,мониторинг сброса учётных данных,мониторинг DNS-запросов,отслеживание слабых хеш-функций SHA-256 и MD5.Улучшенные возможности:сетевая изоляция конечных точек (исключает возможность общения заражённых узлов с остальными ресурсами по сети),терминал (удалённый интерфейс PowerShell),возможность автоматического блокирования по хешу,необходимые внутренние изменения для совместимости с предстоящими сборками ОС Windows, которые будут выпущены в первом полугодии 2021 года,улучшение производительности и масштабирования. Архитектура ESET Enterprise InspectorEnterprise Inspector построен на основе продуктов ESET для защиты конечных точек и имеет открытую архитектуру, благодаря чему достигаются прозрачность в использовании и гибкие возможности по интеграции в инфраструктуру организации. Если говорить о месте Enterprise Inspector в экосистеме продуктов ESET, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети. Рисунок 2. Место Enterprise Inspector в ландшафте продуктов ESET Подобная архитектура решения позволяет противодействовать бесфайловым методам взлома и целевым атакам (APT), проактивно блокировать угрозы «нулевого дня» и защищаться от программ-вымогателей. Кроме проактивного поиска угроз возможен и ретроспективный анализ вкупе с контролем политик безопасности организации в отношении используемого ПО (облачные хранилища, Tor, игры и др.) с функциональностью по удалённой блокировке нежелательных процессов и программ. Рисунок 3. Интерфейс Enterprise Inspector Enterprise Inspector состоит из серверной части и агентов, которые устанавливаются на удалённые узлы с целью сбора информации и обеспечения работы административных функций.Ранее было отмечено, что Enterprise Inspector тесно взаимосвязан с остальными решениями вендора, поэтому важно знать о возможности дистанционно разворачивать агенты через ESET Security Management Center, который помимо этого обеспечивает полный контроль продуктов по безопасности от ESET, внедрённых в организации. Системные требования ESET Enterprise InspectorПеред развёртыванием стоит подробно изучить системные требования, в том числе — к стороннему ПО, которое используется в работе. Без соблюдения требований запуск основных компонентов Enterprise Inspector будет невозможен (не удастся даже просто установить серверную и клиентскую часть продукта). Подобный подход сводит к минимуму возможность что-либо не учесть при развёртывании и потом долго думать, в чём же состоит причина некорректной работы решения. Требования к аппаратному обеспечению для сервера Enterprise InspectorВ целом требования к аппаратной части находятся на уровне схожих решений в сегменте EDR. Таблица 1. Требования к аппаратному обеспечениюХарактеристикиМинимальные требованияКоличество конечных устройств50010005000 (Microsoft SQL Server) / 18000 (MySQL)Оперативная память24 ГБ48 ГБ256 ГБДисковое пространство500 ГБ1 ТБ5 ТБКоличество операций ввода / вывода (IOPS)100020005000Количество ядер ЦП4816 Если в случае с оперативной памятью, количеством ядер ЦП и дисковым пространством всё вполне понятно, то в части возможностей жёсткого диска рекомендуется измерить IOPS с помощью утилиты diskspd:diskspd -b32K -d60 -o4 -t8 -h -r -w65 -L -Z1G -c20G C:\iotest.dat > C:\DiskSpeedResults.txt Требования к программному обеспечению для сервера Enterprise InspectorСервер Enterprise Inspector поддерживает только ОС Windows Server. В качестве СУБД можно использовать MySQL и Microsoft SQL Server. Для корректной работы веб-консоли рекомендуется установить новейшую из поддерживаемых версий браузеров. Таблица 2. Программное окружение для серверной части Enterprise InspectorТип ПОНаименование и версия ПОКомментарииОперационная системаWindows Server 2012 или более поздняя версияДля Windows Server 2012 R2 требуется накопительный пакет обновлений за апрель 2014 года (KB2919355)СУБДMySQL 5.7.26 или новее;MySQL 8.0.17 или новее;Microsoft SQL Server 2017 или новее Продукты ESETESET Security Management Center (ESMC) 7.0 или новееESMC рекомендуется устанавливать на отдельном от Enterprise Inspector сервереВспомогательные компоненты (драйверы, обновления ОС и т. д.)64-битная версия Visual C++ Redistributable (до установки сервера),ODBC Driver 11 / 13 / 17 для соответствующих версий SQL Server Совместимые веб-браузерыGoogle Chrome;Mozilla Firefox;SafariНачиная с версии 1.3 Enterprise Inspector не поддерживает Microsoft Edge и Internet Explorer Требования к программному обеспечению для агента Enterprise InspectorУстановка агента Enterprise Inspector требует меньше вспомогательного ПО, но и здесь перед развёртыванием всё должно быть установлено и настроено. Таблица 3. Программное окружение для клиентской части Enterprise InspectorТип ПОНаименование и версия ПОКомментарииДля пользовательских АРМОперационная системаWindows 7 и более поздние;Windows 10Не поддерживается Windows 8;Windows 10 — все пакеты обновлений кроме 1511 и 1703 Продукты ESETESET Endpoint Security 7.0.2100.1 или новее;ESMC Management Agent (для возможности централизованной активации лицензии)Для связи агентов необходимо настроить SSL / TLSВспомогательные компоненты (драйверы, обновления ОС и т. д.)При использовании Windows 7 должен быть установлен Service Pack 1 Для серверовОперационная системаWindows Server 2008 R2 SP1 (64-битная) или новее Продукты ESETЛицензирование:ESMC Management Agent (для возможности централизованной активации лицензии)Защита конечных устройств:ESET Mail Security для Microsoft Exchange Server 7.0.10024.0 или новее;ESET Mail Security для IBM Lotus Domino 7.0.14012.0 или новее;ESET File Security для Microsoft Windows Server 7.0.12018.0 или новее;ESET File Security для Microsoft SharePoint Server 7.0.15010.0 или новееРешение для защиты конечных устройств выбирается в зависимости от назначения и настроек сервера (выбирается какое-то одно из списка)Вспомогательные компоненты (драйверы, обновления ОС и т. д.)При использовании Windows Server 2008 R2 должен быть установлен Service Pack 1 Из этого раздела мы узнали, какие именно программные и аппаратные требования предъявляются к Enterprise Inspector. Их крайне важно учитывать для корректной работы в производственной среде. Развёртывание и базовая настройка Enterprise Inspector. Сервер и агентыРазвернуть компоненты Enterprise Inspector можно разными способами: используя графический интерфейс или командную строку, а также централизованно через ESMC.Мы рассмотрим развёртывание с помощью графического интерфейса, а основные функциональные возможности и практические сценарии будем реализовывать через веб-консоль. Развёртывание серверной части Enterprise InspectorГоворя о развёртывании, в рамках обзора будем подразумевать наличие в инфраструктуре ESMC и СУБД, а также их доступность по сети. Также в процессе демонстрации установки, настроек и возможностей Enterprise Inspector мы будем переключаться между интерфейсами ESMC и Enterprise Inspector.Процедура развёртывания с помощью графического интерфейса вполне проста, поэтому часть шагов будет пропущена (подробнее об развёртывании можно прочитать в документации). Стоит обратить внимание: если даже что-то из дополнительных компонентов не было установлено, для облегчения процесса в окне инсталлятора будут даны подсказки по требуемому программному окружению.По завершении развёртывания можно проверить работоспособность Enterprise Inspector и подключиться к веб-консоли. В качестве логина и пароля будут использоваться учётные данные от ESMC. Рисунок 4. Главная страница Enterprise Inspector Также Enterprise Inspector должен стать доступен в ESET Security Management Center (рис. 5). Рисунок 5. Веб-консоль ESMC Развернув сервер Enterprise Inspector, перейдём к установке и настройке агентов. Развёртывание и подключение агента Enterprise InspectorПридерживаясь концепции EDR, нам нужно установить агенты Enterprise Inspector на каждой машине, где мы хотим собирать журналы событий.Подготовим программное окружение и установим:ESET Endpoint Security 7.0.2100.1 или новее,ESMC Management Agent,Enterprise Inspector Agent.После установки агента необходимо произвести его активацию через центр управления ESMC.Внесём в ESMC лицензию для Enterprise Inspector.Примечание: на рисунках будут по мере необходимости выделяться и нумероваться блоки интерфейса. Цифры рядом с блоками означают последовательность открытия элементов либо просто предназначены для прослеживания логической цепочки (на какие части нужно обратить внимание сперва, а на какие — позже). Рисунок 6. Добавление лицензии для Enterprise Inspector в центр лицензирования ESMC После успешного добавления лицензии на Enterprise Inspector мы переходим в раздел ESMC «Задачи» и создаём клиентскую задачу на активацию агентов. При этом можно указывать пул рабочих машин и серверов с агентами для одновременной активации. Рисунок 7. Создание клиентской задачи по активации агентов Enterprise Inspector. Шаг 1 На втором шаге создания клиентской задачи необходимо ввести описание, фактически не влияющее на исполнение. Рисунок 8. Создание клиентской задачи по активации агентов Enterprise Inspector. Шаг 2 Как видно, в самой задаче не указываются адреса компьютеров, где установлены агенты; нет также сведений о том, когда она должна сработать. Всё это задаётся через триггеры, что, несомненно, удобно. Рисунок 9. Добавление триггера на клиентскую задачу по активации агентов Enterprise Inspector В триггерах можно указать причину срабатывания задачи, когда она может быть запущена и т. п. В нашем случае запуск требовался немедленно после создания задачи. Таким образом мы сразу активировали только что развёрнутые агенты. Работа с интерфейсом Enterprise InspectorВеб-консоль Enterprise Inspector доступна с любого устройства с совместимым веб-браузером. Интерфейс Enterprise Inspector минималистичен, но содержит достаточное количество информации для комфортной работы.Меню представляет список основных разделов интерфейса ESET Enterprise Inspector:«Панель мониторинга» — краткий обзор состояния узлов, связанных с ESET Enterprise Inspector. Показывает временные рамки сигналов тревоги (на основе их значимости) и сообщает, находится ли сеть организации под потенциальной / реализуемой атакой.«Компьютеры» — структура компании, синхронизированная с ESMC, и сведения о каждом устройстве.«Обнаружения» — индикаторы и визуализация найденных событий.«Поиск» — раздел, позволяющий отфильтровать по определённым (базовым) параметрам обнаруженные события либо подготовить расширенные (пользовательские) фильтры.«Исполняемые файлы» — полное хранилище всех обнаруженных исполняемых объектов и библиотек DLL в сети организации на компьютерах, контролируемых ESET Enterprise Inspector.«Сценарии» — обеспечивает детальную видимость всех сценариев, которые были выполнены в сети организации, показывает подробную информацию о том, какие изменения были сделаны, и сообщает, вызвал ли какой-то из сценариев определённый сигнал тревоги на основе поведенческого анализа.«Админ» — используется для управления правилами и добавления хешей, которые инженеры безопасности хотят заблокировать в своей сети. Вы можете запускать задачи для произошедших событий, создавать исключения для процессов и настраивать параметры сервера Enterprise Inspector. Рисунок 10. Основное меню Enterprise Inspector Правила обнаружения кибератакПравила обнаружения уведомляют о подозрительных событиях и изменениях на конечных устройствах. Например: был запущен mimikatz для сбора хешей паролей и учётных данных, запущен процесс шифрования и удаления файлов, обнаружена попытка проверки на наличие уязвимостей на открытых портах из внешней сети (сканирование NMap). Рисунок 11. Правила детектирования в разделе «Админ» Enterprise Inspector В описании правил содержатся не только сведения общего характера, но и практически полезные ссылки на MITRE ATT&CK (рис. 12), что позволяет определить, на каком этапе атаки находится киберпреступник.Правила обладают следующими характеристиками: имя, уровень значимости («Угроза», «Предупреждение», «Информация»), параметр «Только чтение» (означает, что редактирование данного правила запрещено), статус (включено — выключено), тело правила (описание того, при каких условиях и когда оно должно сработать). Рисунок 12. Подробная информация о правилах в разделе «Админ» Enterprise Inspector В Enterprise Inspector есть набор предустановленных правил. Некоторые из них нельзя изменять, но при желании владелец решения может поручить написать правила обнаружения своим сотрудникам из службы ИБ. Синтаксис правил основан на языке XML. Рисунок 13. Синтаксис правил обнаружения и правила их написания в Enterprise Inspector Сценарии использования ESET Enterprise InspectorОрганизациям важно обеспечивать прозрачность сети для оперативного пресечения киберугроз, потенциально опасных действий сотрудников и работы нежелательных приложений. Проверим, что умеет Enterprise Inspector версии 1.4 в части проактивного поиска угроз. Сценарий 1. Ловим сканер NMap с модулем NSE (скриптовое ядро)Начнём со сценария обнаружения популярного сетевого сканера NMap, который имеет в своём арсенале механизм запуска сценариев, позволяющий проводить атаки или проверку наличия различных уязвимостей.Ниже на рисунке продемонстрирован результат работы NMap с атакой на RDP. Видно, что узел доступен, но результат работы скрипта малоинформативен, так как на стороне атакуемой машины, скорее всего, установлены средства защиты и обнаружения атак. Посмотрим в веб-консоль Enterprise Inspector. Рисунок 14. Сканирование с помощью NMap рабочей станции с агентом Enterprise Inspector В разделе «Обнаружения» среди перечисленных ИБ-событий мы видим попытку подключения к RDP. В результате работы средств защиты ESET и агентов, которые детектируют попытки проведения атак, можно своевременно обнаруживать и пресекать различные виды вредоносной активности. Рисунок 15. Результат обнаружения сканирования NMap Более того, возможно детально разобрать событие, что поможет исключить ложные срабатывания. Рисунок 16. Подробная информация о потенциальном инциденте по безопасности Инженеры ИБ могут отследить взаимосвязанные процессы, открыв раздел «Исполняемые файлы». Рисунок 17. Взаимосвязанные с подозрительной активностью процессы Проанализировав данное событие, можно сказать, что степень риска — средняя; репутационный сервис ESET LiveGrid помогает понять, насколько часто таким образом может происходить атака (уровень репутации данного процесса находится в зелёной зоне). Сценарий 2. Обнаруживаем и блокируем mimikatzВ случае c Windows-инфраструктурой есть риск столкнуться с попыткой украсть пароли пользователей или администратора домена при помощи mimikatz — инструмента, который реализует функциональность Windows Credentials Editor и позволяет извлечь аутентификационные данные вошедшего в систему пользователя в открытом виде. Рисунок 18. Имитация атаки с помощью mimikatz Сымитируем вредоносную активность, выполнив ряд команд в консоли mimikatz. Исполняемый файл mimikatz может быть легко модифицирован, что позволит обойти стандартные средства защиты, но решения класса EDR не так просто обмануть.Переходим в панель мониторинга Enterprise Inspector и видим в разделе необработанных случаев подозрительной активности процесс, похожий на mimikatz. Открываем двойным щелчком по этому событию раздел «Обнаружения». Рисунок 19. Панель мониторинга Enterprise Inspector с обнаруженными событиями Видим два события; щёлкнув на более свежем правой кнопкой мыши, открываем детальную информацию по нему. Рисунок 20. Детальная информация по событию Раздел с детальными сведениями знаком нам по предыдущему сценарию, однако кроме полезной для изучения событий информации здесь есть возможность немедленно принять активные меры. Инженер службы ИБ может завершить процесс (5) или выполнить по отношению к нему другое активное действие (6). Выберем именно этот пункт. Рисунок 21. Возможность блокировки и ликвидации вредоносного процесса Он более интересен, нежели простое прекращение работы процесса, так как мы заблокируем вредоносный объект по хеш-сумме и переместим его в карантин. Рисунок 22. Блокировка по хешу, очистка и перемещение в карантин вредоносного файла Чтобы убедиться в том, что нежелательный файл перемещён в карантин, перейдём в папку, где он находился. Файла действительно больше нет. Кроме того, даже если позже попытаться запустить его копию, результат будет отрицательным. Рисунок 23. Папка, в которой был вредоносный файл mimikatz Дополнительно информация обо всех событиях передаётся из Enterprise Inspector в единый центр управления ESMC. В этом можно убедиться перейдя в веб-консоль ESMC. Рисунок 24. Информация по обнаруженным и обработанным событиям из области безопасности ВыводыПопулярность (и, соответственно, рынок) решений класса EDR растёт. Судя по прогнозам аналитических центров, этот рост будет продолжаться в силу всё большего распространения атак через конечные устройства — рабочие станции и серверы.Традиционный подход EPP уже недостаточен для надёжного обеспечения безопасности рабочих станций, всем нужна расширенная защита — уровня EDR — от сложных и целевых атак. ESET, имея для этого подходящие возможности и технологическую базу, вносит вклад в развитие рынка EDR через обновление своих решений, позволяющих создавать комплексную и сложную, но при этом взаимосвязанную инфраструктуру средств защиты.Новая версия Enterprise Inspector в процессе изучения показала себя с хорошей стороны. Новая функциональность упрощает работу, даёт больше возможностей и расширяет фронт обнаружения атак (добавлен агент для macOS). Удобным и полезным оказался модуль визуализации данных, который не просто отображает красивые графики, а показывает цепочку связанных процессов, породивших ту или иную активность, что, несомненно, упрощает работу с инцидентами в процессе расследования.Первое впечатление было неоднозначным, но в процессе работы то, что сначала виделось сложным — а именно процедура развёртывания, — на деле оказалось хорошо продуманным шагом в части исключения возможности забыть установить какой-то из компонентов и долго думать, что же пошло не так.Достоинства:Открытая архитектура и публичный REST API, позволяющие проводить интеграцию с SIEM, SOAR, информационными панелями и другими инструментами.Настраиваемая чувствительность. Для исключения ложных срабатываний можно настроить правила под разные группы с учётом их специфических параметров.Ретроспективный поиск угроз, в том числе и по базе данных событий, за счёт чего достигается выявление динамически изменяющихся IoC по нескольким параметрам.Синхронное реагирование. Enterprise Inspector создаёт комплексную экосистему, которая перекрёстно связывает объекты сети и синхронизирует устранение инцидентов.Двухфакторная аутентификация с защитой доступа к веб-консоли при помощи ESET Secure Authentication.Мультиплатформенность (поддержка Windows и macOS).Использование MITRE ATT&CK — глобальной базы знаний, которая предоставляет подробную информацию о сложных угрозах и позволяет отследить, на каком этапе атаки находится злоумышленник.Удалённый доступ для специалиста по ИБ с возможностью открыть интерфейс PowerShell и не мешая работе пользователя устранить проблему.Недостатки:Продукт не сертифицирован ФСТЭК России.Нет агента для Linux.Руководство пользователя — только на английском языке (в процессе перевода).Много зависимостей и требований к дополнительному ПО, необходимому для развёртывания Enterprise Inspector.