ПАК «Секрет Особого Назначения» — защищенный USB-накопитель от компании ЗАО «ОКБ САПР», который позволяет администратору разрешить использовать носитель только на определенных компьютерах, ведет встроенный журнал подключений, а также разграничивает права пользователя и администратора. Для пользователя это привычный съемный накопитель для работы, а для администратора — инструмент контроля использования накопителя и защиты информации на нем. Продукт работает на компьютерах под управлением Microsoft Windows и не требует установки своего программного обеспечения. ВведениеАрхитектура ПАК «Секрет Особого Назначения»Функциональные возможности ПАК «Секрет Особого Назначения»Системные требования ПАК «Секрет Особого Назначения»Установка и настройка ПАК «Секрет Особого Назначения»Работа с ПАК «Секрет Особого Назначения»6.1. Консоль пользователя6.2. Консоль администратора6.3. Поддержка продуктаВыводы ВведениеМобильность и удобство съемных накопителей приводят к тому, что им часто доверяют личную и служебную информацию. Как следствие, количество атак с использованием USB-накопителей увеличилось. Главные угрозы, которые возникают, — кража, потеря, подмена и бесконтрольное использование. В результате происходит заражение систем вредоносными программами и утечка информации. Аналитики CoSoSys провели опрос и выяснили, что 74% компаний разрешают использовать сотрудникам USB-накопители, 65% опрошенных используют их для передачи служебной информации, 44% сталкивались с фактом потери съемного накопителя и 55% сообщали о пропаже.Для усиления контроля над съемными накопителями компании используют различные средства защиты информации, в том числе DLP-системы, покрывающие все возможные каналы утечки. Однако информация, тщательно оберегаемая внутри компании, становится беззащитной, как только пересекает порог офиса на съемном накопителе. Для безопасного использования служебного USB-накопителя важно обеспечить:возможность использования накопителя только на определенных компьютерах, чтобы исключить бесконтрольное подключение к неизвестным устройствам;возможность просмотра информации о подключениях носителя к компьютерам, чтобы точно узнать о попытках несанкционированного использования или об их отсутствии.установку политик безопасности администратором, чтобы для каждого пользователя установить соответствующие ограничения.На этот случай компания «ОКБ САПР», которая с 1989 года создает средства защиты информации от несанкционированного доступа, разработала программно-аппаратный комплекс защищенного хранения информации (ПАК ЗХИ) «Секрет Особого Назначения» (СОН). Это защищенный USB-накопитель, который без установки на компьютер пользователя специального программного обеспечения позволяет администратору разрешить использование носителя только на определенных устройствах, настроить политики безопасности и просмотреть журнал использования носителя.Программное обеспечение комплекса включено в реестр российских программ для электронных вычислительных машин и баз данных, что позволит государственным заказчикам купить продукт без дополнительных обоснований в части импортозамещения.«Секрет особого назначения» сертифицирован ФСТЭК России как программно-техническое средство контроля съемных носителей информации, не содержащей сведения, составляющие государственную тайну, реализующее функции идентификации и аутентификации, управление доступом, регистрации событий безопасности и защиты машинных носителей информации (4 уровень контроля отсутствия недекларированных возможностей и технических условий). Архитектура ПАК «Секрет Особого Назначения»Устройство представляет собой защищенный флэш-диск с интерфейсом USB.СОН предназначен для защищенного хранения корпоративной или личной информации конфиденциального характера и контролирует доступ компьютера к устройству в соответствии с политиками доступа, которые установил администратор.СОН включает в себя:Специальный носитель СОН, который состоит из:микроконтроллера с внутренней памятью для хранения внутреннего программного обеспечения и служебной информации;физического датчика случайных чисел;энергонезависимой флэш-памяти для хранения пользовательской информации, журнала событий и программного обеспечения. Память устройства разделена на открытый, закрытый и служебный разделы.Программное обеспечение рабочей станции «Секретный Агент», которое хранится на открытом разделе носителя:драйвер USB-устройства;приложение для управления доступом к защищенным данным;приложение для управления политиками доступа;утилита для сбора идентификационной информации компьютера.Диск с документацией и дистрибутивами.Формуляр. Рисунок 1. Фотография комплекта ПАК «Секрет Особого Назначения» Рисунок 2. Фотография носителя ПАК «Секрет Особого Назначения» Модификации служебного носителя СОН различаются по следующим параметрам: объем закрытого диска, наличие\отсутствие шифрования хранимых файлов, скорость работы, потребность во временной установке и снятии ограничений.Стандартный объем памяти носителей — 8, 16 и 32 Гб. Другие объемы доступны под заказ.Диск СОН разбит на три раздела: открытый, закрытый и служебный.Открытый раздел монтируется всегда, доступен только для чтения, с него запускается программное обеспечение СОН.Закрытый раздел монтируется только после успешного прохождения проверки компьютера на соответствие установленным политикам, доступен для чтения и записи, на нем хранятся пользовательские данные.Служебный раздел монтируется всегда, но доступен для чтения только администратору устройства, на нем хранятся журналы подключений.В СОН регистрируются разрешенные компьютеры по набору из 5 параметров. При подключении блок аутентификации СОН сверяет данные текущего компьютера со своим списком. До успешного прохождения этой проверки не запрашивается авторизация пользователя и не монтируется устройство хранения информации, то есть диск недоступен не только пользователю, но и системе. Контрольные процедуры проводятся собственными ресурсами СОН, без участия компьютера.В журнал носителя записывается информация об успешных и неуспешных подключениях. В случае успешного подключения кроме даты и времени события сохраняется подробная информация о компьютере. Это позволяет контролировать как попытки подключения к ненадежным устройствам, так и факты работы в подозрительное время.На случай подозрений, что злоумышленнику действительно важно получить данные пользователя и при этом у него есть навыки считывания с помощью специальных инструментов данных с подобных микросхем USB-накопителей, в СОН предусмотрено шифрование.Шифрование реализовано по ГОСТ 28147-89 в режиме гаммирования с обратной связью. Скорость работы носителя с шифрованием составляет 0,2 Мб/с. Для случаев, когда можно отказаться от шифрования в пользу скорости работы, существует вариант СОН без поддержки шифрования. Скорость чтения и записи в этом случае составляет 5 и 8,8 Мб/с соответственно. Такой СОН называется «базовый».Существуют модификации СОН, называемые «Быстрый Секрет» и «Секрет Руководителя», которые поддерживают шифрование, скорость чтения 6,1 Мб/с и скорость записи 5,7 Мб/с. Кроме того, «Секрет Руководителя» имеет дополнительную опцию — временную установку администратором ограничений с последующим их снятием. Рисунок 3. Фотография вариантов корпусов ПАК «Секрет Особого Назначения» Функциональные возможности ПАК «Секрет Особого Назначения»СОН реализует следующий набор функций защиты:Взаимная аутентификация накопителя и компьютера Администратор устанавливает ограничение на работу с СОН по белому списку компьютеров, пользователь сможет работать с накопителем только на них, а на других монтироваться не будет. В режиме «доступ без ограничений» пользователь откроет СОН на любом компьютере. Идентификация происходит по следующим параметрам:имя компьютера;имя домена или рабочей группы;серийный номер материнской платы;серийный номер операционной системы;серийный номер платы электронного замка, если он установлен в компьютере.Ограничение неуспешных попыток доступа к накопителюАдминистратор устанавливает ограничение на количество неуспешных попыток доступа. По умолчанию после трех последовательных неудачных попыток ввода кода авторизации носитель блокируется. Для снятия блокировки требуется ввести специальный код. Если специальный код утерян, доступ к носителю может восстановить администратор, но в этом случае данные пользователя будут уничтожены.Исключение несанкционированного доступа к информации, которая хранится на защищенном разделе накопителяДля получения доступа к защищенному разделу пользователю требуется запустить программу с накопителя, зарегистрироваться в ней и авторизоваться. Только после авторизации на компьютере из списка разрешенных закрытый раздел монтируется и становится доступен в операционной системе.Программное обеспечение комплекса открывается с открытого раздела носителя, доступного только для чтения.Контроль подключения накопителяДля работы с СОН не требуется установка на компьютер программного обеспечения, поэтому пользоваться носителем можно без прав администратора в интернет-кафе или смежных организациях, если это предусмотрено заданными администратором политиками доступа. Информация о подключении СОН к компьютерам записывается во внутренний журнал накопителя, по данным которого однозначно устанавливается факт подключения устройства к компьютеру.Разделение полномочий пользователя и администратораУправлять накопителем в зависимости от прав доступа можно с помощью специальных программ: консоли пользователя и консоли администратора. Вход в необходимую консоль производится по паролю. Пользователь имеет право на работу с защищенным разделом устройства и управление собственным паролем, администратор — на изменение всех настроек накопителя и просмотр журнала событий, но пользовательские данные в этой роли недоступны.Сбор, запись и хранение информации о событиях безопасностиЖурнал содержит информацию о каждом подключении устройства к компьютеру, а также действиях по установке прав доступа, настройке пользователей, просмотру журналов и других административных событий. Информация о работе пользователя с закрытым диском в журнал не записывается. Системные требования ПАК «Секрет Особого Назначения»Для использования защищенного носителя требуется: установленная операционная система Microsoft Windows версии XP и выше (x32 или x64) и свободный разъем USB. Также есть дистрибутивы для операционных систем Linux и Android, которые не включены в комплект поставки, но высылаются по обращению в техническую поддержку.Для Windows версий XP и 8.1 требуется установить соответствующее обновление операционной системы, чтобы включить возможность работы с устройствами чтения карт USB. Установка и настройка ПАК «Секрет Особого Назначения»Подключается СОН так же, как обычный USB-накопитель — в свободный USB-разъем компьютера. При подключении к компьютеру автоматически монтируется открытый раздел, на котором размещено программное обеспечение СОН. Для начала работы требуется запустить нужную консоль, установка не нужна. Рисунок 4. Открытый раздел «Секрета Особого Назначения» Открытый диск доступен всегда, независимо от устанавливаемых администратором политик доступа.Для получения доступа к защищенному разделу требуется консоль пользователя, которая запускается файлом «userConsole.exe» в папке «specialSecret» или файлом «startUserConsole.exe» на открытом диске носителя. Рисунок 5. Окно консоли пользователя «Секрета Особого Назначения» Сначала пользователь регистрируется, а потом проходит авторизацию для доступа к закрытому диску, на котором он будет хранить свои файлы.Для регистрации пользователя требуется нажать кнопку «Регистрировать пользователя».Если процедура регистрации пользователя не выполнялась, при запуске консоли пользователя доступна только функция регистрации. Если до этого зарегистрирован администратор, то в консоли пользователя в графе «Состояние» будет отображаться статус «Администратор зарегистрирован». Рисунок 6. Окно регистрации пользователя «Секрета Особого Назначения»  В диалоговом окне требуется указать имя, если имя не задано администратором, и задать код авторизации.После регистрации пользователя на экране отобразится сообщение с серийным номером, именем носителя, кодом авторизации и PUK-кодом пользователя. Для сохранения этих данных можно выполнить печать сразу из программы. Рисунок 7. Окно печати кодов авторизации «Секрета Особого Назначения»  После авторизации пользователя закрытый диск носителя монтируется и становится доступен в операционной системе. В первый раз его нужно отформатировать. Рисунок 8. Окно форматирования пользовательского раздела «Секрета Особого Назначения»  После выполнения описанных действий пользовательский раздел станет доступен для работы. На этом диске допустимо хранить конфиденциальную информацию. Рисунок 9. Пользовательский раздел «Секрета Особого Назначения» Работа с ПАК «Секрет Особого Назначения»Для начала работы с СОН требуется запустить программу с открытого раздела носителя. В состав программных средств входят два приложения: консоль пользователя и консоль администратора.Консоль пользователяПервоначальная настройка носителя уже произведена и доступ к закрытой части носителя получен. После регистрации пользователя еще становятся доступными другие операции консоли пользователя, а функция регистрации становится недоступной. Рисунок 10. Окно консоли пользователя после регистрации в «Секрете Особого Назначения» Если в настройках политик использования носителя в поле «Тип доступа к СН» администратором выбран пункт «Доступ с ограничением по доменам и рабочим станциям» и компьютер не состоит в белом списке, то функции консоли пользователя блокируются. Рисунок 11. Окно запрета доступа в «Секрете Особого Назначения» Авторизация пользователяДо выполнения операции авторизации пользователя доступ к информации, хранящейся на закрытом разделе диска, запрещен. Для авторизации требуется в консоли пользователя выбрать функцию «Авторизовать пользователя» и в появившемся окне ввести код авторизации. Рисунок 12. Экран авторизации в «Секрете Особого Назначения»  Если код авторизации введен некорректно, то на экране отображается сообщение об ошибке и доступ к закрытому разделу не предоставляется.Если код авторизации введен корректно, предоставляется доступ к защищенному разделу и функции консоли пользователя блокируются, а в колонке «Состояние» отображается: «Пользователь авторизован».Разблокировка пользователяПосле нескольких последовательных неудачных попыток ввода кода авторизации носитель блокируется. При этом статус в главном окне консоли пользователя изменяется на «Заблокирован» и единственной доступной функцией становится функция разблокирования.Для снятия блокировки требуется ввести PUK–код и новый код авторизации пользователя с подтверждением.При утере PUK-кода разблокировать носитель может только администратор с помощью функции аннулирования регистрации пользователя, при этом закрытый диск форматируется и все данные с него удаляются.Консоль администратораРегистрация администратора при работе с СОН не обязательна. Пользователю достаточно самому зарегистрироваться и пройти авторизацию на носителе, чтобы начать работу. Настройки в этом случае используются по умолчанию. Для тонкого управления защищенным носителем требуется войти в консоль администратора. Администратору доступны следующие функции:настройка политик использования носителя;редактирование списка разрешенных компьютеров;просмотр журнала событий носителя;аннулирование регистрации пользователя носителя.Для запуска консоли требуется выполнить файл «adminConsole.exe» в папке «specialSecret» или файл «startAdminConsole.exe» на открытом разделе флэш-диска. После этого в области уведомлений панели задач появится значок СОН.При нажатии правой кнопкой мыши на значок появляется меню, которое содержит следующие поля:«О программе» — выводит сведения о программном обеспечении СОН;«Консоль администратора» — скрывает и показывает запущенную консоль администратора;«Выход» — выполняет выход из консоли администратора. Рисунок 13. Окно консоли администратора «Секрета Особого Назначения» Регистрация администратораЕсли процедура регистрации администратора не выполнялась, при запуске консоли доступна только кнопка регистрации администратора. Рисунок 14. Окно регистрации администратора «Секрета Особого Назначения»  Регистрация администратора не относится к числу обязательных процедур. Для получения доступа к пользовательским данным достаточно зарегистрировать пользователя и выполнять процедуру авторизации.После регистрации администратора дополнительно появляются функции управления защищенным носителем СОН:настройка политик использования носителя;редактирование списка разрешенных компьютеров;просмотр журнала событий носителя;аннулирование регистрации пользователя носителя.Настройка политик и журналовВ консоли администратора нужно выбрать функцию «Настроить политики использования СН». Рисунок 15. Окно настройки политик «Секрета Особого Назначения»  На экране настройки политик использования носителя возможно задать следующие параметры:тип доступа к носителю на рабочих станциях;реакция при заполнении объема, выделенного для хранения журнала;длина кода авторизации и условия блокировки носителя.До изменения настроек действуют политики по умолчанию:политика доступа к СН на РС: «Доступ без ограничения»;политика заполнения журнала: «Перезаписывать циклически»;политика использования КА: минимальное значение КА равно 6, максимальное — 16, число попыток авторизации пользователя равно 3.Политики доступа носителя делятся на два варианта:«Доступ без ограничения» — носитель работает на любом компьютере,«Доступ с ограничением по доменам и рабочим станциям» — только на разрешенных администратором.При выборе последнего варианта указываются параметры компьютеров, на которых будет разрешена работа, в том числе можно указать конкретный домен Active Directory и рабочую группу. При авторизации пользователя носитель получает идентификатор домена и идентификатор компьютера, и на основании полученных данных разрешает доступ или отказывает в авторизации.Действия при возможном переполнении журнала событий делятся на два варианта:перезаписывать циклически — при заполнении выделенного для хранения журнала объема (512 Мб) события будут записываться в журнал со стиранием самых старых записей;блокировать при переполнении — при достижении этой границы внутреннее программное обеспечение блокирует выполнение пользовательских функций до тех пор, пока администратор не выполнит очистку журнала событий.Настройка политик использования кодов авторизации доступна только в том случае, если не зарегистрирован пользователь.Минимальная и максимальная длина кода авторизации: от 6 до 16 произвольных символов.Максимальное число неудачных попыток авторизации: от 1 до 255.Добавление и удаление компьютера в список разрешенныхЧтобы задать список компьютеров, на которых разрешен доступ к носителю, в консоли администратора требуется выбрать функцию «Установить список разрешенных РС». Рисунок 16. Окно списка разрешенных компьютеров в «Секрете Особого Назначения» По нажатии кнопки «Добавить» на экране появляется окно выбора рабочей станции: Рисунок 17. Окно добавления компьютера в политику в «Секрете Особого Назначения»  Если рабочая станция с заданным именем в сети не найдена, то на экране появляется сообщение об этом.По нажатии кнопки «Текущая РС» на экране появляются имя и домен компьютера, на котором сейчас работает пользователь носителя.По нажатии кнопки «Выбрать из» на экране отображается окно с доступными доменными именами компьютеров. Рисунок 18. Окно выбора компьютеров из списка в «Секрете Особого Назначения»  При первом подключении носителя к компьютеру из числа разрешенных внутреннее программное обеспечение считывает и сохраняет на носителе информацию о параметрах оборудования. В дальнейшем эта информация используется при решении вопроса о предоставлении доступа. Чтобы зарегистрировать компьютер, можно ввести параметры и вручную, например, если они предоставлены пользователем. Но в этом случае нужно предусмотреть способ проверки корректности этих данных, чтобы случайно не предоставить доступ к носителю с постороннего компьютера.Просмотр журналаПросмотреть журнал событий можно только в роли администратора устройства.Для просмотра журнала событий требуется нажать кнопку «Просмотреть журнал работы СН» в консоли администратора. Рисунок 19. Окно просмотра журнала «Секрета Особого Назначения» Журнал содержит информацию о событиях, зафиксированных в процессе работы с защищенным носителем СОН на текущем компьютере. При каждом подключении носителя к компьютеру в журнале регистрируется соответствующее событие для фиксирования собственно факта подключения (подачи электропитания на устройство). Событие регистрируется до начала взаимодействия носителя с прикладным программным обеспечением, установленным в компьютере. Работа с закрытым диском никак не фиксируется в журнале.Содержимое журнала регистрации событий хранится в текстовых файлах в служебном разделе носителя. Рисунок 20. Окно просмотра папки журналов «Секрета Особого Назначения» Общий сброс устройстваОбщий сброс СОН запускается из консоли администратора при нажатии кнопки «Общий сброс СН». При сбросе кроме аннулирования регистрации администратора также происходит сброс настроек носителя, журнала событий, аннулирование регистрации пользователя и удаление пользовательской информации. Эта процедура полезна при смене администратора, чтобы исключить возможный несанкционированный доступ к закрытой информации.После общего сброса на консоли администратора будет доступна только одна функция — «Регистрировать администратора», так как носитель будет приведен в начальное состояние.Смена пароля администратора и восстановление доступа к устройствуВ случае трех подряд неудачных попыток ввода пароля администратора функции администрирования блокируются. Чтобы выйти из этого состояния, следует повторно подключить носитель и перезапустить консоль администратора.Для смены пароля администратора (например, в случае компрометации) в консоли администратора требуется нажать кнопку «Сменить пароль администратора».Для восстановления административных функций в случае утраты пароля администратора требуется выполнить процедуру общего сброса с полной очисткой устройства. Такой сброс выполняется в офисе ОКБ САПР при наличии документов, позволяющих установить право владения устройством.Выполнять эту процедуру не обязательно, поскольку остается возможность выполнения пользовательских функций даже в условиях, когда пароль администратора утрачен.Аннулирование регистрации пользователя, разблокировка носителяЭта функция доступна, если на носителе зарегистрирован пользователь.Аннулирование требуется в следующих случаях:носитель требуется передать другому пользователю;утрачен код авторизации и PUK-код.При выполнении операции аннулирования регистрации пользовательская информация с носителя стирается.Поддержка продуктаСрок гарантии на носитель — 1 год. Если возникнут трудности с «Секретом» и администратор не знает решения, служба технической поддержки ОКБ САПР поможет. Контакты поддержки указаны в документации: электронная почта и телефоны. Кроме того всегда можно прийти в центральный офис компании, чтобы получить помощь. ВыводыМеханизмы ограничения доступа к информации на флэш-накопителях разнообразны: парольная или биометрическая аутентификация пользователя, наличие клавиатур на корпусе, использование шифрования, физически защищенный корпус и удаление данных при несанкционированном доступе. Запрет работы с носителем на посторонних компьютерах — редкость.ПАК ЗХИ «Секрет Особого Назначения» как раз отличается такой функцией и тем, что для работы не требуется устанавливать специальное программное обеспечение на компьютер, а также наличием встроенного в носитель журналом учета подключений к компьютерам. Дополнительно в СОН предусмотрено шифрование данных по ГОСТ 28147-89.Наличие же в реестре российских программ для электронных вычислительных машин и баз данных, сертификация ФСТЭК России как средства защиты от несанкционированного доступа (4 уровень контроля отсутствия недекларированных возможностей и технических условий) делают продукт привлекательным для российского рынка.Стоит обратить внимание, что никакой специальный носитель не может на 100% решить задачу безопасного применения USB-накопителей. Грамотное применение с другими средствами защиты и организационными мерами реализует необходимый уровень защиты информации.ДостоинстваПростая установка и настройка.Работает на операционных системах Windows.Широкий выбор вариантов исполнения по объему, скорости работы и дизайну корпуса.Возможность ограничения доступа компьютеров к СОН по заданным параметрам.Разделение прав администратора и пользователя.Наличие встроенного в носитель журнала событий.НедостаткиНе работает в операционной системе macOS (производитель анонсирует скорую поддержку).В технической документации не указана поддержка Linux и Android, хотя на них решение работает.Неудобный просмотр журналов событий (нет фильтра и поиска).Нет инструментов для централизованного сбора журналов и обслуживания.

ESET Secure Authentication 2.8 — система двухфакторной аутентификации (2FA), которая позволяет защищать доступ к операционной системе, офисным приложениям, облачным сервисам, виртуальным сетям и рабочим столам. Продукт предоставляет большое количество способов доставки пользователю одноразовых паролей, начиная от SMS‑сообщений и заканчивая аппаратными токенами и push‑уведомлениями. ВведениеАрхитектура ESET Secure AuthenticationФункциональные возможности и системные требования ESET Secure AuthenticationУстановка и предварительная настройка ESET Secure AuthenticationРабота с ESET Secure Authentication5.1. Управление пользователями в ESET Secure Authentication5.2. Управление компонентами и создание приглашений в ESET Secure Authentication5.3. Использование ESET Secure Authentication с аппаратными токенами5.4. Использование отчетности и настроек в ESET Secure AuthenticationВыводы ВведениеПри современном развитии технологий понятие рабочего места настолько размыто, что под ним может подразумеваться любое мобильное устройство, имеющее доступ к интернету. При такой организации работы необходимо обеспечить гарантированную аутентификацию пользователя, что предполагает использование стойкой парольной защиты.Пароль, созданный сегодня по всем правилам безопасности и являющийся образцом в стойкости к различного рода взломам, уже завтра может считаться совершенно небезопасным. Информационные технологии ежедневно совершенствуются, а вместе с ними совершенствуются и технологии взлома защиты информации. Для сохранения стойкости пароля его необходимо постоянно усложнять и запоминать длинные буквенно-цифровые комбинации. И все равно эти методы не гарантируют стопроцентную защиту. Массовые утечки учетных данных пользователей подтверждают, что использование одного лишь пароля небезопасно, даже если он и соответствует всем требованиям парольной защиты. Эти выводы подтверждает масштабный опрос интернет‑пользователей, который проводила компания ESET. При проведении опроса 60% пользователей ответили, что они как минимум единожды сталкивались с кражей данных от своих учетных записей, а 25% из них ответили, что становились объектами злоумышленников неоднократно.Сотрудникам, работающим удаленно, необходимо обеспечить стабильный и безопасный доступ к обрабатываемой информации, а работодателю необходимо точно знать, что именно их сотрудник, а не злоумышленник в настоящий момент получил доступ к информационным ресурсам организации. Информация, циркулирующая внутри организации, как правило, значима для компании, и ее конфиденциальность является одной из составляющей успешного бизнеса.Все эти угрозы позволяет минимизировать использование многофакторной аутентификации, а как частное решение — двухфакторная аутентификация (Two Factor Authentication — 2FA).Двухфакторная аутентификация обеспечивает эффективную защиту пользовательских аккаунтов от несанкционированного проникновения в различных сервисах, при помощи запроса двух разных аутентификационных данных. Первый — это стандартное использование связки логин/пароль, а второй — ввод одноразового пароля (OTP). На сегодняшний день процесс двухфакторной аутентификации можно считать надежным барьером, который значительно усложняет злоумышленнику доступ к защищаемой информации.ESET Secure Authentication (далее сокращенно ESA) позволяет внедрить двухфакторную аутентификацию при осуществлении входа в операционную систему компьютера, при обращении к веб‑приложениям Microsoft, при осуществлении доступа к облачным сервисам, а также при обращении к VPN и VDI-системам компании.ESA генерирует одноразовый пароль и позволяет отправить его в виде SMS‑сообщений на заранее зарегистрированный номер мобильного телефона пользователя, либо возможно получить этот пароль в мобильном приложении ESET Secure Authentication, которое устанавливается пользователем заранее, или же одноразовый пароль может быть получен при помощи аппаратного токена пользователя, а также OTP может быть доставлен на пользовательский e-mail адрес.Плюс ко всему перечисленному ESA 2.8 позволяет использовать push‑сообщения для подтверждения аутентификации пользователем и позволяет использовать аутентификаторы, соответствующие стандартам FIDO2, что повышает уровень безопасности и удобство для пользователя. В случае применения push‑сообщения для подтверждения аутентификации, пользователю на установленное мобильное приложение или смарт-часы приходит push‑уведомление, и для успешной аутентификации необходимо лишь одним касанием подтвердить его, или же наоборот отклонить, если по каким-либо причинам необходимость в аутентификации пропала.Далее в обзоре более подробно расскажем о продукте ESET Secure Authentication и рассмотрим, чем же он выгодно выделяется на фоне остальных подобных решений. Архитектура ESET Secure AuthenticationESET Secure Authentication является полностью самостоятельным программным продуктом, предназначенным для корпоративного использования, и представляет собой набор отдельных модулей, которые позволяют внедрять двухфакторную аутентификацию.В ESET Secure Authentication 2.8 можно выделить серверную и клиентскую часть, взаимодействие которых и обеспечивает реализацию двухфакторной аутентификации.Серверная часть продукта поддерживает только операционные системы семейства Windows Server. При работе с учетными записями пользователей используется Microsoft Windows Active Directory или собственная база данных. Использование API позволяет внедрять ESA в любые системы аутентификации, такие как веб‑порталы, системы CRM, различные бухгалтерские системы и т. д., а использование пакета SDK позволяет встраивать двухфакторную аутентификацию в собственное программное обеспечение. Управление серверной частью продукта возможно при помощи веб-консоли ESA.Клиентская часть ESET Secure Authentication совместима с актуальными мобильными платформами и устанавливается на мобильное устройство пользователя, что позволяет ему принимать push-уведомления и генерировать одноразовые пароли доступа. Если по каким-либо причинам использование клиентской части невозможно, то ESET Secure Authentication позволяет использовать аппаратные токены, работающие по стандарту OATH (Open Authentication), и аутентификаторы, соответствующие стандарту FIDO2.Использование клиентской части ESA и аппаратных токенов не является строгой необходимостью. При их отсутствии ESET Secure Authentication не теряет свою функциональность. В этом случае одноразовые пароли могут быть доставлены пользователю в виде SMS или e-mail сообщений.Один из вариантов построения двухфакторной аутентификации при помощи ESET Secure Authentication 2.8 показан на рисунке 1. Рисунок 1. Пример построения двухфакторной аутентификации при помощи ESET Secure Authentication 2.8 В состав ESET Secure Authentication 2.8 входят следующие компоненты:модуль ESA Web Application;модуль ESA Remote Desktop;модуль ESA Windows Login;сервер защиты ESA RADIUS Server;служба ESA Authentication Service;средство управления ESA Management Tools.Каждый компонент реализует строго определенный набор функций, о чем мы поговорим далее в статье. Функциональные возможности и системные требования ESET Secure AuthenticationВ ESET Secure Authentication 2.8 можно выделить следующие основные функции:Защита двухфакторной аутентификацией доступа к офисным приложениям Microsoft. Таких как: Microsoft Exchange Server 2007 (Outlook Web Access — Exchange Client Access Server) (64-разрядная версия); Microsoft Exchange Server 2010, 2013, 2016, 2019 (Outlook Web App — Exchange Client Access Server); Microsoft Dynamics CRM 2011, 2013, 2015, 2016; Microsoft SharePoint Server 2010, 2013, 2016, 2019; Microsoft SharePoint Foundation 2010, 2013.Защита двухфакторной аутентификацией доступа к удаленному рабочему столу, при использовании платформы VMware Horizon View и Citrix XenApp.Защита двухфакторной аутентификацией входа в операционную систему Microsoft Windows.Добавление двухфакторной аутентификации в аутентификацию виртуальной частной сетей компании (VPN), при использовании таких платформ как: Barracuda, Cisco ASA, Citrix Access Gateway, Citrix NetScaler, Check Point Software, Cyberoam, F5 FirePass, Fortinet FortiGate, Juniper, Palo Alto, SonicWall. Добавление двухфакторной аутентификации в пользовательские приложения, например, «1С:Предприятие».Защита входа двухфакторной аутентификацией в облачные сервисы, такие как Office 365 и Google G Suite.Управление пользователями и тонкая настройка отдельных модулей ESA.Поддержка любых аппаратных токенов, поддерживающих стандарт OATH.Подтверждение аутентификации пользователя при помощи push‑сообщений.ESET Secure Authentication не требовательна к системным ресурсам. Основные требования предъявляются к платформе, на которую будет интегрироваться клиентская и серверная части продукта. Поддерживаемые платформы для установки серверной и клиентской части указаны в таблице 1. Таблица 1. Перечень поддерживаемых платформ, необходимый для инициализации клиентской и серверной части ESET Secure Authentication 2.8 Поддерживаемые платформыКлиентская часть ESET Secure Authentication 2.50с iOS 8 до iOS 12; с Android 4.1 до Android 9.0 (сервисы Google Play начиная с версии 10.2.6); с Windows Phone 8.1 до Windows 10 Mobile.Серверная часть ESET Secure Authentication 2.8Windows Server 2008, 2008 R2, 2012, 2012 R2, 2012 Essentials, 2012 R2 Essentials, 2016, 2016 Essentials 2019, 2019 Essentials; Windows Small Business Server 2008, 2011.Для корректной работы каждого компонента, входящего в состав ESA, необходимо наличие определенных предустановленных системных элементов. Перечень таких элементов представлен в таблице 2. Таблица 2. Необходимые системные элементы для корректного функционирования отдельных компонентов ESET Secure Authentication 2.8 Необходимые элементы системыМодуль ESA Web ApplicationWindows Server 2008 или версия новее, либо Windows 7 или более новая версия; .NET Framework версия 4.5; Internet Information Services 7 или версия новееМодуль ESA Remote DesktopWindows Server 2008 или версия новее, либо Windows 7 или более новая версия; (в обоих случаях поддерживаются только 64-разрядные операционные системы); Протокол Remote Desktop (RDP); Веб‑доступ к удаленному рабочему столу Microsoft; Веб‑доступ к службам терминалов Microsoft; удаленный веб‑доступ Microsoft; .NET Framework версия 4.5Модуль ESA Windows LoginWindows 7, 8, 8.1, 10 (включая обновление Fall Creators или Redstone 3); Windows Server 2008 R2 или версия новее; .NET Framework версия 4.5Сервер защиты ESA RADIUS ServerWindows Server 2008 или версия новее; .NET Framework версия 4.5Служба ESA Authentication ServiceWindows Server 2008 или версия новее; .NET Framework версия 4.5Средство управления ESA Management ToolsWindows 7 или версия новее, либо Windows Server 2008 или более новая версия; средства администрирования удаленного сервера Windows; служба доменов Active Directory; Java SE 11 или OpenJDK 11; .NET Framework версия 4.7.2 Установка и предварительная настройка ESET Secure AuthenticationПри первоначальном развертывании продукта необходимо установить как минимум один экземпляр сервера аутентификации (Authentication Server) и как минимум одну конечную точку аутентификации. Эти компоненты возможно инициализировать как на одной системе, так и распределить их по различным рабочим местам. Исключением является веб-консоль, которая является частью сервера аутентификации ESA. Разворачивание сервера аутентификации возможно не только на контроллере домена, но и на любом рабочем месте в среде Active Directory. На рисунке 2 представлен стандартный пример разворачивания системы ESA. Рисунок 2. Стандартное разворачивание ESET Secure Authentication 2.8 Для безопасной установки продукта требуется интернет-подключение, а также необходима установленная платформа .NET Framework версии 4.5, в случае ее отсутствия программа установки попытается автоматически ее инициализировать.Установка продукта начинается с выбора типа установки (рисунок 3). В ESA существует два типа установки: с интеграцией с Active Directory (AD) и без интеграции с AD, т. е. установка автономной версии продукта. Рисунок 3. Окно выбора типа установки ESET Secure Authentication 2.8 При выборе каждого типа установки происходит проверка наличия инициализированных системных компонентов. На рисунке 4 продемонстрирована проверка установленных системных компонентов, при выборе типа установки с интеграцией с Active Directory, а на рисунке 5 проверка установленных компонентов, при выборе автономного типа установки. Рисунок 4. Проверка установленных компонентов при инициализации ESET Secure Authentication с интеграцией Active Directory 2.8 Рисунок 5. Проверка установленных компонентов при автономной инициализации ESET Secure Authentication 2.8 При успешном прохождении проверки наличия установленных системных компонентов в следующем окне нужно выбрать модули ESA, которые необходимы для установки. В таблице 3 перечислены эти модули и их краткое описание. Таблица 3. Модули ESET Secure Authentication 2.8 и их краткое описаниеНаименование модуля ESAНазначение модуляAuthentication ServiceСлужба аутентификации ESA, с помощью которой интегрируется двухфакторная аутентификация в пользовательские приложенияManagement ToolsСредства управления ESA. Используется для управления пользователями и настройки продукта и его компонентовReporting Engine (Elasticsearch)Механизм отчетности ESA. Позволяет просматривать отчеты в веб‑консоли платформыWindows LoginМодуль добавляет двухфакторную аутентификацию при осуществлении входа в операционную систему компьютераRADIUS Server for VPN ProtectionПри помощи RADIUS-сервера возможно добавление двухфакторной аутентификации в процесс аутентификации VPN-соединенияRemote Desktop ProtectionМодуль добавляет двухфакторную аутентификацию в процесс аутентификации пользователей при использовании удаленного рабочего столаWeb Application Protection for Microsoft Exchange ServerМодуль позволят добавить двухфакторную аутентификация при работе с Microsoft Exchange ServerWeb Application Protection for Microsoft SharePoint ServerМодуль включает двухфакторную аутентификацию при работе с семейством продуктов Microsoft SharePoint ServerWeb Application Protection for Remote Desktop Web AccessМодуль позволяет защитить веб‑приложения для удаленного доступа рабочего стола при помощи добавления двухфакторной аутентификацииWeb Application Protection for Microsoft Dynamics CRMМодуль добавляет двухфакторную аутентификацию в пакет программного обеспечения Microsoft Dynamics CRMWeb Application Protection for Remote Web AccessМодуль позволяет интегрировать процесс двухфакторной аутентификации в веб‑приложения для удаленного доступаActive Directory Federation Services (AD FS) ProtectionМодуль позволяет защитить двухфакторной аутентификацией доступ к Active DirectoryСледующим этапом после выбора модулей необходимо указать предварительные настройки сервера аутентификации и RADIUS-сервера (рисунок 6), а затем указать логин и пароль для защиты доступа веб‑консоли администратора (рисунок 7), а также логин и пароль для ограничения доступа к механизму отчетности (рисунок 8). Рисунок 6. Окно с предварительными настройками сервера аутентификации и сервера защиты RADIUS в ESET Secure Authentication 2.8 Рисунок 7. Окно ввода логина и пароля для защиты веб‑консоли администратора в ESET Secure Authentication 2.8 Рисунок 8. Окно ввода логина и пароля для доступа к механизму отчетности в ESET Secure Authentication 2.8 На следующем этапе платформа повторно проводит проверку наличия системных компонентов и, если все компоненты соответствуют предъявляемым требованиям, то ESET Secure Authentication успешно инициализируется в системе. Работа с ESET Secure AuthenticationРабота с ESET Secure Authentication 2.8 осуществляется при помощи веб‑консоли управления. Доступ к веб‑консоли возможен с помощью Microsoft Internet Explorer 11, Google Chrome (последняя версия), Mozilla FireFox (последняя версия), Microsoft Edge (последняя версия) и Safari (последняя версия).Веб‑консоль позволяет:управлять пользователями (добавление, удаление пользователей, изменение второго фактора аутентификации и т. п.);проводить настройку установленных модулей;управлять лицензией продукта.Для доступа в веб‑консоль необходимо ввести в окне авторизации логин и пароль, которые были указаны во время установки продукта. На рисунке 9 представлено окно авторизации в веб‑консоли. Рисунок 9. Окно авторизации в веб‑консоли ESET Secure Authentication 2.8Управление пользователями в ESET Secure AuthenticationГлавное окно веб‑консоли (рисунок 10) предоставляет информацию о количестве зарегистрированных в системе пользователей, данные о сервере аутентификации, количестве установленных модулей, версию продукта и сведения о лицензии продукта. Рисунок 10. Главное окно веб‑консоли ESET Secure Authentication 2.8 Вкладка USERS в главном окне веб‑консоли содержит список всех зарегистрированных в системе пользователей и позволяет ими управлять и настраивать их профиль в соответствии с требованиями политики безопасности, утвержденной в организации. В ESET Secure Authentication 2.8 возможна регистрация пользователей в ручном режиме и их синхронизация при помощи протокола LDAP, а также возможно импортирование списка пользователей из более поздних версий ESA при помощи CSV или LDIF файлов. На рисунке 11 показано окно со списком зарегистрированных в системе пользователей. Рисунок 11. Список пользователей в ESET Secure Authentication 2.8 При синхронизации пользователей с помощью протокола LDAP (рисунок 12), необходимо указать адрес сервера LDAP, тип сервера, указать логин и пароль доступа LDAP, а также указать интервал синхронизации. Рисунок 12. Синхронизация пользователей при помощи протокола LDAP в ESET Secure Authentication 2.8 Список пользователей отображает информацию о включении пользователя в ту или иную пользовательскую область и информацию об использовании типа двухфакторной аутентификации для каждого пользователя. При клике на имени пользователя открывается окно состояния пользователя (рисунок 13), которое позволяет просмотреть информацию об использовании двухфакторной аутентификации, добавить или исключить лишний тип аутентификации, который используется в качестве второго фактора защиты, возможно изменение пользовательского номера телефона, на который при необходимости будет отправлен код доступа, а также позволяет заблокировать пользователя или полностью его удалить из системы. Рисунок 13. Окно просмотра состояния пользователя в ESET Secure Authentication 2.8 Для каждого пользователя в отдельности указывается способ доставки одноразового пароля и указывается возможность использования аппаратных токенов и push‑аутентификации. На рисунке 14 представлен пример push‑сообщения на устройстве под управлением операционной системы Android и iOS. Рисунок 14. Пример push‑сообщения, используемый для аутентификации пользователя на мобильном устройстве под управлением Android (слева) и iOS (справа) При получении такого сообщения пользователь может согласиться и подтвердить свою аутентификацию и это будет равноценно предоставлению одноразового пароля, либо отказаться и отклонить push‑сообщение, в этом случае авторизация пользователя будет отклонена.Управление компонентами и создание приглашений в ESET Secure AuthenticationВкладка COMPONENTS в главном окне веб‑консоли позволяет управлять установленными компонентами. На рисунке 15 приведен пример изменения настроек такого компонента, как «RADIUS-сервер». Рисунок 15. Пример настройки сервера защиты RADIUS в ESET Secure Authentication 2.8 Помимо управления установленными компонентами, во вкладке COMPONENTS можно создавать так называемые приглашения (рисунок 16). Они необходимы для развертывания двухфакторной защиты в сети без использования доменной службы Active Directory. Каждое приглашение можно ограничить по времени и количеству раз использования. Рисунок 16. Создание приглашения в ESET Secure Authentication 2.8 В окне создания приглашения указывается его наименование, время, которое оно будет действительно, и максимальное количество попыток его использования. После заполнения всей необходимой информации и создания приглашения система показывает все детали созданного приглашения (рисунок 17). Рисунок 17. Просмотр деталей созданного приглашения в ESET Secure Authentication 2.8 Управление и настройка установленных компонентов позволяет более точно реализовать и внедрить только необходимые функции двухфакторной аутентификации в каждый процесс доступа к конфиденциальным данным, а создание приглашений делает процесс внедрения двухфакторной аутентификации гибким.Использование ESET Secure Authentication с аппаратными токенамиЕсли по какой-либо причине у пользователя отсутствует возможность или желание использовать клиентскую часть и одноразовые пароли, то в ESET Secure Authentication реализована возможность использования аппаратных токенов для генерирования кодов доступа и использования их в качестве второго фактора защиты.ESET Secure Authentication поддерживает все аппаратные токены, соответствующие стандарту OATH. На сегодняшний день такие токены предлагают: VASCO, Gemalto (SafeNet), Yubico, Protectimus, Feitian и NagraID.С помощью вкладки HARD TOKENS, которая находится в главном окне веб‑консоли, ESA позволяет управлять используемыми аппаратными токенами. В этой вкладке можно посмотреть список используемых пользователями аппаратных токенов (рисунок 18) в котором указывается дата начала и окончания использования токена, назначение использования, производитель токена и его тип. Рисунок 18. Список используемых аппаратных токенов в ESET Secure Authentication 2.8 Аппаратные токены не поставляются совместно с ESA, при необходимости они приобретаются отдельно. Для формирования списка используемых аппаратных токенов нужно импортировать в систему файл XML-файл в формате PSKC. Такой файл должен поставляться совместно с токеном, а в случае отсутствия такого файла его необходимо запросить отдельно у производителя.При использовании токена может возникнуть такая ситуация, как его рассинхронизация. Это может произойти, если пользователь создаст большое количество запросов на создание одноразовых паролей за короткий промежуток времени. Для исправления такой ситуации веб‑консоль ESA позволяет провести повторную синхронизацию токена.Использование отчетности и настроек в ESET Secure AuthenticationЕсли во время установки продукта дополнительно был установлен модуль Reporting Engine (Elasticsearch), то в этом случае ESET Secure Authentication 2.8 позволяет просматривать системные отчеты, в которых отражаются:все действия, проводимые в веб‑консоли;сообщения об ошибках;информация об отправке SMS-сообщений с одноразовым кодом доступа;информация по аудиту системы;информация по регистрации пользователей.Системные отчеты можно найти в главном окне веб‑консоли, нажав на вкладку REPORTS (рисунок 19). Отчет содержит такую информацию, как время и дата события, информацию о компоненте системы, в котором произошло событие, описание события, имя пользователя, инициировавшего событие, и результат выполнения события. Рисунок 19. Пример отчета в ESET Secure Authentication 2.8 Система также представляет информацию о зафиксированных событиях в виде графиков и диаграмм, что делает отчетность более наглядной и дает возможность офицеру безопасности проводить более качественный анализ выявленных инцидентов информационной безопасности, а использование фильтра позволяет отсеять ненужные события и провести расследование инцидента в кратчайшие сроки.Вкладка SETTINGS, доступ к которой находится в главном окне веб‑консоли, открывает возможности для тонкой настройки отдельных элементов системы, а именно:управление учетной записью администратора веб‑консоли (добавление и удаление учетной записи, изменение типа аутентификации, блокирование профиля);управление лицензией продукта;настройка отчетности системы;настройка аутентификации по стандарту FIDO;настройка учетных данных API;настройка аутентификации мобильных приложений;создание и изменение списка белых IP‑адресов или их диапазонов, т. е. таких адресов, при доступе с которых не будет запрашиваться второй фактор защиты;выбор вариантов доставки одноразового пароля, которые будут использоваться по умолчанию при добавлении новых пользователей в систему.На рисунке 20 приведен список настроек ESET Secure Authentication 2.8 с открытой вкладкой настройки списка белых IP‑адресов. Рисунок 20. Настройка списка белых IP‑адресов в ESET Secure Authentication 2.8 ВыводыИспользование двухфакторной аутентификации становится фактически стандартном для критических бизнес-приложений. Драйвером развития рынка двухфакторной аутентификации остаются риски несанкционированного доступа к данным и критическим для бизнеса информационным системам.ESET Secure Authentication 2.8 позволяет применять двухфакторную аутентификацию для входа в операционную систему Windows, входа в облачные сервисы, доступа к VPN и VDI-системам организации. Также при помощи дополнительных модулей можно защищать вход в операционные системы семейства macOS и Linux, и программные продукты собственной разработки.Можно отметить, что продукт прост в установке и настройке, а модульная структура помогает более рационально использовать его для постепенного внедрения двухфакторной аутентификации для различных задач.Достоинства:Клиентская часть продукта поддерживает распространенные мобильные платформы, такие как: iOS с 8 до 12 версии; Android с версии 4.1 до 9.0 и с Windows Phone 8.1 до Windows 10 Mobile.Простота использования клиентской части продукта.Легкость интеграции продукта в существующую инфраструктуру организации.Модульная структура продукта позволяет добавлять двухфакторную аутентификацию только в необходимые процессы.Выбор наиболее удобного для пользователя способа получения одноразового пароля: при помощи SMS или e-mail или же при помощи мобильного приложения.Применение push‑сообщений в качестве второго фактора защиты при аутентификации пользователей.Поддержка любых аппаратных токенов, работающих по стандарту OATH (Open Authentication) HOTP.Набор средств разработки SDK и API для интеграции с со сторонними приложениями и ОС, отличными от Windows.Бесплатная круглосуточная поддержка продукта.Недостатки:Серверная часть продукта не переведена на русский язык, что в некоторых ситуациях осложняет понимание того или иного элемента настройки.Полноценное функционирование продукта только в операционных системах семейства Windows. Для macOS и Linux необходимо использовать дополнительные модули для корректной настройки продукта.На момент подготовки обзора отсутствует сертификат ФСТЭК России.

Криптографический сетевой программный комплекс КриптоПро NGate — TLS-шлюз производства компании КриптоПро, который позволяет обеспечить защиту от различных угроз со стороны внешнего нарушителя при организации удаленного доступа пользователей к веб-приложениям и другим корпоративным ресурсам. Продукт поддерживает различные способы аутентификации пользователя; разграничение доступа пользователей к ресурсам; зарубежные и отечественные криптографические алгоритмы; обеспечивает высокую производительность и масштабируемость. ВведениеАрхитектура КриптоПро NGateСистемные требования КриптоПро NGateСертификация по требованиям безопасности информацииФункциональные возможности КриптоПро NGate5.1. Режимы функционирования5.2. Методы аутентификации5.3. Возможности интеграции5.4. ПроизводительностьРабота с КриптоПро NGate6.1. Предварительные замечания6.2. Подготовка к эксплуатации6.3. Настройка доступа6.4. Обслуживание в ходе эксплуатации6.5. Подключение пользователя к порталуВыводы ВведениеКомпания КриптоПро работает на рынке производителей отечественных средств криптографической защиты информации (СКЗИ) без малого 20 лет и успела завоевать в отрасли одно из лидирующих положений. Вплоть до последнего времени этот бренд вызывал устойчивые ассоциации с криптопровайдером, средствами электронной подписи (ЭП) и средствами удостоверяющих центров (УЦ). Более того, для многих людей он успел стать едва ли не собирательным образом для обозначения таких СКЗИ.Относительно недавно в линейке продуктов компании произошло пополнение. Оказалось, что компания в течение нескольких последних лет проводила планомерную работу по созданию продукта иного типа, результатом которой стал NGate — высокопроизводительный TLS-шлюз, позволяющий построить полноценную VPN-сеть для обеспечения защищенного удаленного доступа пользователей к информационным ресурсам. Важнейшим конкурентным преимуществом продукта стала одновременная поддержка как TLS-ГОСТ, так и зарубежных криптонаборов TLS. Кроме того, обратить на него пристальное внимание заставляет возможность одновременной работы как с VPN-клиентами, так и в условиях веб-доступа, в режиме терминации TLS-соединений. Во многих существующих альтернативных решениях те же возможности зачастую предполагают использование разных продуктов. Рисунок 1. Одновременная поддержка отечественных и зарубежных алгоритмов в КриптоПро NGate Появление на рынке СКЗИ продукта с такой функциональностью следует признать крайне своевременным. Конечно, всегда были и будут востребованы средства, позволяющие решать проблему защиты удаленного доступа к сервисам электронной почты, веб-консолям управления различными ИТ-системами, системам обмена знаниями, корпоративным порталам, удаленным рабочим столам, файловым серверам, офисному программному обеспечению, системам электронного документооборота и т.п. Однако помимо перечисленных традиционных бизнес-применений в настоящее время наметился целый ряд дополнительных сфер повышенного спроса на подобные средства. Приведем только наиболее показательные примеры.Подавляющее большинство пользователей российского сегмента интернета, независимо от того, являются ли они частными лицами или сотрудниками организаций, используют операционные системы (ОС) и прикладное программное обеспечение (ПО) зарубежного производства. Наличие необходимых криптографических примитивов для реализации протокола TLS на основе зарубежных криптографических стандартов обеспечивается встраиванием криптографических библиотек и сертификатов зарубежных УЦ в состав ОС и/или браузера. Хотя в РФ есть УЦ, которые выдают собственные SSL-сертификаты, последние не предустановлены в ОС и веб-браузерах, и даже те российские сайты, которые используют проверенные сертификаты, все равно получают их в зарубежных центрах сертификации.Описанная ситуация складывалась в российском сегменте интернета на протяжении многих лет, но негативные побочные эффекты стали очевидны лишь теперь. В качестве примера уместно вспомнить хотя бы прошлогоднюю историю с отзывом компанией GeoTrust SSL-сертификата Общественной палаты РФ в результате санкционной политики со стороны США. После этого инцидента были развеяны последние сомнения в том, что перечень оснований для отзыва сертификата далеко не ограничивается компрометацией закрытого ключа, а вполне может быть обусловлен политическими и экономическими причинами.В качестве меры противодействия было принято решение о реализации перехода государственных учреждений на использование российских криптографических алгоритмов и средств шифрования в рамках электронного взаимодействия между собой, с гражданами и организациями (Поручение Президента РФ № Пр-1380 от 16.07.2016). Конечно, все понимают, что в одночасье решить проблему невозможно, переход должен быть постепенным. Поэтому на некотором этапе, по-видимому, нужно обеспечить бесконфликтное сосуществование на российских веб-серверах TLS-сертификатов как отечественного, так и зарубежного происхождения. На первых порах это позволит пользователю получать доступ к ресурсам российских сайтов независимо от того, поддерживает ли его браузер отечественные алгоритмы или еще нет.По инициативе Банка России и Минкомсвязи России создана и развивается единая биометрическая система (ЕБС), призванная обеспечить предоставление цифровых коммерческих и государственных услуг для граждан в любое время и в любом месте.Применение удаленной биометрической идентификации клиентов в финансовой сфере регламентировано Федеральным законом «О внесении изменений в отдельные законодательные акты Российской Федерации» от 31.12.2017 N 482-ФЗ. Согласно 482-ФЗ, концепция получения доступа к услугам «в любое время и в любом месте» подразумевает возможность использования клиентом в этих целях любого устройства, будь то смартфон, планшет или стационарный компьютер.Какой бы способ клиент ни выбрал, ему должна быть предоставлена возможность использовать для доступа сертифицированное СКЗИ с алгоритмами ГОСТ. И если в сценарии с использованием мобильного устройства право превращается в обязанность (клиенту будет попросту отказано в удаленной идентификации, если на смартфоне не установлено СКЗИ, сертифицированное ФСБ России по классу КС1), то при доступе со стационарного компьютера у клиента появляется выбор — он вполне может использовать для защиты доступа и зарубежные криптоалгоритмы. Для серверной стороны (информационной системы банка), реализующей для защиты канала связи протокол TLS, это означает, что нужно одновременно обеспечить поддержку как TLS-ГОСТ, так и зарубежного TLS. Насколько нам известно, в настоящее время на рынке только у NGate имеется соответствующая функциональность.Из приведенных примеров видно, что КриптоПро, вооружившись продуктом NGate, имеет все основания претендовать на статус компании, имеющей в своем портфеле наиболее актуальные решения. Предлагаем рассмотреть подробнее, каким образом и за счет каких внутренних механизмов NGate достигаются анонсированные положительные эффекты. Архитектура КриптоПро NGateВ состав КриптоПро NGate входят следующие компоненты:серверная часть (собственно криптошлюз и система управления);клиентская часть (опционально).При внедрении в небольшие организации, которые не испытывают потребности в обеспечении отказоустойчивости при организации защищенного удаленного доступа, фактически достаточно установки единственного шлюза, контролирующего доступ к приложениям невысокого уровня критичности. В этом случае криптошлюз целесообразно объединить с системой управления в единой аппаратной или виртуальной платформе. Функции управления при этом могут выполняться с любого автоматизированного рабочего места (АРМ) администратора с помощью веб-браузера с поддержкой алгоритмов ГОСТ. Рисунок 2. Схема внедрения КриптоПро NGate с установкой шлюза и системы управления на одну аппаратную платформу  Если требуется создать отказоустойчивую систему доступа к критичным информационным ресурсам организации, предпочтительно использовать схему кластерного внедрения. Рисунок 3. Схема внедрения КриптоПро NGate с раздельной установкой криптошлюзов и системы управления  В этой схеме несколько криптошлюзов объединяются в кластер, который может объединять до 32 нод, а система управления устанавливается на отдельный сетевой узел. При этом кластер может быть распределен по нескольким центрам обработки данных (ЦОД).Схема кластерного развертывания допускает возможность применения имеющегося в организации балансировщика нагрузки. Выход из строя какого-либо элемента кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются балансировщиком между устройствами и соединение перераспределяется на свободные узлы.Централизованная система управления позволяет производить настройку, мониторинг и управление всеми шлюзами доступа организации. Предусмотрена возможность удаленной автоматизированной загрузки конфигураций на все узлы кластера, а также получение параметров работы кластера из единого центра управления в режиме онлайн. Системные требования КриптоПро NGateКриптошлюз NGate поставляется в виде аппаратной или виртуальной платформы. В случае выбора первого варианта исполнения NGate поставляется предустановленным на оборудование КриптоПро, установка программного обеспечения NGate на собственные технические средства организации не допускается. Рисунок 4. Внешний вид некоторых исполнений аппаратной платформы КриптоПро NGate  Поддерживается также работа криптошлюза NGate в виртуальной инфраструктуре, однако такое решение имеет некоторые ограничения, связанные с пониженным классом сертификации.Клиентский компонент КриптоПро NGate может функционировать под управлением следующих ОС:Microsoft Windows 7/8/8.1/10;macOS X 10.9/10.10/10.11/10.12/10.13/10.14;Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и др.);iOS;Android.Широкий набор поддерживаемых операционных систем предоставляет для пользователя возможность защищенного доступа к корпоративным ресурсам при работе практически с любого клиентского устройства. Сертификация по требованиям безопасности информацииКриптоПро NGate удовлетворяет следующим требованиям и рекомендациям регуляторов:серверные и клиентские компоненты продукта имеют сертификат соответствия Требованиям ФСБ России к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классу КС1, КС2 и КС3;реализация криптографических протоколов проведена в полном соответствии с методическими рекомендациями и рекомендациями по стандартизации ТК 26: МР 26.2.001-2013 «Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS)»; Р 50.1.114-2016 «Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов»; Р 50.1.113-2016 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хеширования».При использовании продукта в рамках виртуальной инфраструктуры выполняются требования к СКЗИ по классу КС1. Функциональные возможности КриптоПро NGateРежимы функционированияКриптоПро NGate обладает развитыми средствами полномочного управления, в результате применения которых пользователи получают доступ только к заданным ресурсам в соответствии с применяемыми политиками безопасности. Использование такого подхода существенно упрощает процедуру администрирования большого количества разных групп пользователей с доступом к значительному числу различных ресурсов, уменьшает ошибки администрирования и снижает риск утечки конфиденциальных данных.КриптоПро NGate предоставляет возможность работы в различных режимах, из числа которых можно выделить три основных.Режим TLS-терминатораКлассическое применение данного режима — системы дистанционного банковского обслуживания (ДБО). При этом криптошлюз устанавливается посередине между клиентским компьютером и целевыми информационными ресурсами, терминирует сетевой трафик и без прохождения аутентификации пользователя передает его далее на целевой ресурс. Рисунок 5. Работа КриптоПро NGate в режиме TLS-терминатора Режим портального доступаВ режиме портального доступа может дополнительно проводиться процедура аутентификации. При доступе через браузер пользователи попадают в свой личный портал, персонализированный в соответствии с ролью (см. рисунок 2). При этом на портале отображается список ресурсов, к которым пользователи имеют доступ в соответствии с корпоративными политиками безопасности. В список ресурсов могут входить различные веб-приложения.Пользователю достаточно знать только имя веб-ресурса (например, portal.company.ru), к которому ему нужно подключиться, а администратор может создавать любое количество разных порталов доступа для различных групп пользователей.В отличие от IPSec, который обеспечивает доступ к ресурсам доступным по IP (подсеть или отдельный компьютер), с использованием портального доступа можно обеспечить более гибкое разграничение доступа, предоставляя конкретному пользователю право использовать целевое веб-приложение на сервере.Режим VPN-доступа.Данный режим предназначен для получения защищенного доступа к произвольными ресурсам, доступным по IP. В отличие от IPSec, в данном режиме доступна возможность предоставления доступа на основе таблиц маршрутизации и VLAN.Методы аутентификацииКриптоПро NGate предоставляет широкий набор различных способов аутентификации пользователя:без аутентификации (используется в режиме TLS-терминации);аутентификация по логину и паролю (MS Active Directory);аутентификация с использованием сертификата (простая проверка на валидность; аутентификация по полям: Organization, Organizational Unit, Enhanced Key Usage);аутентификация по UPN в MS Active Directory;аутентификация с использованием сертификата в MS AD/LDAP;аутентификация по одноразовым паролям при интеграции с Radius.Если учесть возможность комбинирования предложенных способов, можно утверждать, что продукт позволяет реализовать и довольно сложные схемы аутентификации пользователей.КриптоПро NGate поддерживает различные токены доступа, такие как «Аладдин», «Рутокен», Esmart и многие другие.Возможности интеграцииКриптоПро NGate может быть интегрирован со следующими системами:системы аутентификации: КриптоПро NGate может успешно использоваться совместно с Active Directory, LDAP, Radius;системы мониторинга: КриптоПро NGate поддерживает стандартный протокол управления устройствами SNMP, а это значит, что он может выступать в качестве подконтрольного объекта для систем мониторинга работы сетевых узлов;SIEM: за счет поддержки стандартизированного сетевого протокола syslog КриптоПро NGate может отправлять сообщения во внешние системы управления информационной безопасностью;Web Application Firewall: в КриптоПро NGate реализована глубокая интеграция с сервисом защиты веб-приложений Wallarm, что позволяет в рамках единой аппаратной или виртуальной платформы организовать выявление и блокирование атак, обнаружение уязвимостей и отслеживание периметра с дообучением на основе анализа отслеживаемого трафика. При этом КриптоПро NGate может поставляться с уже протестированными профилями безопасности.ПроизводительностьКриптоПро NGate в лучшую сторону отличается от многих конкурентных решений с точки зрения обеспечения высоких показателей производительности:пропускная способность шлюза в режиме VPN c обеспечением аутентификации — до 10 Гбит/с;поддержка одновременных аутентифицированных сеансов — до 40000;возможность обработки новых соединений в секунду – до 8000.Приведенные значения характеризуют вариант с использованием одного криптошлюза. В рамках кластерной схемы по мере увеличения числа узлов показатели производительности увеличиваются почти линейно. Работа с КриптоПро NGateПредварительные замечанияРабота с КриптоПро NGate подразумевает выполнение набора процедур в рамках администрирования и использования, что справедливо в отношении, пожалуй, любого программного или программно-аппаратного продукта.Функции администрирования КриптоПро NGate можно условно разделить на две группы:подготовка к эксплуатации и настройка доступа пользователей;обслуживание ходе эксплуатации.Даже самое поверхностное знакомство с продуктом позволяет понять, что задача администрирования требует выполнения значительного объема работ, что, впрочем, неудивительно для сложного технического изделия, реализующего большое количество функций. Однако, к счастью, львиная доля усилий требуется только на начальном этапе, а в процессе штатной эксплуатации потребность в постоянном участии администратора отсутствует.Для успешной настройки программного обеспечения NGate администратор должен обладать необходимой компетенцией, предполагающей наличие высокой квалификации и знаний в области создания сетевой инфраструктуры, уверенное владение основными понятиями в области создания инфраструктуры открытых ключей (PKI), основам работы с операционной системой Debian.В свою очередь, со стороны пользователя требуются лишь минимальные усилия для того, чтобы работать в системе, защищенной с помощью КриптоПро NGate, и специальных требований по квалификации к пользователю не предъявляется.Как уже отмечалось выше, в минимальной конфигурации NGate представляет из себя единственный узел, который сочетает в себе роли криптошлюза и системы управления. Фактически в рамках минимальной конфигурации формируется кластер, состоящий из одного узла NGate. Именно такая схема эксплуатации изделия была использована в тестовых целях при подготовке данной статьи. При этом в качестве платформы для развертывания системы выступала виртуальная машина VMware Workstation. Необходимые установочные файлы были загружены в виде iso-образа с официального сайта cryptopro.ru после прохождения несложной процедуры регистрации.Параметры виртуальной машины, достаточные для развертывания тестового стенда, оказались достаточно скромными:гостевая операционная система Debian Linux 9 x64;ОЗУ – 1 ГБ;жесткий диск –8 ГБ;два виртуальных сетевых интерфейса (тип сетевого адаптера E1000, тип сетевого взаимодействия Bridged Networking).В качестве АРМ администратора использовался персональный компьютер под управлением Windows с установленным программным обеспечением СКЗИ «КриптоПро CSP».Подготовка к эксплуатацииТиповой процесс установки и первичной настройки NGate включает следующие этапы.Подготовка аппаратной платформы для установки операционной системы NGateВ рамках данного этапа нужно организовать подключение аппаратных платформ для узлов NGate и системы управления к сети организации.При этом обязательно нужно учитывать, что аппаратные платформы, которые предполагается использовать в качестве узлов NGate, должны иметь одинаковые технические характеристики.Создание внешнего загрузочного носителяВ нашем случае, т. е. для минимальной конфигурации системы, в рамках которой функциональность шлюза совмещена с функциональностью системы управления, используется исполнение Complete установочного образа. Для создания загрузочного носителя образа может использоваться любое стороннее программное обеспечение — например, программа Rufus.Организация локального доступаПоскольку в процессе настройки изделия потребуется наличие консольного доступа к аппаратной платформе, следует либо подключить при помощи кабеля к консольному порту RJ-45 ноутбук, либо подключить монитор к порту RJ-45 и клавиатуру к USB-порту.Примечание. Разумеется, в случае использования виртуальной платформы выполнение перечисленных выше этапов не требуется. Вместо них достаточно установить дистрибутив .iso в CD-привод виртуальной машины и включить в BIOS виртуальной машины загрузку с установочного диска. Рисунок 6. Начало процесса установки КриптоПро NGate  Дальнейший порядок установки для аппаратных и виртуальных платформ почти не имеет отличий.Установка ПО NGateПосле выполнения процедуры проверки целостности дистрибутива в процессе установки программного обеспечения требуется в том числе задать два пароля: суперпользователя уровня ОС, под управлением которой работает ПО NGate, — root, а также администратора консоли управления — ng-admin. Рисунок 7. Задание паролей администраторов в процессе установки КриптоПро NGate  В этой части несколько непривычно смотрится отсутствие встроенных механизмов контроля сложности задаваемого пароля. Хотя эксплуатационная документация на продукт содержит детальные рекомендации по выбору длины и алфавита надежного пароля, контроль за соблюдением приведенных рекомендаций со стороны администратора полностью отдается на откуп организации. Видимо, в настоящее время продукт переживает стадию бурного развития, когда разработчики стремятся наделить его в первую очередь множеством функций, реализация которых не терпит отлагательств, и до некоторых тривиальных механизмов попросту не дошли руки.Первый запуск программного обеспечения NGateВ мастере настройки автоматически запускается утилита ng-netcfg, и это означает, что нужно задать параметры двух статических сетевых интерфейсов, а также интерфейса управления для подключения АРМ администратора через веб-интерфейс. Далее потребуется задать часовой пояс и можно сгенерировать гамму при помощи биологического датчика случайных чисел (клавиатурный ввод), которая используется для создания ключей.При первом запуске в программе настройки откроется окно с запросом на разрешение удаленного доступа по SSH. Рисунок 8. Запрос на разрешение удаленного доступа по SSH при запуске КриптоПро NGate  Следует согласиться с этим предложением и войти в систему с правами суперпользователя.Создание инфраструктуры PKIСоздание инфраструктуры PKI — один из наиболее ответственных и трудоемких шагов. Нет нужды в подробностях останавливаться на порядке выполнения операций для достижения этой цели — исчерпывающая инструкция приводится в эксплуатационной документации на продукт. Отметим только, что создаваемая инфраструктура открытых ключей призвана обеспечить достижение следующих целей:защищенный доступ со стороны АРМ администратора к системе управления;защищенное взаимодействие системы управления с узлами NGate;защищенное взаимодействие узлов NGate.Для создания инфраструктуры PKI в системе NGate может быть использован либо сторонний УЦ, либо внутренний сервис NGate.Для наших целей использовался более простой с организационной точки зрения второй вариант, при котором сертификаты генерирует сервис, встроенный в систему управления NGate. Важно, что внутренний сервис обладает функциями, позволяющими выпускать сертификаты и ключи с поддержкой алгоритма шифрования по ГОСТ Р 34.10-2012.Создаваемая NGate инфраструктура PKI предусматривает использование следующих сертификатов:корневой сертификат УЦ — используется для проверки подлинности сертификатов, участвующих в создании инфраструктуры PKI. Корневой сертификат УЦ должен быть установлен на всех компонентах системы;сертификат системы управления веб-сервера — серверный сертификат, который используется для подтверждения подлинности системы управления и защиты передаваемых данных между АРМ Администратора и системой управления;служебный сертификат системы управления – клиентский сертификат, который используется для подтверждения подлинности системы управления при взаимодействии с узлами NGate;сертификат узла NGate — серверный сертификат, который используется для подтверждения подлинности узла NGate и защиты передаваемых данных между ним и системой управления;сертификат администратора — клиентский сертификат, который используется для подтверждения подлинности администратора при взаимодействии между АРМ администратора и системой управления.Настройка АРМ администратораНа данном шаге производится установка корневого сертификата УЦ в хранилище АРМ администратора, после чего становится возможным доступ к системе управления NGate по защищенному каналу https. Для этого достаточно запустить на АРМ администратора браузер с поддержкой TLS-ГОСТ (Internet Explorer, Яндекс.Браузер и др.), ввести адрес вида https://<ip_системы_управления>:8000, логин ng-admin и пароль, заданный при установке.Настройка доступаПосле развертывания инфраструктуры ключей администратор получает доступ к веб-интерфейсу администрирования NGate, с помощью которого производится настройка криптошлюза, параметров мониторинга и управления.Организация доступа пользователей не вызывает каких-либо затруднений, хотя и требует известной внимательности в ходе выполнения довольно значительного количества элементарных операций. Логика требуемых шагов применительно к небольшой организации и уж тем более, как в нашем случае, в тестовых целях может выглядеть несколько громоздкой и избыточной. Но если принять во внимание, что NGate — это универсальная платформа для защиты инфраструктуры организаций любого масштаба, все встает на свои места.Итак, для настройки доступа пользователей к порталу потребуются следующие шаги:создание кластера. Все узлы NGate (криптошлюзы) в рамках системы управления должны быть объединены в кластеры. Кластер может включать в себя до 32 узлов;создание и настройка узлов внутри кластера;ввод лицензионных ключей. В ознакомительных целях КриптоПро предоставляет возможность бесплатного использования продукта в течение пробного периода длительностью три месяца с ограниченным числом подключений к шлюзу NGate. Для полноценного использования программного обеспечения NGate необходимо произвести активацию и ввести лицензионный ключа кластера и лицензионный ключ «КриптоПро CSP»;создание элемента серверного мандата. Серверный мандат состоит из сертификата сервера и закрытого ключа, которые публикуются на портале. Данный сертификат необходим для организации TLS-соединения между шлюзом NGate и клиентским устройством пользователя;настройка балансировщиков нагрузки (если предполагается их использование);создание конфигураций — логические элементы, описывающие параметры кластера, защищаемые шлюзом NGate ресурсы и права доступа к ним;создание порталов для каждой конфигурации — логические элементы, описывающие параметры групп защищаемых ресурсов, ресурсы и права доступа к ним;создание сетевых ресурсов: веб-ресурсов, динамических туннельных ресурсов, redirect-ресурсов;задание в конфигурации прав доступа к сетевым ресурсам (Access Control List) в зависимости от используемого метода аутентификации: на основе членства пользователей в группах LDAP, на основе информации в полях пользовательского сертификата, на основе ограничений по дате и времени;задание в конфигурации привязки прав доступа к защищаемым сетевым ресурсам, которая определяет, при выполнении каких правил доступа пользователь получит доступ к тому или иному ресурсу на портале;публикация конфигураций. В ходе этого процесса формируются и отправляются на узлы системы необходимые конфигурационные файлы. Далее производится проверка базовых параметров конфигурации и подготовка конфигурации к использованию. Если этот процесс завершится без сбоев, то система выполнит активацию конфигурации. В противном случае в интерфейсе системы управления будет отображено уведомление об ошибке, и текущая конфигурация останется без изменений.Обслуживание в ходе эксплуатацииВыше мы уже обращали внимание, что объем действий, который может потребоваться от администратора в процессе эксплуатации изделия, сравнительно невелик. Из их числа можно выделить следующие типовые сценарии.Настройка параметров сетевых интерфейсов и доступа по SSH. Требуется при внесении каких-либо изменений в конфигурацию сети организации и может быть выполнена из веб-интерфейса системы управления NGate. Разрешение сетевого доступа к изделию по протоколу SSH рекомендуется к применению исключительно для диагностики, устранения неполадок и просмотра текущих настроек. Рисунок 9. Настройка параметров сетевых интерфейсов КриптоПро NGate  Мониторинг расходования ресурсов и проверка состояния криптошлюза NGate. Обратиться к соответствующим функциям администратору, возможно, потребуется при необходимости выявления нештатных ситуаций в работе изделия, связанных с некорректным функционированием или снижением производительности (например, вследствие утечек памяти или сетевых ресурсов). Для этого потребуется обеспечить локальный доступ к аппаратной платформе с помощью консольного терминала или монитора и клавиатуры, подключенных к коммуникационным портам COM и USB. В ходе мониторинга и проверки состояния администратор в консольном режиме получает возможность выполнять различные команды NGate, позволяющие производить диагностику неисправностей.В штатном же режиме возможен мониторинг основных параметров устройства по протоколу SNMP.Кроме того, с помощью различных консольных команд администратор может выполнять и другие рутинные операции (полный список доступных команд приведен в эксплуатационной документации на изделие):смена паролей администраторов (команды ngpasswd, ngwebpasswd);резервное копирование и восстановление конфигурации кластера (команда ng-backup);сбор диагностической информации о системе (команда ng-info);изменение имени устройства (файл /etc/hostname);обновление ПО NGate (команда ng-updater).Подключение пользователя к порталуПредоставление пользователю возможности подключения к порталу реализуется на клиентской стороне исключительно простой последовательностью шагов.Прежде всего, если на компьютере пользователя портала еще не установлено программное обеспечение криптопровайдера, необходимо загрузить с официального сайта и установить программное обеспечение «КриптоПро CSP 4.0», запустив установочный файл CSPSetup.exe с правами администратора. Настройки, заданные по умолчанию, можно оставить без изменений.После успешной установки криптопровайдера можно приступить собственно к развертыванию клиентской части NGate, дистрибутив которой поставляется в виде файла NGClientSetup.exe. Установка этого программного обеспечения также не может вызвать каких-либо трудностей — можно оставить без изменений настройки, которые заданы по умолчанию.Далее требуется установить необходимые сертификаты.Для организации безопасного соединения с порталом по https необходимо установить корневой сертификат УЦ в хранилище сертификатов на компьютере пользователя. Рисунок 10. Установка корневого сертификата УЦ КриптоПро NGate на компьютере пользователя Если доступ к порталу организован с использованием доверенного сертификата пользователя, необходимо установить его на компьютере пользователя. Для этих целей обычно применяется ключевой носитель информации с интерфейсом подключения USB, который необходимо подключить к компьютеру и затем выбрать нужный из списка сертификатов.Если доступ к порталу организован с использованием логина и пароля, то эта операция не нужна.Больше для установки и настройки ничего не требуется. Остается только запустить клиентское ПО NGate, ввести адрес портала, доступ к которому необходим пользователю, инициировать подключение и пройти процедуры идентификации и аутентификации (по сертификату или логину/паролю — в зависимости от способа организации доступа). После успешного выполнения перечисленных действий предоставляется доступ к сетевым ресурсам в соответствии с заданными политиками доступа.Следует отметить, что имеется возможность проверить работоспособность клиентской части сразу после установки NGate за счет подключения к тестовому шлюзу https://ng-test.cryptopro.ru с аутентификацией по логину/паролю. Профиль настроек данного шлюза включен в программное обеспечение по умолчанию, и для подключения достаточно только нажать кнопку «Включить». На рисунке ниже показано, как выглядит окно подключения, на примере клиентского ПО NGate для Android. Рисунок 11. Подключение к тестовому шлюзу КриптоПро NGate  ВыводыПоявление КриптоПро NGate на рынке средств криптографической защиты информации может расцениваться как естественная реакция на современные тенденции:централизация доступа пользователей к информационным ресурсам, потребность подключения к рабочему пространству из различных точек, включая дом, транспорт, места командировок и отдыха;в соответствии с повышением уровня мобильности сотрудников расширяется и номенклатура устройств, с помощью которых сотрудники получают доступ к корпоративным ресурсам: смартфоны, планшеты, ноутбуки;постоянное расширение круга лиц, которым необходимо предоставлять доступ к тем или иным категориям корпоративных ресурсов: партнеры, контрагенты, аутсорсинговые организации, внештатные сотрудники.КриптоПро NGate позиционируется как продукт, полностью удовлетворяющий всем необходимым требованиям, предъявляемым к перспективным средствам защиты информации:соответствие действующему законодательству: КриптоПро NGate сертифицирован ФСБ России, включен в состав ряда «собственных» и «типовых» решений (в терминологии методических рекомендаций Банка России 4-МР от 14.02.2019) по линии ЕБС в качестве средства криптографической защиты биометрических персональных данных, передаваемых между подразделениями банка и центральным офисом, а также в качестве средства аутентификации граждан при получении банковских услуг; кроме того, продукт может использоваться в соответствии со своим непосредственным назначением для реализации технических защитных мер, предписанных законодательством в области ПДн, ГИС и КИИ;способность удовлетворить потребности государства и бизнеса: КриптоПро NGate служит для предоставления защищенного удаленного доступа пользователей к информационным ресурсам в коммерческих и государственных организациях, а также для предоставления по защищенному каналу электронных услуг (электронные торговые площадки, ДБО, сдача электронной отчетности и др.);способность удовлетворить ожидания лиц, непосредственно осуществляющих эксплуатацию продукта — пользователей и администраторов: КриптоПро NGate обеспечивает работу на различных устройствах, не требует сложных управляющих воздействий со стороны пользователя, позволяет работать как с помощью VPN-клиента, так и посредством веб-браузера; обладает высокими уровнями отказоустойчивости и масштабирования, возможностями гибкой настройки политик безопасности.ПреимуществаВыполнение требований регуляторов, предъявляемых к средствам защиты информации данного типа.Единственный на рынке полноценный сертифицированный VPN-TLS шлюз, поддерживающий на клиентской стороне практически все ОС.Одновременная поддержка отечественных и зарубежных алгоритмов.Исключение необходимости встраивания криптопровайдера в прикладное программное обеспечение и как следствие — отсутствие необходимости проведения оценки влияния прикладной части на выполнение криптографических функций.Возможность функционирования в различных режимах в зависимости от решаемой задачи и поддержка множества методов аутентификации.Поддержка множества популярных клиентских платформ.Высокая производительность и масштабируемость решений, построенных на базе этого продукта.НедостаткиНет поддержки VPN-IPSec, которая позволила бы применять КриптоПро NGate при организации защищенного взаимодействия между территориально распределенными площадками.Нет поддержки TLS 1.3.Как и в решениях других производителей, не реализован шифр «Кузнечик» из стандарта симметричного блочного шифрования ГОСТ Р 34.12-2015.По сведениям, предоставленным представителями компании КриптоПро, планы реализации соответствующих доработок имеются, и в недалеком будущем потребители смогут воспользоваться усовершенствованной версией продукта, включающей эти возможности.

Система R-Vision SGRC 4.1 — это программная платформа, обеспечивающая централизованное управление информационной безопасностью с применением интегрированного подхода. Продукт помогает автоматизировать такие процессы информационной безопасности, как управление рисками, моделирование угроз, оценка соответствия требованиям информационной безопасности, контроль информационных активов, мониторинг состояния информационной безопасности в организации, а также предоставляет единое рабочее пространство для подразделения ИБ по управлению задачами в рамках перечисленных процессов. ВведениеФункциональные возможностиНовые возможности R-Vision SGRC 4.1Работа с R-Vision SGRC 4.14.1. Ведение реестра материальных и нематериальных активов организации4.2. Категорирование объектов КИИ4.3. Проведение оценки соответствия активов нормативным и законодательным требованиям4.4. Проведение оценки рисков информационной безопасности4.5. Отчетность и визуализацияАрхитектура и технические особенностиЛицензированиеСоответствие требованиям регуляторовВыводы ВведениеРешения класса Security GRC предназначены для автоматизации процесса управления информационной безопасностью (Governance). Они помогают оценить систему безопасности организации с точки зрения риск-менеджмента (Risk), соответствия отраслевым или законодательным стандартам и требованиям регуляторов (Compliance).Предлагаемый SGRC-системами подход к управлению безопасностью позволяет контролировать достижение целей высшего руководства путем своевременного выявления рисков, формирования системы внутренней нормативной документации и контроля за соблюдением внешних требований. А рассчитываемые автоматически показатели и метрики позволяют менеджменту принимать обоснованные решения по развитию системы ИБ или отдельных ее процессов.На рынке наблюдается растущий спрос на решения данного класса, который поддерживается не только регуляторными требованиями, но и осознанием топ-менеджмента в первую очередь крупных компаний важности кибербезопасности и включением стратегии управления кибербезопасностью в общую стратегию управления и развития бизнеса.Ранее мы публиковали обзор российского рынка SGRC, а также сравнение российских SGRC-решений. В этом сравнении участвовала платформа R-Vision SGRC версии 3.0. С момента выхода обзора прошло 1,5 года. За это время разработчик внес множество существенных изменений. В частности, добавил функции по категорированию объектов КИИ и проведению аудита по Приказу ФСТЭК России №239, реализовал конструктор графиков, функциональность по управлению аудитами была фактически полностью переработана и вышла на качественно новый уровень. В архитектурном плане можно отметить поддержку инсталляций в режиме multitenancy под нужды MSSP-провайдеров и крупных заказчиков со множеством дочерних обществ. Функциональные возможностиR-Vision SGRC обеспечивает решение следующих задач:Ведение реестра материальных и нематериальных активов организации:инвентаризация ИТ-инфраструктуры,учет связей между активами,формирование перечня критических активов,проведение оценки их ценности,автоматическое определение применимых к активам нормативных и законодательных требований.Проведение категоризации объектов КИИ:ведение перечней объектов КИИ и связанных критических процессов,автоматический расчет категории значимости на основе опроса экспертов,формирование пакета документов по результатам категорирования.Проведение оценки соответствия активов нормативным и законодательным требованиям:формирование годовых планов проверок, контроль сроков и статусов проводимых аудитов,выполнение проверок соответствия с помощью настраиваемых опросных листов,автоматический расчет показателей соответствия (на основе типовых и пользовательских методик),учет и контроль устранения выявленных нарушений,формирование планов по устранению замечаний.Проведение оценки рисков информационной безопасности:организация совместной работы различных групп экспертов,оценка степени вероятности реализации угроз ИБ и тяжести последствий с прогнозированием возможного ущерба,составление плана мероприятий по обработке рисков, исходя из имеющегося бюджета на информационную безопасность,автоматическое формирование модели угроз и модели нарушителя ИБ,моделирование угроз по требованиям ФСТЭК России.Управление операционными задачами персонала с возможностью автоматического создания и оперативного уведомления.Ведение базы внутренней документации по информационной безопасности с возможностью создания списков доступа пользователей к документам.Автоматизация функций по формированию отчетности:создание реестров рисков, планов мероприятий по их обработке,формирование пакетов документов по результатам проведения аудитов. Новые возможности R-Vision SGRC 4.1По сравнению с версией R-Vision SGRC 3.0, которая участвовала в сравнении российских SGRC-решений, можно выделить следующие новые возможности платформы R-Vision SGRC 4.1:Категорирование объектов КИИ с автоматическим расчетом категории значимости и формирования необходимых документов.Полностью переработанная функциональность по проведению оценки соответствия требованиям (аудита):реализация полного цикла проведения проверки: планирование, оценка, фиксация замечаний, формирование плана по их устранению;новые возможности по работе с замечаниями;шаблоны для быстрого создания замечаний и мероприятий по их устранению;возможность регулировать доступ пользователя к определенным группам требований и отдельным этапам проведения проверки;возможность включать повышенный контроль за действиями аудитора;автоматическая синхронизация задач, замечаний и мероприятий по их устранению: по статусам, ответственным и срокам исполнения;работа со сводными аудитами, объединяющими разные проверки по одному или нескольким активам в одну комплексную;фильтрация аудитов, замечаний и мероприятий с возможностью сохранения результата во вкладках быстрого доступа.Обновленные справочники нормативных документов, включающие в себя Приказы ФСТЭК России, банковские стандарты, лучшие практики и др.Реализован конструктор графиков для представления данных в нужном разрезе.Гибкая настройка полей описания всех ключевых элементов системы: карточек активов, проведения оценки, замечаний и мероприятий по их устранению.Поддержка инсталляций в режиме multitenancy. Работа с R-Vision SGRC 4.1Ведение реестра материальных и нематериальных активов организацииУправление активами является базовым функциональным блоком R-Vision SGRC, поскольку проведение оценок рисков и аудитов осуществляется на основе реестра активов.Функциональность по управлению активами позволяет решать такие задачи как:учет материальных и нематериальных активов и их взаимосвязей (процессы, информация, информационные системы, сети, оборудование, пользователи, группы ИТ-активов);подготовка активов к проведению оценок рисков, аудита, категорирования (для объектов КИИ);инвентаризация ИТ-инфраструктуры: сбор, регистрация, обогащение и агрегация информации по активам с различных источников в единой системе, а также сканирование сетей без применения агентов.В результате регулярной работы с этим разделом формируется единая база активов, которая служит центральной точкой контроля за состоянием ИТ-инфраструктуры и безопасностью активов.Основные функции блока «Управление активами»Прежде всего, стоит отметить, что состав полей в карточках активов может настраиваться при необходимости. Помимо полей, присутствующих в свойствах по умолчанию, пользователи могут добавить собственные пункты описания.В системе также реализованы функции автоматического управления свойствами оборудования и информационных систем:политики сканирования — критерии запуска автоматического поиска оборудования в сети;политики запуска скриптов — критерии автоматического выполнения скриптов на обнаруженных в сети узлах;политики обнаружения программного обеспечения — критерии поиска определенного программного обеспечения на сканируемом оборудовании;политики назначения атрибутов — критерии автоматического заполнения полей оборудования и групп ИТ-активов. Рисунок 1. Правило автоматического включения оборудования в группу ИТ-активов в R-Vision SGRC Создаваемые в системе активы делятся на типы. Тип актива определяет доступные в отношении него функции, возможность связей с другими активами и состав полей, отображаемый в его карточке. Базовыми типами активов являются: Подразделения, Бизнес-процессы, Группы ИТ-активов, Информация, Оборудование, Помещения. Дополнительные сведения об ИТ-инфраструктуре содержатся на вкладках: Сети, ПО, Домены, Персонал. Рисунок 2. Работа с активами типа Информация в R-Vision SGRC Важной функциональной особенностью блока «Активы» является возможность проставления связей между объектами ИТ-инфраструктуры и нематериальными активами. Корректно настроенные связи позволяют:отслеживать состав систем, а также поддерживаемые ими процессы и обрабатываемую информацию;проводить автоматический поиск активов для включения в область оценки рисков;автоматически генерировать производные риски для связанных активов;автоматически заполнять ряд свойств активов (ответственные лица, локация и др.);генерировать отчеты и строить графики в различных разрезах.Для типов активов, поддерживающих оценку рисков, в разделе «Атрибуты безопасности» можно указать зависимость безопасности выделенного актива от безопасности активов, связанных с ним. Рисунок 3. Взаимосвязь атрибутов безопасности активов в R-Vision SGRC  Инвентаризация ИТ-инфраструктурыАвтоматический сбор информации о составе ИТ-инфраструктуры реализован в системе R-Vision SGRC при помощи коннекторов к базам данных, CMDB-решениям, сканерам защищенности, антивирусным средствам защиты и другим решения. Для каждой интеграции существует возможность настройки объема импортируемой информации.R-Vision SGRC также обладает встроенным механизмом инвентаризации, который позволяет проводить сканирование подсетей и собирать детальную информацию об ИТ-инфраструктуре без использования агентов. Сканирование рабочих станций и серверов под управлением Windows производится с помощью инструментария WMI и Remote RPC. Под управлением Linux/Unix-систем, а также сетевого оборудования — по протоколу SSH.Узлы, найденные в ходе инвентаризации, могут быть автоматически занесены в соответствующие Группы ИТ-активов с помощью Политик назначения атрибутов. Рисунок 4. Просмотр результатов сканирования на вкладке Оборудование в R-Vision SGRC  В R-Vision SGRC также присутствует возможность автоматической маркировки и удаления из системы устаревшего оборудования.Категорирование объектов КИИR-Vision SGRC 4.1 может быть дополнен функциональностью по проведению категорирования объектов КИИ в соответствии с порядком, утвержденным Постановлением Правительства № 127 от 08.02.2018.Разработчик предусмотрел в продукте встроенный калькулятор, который позволяет рассчитать категорию значимости объекта КИИ. Для этого пользователю необходимо оценить критерии значимости объекта, выбрав нужное значение из списка, и указать обоснование выставленной оценки. На основе введенных параметров система автоматически укажет соответствующую категорию. Рисунок 5. Проведение оценки категории значимости объекта КИИ в R-Vision SGRC  По результатам категорирования можно автоматически сформировать необходимый пакет документов:акт категорирования;сведения о присвоении категории значимости объекта КИИ.Для формирования Акта проверки необходимо предварительно провести в отношении объекта КИИ аудит по Приказу ФСТЭК России № 239. При создании отчета система автоматически выгрузит из оценки заведенные замечания, а также рекомендации аудитора.Подробнее ознакомиться с функциональностью категорирования объектов КИИ можно в статье на сайте разработчика.Проведение оценки соответствия активов нормативным и законодательным требованиямФункциональный блок «Аудит и контроль» R-Vision SGRC в версии 4.1 получил мощное развитие. Разработчик разбил процесс проведения аудита на отдельные этапы, которые позволяют реализовать полный цикл проведения проверок:ПланированиеПроведение проверокАнализ замечанийФормирование и контроль реализации планов по устранению замечанийКаждый из этапов детально проработан и предусматривает собственные настройки. Это позволяет подключать разных экспертов к различным этапам оценки, регулировать доступность тех или иных полей, контролировать каждый из этапов по отдельности и добиться большей прозрачности всего процесса в целом. Сам процесс осуществления проверки теперь происходит быстрее и удобнее.Поскольку эта функциональность подверглась наибольшим изменениям, остановимся на ней подробнее.Автоматизация расчетовВ основе автоматизации оценки соответствия с помощью R-Vision SGRC лежит настройка алгоритма расчета итоговых показателей. По умолчанию разработчик предлагает использовать собственную методику, разработанную аналитиками R-Vision. Методика основывается на «индексах соответствия» — поиске средней оценки аудитора с учетом весовых коэффициентов требований. Плюсом предлагаемой методики является простота интерпретации итогового результата, а также возможность ее сочетания с различными шкалами оценки.При необходимости пользователи могут применять пользовательские методики, для чего в R-Vision SGRC 4.1 предусмотрен конструктор типов аудита, позволяющий реализовывать сложные расчеты с использованием формул, списков и таблиц. Рисунок 6. Настройка типа аудита в R-Vision SGRC  Дополнительно пользователи могут настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.R-Vision SGRC 4.1 поставляется с широким набором предустановленных стандартов:Приказ ФСТЭК № 17;Приказ ФСТЭК № 31;Приказ ФСТЭК № 239;PCI DSS (v.3.1 и v.3.2);SWIFT’s Customer Security Programme;ГОСТ Р ИСО/МЭК 27001-2006;Положение Банка России № 382-П;Стандарт банка России СТО БР ИББС-1.0-2014;и другие.ПланированиеВ основе проведения аудитов с помощью R-Vision SGRC лежит реестр активов, в котором хранится ключевая информация по проверяемым объектам — их описание, взаимосвязи, расположение в организационной структуре и другие данные.Несмотря на то, что основная работа с проверками осуществляется на вкладке «Аудит и контроль», весь этап «Планирование» может быть проведен напрямую из реестра активов. Для удобства пользователя в реестре доступна вся необходимая информация для поиска нужных активов: дата начала ближайшего запланированного аудита, дата окончания последнего завершенного, перечень проводившихся аудитов, текущие работы по устранению замечаний и т. д. Рисунок 7. Планирование проверок из раздела Активы в R-Vision SGRC  В R-Vision SGRC выделяется два типа аудитов:Простой аудит — представляет собой опросный лист, заполняемый аудитором в отношении одного актива.Сводный аудит — представляет собой объединение нескольких опросных листов в единую проверку. Сводные аудиты могут включать разные опросные листы для разных активов и упрощают дальнейший процесс обработки заводимых замечаний. Сводные аудиты удобно использовать в случае, когда информационная система проверяется на соответствие сразу нескольким стандартам или когда в рамках оценки одной системы проверяется целый ряд входящего в нее оборудования.Результаты планирования будут доступны на вкладке Аудиты в разделе «Аудит и контроль», где для удобства отслеживания определенных групп проверок можно создать вкладки по фильтрам. Рисунок 8. Просмотр результатов планирования на вкладке Аудиты в R-Vision SGRC  Проведение оценкиВ системе R-Vision SGRC 4.1 предусмотрено автоматическое уведомление менеджеров аудита о приближении запланированной даты проведения оценки.При заполнении опросного листа аудитор выставляет оценку (например: «Выполняется полностью») и указывает обоснование/рекомендации и др. в отношении каждого пункта проверки. Все необходимые показатели система рассчитает автоматически и отобразит на вкладке «Результаты» внизу экрана. Рисунок 9. Проведение аудита в R-Vision SGRC  Для быстрой навигации в верхней части экрана присутствуют стрелки, переносящие аудитора к ближайшему неоцененному или последнему просмотренному пункту. Рисунок 10. Выставление оценки аудитором в R-Vision SGRC  Внутри аудита пользователям доступны дополнительные функции:прикрепление свидетельств;рабочий чат;раздел связанных замечаний;просмотр журнала изменений;просмотр значений показателей соответствия;генерация отчетности.Чтобы снизить человеческий фактор и усилить контроль за действиями аудитора, в настройках R-Vision SGRC 4.1 можно включить дополнительные опции:запрет на завершение аудита при наличии неоцененных пунктов опросного листа;запрет на выставление оценки, свидетельствующей о наличии нарушения, без заведения замечания в системе;отдельный учет обоснований неприменимости пунктов оценки.В R-Vision SGRC 4.1 также предусмотрена система контрольных проверок для контроля пересекающихся требований различных нормативных документов. Контрольные проверки позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт.Внесение и обработка замечаний аудитаПри выявлении нарушения в ходе проведения проверки аудитор должен внести в свойства оцениваемого пункта замечание. В R-Vision SGRC доступно два режима создания замечаний:По шаблону (рекомендуется разработчиком) — пользователь выбирает подходящую формулировку из предлагаемого списка. Выбираемый шаблон заранее заполнен нужной информацией. Использование типовых замечаний существенно сокращает время на фиксацию нарушений и их дальнейший анализ, снижает вероятность ошибки со стороны человека, а также позволяет строить статистику по результатам аудита. Рисунок 11. Создание замечания по шаблону в R-Vision SGRC  Вручную — пользователь выбирает карточку (тип замечания) с нужным составом полей и самостоятельно заполняет необходимую информацию. Рисунок 12. Создание замечания по шаблону в R-Vision SGRC  В разделе «Замечания» пользователю доступен список всех открытых замечаний, выявленных для выделенного пункта проверки, а также история замечаний за прошлые периоды. Рисунок 13. Список замечаний в R-Vision SGRC  Формирование плана мероприятий по устранению замечанийПосле окончания работ со списком замечаний пользователь может приступить к формированию плана мероприятий по их устранению. Рисунок 14. Просмотр мероприятий по устранению, связанных с замечанием в R-Vision SGRC  Как и в случае с замечаниями, в R-Vision SGRC доступно два режима создания мероприятий:По шаблону (рекомендуется)Вручную.В случае использования шаблонов система осуществит автоматический поиск похожих замечаний и предложит включить их в область мероприятия по устранению. Это поможет избежать заведения дубликатов и сократит время на формирование плана. Рисунок 15. Список мероприятий в R-Vision SGRC  В момент заведения мероприятия в системе автоматически генерируется связанная с ним задача, синхронизирующаяся с мероприятием по статусу, ответственному и срокам исполнения. Замечание, обработка которого была включена в план, будет закрыто автоматически после завершения всех связанных с ним мероприятий.При необходимости пользователи могут декомпозировать мероприятия на подзадачи для более детальной настройки сроков и исполнителей.Проведение оценки рисков информационной безопасностиФункциональный блок «Риски» позволяет проводить регулярную оценку рисков информационной безопасности с учетом исторических данных, проводить моделирование по требованиям ФСТЭК, а также формировать план по обработке рисков, оптимизируя его под имеющийся бюджет.Проведение типовой оценки рисков с помощью R-Vision SGRC включает в себя следующие этапы:Подготовка к проведениюИдентификация рисковОценка рисковФормирование плана обработкиУтверждение результатов оценки рисковАвтоматизация расчетов Система R-Vision SGRC обладает функциональностью автоматического расчета текущих и целевых уровней риска на основе различных алгоритмов. Широкий набор предустановленных методик — одна из ключевых особенностей решения:Типовая схема оценки рисков (R-Vision) — методика, разработанная аналитиками R-Vision. Поддерживает проведение качественной и количественной оценки рисков на основе ценности актива, потенциала источника угроз и эффективности внедренных защитных мер. Итоговые уровни рисков рассчитываются исходя из полученных значений вероятности и ущерба от реализации угрозы. Значения всех параметров заполняются автоматически, требуя минимального участия пользователя.Базовая количественная оценка — упрощенная версия Типовой схемы, позволяющая проводить только количественную оценку рисков.Базовая трехуровневая схема — качественный уровень риска определяется по таблице на основе значений вероятности и ущерба, оцениваемых экспертами.Базовая числовая трехуровневая схема — количественный эквивалент Базовой трехуровневой схемы.ALE (Annual Loss Expectance) — среднегодовой ущерб в результате инцидентов безопасности (количественная оценка).FAIR (Factor Analysis of Information Risk Methodology) — Факторный анализ информационных рисков.РС БР ИББС-2.2-2009 — методика оценки рисков нарушения информационной безопасности Банка России.Схема оценки угроз ФСТЭК России — на основе «Методики определения угроз безопасности информации в информационных системах».При необходимости пользователи также могут вносить в систему собственные методики с помощью конструктора.Другой ключевой особенностью системы является автоматический поиск актуальных рисков на основе введенных параметров. В основе поиска лежит использование каталогов угроз, содержащих данные о связях между источниками, предпосылками и потенциальными рисками. По умолчанию в R-Vision SGRC загружена полностью настроенная «Типовая база угроз ИБ», разработанная аналитиками R-Vision. При необходимости пользователи могут сформировать собственные каталоги. В систему также перенесен Банк данных угроз безопасности информации ФСТЭК России.Помимо каталогов угроз в R-Vision SGRC предусмотрено ведение каталогов защитных мер, позволяющих систематизировать информацию о внедренных в организации средствах и мерах защиты. По умолчанию пользователям предлагаются:Типовой каталог защитных мер (R-Vision);Critical Security Controls v.6.0;Critical Security Controls v.7.0.Проведение оценки рисковПроцесс оценки рисков начинается с подготовки активов к проведению оценки. Пользователям потребуется указать используемую методику оценки, допустимые уровни риска, а также провести оценку ценности актива, заполнив простой опросник.Оценки рисков создаются в разделе Риски/Оценки. При наполнении таблицы «Область оценки» система произведет автоматический поиск активов, для которых могут быть выявлены дополнительные риски (если предварительно между ними была настроена связь). Рисунок 16. Оценки рисков в R-Vision SGRC  После создания оценки рисков и настройки прав доступа наступает этап идентификации рисков. Он требует минимальных усилий со стороны пользователей — в отношении каждого актива из области оценки участникам нужно последовательно отметить:актуальные на их взгляд источники рисков;имеющиеся предпосылки (уязвимости, которые могут быть использованы источниками для реализации угроз);внедренные защитные меры (раздел заполняется автоматически, если для актива ведется учет защитных мер в разделе Система защиты/Защитные меры).Дальнейший поиск рисков осуществляется системой автоматически на основании связей в каталогах рисков. Рисунок 17. Список актуальных рисков, полученный на этапе идентификации рисков в R-Vision SGRC  Результаты поиска будут представлены на вкладке «Оценки», система рассчитает уровни выявленных рисков автоматически.Если в область оценки входит несколько активов и между ними была настроена взаимосвязь, система сообщит о наличии производных рисков — последствий нарушения атрибутов безопасности систем и процессов.Полная информация по риску отображается в его карточке справа: категория, тип (прямой/производный), нарушаемый атрибут безопасности, значения параметров оценки, связанные источники и предпосылки. Рисунок 18. Параметры рисков в R-Vision SGRC  Результаты автоматической оценки могут быть скорректированы пользователями. При необходимости менеджер оценки рисков может сформировать экспертную группу, участники которой будут оценивать параметры рисков самостоятельно. Рисунок 19. Интерфейс оценки риска экспертом в R-Vision SGRC  После завершения оценки параметров риска пользователи могут приступить к формированию плана по их обработке. Рисунок 20. Добавление мероприятий по обработке рисков в R-Vision SGRC  В R-Vision SGRC доступны различные типы мероприятий по обработке — внедрение или совершенствование защитной меры, разовое мероприятие, уход от риска, передача риска. В отношении каждого мероприятия назначается ответственный и сроки реализации. Дополнительно система может рассчитать амортизированную годовую стоимость мероприятия (средства защиты).R-Vision SGRC также автоматически рассчитывает общий бюджет плана по обработке и влияние сформированных мероприятий на уровни рисков (отображается в колонке «Целевой уровень риска»). Это позволяет сделать экспресс-оценку эффективности и стоимости отдельных мероприятий и скорректировать план. Рисунок 21. План обработки рисков в R-Vision SGRC  После того как для рисков были посчитаны уровни и сформированы мероприятия по их обработке, менеджер оценки принимает решение о ее фиксации (завершении).Фиксация рисков — необратимое действие, блокирующее дальнейшие изменения в оценке. После фиксации результаты оценки переносятся в разделы, в которых хранятся исторические данные по активам. При создании новой оценки для этого же актива ранее выявленные риски и незавершенные мероприятия автоматически отобразятся в ней, что позволяет учитывать результаты работы экспертной группы за прошедшие периоды. Рисунок 22. Фиксация оценки в R-Vision SGRC  Моделирование угроз по требованиям ФСТЭКR-Vision SGRC 4.1 позволяет проводить моделирование угроз по требованиям ФСТЭК России на основе проекта «Методики определения угроз безопасности информации в информационных системах».Порядок действий аналогичен типовой оценке рисков. Дополнительно пользователю потребуется заполнить ряд описательных полей в свойствах актива, указать входящие в систему компоненты, а также указать цели нарушителей на этапе идентификации рисков. Рисунок 23. Проведение оценки актуальности угроз в R-Vision SGRC  По результатам оценки система сгенерирует документ «Модель угроз», соответствующей требованиям ФСТЭК России.Отчетность и визуализацияR-Vision SGRC содержит большой набор отчетов, позволяющих:генерировать необходимый пакет документов для сдачи отчетности по результатам аудита по ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0-2014, 382-П, PCI DSS;формировать планы-графики проведения аудитов;сравнивать результаты нескольких аудитов, проведенных по активу;формировать сводки по статусам и срокам выполнения задач;генерировать необходимый пакет документов для сдачи отчетности по результатам категорирования объектов КИИ;строить реестры рисков в различных разрезах и различной степенью детализации;формировать итоговое представление планов по обработке рисков с указанием бюджета, требуемого для их реализации;формировать сводную информацию по активам в различных разрезах с учетом заданных в системе взаимосвязей.Отчеты могут формироваться как вручную, так и в автоматическом режиме согласно заданному расписанию. Во втором случае сгенерированный файл будет отправлен на почту указанным в политике пользователям. Существует возможность формирования собственных шаблонов отчетов с выгрузкой в них определенных блоков данных.Построение графиков доступно в двух режимах: с использованием конструктора (в отношении данных из раздела Активы/Оборудование) и по шаблону.Конструктор графиков позволяет строить диаграммы типа круговая, столбчатая и линейная для любых полей оборудования с указанием группировки данных, периода отображения.Шаблоны графиков доступны для всех функциональных блоков и представляют собой наиболее часто используемые режимы вывода информации. В отношении шаблонов можно дополнительно применять пользовательские фильтры для более детальной настройки выводимой информации. Рисунок 24. График, построенный с использованием шаблона в R-Vision SGRC  Архитектура и технические особенностиR-Vision SGRC поставляется в виде образа со всем необходимым предустановленным и настроенным программным обеспечением, который можно развернуть как в виртуальной инфраструктуре, так и на обычном сервере.Архитектура решения R-Vision SGRC состоит из следующих основных компонентов:центральный сервер;центральный коллектор;коллектор инвентаризации.Центральный сервер обеспечивает реализацию основных функций системы, управление остальными компонентами и централизованное обновление, взаимодействие с администраторами и пользователями системы. Кроме основного центрального сервера может быть развернут дополнительный HA-сервер.Центральный коллектор обеспечивает агрегацию/обработку данных и обеспечивает интеграцию системы R-Vision со смежными системами и средствами защиты, всегда размещается на сервере системы.Коллектор инвентаризации обеспечивает проведение инвентаризации в отдельных сегментах сети и передачу данных на центральный сервер. Физически данный компонент размещается отдельно от центрального сервера.В минимальной комплектации для объектов с небольшой ИТ-инфраструктурой все компоненты R-Vision SGRC могут размещаться на одном сервере (т. н. All-in-One-устройство). При территориально-распределенной ИТ-инфраструктуре компании или в случае, когда число контролируемых объектов защиты значительное, решение масштабируется за счет размещения дополнительных коллекторов.В R-Vision SGRC 4.1 реализован режим multitenancy, что позволяет использовать одну инсталляцию системы для одновременной и независимой работы с несколькими организациями, например, MSSP-провайдерами. В продукте предусмотрена возможность учета оборудования с пересекающейся адресацией, разграничения систем и доступов, настраивается ролевая модель, взаимодействие нескольких инстансов.Управление R-Vision SGRC осуществляется через веб-интерфейс с помощью веб-браузера по протоколу HTTPS. Обмен информацией между центральным сервером и коллектором осуществляется по протоколам SSL/TLS.R-Vision SGRC функционирует под управлением одной из следующих операционных систем: CentOS 7, Red Hat Enterprise Linux 7, Astra Linux CE 2.12, AltLinux Альт 8 СП. В качестве СУБД применяется PostgreSQL v.10 или выше. В большинстве случаев БД размещается на той же виртуальной машине, на которой функционирует центральный сервер R-Vision SGRC.Выбор архитектуры решения R-Vision SGRC зависит от характеристик ИТ-инфраструктуры, числа конечных устройств (ИТ-активов), организационной структуры компании, пропускной способности каналов передачи данных, принятой в компании модели управления и требований к отказоустойчивости.Для инсталляции системы требуется виртуальная машина с характеристиками, удовлетворяющими требованиям документации решения. С целью тестирования и подготовки обзора продукт был развернут на машине с минимальными характеристиками: 4 vCPU, 16 ГБ RAM, 100 ГБ свободного места на диске, сетевой адаптер GE.Для доступа к серверу R-Vision SGRC не требуется установка клиента на АРМ, достаточно ввести IP-адрес сервера в браузере.В R-Vision SGRC реализована ролевая модель доступа. Предусмотрены глобальные роли на уровне системы и роли на уровне входящих в состав решения функциональных блоков. ЛицензированиеR-Vision SGRC обладает гибкой схемой лицензирования, что позволяет заказчику выбрать необходимую функциональность с возможностью последующего расширения.Формирование стоимости R-Vision SGRC зависит от следующих факторов:функциональность;объем контролируемой ИТ-инфраструктуры (совокупное число серверов, АРМ, включая виртуальные, число активного сетевого оборудования);коннекторы к смежным системам;кастомизация;срок технической поддержки. Соответствие требованиям регуляторовПлатформа R-Vision SGRC 4.1 позволяет компаниям выполнить часть требований по соответствию отраслевым стандартам и законодательству в области обеспечения ИБ:149-ФЗ «Об информации, информационных технологиях и о защите информации»;152-ФЗ «О персональных данных»;187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие);Приказы ФСТЭК России №17 (ГИС), №21 (ИСПДн), № 31 (АСУ ТП), №239 (КИИ);Требования к безопасности данных индустрии платежных карт — PCI DSS;ГОСТ Р ИСО/МЭК 27002-2012, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р ИСО/МЭК 27037-2014;ISO/IEC 27035:2011, ISO/IEC 27037:2012, ISO/IEC 27043:2015, ISO 22320:2011, ISO/IEC 27031:2011;Стандарт Банка России СТО БР ИББС-1.0-2014.R-Vision SGRC (Центр контроля информационной безопасности «Р-Вижн») включен в реестр отечественного программного обеспечения. ВыводыРешения класса SGRC достигли определенной зрелости и прочно заняли свою нишу в области автоматизации управления процессами ИБ, в основе которых лежат качественные и количественные оценки с точки зрения актуальных рисков, угроз, внешних требований и бизнес-целей организации.Решение R-Vision SGRC 4.1 можно с уверенностью назвать зрелым продуктом в своем классе. Благодаря множеству выполненных проектов разработчику удалось накопить обширную экспертизу. Компания R-Vision продолжает оттачивать возможности ключевых функциональных блоков, улучшает продукт с точки зрения пользовательского опыта и своевременно реагирует на изменения в нормативной базе.ПреимуществаШирокая база стандартов, справочников и контролей ИБ для различных отраслей – одна из самых масштабных в индустрии ИБ.Собственная аналитическая экспертиза.Интеграция со сторонними решениями. Это одно из приоритетных направлений для R-Vision, которое воплотилось в создании готовых коннекторов к самым разным средствам защиты информации.Специализация на направлении SGRC.Коробочное решение. По информации от разработчика, на настройку системы, изучение и переход к полноценной эксплуатации требуется всего несколько дней.Кастомизируемость. Наряду с готовыми методиками, шаблонами и справочниками, разработчики предусмотрели возможности по гибкой настройке продукта под специфические нужды заказчиков и использование собственных методик.Масштабируемость. Гибкая архитектура решения позволяет реализовывать вертикальное и горизонтальное масштабирование. Поддержка режима multitenancy позволяет использовать платформу R-Vision SGRC MSSP-провайдерами и реализовывать различные вариации корпоративных инсталляций.Встроенный Банк данных угроз ФСТЭК России.Автоматизированный расчет категории значимости объекта КИИ и формирование необходимого пакета документов.НедостаткиНет возможности создавать оценки рисков и аудитов в отношении пользовательских типов активов.Отсутствие подсказок по сценариям работы с системой в интерфейсе.Отсутствие быстрого поиска в каталогах угроз, что было бы полезно, учитывая большой объем текстовой информации.Разработчик продолжает расширять возможности решения R-Vision SGRC и его совершенствовать. Можно предположить, что выявленные недостатки станут направлениями для дальнейшего развития продукта.  

Cisco Threat Response представляет собой облачную платформу, позволяющую воплотить в жизнь концепцию Threat Hunting. Платформа выявляет подозрительные события в информационных массивах, получаемых от различных продуктов Cisco и средств сторонних производителей, используя при этом IoC от Cisco Talos или других исследовательских центров. По сути она является связующим звеном между управлением ИБ в организации и глобальными источниками Threat Intelligence. ВведениеАрхитектура Cisco Threat Response2.1. Интеграционная платформа Cisco Threat Response 2.2. Cisco Talos2.3. Базы данных AMP2.4. Cisco Umbrella2.5. Cisco Email Security2.6. Cisco Firepower2.7. Threat Grid2.8. VirusTotal2.9. Сторонние источникиФункциональные возможности Cisco Threat ResponseРабота с Cisco Threat Response4.1. Выбор индикаторов компрометации4.2. Поиск следов компрометации4.3. Анализ результатов исследования4.4. Реагирование на инцидентыВыводы ВведениеНа рынке кибербезопасности укрепилось убеждение, что защитные меры всегда находятся на шаг позади возможностей злоумышленников. И за то время, пока общество обучается приемам борьбы с очередной актуальной угрозой, киберпреступники изобретают более совершенные методы нападения. Применяемая в таких случаях логика последовательна и применяется, по-видимому, с древнейших времен: доспехи были изобретены позднее мечей и копий, бронежилет — позднее огнестрельного оружия, а антивирусные средства — позднее вредоносных программ. Таким образом, мы можем повсюду наблюдать отношение к угрозам, основанное скорее на принципах реагирования, нежели упреждения.Межсетевые экраны, системы обнаружения вторжений, системы менеджмента журналов аудита и поиска аномалий предназначены для обнаружения и противодействия угрозам, включая ранее неизвестные разновидности угроз и так называемые угрозы нулевого дня. Компании, которые приняли на вооружение эти и другие средства, действительно обладают мощным потенциалом для успешного противодействия атакам. Но корень проблемы кроется на концептуальном уровне, возможно, даже в области психологии: если принять за аксиому, что невозможно полностью исключить риск проникновения нарушителя внутрь периметра ИС, то каким образом можно в произвольный момент времени, здесь и сейчас, получать уверенность, что ИС организации не подвергается атаке?Для иллюстрации рассмотрим следующий типовой сценарий. Из новостных сводок становится известно о появлении новой троянской программы, оказывающей вредоносное воздействие на автоматизированные банковские системы. Рабочие места сотрудников организации оснащены современным антивирусным программным обеспечением, но ИТ-директор, памятуя об указанной выше аксиоме, задается резонным вопросом: «нас это касается, мы уже атакованы или еще нет?» Часто дело обстоит хуже: персонал компании, оснащенной богатым арсеналом различных современных средств защиты информации, ощущает себя в полной безопасности, и, неожиданно оказавшись под воздействием атаки, демонстрирует растерянность и неготовность к адекватному реагированию.Возникает вопрос, могут ли организации защитить свои конфиденциальные данные и получить уверенность в том, что в некоторый момент времени активы действительно не подвергаются известной атаке?Есть все основания полагать, что в компании Cisco, как и в ряде других производителей защитных решений, к настоящему времени сложилось убеждение, что нужно пересмотреть традиционные подходы к обеспечению кибербезопасности, дополнив практику реагирования на атаки методами принципиально иного типа.Необходимо средство, которое работало бы уровнем выше традиционных средств защиты и могло применяться в качестве инструмента упреждения из пессимистического предположения, что ИС уже скомпрометирована, защитные механизмы не сработали, в сети компании уже активно эксплуатируются уязвимости, и потому актуальна задача максимально оперативного обнаружения соответствующих угроз безопасности. Изложенная концепция имеет общие черты с известной детской развивающей игрой по нахождению на картинке заданных предметов, замаскированных среди множества других отвлекающих графических изображений. При этом задача поиска усложняется тем, что фактически эти предметы на картинке могут отсутствовать, при этом может иметь место множество предметов, по виду очень напоминающих заданные, но на самом деле таковыми не являющихся.Казалось бы, наиболее очевидное для большинства компаний решение, — обеспечить более качественную проверку уже собранных данных, включая глубокое погружение в лог-файлы, анализ заблокированных попыток входа в систему и т.д. Однако на практике этот подход не позволяет обнаружить скрытые угрозы.Более радикальный подход заключается в том, чтобы принять как данность существование угрозы и необходимость отыскать в системе ее проявления. Процесс предполагает одновременную обработку множества источников данных и поиск в них взаимных зависимостей с данными о целевой системе как инфраструктуре, производящей информационные потоки.Интересно, что SIEM-системы не справляются в полном объеме с поставленной задачей, поскольку реализуют ограниченное маркирование данных в зависимости от источника и типа применительно к бизнес-элементам, и не учитывают человеческий фактор. Автоматизация с помощью средств поведенческого анализа или машинного обучения несколько повышает качество обнаружения за счет выявления шаблонов повторяющихся последовательностей операций, но тоже не позволяет достичь цели, поскольку эти средства не в состоянии определить смысл обнаруженных шаблонов.Одно из возможных решений заключается в том, чтобы начать процесс обнаружения с гипотезы о том, что атака уже имеет место, а затем посредством сочетания известных шаблонов с ручным анализом данных прийти к некоему обоснованному заключению.Cisco Threat Response представляет собой облачную платформу, позволяющую воплотить в жизнь концепцию Threat Hunting. В нашем материале мы предлагаем как в теории, так и на практике рассмотреть, каким образом с помощью Cisco Threat Response достигается поставленная цель и каковы основные преимущества и ограничения платформы. Архитектура Cisco Threat ResponseИнтеграционная платформа Cisco Threat ResponseCisco Threat Response — это интеграционная платформа, развернутая в облаке Cisco, с помощью которой можно обнаруживать, исследовать, анализировать и реагировать на угрозы, используя данные, агрегированные из различных продуктов информационной безопасности и других источников в ИТ-инфраструктуре.Архитектура решения, предлагаемого Cisco, по сути предопределена проблематикой предметной области.С одной стороны, известен типовой устоявшийся порядок действий, выполняемых при исследовании угроз:поиск в различных источниках актуальной информации об угрозе;выявление индикаторов компрометации (Indicator of Compromise — IoC) — наблюдаемых в компьютерной сети артефактов (IP-адрес, раздел реестра, хеш файла и др.), наличие которых позволяет предположить возможную компрометацию компонентов ИС;поиск в ИС операций, ассоциированных с выявленными IoC;проверка успешного блокирования существующих угроз;трассировка угрозы посредством исследования связанных операций;исследование и блокирование любых новых угроз, имеющих отношение к связанным операциям.С другой стороны, в ходе исследования аналитику информационной безопасности (ИБ) даже для того, чтобы получить ответы на простые вопросы, зачастую приходится работать с большим множеством разнородных внутренних и внешних источников, средств и интерфейсов:Threat Intelligence (TI),SIEM,системы предотвращения вторжений,системы защиты конечных точек,антивирусные средства,межсетевые экраны,шлюзы безопасности e-mail,системы управления учетными записями,сторонние источники и т. п.Если даже принимать в расчет портфель решений безопасности одной только компании Cisco, все равно получается внушительный список, охватывающий сетевую инфраструктуру, облака, электронную почту, конечные точки и др. По-видимому, в Cisco с течением времени сложилось понимание, что работать с множеством средств и сервисов различного назначения, во-первых, психологически трудно (разные точки контроля, разные пользовательские интерфейсы, необходимость постоянного переключения внимания аналитика ИБ, постоянный риск что-то упустить из виду), а во-вторых, крайне неэффективно (реагирование на атаки требует максимальной оперативности, а с увеличением количества различных консолей управления существенно возрастают накладные расходы на ручное внесение входных данных, переключение между консолями, координационные действия).В связи с этим было принято решение о необходимости создания на фундаменте Cisco Talos (одна из крупнейших в мире коммерческих команд TI) платформы, которая собрала бы все точки контроля в единое целое. Рисунок 1. Архитектура интеграционной платформы Cisco Threat Response  В Cisco Threat Response каждому локальному или глобальному источнику данных об угрозах соответствует свой модуль. Некоторые из модулей TI предоставляются по умолчанию, некоторые добавляются и настраиваются потребителем. Для обеспечения возможности интеграции собственных решений потребителя с порталом Cisco Threat Response реализуется модель Bring-Your-Own-API, при которой достаточно предоставить API-ключ (API key) сервисов, которые необходимо интегрировать.Благодаря модульной архитектуре достигаются следующие преимущества:заказчики получают единую точку входа для получения данных об угрозах, собранных различными продуктами Cisco и других производителей;повышается операционная эффективность исследовательской деятельности за счет сокращения времени обнаружения и реагирования на угрозы;повышается общая эффективность функционирования подсистемы безопасности за счет того, что мощности Cisco Talos становятся доступны для каждого потребителя интеграционной платформы;становятся более понятны и наглядны для заказчика все преимущества портфеля решения Cisco.Рассмотрим немного подробнее состав модулей Cisco, с которыми уже сейчас интегрирована платформа Cisco Threat Response.Cisco TalosПожалуй, самое главное преимущество заключается в том, что платформа Cisco Threat Response интегрирована с TI Cisco Talos, и обеспечение данного взаимодействия не требует какого-либо ручного конфигурирования. Cisco Talos объединяет огромное множество исследователей, аналитиков и технических специалистов. Команда Cisco Talos готова поставлять точные и оперативные TI-сведения для продуктов и сервисов Cisco. Talos поддерживает официальные наборы правил Snort.org, ClamAV и SpamCop, а кроме того, множество open-source-средств анализа.Базы данных AMPПлатформа Cisco Threat Response по умолчанию интегрирована с базами данных Cisco AMP (Advanced Malware Protection):базой данных «репутации файлов», содержащей миллиарды записей о местоположениях и хешах различных файлов;базой данных глобальных сведений об угрозах, связанных с применением вредоносных программ, в которой аккумулирована информация из десятков независимых источников.Cisco UmbrellaМодуль интеграции с Umbrella позволяет предсказывать, обнаруживать и исследовать источники атак в интернете с использованием технологий интеллектуального анализа данных и алгоритмической классификации, включая возможности машинного обучения, теории графов, обнаружения аномалий и временных структур в сочетании с контекстным поиском и визуализацией. Модуль интеграции с Umbrella в пользовательском интерфейсе Cisco Threat Response предоставляет как возможности обогащения сведений об угрозах, так и реагирования. Функции обогащения не требуют использования API-ключа, а вот для возможности выполнения операций по реагированию он потребуется.Cisco Email SecurityИнтеграция с модулем Cisco Email Security обеспечивает возможность применения целостного подхода к обеспечению безопасности сервисов электронной почты. С помощью этой интеграции обеспечивается эшелонированная защита от вредоносных программ, фишинга, спуфинга, действий программ-вымогателей и компрометации корпоративной электронной почты. При этом из единой консоли Cisco Threat Response легко реализуются следующие сценарии:можно запросить в Cisco Email Security сведения обо всех электронных письмах, имеющих отношение к подозрительному файлу, информация о хеше которого, в свою очередь, может быть получена, например, от модуля интеграции AMP;можно узнать, откуда исходит подозрительное электронное письмо, рассматриваемое как потенциальная угроза безопасности информационной системе организации, а также отследить и изолировать пользователя, получившего письмо с заданным вложением. Кроме того, можно заблокировать домен или источник вредоносной активности и предотвратить дальнейшее распространение вредоноса в сети организации;можно создавать контекстные графы, схемы телеметрии и получать советы по применению способов адекватного реагирования;можно создавать облачные журналы регистрации (casebook), в которые аналитики ИБ могут записывать сведения о процессах реагирования на угрозы и об артефактах.Cisco FirepowerДанный вид интеграции позволяет направлять в Cisco Threat Response поддерживаемые типы событий безопасности со стороны устройств NGFW/NGIPS совместно с данными от других продуктов и из других источников. Вредоносные IP далее потенциально могут быть заблокированы средствами Cisco Firepower из единой консоли Cisco Threat Response.Устройства Firepower отправляют события через портал обмена Security Services Exchange либо с помощью syslog, либо непосредственно.Threat GridИнтеграция с платформой Threat Grid позволяет Cisco Threat Response дополнительно обогащать информацию, представленную на графах, за счет обращения к автоматизированным средствам анализа вредоносных программ, с помощью которых подозрительные файлы и веб-ресурсы могут быть подвергнуты испытаниям без опасности нанесения вреда пользовательскому окружению.VirusTotalVirusTotal проверяет объекты с помощью десятков антивирусных сканеров и сервисов, реализующих ведение черных списков URL, вкупе с огромным множеством средств для извлечения из переданного контента различной сигнальной информации. С точки зрения реагирования на инциденты данная функциональность позволяет пользователям получать дополнительные контекстные данные для URL, IP-адресов, доменных имен или хешей файлов, ассоциированных с подозрительным образцом.Сторонние источникиКак мы уже отмечали, помимо возможностей интеграции с продуктами и сервисами Cisco, доступно API для подключения сторонних источников TI, таких как ГосСОПКА, ФинЦЕРТ, BI.ZONE, Group-IB, «Лаборатория Касперского» и пр. С помощью API-ключей можно организовать также и автоматическое реагирование на обнаруженные индикаторы с помощью сторонних средств.Поддержка взаимодействия со сторонними источниками позволяет Cisco Threat Response не полагаться на вердикты, полученные только от какой-либо одной системы защиты, а перепроверять гипотезы посредством обращения к внешним TI-сервисам, что существенно снижает число ложных срабатываний.Подытоживая описание интеграционных возможностей Cisco Threat Response, можно отметить, что интеграция с такими модулями, как AMP для конечных точек, Umbrella, Email Security, позволяет аналитику ИБ получить ответы на следующие вопросы:можно ли наблюдать в информационной системе организации заданные артефакты (хеш файла, IP-адрес, доменное имя и др.) некоей известной угрозы;где именно можно наблюдать эти артефакты;какие именно конечные точки связаны с подозрительными IP/URL.Интеграция с Cisco Talos, Threat Grid, VirusTotal в свою очередь позволяет понять, свидетельствует ли в действительности наличие этих артефактов о ведении вредоносной деятельности в информационной системе организации. Функциональные возможности Cisco Threat ResponseCisco Threat Response обеспечивает выполнение следующих основных функций:Выявление артефактов, ассоциированных с известным субъектом, включая просмотр:задействованных целевых объектов;связанных IP-адресов и программ;масштабов влияния на организацию;детальных сведений об исполняемых программах;детальных сведений об артефактах с неизвестным расположением.Блокирование и разблокирование доменов и операций, связанных с исполнением файлов:инициирование операции блокирования непосредственно из Cisco Threat Response;инициирование операции блокирования средствами Cisco Umbrella и Cisco AMP for Endpoints;предоставление интеграционного API для реализации операций блокирования и разблокирования средствами сторонних решений.Сохранение мгновенных снимков (snapshot) текущего состояния процесса исследования для последующего анализа.Документирование процесса анализа посредством возможности создания журналов регистрации (Casebook) с помощью специального плагина для браузера. Далее эти сборники доступны в рамках всего портфеля решений Cisco.В следующем разделе остановимся подробнее на практических аспектах, связанных с реализацией перечисленных функций. Работа с Cisco Threat ResponseВ общем случае работа с Cisco Threat Response состоит из следующих основных шагов:выбор предмета исследования — IoC;поиск следов компрометации с использованием заданных IoC;анализ результатов исследования;реагирование на инциденты.Остановимся подробнее на каждом из указанных шагов.Выбор индикаторов компрометацииКак мы уже знаем, пользователь Cisco Threat Response может использовать в качестве предмета исследования данные об опасных объектах, полученные из:Cisco Talos Weekly Threat Roundup — сводка угроз безопасности, которые были наиболее актуальны за прошедшую неделю. Информация публикуется на сайте http://www.talosintelligence.org/ и основана на результатах работы продуктов Cisco,НКЦКИ,ГосСОПКА,ФинЦЕРТ,BI.ZONE и других источников TI.В качестве признаков компрометации могут выступать:хеш подозрительного файла,IP-адрес,URL,e-mail,имя файла и пр.При использовании указанных источников для выбора IoC необходимо самостоятельно найти их в рассылаемых специальных документах, скопировать в буфер обмена и приступить к следующему этапу — поиску следов компрометации.При этом работа с IoC существенно облегчается при использовании бесплатного плагина Cisco Threat Response для браузеров Chrome и Firefox. Если используется этот плагин, достаточно нажать на его иконку, выбрать кнопку поиска, и далее он выполнит всю работу по поиску IoC на текущей веб-странице. Пользователю не потребуется просматривать документ целиком, достаточно обратиться к результатам поиска, предоставленным плагином, и выбрать необходимые объекты исследования.В качестве источника информации об IoC может использоваться журнал регистрации, сформированный с помощью продуктов Cisco. Журнал регистрации представляет собой набор обнаруженных объектов, которым можно поделиться с другими пользователями или передать в другой модуль для дополнительного исследования. С помощью этого своего рода «блокнота аналитика» можно воспользоваться собственными заметками в рамках всего интегрированного набора продуктов.Журналы регистрации обеспечивают:объединение артефактов в группы;добавление/удаление/обновление заметок о процессе обнаружения или реагирования на инциденты;выполнение действий из журнала регистрации;исследование всех артефактов за один раз одним щелчком мыши и др.С помощью этих функций значительно повышается гибкость реагирования на инциденты и обнаружения угроз, а также обеспечивается возможность обмена знаниями между специалистами.Поиск следов компрометацииДля работы с платформой Cisco Threat Response необходимо войти в систему по ссылке https://visibility.amp.cisco.com/#/login, используя учетную запись Cisco Security, AMP for Endpoints или Threat Grid Cloud. В будущем производитель анонсирует поддержку возможности входа с использованием учетных записей Cisco Email Security и Cisco Umbrella.Далее необходимо инициировать новое обследование (нажать кнопку New investigation) и указать признаки компрометации. Признаки компрометации могут быть введены вручную или добавлены автоматически при условии, что данные сохранены в программно-читаемом формате (например, в формате журнала регистрации).По нажатию соответствующей кнопки выполняется поиск следов компрометации устройств сети с использованием всех подключенных модулей, и на экране появляется граф связей устройств сети с заданными для исследования объектами. Рисунок 2. Результат выполнения исследования Cisco Threat Response  В первую очередь следует обратить внимание на раздел Targets, поскольку в нем содержится информация об устройствах, для которых обнаружена связь с объектами исследования. Эти устройства выделены фиолетовым цветом на графе связей.Различные цветовые решения могут помочь в визуальном определении опасности связанных объектов на основе информации от подключенных модулей:красный — вредоносный файл;оранжевый — подозрительный;зеленый — безопасный;серый — безопасность файла пока неизвестна подключенным модулям.Анализ результатов исследованияПо щелчку кнопки мыши можно просмотреть краткие сведения о том или ином объекте. Рисунок 3. Краткая информация о связанном объекте в Cisco Threat Response  Информацию об обнаружении взаимодействия также можно посмотреть на графике. Под графиком размещается информация об источниках — модулях, предоставивших информацию об IoC. Рисунок 4. График обнаружений информации об объектах в Cisco Threat Response  Для каждого объекта доступен поиск дополнительной информации в подключаемых модулях по обращению к меню объекта. Рисунок 5. Меню объекта в Cisco Threat Response   Например, можно обратиться к AMP for Endpoints для получения подробной информации по любому из объектов.Применительно к Cisco Threat Response особый интерес в AMP for Endpoints представляет меню со списком опасных файлов, в котором можно просмотреть, что собой представляет файл и чем он опасен. В нашем случае мы видим, что файл является загрузчиком троянской программы. Рисунок 6. Информация об объекте в AMP for Endpoints  Из вызванного меню можно снова вернуться к Cisco Threat Response путем выбора пункта Visibility.При обращении к Threat Grid можно просматривать уровень угрозы, создавать сигнатуры для загрузки в собственные системы обнаружения вторжений. Рисунок 7. Информация об объекте в Threat Grid  В верхней части окна размещены метрики, из которых видно, что выбранный для просмотра дополнительной информации файл не был обнаружен внутри сети организации. Рисунок 8. Граф связей для отдельного объекта исследования в Cisco Threat Response  В Cisco Threat Response можно также инициировать исследование того или иного IoC из вызываемого меню. Например, можно выбрать один из связанных индикаторов на графе.На отобразившемся графе можно просмотреть путь к файлу, его имя, способы распространения и другую полезную информацию.Сохранить результаты обследования можно с помощью мгновенного снимка текущего состояния процесса исследования. Снимок содержит данные в формате JSON. При создании моментального снимка ему присваивается уникальный идентификатор. Аналитик может также присвоить ему имя и дать краткое описание. Рисунок 9. Свойства снимка состояния в Cisco Threat Response  С помощью мгновенных снимков аналитики могут сохранять текущее состояние своих расследований, чтобы затем группа аналитиков могла пользоваться ими для отслеживания динамики расследования, для передачи расследования следующей смене или в другое подразделение.Пользователь также может отправить мгновенный снимок, например, в НКЦКИ, пополнив базу известных IoC. При создании снимка формируется ссылка на готовое описание. Рисунок 10. Сформированная ссылка на снимок состояния в Cisco Threat Response Реагирование на инцидентыВ качестве реакции на обнаруженный объект можно, вызвав меню, просмотреть трассировку файла, обратиться за подробной информацией в другие модули, добавить объект в существующий или новый журнал регистрации.Очень важно, что можно также добавить опасный объект в список блокируемых с помощью подключенных модулей.Cisco Threat Response позволяет аналитикам ИБ блокировать домены и хеши файлов непосредственно из главного меню, если такое действие предусмотрено утвержденным организацией порядком реагирования на инциденты. На рисунке ниже показана возможность блокирования домена на платформе Cisco Umbrella. Рисунок 11. Блокирование домена на платформе Cisco Umbrella (интеграция через API)  Рассмотренные шаги позволяют реализовать, например, следующий вполне типичный сценарий:От модуля Cisco Email Security получено оповещение об обнаружении в одном из почтовых сообщений вредоносного вложения.Администратор желает понять масштабы бедствия. Для этого он загружает хеш файла вложения в Cisco Threat Response.Cisco Threat Response отображает информацию обо всех почтовых ящиках в системе, в которые попал вредоносный файл.Далее администратор может получить данные о том, на каких внутренних узлах сети и под каким именем был обнаружен этот файл.Затем за счет возможностей интеграции может быть проведен еще более глубокий анализ. Например, можно получить информацию о связях атакованного внутреннего узла с внешними вредоносными узлами; связь внешних вредоносных узлов с другими подозрительными файлами и т.д.После проведения расследования можно внести обнаруженные подозрительные файлы в черный список AMP for Endpoints из консоли Cisco Threat Response. ВыводыCisco Threat Response целесообразно рассматривать в первую очередь в качестве инструмента упреждения инцидентов информационной безопасности, основанного на данных Threat Intelligence и позволяющего:Реализовать концепцию «гипотеза — обоснованное заключение», позволяющую повысить уверенность в том, что компоненты информационной системы организации функционируют в штатном режиме.Увеличивать возможности обнаружения и идентификации угроз безопасности в ИС организаций.Определять взаимозависимости в данных об инцидентах, полученных из различных источников, и приоритизировать инциденты.Расширять возможности обнаружения за счет использования данных TI и контекстной информации системы для уменьшения числа ложноположительных срабатываний.Отличать целевые атаки от веерных.Автоматизировать и упорядочивать меры реагирования для сокращения времени восстановления системы после атаки.Преимущества:Единая интеграционная консоль анализа данных для множества продуктов и сервисов Cisco и сторонних решений от более чем 160 партнеров (доступен API).Облачная архитектура, не требующая выделения дополнительных аппаратных ресурсов для развертывания в инфраструктуре заказчика.Бесплатность (предоставляется свободный доступ при наличии лицензии на другие продукты безопасности Cisco).Возможность интеграции с зарубежными и отечественными сервисами TI (VirusTotal, Cisco Talos, ГосСОПКА, ФинЦЕРТ, BI.ZONE, Group-IB, «Лаборатория Касперского» и пр.).Минимальные временные затраты на внесение исходных данных об индикаторах компрометации и оперативное реагирование.Наличие плагина для браузера, позволяющего легко извлекать индикаторы компрометации с любой веб-страницы и добавлять их в журналы регистрации.Недостатки:Отсутствие русификации интерфейса платформы.Облачная реализация платформы может оказаться сдерживающим фактором в ее использовании для защиты КИИ и государственных организаций.Ограниченные возможности непосредственного реагирования на обнаруженные угрозы из консоли Cisco Threat Response (политики применяются отдельно в средствах управления продуктов безопасности).

Межсетевые экраны с функцией VPN от компании Zyxel Communications Corporation разработаны для гибкого построения защищенных каналов без необходимости сложной многочасовой настройки. Поддерживаются все популярные способы организации защищенных соединений: SSL VPN, site-to-site IPSec, L2TP over IPSec, PPTP, GRE. Отдельными устройствами серии можно гибко управлять с помощью современной технологии построения программно-определяемых сетей (Zyxel Nebula SD-WAN). Кроме того, реализованы функции балансировки между разными каналами связи (Multi-WAN failover).  ВведениеУстройства Zyxel ZyWALL VPN2SУстройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel ZyWall VPN линейки Business Firewall SeriesСервисы и лицензирование межсетевых экранов с VPN компании ZyxelВыводы ВведениеВ прошлой статье мы уже рассказывали об основных подходах к построению корпоративной безопасности, реализованных компанией Zyxel в своих решениях, на примере унифицированных шлюзов безопасности Next Generation Performance Series Zyxel USG (решения класса UTM — Unified Threat Management) с модулем NGFW (Next Generation Firewall) на борту. Сегодня детально разберем типовую и, на первый взгляд несложную, задачу — построение в компании виртуальной частной сети (VPN).В любой современной организации неизбежно возникает необходимость обеспечить работу удаленных сотрудников из дома, командировки, либо прямо с «полей». Сегодня является абсолютной нормой для компании вообще не содержать собственный офис, либо напротив — размер филиальной сети крупной корпорации может исчисляться сотнями географически разбросанных точек. В таких условиях для решения задач по обеспечению безопасности корпоративной сети и защиты важных для бизнеса данных при их передаче по открытым каналам необходимы межсетевые экраны с функцией построения VPN.Компания Zyxel, ориентируясь прежде всего на доступность и гибкий инструментарий для решения конкретных задач, разработала линейку VPN с упором на простоту администрирования, при сохранении всех необходимых функций в устройствах. Zyxel следует принципу четкого сегментирования своих решений. Средства построения VPN можно разделить на 2 группы: Advanced VPN Firewall Series, подходящие для самых небольших и средних компаний, и ZyWall Business Firewall Series, предназначенные для крупных корпораций. Рисунок 1. Модельный ряд решений Zyxel VPN С полным перечнем всех продуктов компании Zyxel можно ознакомиться на официальном сайте. В обзоре мы подробно разберем особенности каждой линейки и отдельно остановимся на крайне интересной модели VPN2S, специально разработанной по принципу настройки в «5 простых кликов». Устройства Zyxel ZyWALL VPN2SZyWALL VPN2S специально разрабатывался для малых предприятий, небольших филиалов и подключения домашних или удаленных пользователей. Устройство представляет собой межсетевой экран с функцией VPN, который позволяет сконфигурировать безопасное соединение point-to-point без сложной настройки параметров. Рисунок 2. Ключевые особенности Zyxel ZyWALL VPN2S  VPN2S имеет пять портов Gigabit Ethernet (2 настраиваются для интерфейсов LAN/WAN и 3 — только для LAN), а также один порт USB для подключения 3G/4G-модемов. В VPN2S реализована поддержка соединений «точка-точка» (Site-to-Site VPN) типов IPSec, L2TP, PPTP, GRE, L2TP Over IPSec. Для подключения отдельных удаленных VPN-клиентов, в зависимости от возможностей провайдеров и принятых корпоративных правил, применяются протоколы IPSec, L2TP или PPTP. Таблица 1. Основные характеристики модели Zyxel ZyWALL VPN2SСпецификацияZyWALL VPN2S Интерфейсы3 x LAN, 1 x OPT, 1 x WANПорты USB2 x USB 2.0Пропускная способность межсетевого экрана SPI (statefull packet inspection)1.5 Гбит/сПропускная способность VPN35 Мбит/сМаксимальное число одновременных TCP сессий50 000Максимальное число одновременных туннелей IPsec VPN20Возможность монтажа в стойкуНетБесшумная технология охлажденияДаМаксимальное число интерфейсов VLAN16Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаТехнологии построения VPNIPSec, L2TP over IPSec, PPTP, L2TP, GREПоддерживаемых типы подключения VPN клиентовIPSec, L2TP, PPTPТехнология фильтрации контентаДаФизические размеры210 x 115 x 33 В ZyWALL VPN2S встроен межсетевой экран с полной поддержкой SPI (Stateful Packet Inspection), что, согласитесь, хорошее преимущества для устройства бюджетного класса. Это позволяет защитить пользователей от кибератак различного типа, в том числе DoS/DDoS, атак с использованием поддельных IP-адресов, неавторизованного удаленного доступа к инфраструктуре и приложениям. Рисунок 3. Резервирование каналов интернета с помощью Zyxel ZyWALL VPN2S  Отдельно доступна опция подключения модуля Content Filtering для блокировки подозрительного трафика, вредоносных сетевых пакетов и постореннего контента. Отметим, что Content Filtering предоставляется бесплатно в течение одного года. Технология позволяет фильтровать доступ к опасным сайтам, разбитым на различные категории (анонимайзеры, вредоносное программное обеспечение, фишинг и мошенничество, боты, сайты со спамом и т. д.), а также к постороннему контенту, например, содержащему сцены насилия и порнографию. Помимо непосредственного обеспечения защиты сети компании, Content Filtering помогает повысить продуктивность работы персонала, ограничивая доступ к определенным приложениям, например, к социальным сетям, видеохостингам, тематическим форумам и развлекательным порталам. Рисунок 4. Схема работы функций безопасности Zyxel ZyWALL VPN2S  Отдельно отметим способность VPN2S выступать в том числе клиентом L2TP VPN, что облегчает процесс настройки множества устройств и позволяет однократно задать параметры конфигурируемой VPN-сети в компании.Ключевой особенностью VPN2S является встроенный сервис быстрой настройки в 5 шагов. Максимальное облегчение и визуализация процесса конфигурирования всегда было фирменным отличием устройств компании Zyxel еще со времен широкого распространения домашних роутеров вендора в России. Рисунок 5. Настройка Zyxel ZyWALL VPN2S в 5 шагов  Виртуальный помощник имеет удобный графический интерфейс и помогает оперативно настроить устройство VPN2S. Для облегчения управления конфигурациями компания Zyxel предоставляет пакет утилит удаленного администрирования, в том числе специальный сервис для обновления прошивок — Cloud Helper. Cloud Helper обеспечивает простой поиск информации о последней версии нужной прошивки, которая устанавливается сразу же после официального релиза производителя, что гарантирует ее достоверность и актуальность.Остается добавить, что в устройства VPN2S встроен аппаратный криптографический модуль L2TP/IPSec VPN, который обеспечивает приличную для своего класса скорость VPN-соединений и реализует функции отказоустойчивости и балансировки нагрузки (VPN failover и load balance). В качестве алгоритмов хэширования используется семейство SHA-2, а непосредственно для шифрования — набор протоколов IKEv2. Устройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel серии VPN50/100/300 подходят для организации безопасного выхода в интернет и объединения нескольких удаленных офисов в единую VPN-сеть как в небольших, так и в средних по размеру компаниях. Таблица 2. Основные характеристики моделей Zyxel VPN50/100/300СпецификацияVPN50VPN100VPN300 Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7x GbE (конфигурируемые), 1x SFPПорты USB122Консольный портДа (RJ-45)Да (DB9)Да (DB9)Возможность монтажа в стойкуНетДаДаБесшумная технология охлажденияДаДаДаМакс. число интерфейсов VLAN81664Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN50200300Максимальное число управляемых точек доступа (AP)3668132Пропускная способность межсетевого экрана SPI (statefull packet inspection)800 Мбит/c2000 Мбит/c2600 Мбит/cПропускная способность VPN150 Мбит/c500 Мбит/c1000 Мбит/cМаксимальное число одновременных TCP сессий400 000800 0002 000 000Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетДаДаТехнология фильтрации контентаДаДаДаСервис геопривязки внешних IPДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетДаДаВозможность управления точками доступа Wi-FiНетДаДаПоддержка технологии Nebula SD-WANДаДаДаФизические размеры216 x 143 x 33272 x 187 x 36300 x 188 x 44 ZyWALL VPN50/100/300 на правах старших моделей линейки Advanced VPN Firewall Series поддерживают полный набор функций, реализованных в младшем устройстве VPN2S, поэтому остановимся чуть подробнее на отличительных особенностях и самых интересных технологиях. Рисунок 6. Ключевые технологии ZyWALL VPN50/100/300  Вся линейка Advanced VPN Firewall Series оборудована аппаратными ускорителями шифрования. Помимо встроенной поддержки описанного ранее сервиса Content Filtering, старшие модели Advanced VPN Firewall Series снабжены технологией Geo Enforcer, с помощью которой можно прямо на карте мира отслеживать опасные IP-адреса. Это может применяться для блокировки адресов злоумышленников, пытающихся атаковать из определенных стран, или для ограничения доступа пользователей к определенным источникам данных. И Content Filtering, и Geo Enforcer предоставляются бесплатно на 1 год. Рисунок 7. Построение защищенных сетей с помощью ZyWALL VPN50/100/300  Другая интересная особенность — способность интегрироваться с Amazon Virtual Private Cloud (AWS VPC) посредством IPSec VPN, с целью реализации безопасного доступа к размещенным там корпоративным приложениям. Реализация указанной технологии позволяет обеспечить безопасное расширение корпоративной сети с помощью облака, используя при этом все преимущества построения современных гибридных инфраструктур. Кроме того, поддерживаются расширенные инструменты интеграции с провайдерами управляемых сервисов (MSP) с целью повышения уровня предоставления самих услуг, сокращения времени недоступности при сбоях для конечных пользователей и упрощения обслуживания сетевой инфраструктуры.Помимо поддержки описанных выше технологий балансировки самих соединений (Multi-WAN load balancing/failover и IPSec load balancing and failover), преимуществом моделей ZyWall, начиная с VPN50, является наличие механизма кластеризации и повышенной отказоустойчивости самих устройств. При развертывании внутри сети компании устройства собираются в кластер active-passive High-Availability (HA) или failover (в режиме соединения при сбоях). Для обслуживания указанных режимов компанией Zyxel разработан специальный инструмент Device HA Pro, обеспечивающий мгновенное «горячее» переключение при сбоях.ZyWALL VPN50/100/300 способны гибко управлять точками доступа Wi-Fi в компаниях любого масштаба, позволяя предоставлять своим клиентам и сотрудникам различные уровни доступа к сети. Например, можно разграничить зоны по помещениям, организовать бесплатный или платный доступ в интернет. В последнем случае поможет встроенная система регистрации пользователей, учета трафика, ведения биллинга и выставления счетов за услуги. Рисунок 8. Организация дополнительных сервисов с помощью ZyWALL VPN50/100/300 на примере построения сети в отеле  Интеграции в ZyWall VPN50/100/300 сервиса Facebook Wi-Fi может оказаться полезной для компаний из сферы услуг: магазины, рестораны, отели, торговые центры. Благодаря ей владельцы таких предприятий могут не только предоставить своим посетителям выход в интернет, но и сделать процесс авторизации удобным, с помощью поддержки современных методов с использованием социальных сетей (в данном случае — Facebook).Все устройства VPN50/100/300 поддерживают специально разработанное вендором решение Zyxel Nebula SD-WAN, которое реализует интеллектуальное управление трафиком на основе технологии построения программно-определяемых распределенных сетей. Nebula SD-WAN упрощает развертывание, обеспечивает удобное централизованное управление, повышает гибкость сети, а также увеличивает ее пропускную способность. Применение Nebula SD-WAN позволяет объединить устройства, развернутые на центральной площадке и в удаленных филиалах компании таким образом, что управление такой распределенной сети осуществляется из единой точки, а при каких-либо изменениях — новые конфигурации транслируются на все устройства автоматически. Рисунок 9. Ключевые преимущества технологии Zyxel Nebula SD-WAN  Nebula SD-WAN позволяет динамически выбирать и строить маршрут для каждого пакета, основываясь на определении задержек в сети, джиттера (изменения времени пинга) и частоты отбрасывания пакетов. Кроме того, технология обеспечивает снижение деградации в протоколе TCP (т. е. улучшаются характеристики), одновременную многопоточность (агрегируют всю полосу пропускания), способна отслеживать состояния с интернетом и динамически регулировать параметры соединения. Nebula SD-WAN реализует автоматическое предоставление ресурсов, что упрощает развертывание, настройки сети можно быстро передать на все площадки даже по электронной почте или на съемном флеш-накопителе, а встроенный оркестратор позволяет строить трехуровневую топологию и осуществлять мониторинг с помощью информативных дашбордов и инфографики. Устройства линейки VPN50/100/300 поддерживают технологию NebulaFlex, что позволяет им работать как в режиме Nebula SD-WAN, так и в режиме автономного шлюза безопасности. Устройства Zyxel ZyWall VPN линейки Business Firewall SeriesМодельный ряд класса решений Zyxel Business Firewall Series представлен устройствами ZyWall VPN 110/310/1100. Они, в зависимости от выбранной конфигурации, могут применяться для организации защищенного VPN-соединения в компаниях любого масштаба: от небольшой фирмы с точечными удаленными офисами, до крупной компании с штаб-квартирой и множеством территориально-распределенных площадок. Устройства Business Firewall Series оснащены современными процессорами и специальными аппаратными модулями шифрования, поддерживающими современные криптографические алгоритмы. Рисунок 10. Общий подход к построению VPN-сетей с помощью Zyxel Business Firewall Series на примере устройства ZyWall 1100  Zyxel Business Firewall Series способны обеспечивать надежные непрерывные VPN-соединения с поддержкой технологии dual-WAN failover (два одновременно подключенных канала доступа в интернет). Благодаря использованию двух соединений WAN, основного и резервного, в случае сбоев устройство автоматически переключается между ними, не оставляя пользователей без связи. Кроме этого, устройства Zyxel линейки Business Firewall Series предоставляют расширенный набор функций по обеспечению комплексного безопасного доступа сотрудников в интернет, которые во многом аналогичны описанным в прошлой статье технологиям, применяемым в унифицированных шлюзах безопасности Zyxel USG Series. Поэтому совпадающие функциональные возможности кратко перечислим, а на отличающихся остановимся подробнее. Таблица 3. Основные характеристики моделей USG20-VPN/USG20W-VPN/USG2200-VPNСпецификацияUSG20-VPNUSG20W-VPNUSG2200-VPN  Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7 x GbE (конфигурируемые), 4 x SFP, (конфигурируемые), 2x 10G ComboПорты USB112Консольный портДа (RJ-45)Да (RJ-45)Да (DB9)Возможность монтажа в стойкуНетНетДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)350 Мбит/c350 Мбит/c25000 Мбит/cПропускная способность VPN90 Мбит/c90 Мбит/c2500 Мбит/cМаксимальное число одновременных TCP-сессий20 00020 0001 500 000Максимальное число одновременных туннелей IPSec VPN10103 000Максимальное число соединений SSL VPN15151 000Макс. число интерфейсов VLAN88128Максимальное число конкурентных авторизаций пользователей64645 000Максимальное число управляемых точек доступа (AP)НетНет1026АнтивирусНетНетНетМодуль предотвращения вторжений (IDP)НетНетНетАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетНетДаРежим быстрой настройки Easy ModeДаДаНетВозможность управления точками доступа Wi-FiНетНетДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетНетДаРезервирование внешних соединений (Link Aggregation)НетНетНетФизические размеры216 x 143 x 33216 x 143 x 33438.5 x 500 x 89 Младшие в данном классе модели USG20-VPN/USG20W-VPN поддерживают упрощенный режим настройки EASY MODE, который специально рассчитан на пользователей из небольших компаний. При использовании этого режима настройка конфигурации выполняется с помощью удобных интегрированных программ-мастеров (wizard) с неперегруженным интерфейсом. В то же время наличие режима EASY MODE никоим образом не означает урезание функциональности и не ограничивает администраторов в дополнительных расширенных настройках.Помимо основной задачи — организации VPN-канала и технологий, ее обеспечивающих, — в USG20-VPN/USG20W-VPN возможно подключить по подписке сервисы антиспам и фильтрации контента. Напомним, что Zyxel использует антиспам-движок от партнера — CyREN. Рисунок 11. Ключевые технологии Zyxel USG20-VPN/USG20W-VPN/ USG2200-VPN  Построение VPN-сетей сегодня является повсеместным и востребовано компаниями совершенно любого масштаба, как безопасное и удобное решение для организации доступа к своим ресурсам для партнеров, заказчиков и сотрудников, находящихся вне офиса. Однако конфигурирование сетевых устройств — задача непростая даже для продвинутого пользователя. В Zyxel Business Firewall Series реализована технология быстрой настройки Easy VPN, позволяющая существенно упростить настройку устройств для типовых задач, например, организации соединения client-to-site IPsec VPN. Простой в использовании wizard (автоматизированный помощник) из пакета программного обеспечения, поставляющегося с Business Firewall Series, автоматически извлекает (скачивает) файл конфигурации из устройства, после чего для завершения настройки останется выполнить только три простых шага по подтверждению настройки сетевых параметров. Таблица 4. Основные характеристики моделей Zyxel ZyWall 110/310/1100СпецификацияZyxel ZyWall 110Zyxel ZyWall 310Zyxel ZyWall 1100Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP8 x GbE (конфигурируемые)8 x GbE (конфигурируемые)Порты USB222Консольный портДа (DB9)Да (DB9)Да (DB9)Возможность монтажа в стойкуДаДаДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)1 600 Мбит/c5 000 Мбит/c6 000 Мбит/cПропускная способность VPN400 Мбит/c650 Мбит/c800 Мбит/cМаксимальное число одновременных TCP сессий150 000500 0001 000 000Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN150150500Макс. число интерфейсов VLAN1664128Максимальное число конкурентных авторизаций пользователей308001 500Максимальное число управляемых точек доступа (AP)3434130АнтивирусДаДаДаМодуль предотвращения вторжений (IDP)ДаДаДаАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)ДаДаДаРежим быстрой настройки Easy ModeНетНетНетВозможность управления точками доступа Wi-FiДаДаДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProДаДаДаРезервирование внешних соединений (Link Aggregation)НетДаДаФизические размеры300 x 188 x 44430 x 250 x 44430 x 250 x 44 Набор дополнительных расширений и подключаемых сервисов в современных устройствах построения VPN-сетей практически стирает границы между ними и универсальными шлюзами безопасности (USG или UTM). Zyxel Business Firewall Series здесь не исключение. Помимо технологий, описанных выше, модели Zyxel ZyWall 110/310/1100 оснащены системой предотвращения вторжений (Intrusion Detection and Prevention — IDS/IPS), инспектором приложений (Application Patrol), антивирусом Zyxel AV (движок от партнера — Bitdefender). Рисунок 12. Ключевые технологии Zyxel ZyWall 110/310/1100  Сервисы и лицензирование межсетевых экранов с VPN компании ZyxelНапомним, что все корпоративные устройства Zyxel реализуют полный набор технологий, доступный для каждой серии, а активация той или иной функциональности происходит посредством подключения необходимой лицензии. Производителем поддерживается модульность в следующем виде:Комплексная подписка на все сервисы безопасности Zyxel (AS, AV, CF, IDP/DPI).Подписка на сервис Zyxel CF (контентная фильтрация).Лицензия Zyxel на увеличение числа одновременных SSL VPN.Подписка на сервис Zyxel AV (антивирус).Подписка на сервис Zyxel IDP/DPI (обнаружение/предотвращение вторжений и патруль приложений).Подписка на сервис Zyxel AS (антиспам).Лицензия Zyxel SecuReporter.Лицензия Zyxel на увеличение числа управляемых точек доступа.Комплект лицензий Zyxel для IPSec VPN-клиента.Лицензия Zyxel для Cloud CNM SecuManager.Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке межсетевых экранов с VPN для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности.Дополнительно Zyxel предлагает воспользоваться Сервисом по удаленной настройке оборудования и Сервисом по опережающей замене оборудования в случае выхода из строя. ВыводыЗадача организации защищенного удаленного доступа рано или поздно возникает в любой компании, даже с самым консервативным подходом к построению сети и концепцией «замкнутого периметра, без доступа в интернет». Поэтому устройства создания корпоративной VPN-сети будут все более востребованы. Компания Zyxel при разработке межсетевых экранов с VPN делает ставку на широкий модельный ряд, надежность, простоту настройки и политику гибкого лицензирования дополнительных функций. Поддерживаются все популярные типы шифрованных соединений (site-to-site, client-to-site, разные виды туннелирования), современные протоколы (SHA-2, IKEv2), реализована отказоустойчивость (WAN-каналов, VPN-соединений, кластеризация самих устройств). Подключение технологий обнаружения и предотвращения вторжений (IDP), контроля приложений, антивируса, антиспама, модуля контентной фильтрации, инспекция SSL-трафика и вовсе размывает и без того тонкую грань между VPN-устройствами и комбинированным универсальным шлюзом безопасности (USG).Отдельно стоит отметить фокус на SMB-сегмент. Компания Zyxel действительно заботится о пользователях и реализует всевозможные методы упрощенного управления и администрирования «в несколько кликов», которые особенно актуальны для решения базовых задач. Такой подход видится перспективным, благодаря ему Zyxel способен получить заметную долю рынка, особенно в отдельном сегменте.

Новый Avast Secure Browser создан для борьбы с угрозами и повышения скорости работы с интернетом. Центр безопасности приложения контролирует надежность платежных шлюзов, защищает от фишинга и следящей рекламы, проверяет утечки идентификационных данных. Рассмотрим на личном опыте основные возможности, которые этот инструмент предоставляет пользователю. ВведениеФункции Avast Secure BrowserЦентр безопасности и конфиденциальности Avast Secure BrowserОбщие настройки и системные требования Avast Secure BrowserВыводы ВведениеКак правило, защита наиболее популярных браузеров строится на установке расширений и дополнений, которые пользователь выбирает по своему вкусу. В «джентльменский набор» обычно входят блокировщик рекламы, плагин для принудительного обращения к https-протоколу и расширение для отключения следящих скриптов. Кроме того, популярностью пользуются надстройки с функциями VPN, а обозреватель Opera даже имеет такой модуль в комплекте.Однако большинство производителей стремится соблюдать баланс между приватностью и удобством сервисов, поэтому они по умолчанию разрешают сайтам сбор информации о пользователях, да и сами обрабатывают ее. Разработчики внешних плагинов тоже получают доступ ко всей конфиденциальной информации и имеют возможность недобросовестно «монетизировать» ее. Например, исследование независимого эксперта Сэма Джадали (Sam Jadali) в конце июля этого года показало, что по меньшей мере 4 миллиона человек используют приложения, ворующие персональные данные. Кроме того, стали все чаще появляться случаи заражения популярных расширений: проверенный плагин из магазина не всегда будет оставаться безопасным, поскольку уже после его установки могут происходить обновление и замена кода (причем не всегда с ведома разработчиков).В итоге, если пользователь не знает о дополнительных возможностях браузера по блокировке трекеров и цифровых отпечатков, не информирован об уязвимостях или векторах атаки, требующих дополнительных плагинов для защиты от них, либо просто доверяет сомнительным производителям, то в конечном счете он остается один на один со следящими скриптами, фишинговыми сайтами и навязчивой рекламой.Avast Secure Browser — первое пакетное решение с предустановленным набором инструментов безопасности, как привычных опытным пользователям, так и инновационных. Функции Avast Secure BrowserОснованный на популярной открытой платформе Chromium, браузер Avast напоминает Google Chrome — те же сглаженные линии, минималистичный дизайн и элементы управления. Однако специализация интернет-обозревателя видна сразу: после установки пользователь попадает на страницу с инструментарием Центра безопасности и конфиденциальности. Рисунок 1. Центр безопасности и конфиденциальности Avast Secure Browser  По умолчанию включены такие возможности, как блокировка фишинговых сайтов и скриптов отслеживания, контроль платежных шлюзов и доступов к веб-камере; имеются и другие настройки безопасности. Именно эту функциональную часть будет интересно рассмотреть подробнее.Отдельного внимания заслуживает удобство работы с видео — любой видеоконтент можно скачать с любого ресурса. В то время как, например, YouTube позволяет скачивать свои ролики только по платной Premium-подписке, с помощью Avast Secure Browser сохранить нужный файл можно совершенно бесплатно. Приятно вспомнить старые добрые времена, когда видео просто извлекалось из кэша. Рисунок 2. Сохранение видео в Avast Secure Browser  Еще одна важная особенность обозревателя — отсутствие возможностей синхронизации с браузерами на других устройствах. Эта популярная функция убрана намеренно, поскольку сама по себе открывает для злоумышленников дополнительные уязвимости. Центр безопасности и конфиденциальности Avast Secure BrowserЦентр безопасности — это веб-консоль инструментов управления настройками защиты. Экран центра безопасности открывается сразу после установки, в дальнейшем он доступен через нажатие на оранжевый значок Avast в правом верхнем углу экрана.Помимо предустановленных расширений, в Центре безопасности можно скачать бесплатный антивирус Avast. Если он уже работает на устройстве, то сразу из консоли запускается сканирование ПК на угрозы. Рисунок 3. Интеграция Avast Antivirus в Avast Secure Browser  Функция «Режим банковских операций» также доступна только после установки антивируса. При активации режима открывается дополнительное окно браузера с изолированным сеансом, при этом работа остальных приложений и программ блокируется. Такая функция защищает от перехвата при вводе данных в формы оплаты. В настройках можно указать сайты, на которых переход в режим безопасных платежей будет происходить автоматически. Рисунок 4. Окно режима безопасных платежей в Avast Secure Browser  В арсенале центра безопасности есть несколько функций, препятствующих сбору информации о пользователе, однако стоит сразу заметить, что ни одна из них не выполняет функций VPN, не скрывает IP-адрес.Функция «Без идентификации» маскирует уникальные данные о конфигурации браузера — его версию, установленные расширения. Сокрытие цифрового отпечатка лишает владельцев сайтов возможности отслеживать действия пользователя; обычно эти сведения нужны для адресной рекламы. По умолчанию функция выключена, поскольку ограничивает работоспособность некоторых онлайн-сервисов. Включать ее рекомендуется по необходимости. Рисунок 5. Окно функции «Без идентификации» в Avast Secure Browser  Функция «Без отслеживания» отключает веб-маячки аналитических сервисов, которые используются рекламными сетями и злоумышленниками. Рисунок 6. Окно функции «Без отслеживания» в Avast Secure Browser  Функция «Avast Adblock» представляет собой ставший стандартом отрасли сервис uBlock Origin, встроенный в общую платформу Avast. В интерфейсе можно настроить правила и фильтры для блокировки навязчивой рекламы. Рисунок 7. Окно функции «Avast Adblock» в Avast Secure Browser  Характерно, что даже после выключения Avast Adblock рекламные блоки на некоторых ресурсах не появились. Рисунок 8. Веб-страница с выключенной функцией «Avast Adblock» в Avast Secure Browser  Функция «Защита от расширений» блокирует установку надстроек в браузере. Магазин расширений Avast по умолчанию предлагает только решения собственной разработки, но плагины других производителей можно установить вручную, выдав дополнительное разрешение в диалоговом окне. Рисунок 9. Диалоговое окно функции «Защита от расширений» в Avast Secure Browser  Функция «Защита от фишинга» блокирует доступ к ресурсам, попавшим в библиотеку фишинговых сайтов Avast. Напомним, что в начале 2019 года Avast запустил алгоритм искусственного интеллекта для выявления неблагонадежных сайтов путем их автоматической проверки на подозрительные маркеры в метаданных и характерных визуальных деталях. Рисунок 10. Окно функции «Защита от фишинга» в Avast Secure Browser  Функция «Шифрование HTTPS» приоритезирует обращение по соответствующему протоколу к сайтам, которые его поддерживают. Любой http-протокол браузер помечает как незащищенный, показывая красный сигнал в адресной строке. Рисунок 11. Уведомление о незащищенном соединении в Avast Secure Browser  Включение «Режима невидимости» удаляет кэш, историю загрузок, файлы cookie и историю браузера после завершения сеанса. Это — стандартная опция для многих обозревателей, однако в Avast Secure Browser она дополнена автоматической активацией режимов «Без отслеживания», «Шифрование HTTPS» и «Защита от фишинга», даже если по умолчанию эти функции выключены. Рисунок 12. Режим невидимости в Avast Secure Browser  Если режим невидимости был выключен, стереть следы пользования браузером поможет функция «Удаление личного». Перед ее запуском можно выбрать типы данных для удаления — базовые (историю навигации, файлы cookie и кэш) или дополнительные (сохраненные пароли и автозаполнение), — а также временной диапазон очистки, от последнего часа до месяца. Рисунок 13. Окно функции «Удаление личного» в Avast Secure Browser  Присутствует в приложении и «Диспетчер паролей», разработчики сочли, что эту функцию можно реализовать достаточно безопасно, невзирая на очевидные риски. Пользователь вправе выбрать диспетчер по умолчанию — встроенный в браузер или являющийся частью антивируса, если тот установлен. Рисунок 14. Выбор диспетчера паролей в Avast Secure Browser  Функция «Защитник веб-камеры» помогает управлять разрешениями на полный или частичный доступ сайтов к одной или нескольким веб-камерам. Включение этой функции заставляет сайты и приложения каждый раз запрашивать доступ при подключении к видеоустройству, чтобы избежать скрытого наблюдения. В дополнительных настройках пользователь может задать исключения для отдельных сайтов. Рисунок 15. Настройка защиты веб-камеры в Avast Secure Browser  Наиболее интересная и нехарактерная для браузеров функция «Hack Cheсk» была добавлена в последних версиях обозревателя. Непосредственно через Центр безопасности можно проверить, не скомпрометированы ли аккаунты пользователя, привязанные к электронной почте. Функция ищет упоминания заданного адреса в базах, доступных в теневом интернете, а затем показывает список утечек с названием сервиса, датой публикации и подробностями атаки. Рисунок 16. Результаты поиска утечек по заданному адресу электронной почты в Avast Secure Browser  Общие настройки и системные требования Avast Secure BrowserПродукт поддерживает операционные системы Microsoft Windows 10 / 8.1 / 8 / 7  32-bit или 64-bit, но сам браузер доступен только в 32-битном исполнении. Кроме того, разработана и тестируется бета-версия для macOS, и на ближайшее время намечен выход мобильного приложения для Android. Раздел «Настройки» — стандартный для платформы Chromium, за исключением некоторых специфичных функций. В частности, в Avast добавлен блок управления производительностью. Рисунок 17. Настройки управления производительностью в Avast Secure Browser  По умолчанию вкладки, которые не используются в течение 10 минут, переходят в фоновый режим; пользователь может задать свой период времени. Согласно данным разработчика, приостановление неактивных вкладок снизило количество используемых ресурсов процессора и оперативной памяти на 50%. Впрочем, если вкладка просто отображает статичную HTML-страницу, разница будет менее заметной.Помимо этого, Avast предлагает более широкий выбор поисковиков в адресной строке. Рисунок 18. Список поисковых систем в настройках Avast Secure Browser  В остальном интерфейс управления и функциональность браузера повторяют материнскую платформу. Можно также добавить, что для удаления Avast Secure Browser существует специальная утилита. ВыводыБраузер с предустановленными функциями защиты от угроз — это удобное пакетное решение. Пользователи Avast Secure Browser оснащены всеми необходимыми инструментами для безопасного пользования интернетом, совершения онлайн-платежей и обмена конфиденциальной информацией.По умолчанию для сайтов закрыт доступ к камере, микрофону, геоданным и cookie, выключен Flash, а вот использовать датчики движения и запускать JavaScript можно сразу. В рекомендованных настройках — выключенные всплывающие окна, запрет переадресации и навязчивой рекламы. Также можно выключить фоновую синхронизацию, в процессе которой недавно закрытые сайты завершают отправку и получение данных.Огорчает ограничение магазина расширений — неудобно добавлять надстройки безопасности, к которым пользователь уже привык в других браузерах, — однако такую возможность разработчики обещают открыть в ближайшее время.VPN-шлюз мог бы органично дополнить Avast Secure Browser, но после получения требований Роскомнадзора о блокировке запрещенных сайтов компания Avast прекратила предоставлять SecureLine VPN в России.Невозможность синхронизации на других устройствах — жертва, принесенная в пользу безопасности, и она, к сожалению, мешает применять продукт в качестве основного. Однако Avast Secure Browser сразу создавался как нишевое решение для тех, кому защита важнее удобства. Встроенные функции безопасных платежей и проверки скомпрометированных данных — наиболее интересные преимущества обозревателя, ради которых стоит его использовать (пусть даже как дополнительное приложение).Преимущества:Функция безопасных платежей, контролирующая конфиденциальность платежных шлюзов.Преднастроенный пакет модулей, препятствующих сбору информации о пользователе и показу навязчивой рекламы.Автоматическая блокировка известных фишинговых сайтов.Возможность проверки аккаунтов пользователя на факты компрометации.Оптимизация использования ресурсов компьютера для повышения скорости работы.Возможность скачивать любое видео из браузера.Недостатки:Отсутствует каталог дополнительных расширений.В России недоступны встроенные функции VPN.Невозможна синхронизация с другими устройствами.

Подробный обзор сервисов повышения осведомленности пользователей в вопросах кибербезопасности (Security Awareness) от «Лаборатории Касперского». Сервисы ориентированы на различные категории сотрудников и включают в себя интерактивные игры, специализированные тренинги, семинары и услуги по оценке культуры информационной безопасности в организации.   ВведениеСервисы Kaspersky Security AwarenessKaspersky Interactive Protection Simulation (KIPS)Kaspersky Cybersafety Management GamesОнлайн-платформа обучения навыкам5.1. Общие сведения5.2. Платформа для повышения осведомленности о кибербезопасности5.3. Kaspersky Automated Security Awareness Platform (ASAP)Оценка культуры кибербезопасностиНавыки поддержания ИБ для IT-специалистов - Cybersecurity for IT Online (CITO)Выводы ВведениеС каждым годом растет количество атак, реализованных посредством социальной инженерии (мы уже неоднократно освещали эту проблематику на нашем ресурсе). О значительном росте применения социальной инженерии при реализации атак свидетельствуют результаты исследований, проведенных «Лабораторией Касперского», Ростелеком-Solar, Positive Technologies.«Лаборатория Касперского» в своем отчете «Kaspersky Security Bulletin: Угрозы в 2019 году», приводя прогноз относительно вектора заражения по целевому фишингу, говорит о том, что «сюрпризов в нем, наверное, будет меньше всего» — так как это самый успешный и значимый вектор заражения. Секрет его успеха заключается в способности вызвать у жертвы любопытство.В отчете «Solar JSOC security flash report первое полугодие 2018 года» компании Ростелеком-Solar в сводной статистике за отчетный период также отмечен рост реализации сложных кибератак (71% против 62% в первом полугодии 2017) посредством внедрения вредоносных программ в инфраструктуру компании посредством социальной инженерии (пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам).В своем отчете «Актуальные киберугрозы — 2018. Тренды и прогнозы» компания Positive Technologies в качестве одной из главных тенденций 2018 года указала существенный рост роли социальной инженерии (см. рисунок 1), как в атаках на организации, так и в отношении частных лиц. К методам социальной инженерии «хакеры прибегают в каждой третьей атаке», используя такие каналы связи, как: электронная почта, мессенджеры, телефонные звонки, SMS-сообщения и обычная почта. Рисунок 1. Количество и доля атак методами социальной инженерии (из отчета компании Positive Technologies)  Кроме того, на фоне огромного интереса к развитию и использованию практически во всех отраслях такого направления, как машинное обучение, злоумышленники развиваются и в этом направлении. Об этом в том числе упоминается в отчете «Лаборатории Касперского» и указывается на наличие ряда инициатив по использованию машинного обучения для повышения эффективности фишинга. Кроме того, сложно предположить и оценить, каковы будут результаты при реальном сценарии реализации таких атак, но, по прогнозам «Лаборатории Касперского», «целевой фишинг в ближайшие годы останется весьма эффективным вектором заражения, особенно через социальные медиаресурсы».В основе реализации таких атак лежит социальная инженерия, использующая человеческие слабости, недостатки образования и информированности. Поэтому для противодействия подобным атакам необходимо усиливать «самое слабое звено» — сотрудников компании. На ум сразу приходит «обучение и повышение осведомленности», упоминаемое неоднократно в мировой и отечественной практике по обеспечению информационной безопасности. Во времена СССР были развиты агитплакаты типа «Болтун — находка для шпиона», и этому уделялось особое внимание еще со школьной скамьи. По факту подобные материалы не утратили своей ценности, а стали еще более востребованными, только уже с уклоном в кибербезопасность, и переносятся с бумажной в цифровую интерпретацию. Однако и здесь есть свои особенности:Стремительный рост и развитие технологий, а также совершенствование методов киберпреступников. Программы не всех курсов, предлагаемых на рынке обучения, успевают за упомянутыми тенденциями. Однократного обучения недостаточно — необходимо постоянно повышать осведомленность сотрудников, о чем и говорится в международных и отечественных практиках.Недостаточность обучения только сотрудников служб информационной безопасности. Сейчас практически каждый из сотрудников компании должен понимать и осознавать роль и значимость обеспечения ИБ в компании. Однако обучать всех по классической схеме «направления на курсы» — просто нецелесообразно.Разный уровень знаний сотрудников по информационной безопасности. Кто-то далек от этой области и может просто не понять, о чем будет говориться на курсах, а значит, и курсы должны быть ориентированы на потребителя и учитывать специфику его деятельности и уровень подготовки. Но не все учебные центры предоставляют такие возможности.«Лаборатория Касперского» по результатам проведения своими специалистами опросов и исследований (например, следования «Информационная безопасность бизнеса», проведенного весной 2018 года) установила, что большинство существующих программ повышения грамотности в сфере ИБ недостаточно эффективны. И причины этого заключаются в следующем:пользователям скучно проходить обучение: сложность изложения политик и технической документации, сложная терминологическая база, основное внимание уделяется запретам, а не тому, как следует поступать при возникновении определенных ситуаций;отсутствие мотивации к обучению. Большинство обучаемых придерживается мнения относительно ситуаций, рассматриваемых в рамках обучения, — «меня это не коснется», «со мной такое точно не произойдет»;агрессивный настрой пользователей к сфере ИБ. Пользователи считают, что средства защиты и организационные мероприятия по обеспечению ИБ только мешают выполнению их прямых обязанностей и поэтому всеми способами пытаются обойти запреты;сложность оценки уровня осведомленности после проведения мероприятий, направленных на ее повышение. Как правило, определяется только доля сотрудников, участвовавших в таких мероприятиях, но никак не уровень их знаний.Стало заметным изменение тенденций и форматов обучения в России, о чем указывается, например: в статьях «Внутрифирменное обучение персонала в России: Тенденции и перспективы» (УДК 331.108.45), «Современные тренды и подходы в обучении персонала» и на чем неоднократно акцентировали свое внимание эксперты, в том числе, в отношении программ высшего образования — «10 трендов будущего образования». При этом отмечают следующие ключевые тенденции в подходах к обучению и повышению осведомленности:организация обучения и повышения осведомленности посредством применения сервисов — когда акцент делается на дистанционном обучении, а обучающие материалы доступны для просмотра с разных видов устройств в удобное для сотрудников время;ориентированность на игровую форму подачи материала («геймификация») — один из ключевых подходов, построенный на внедрении в процесс обучения элементов игры, например: уровни выполнения заданий с постепенным их усложнением, бонусы при прохождении уровней, интересные сюжетные линии и персонажи;персонализация учебных программ — ориентированность программ обучения и повышения осведомленности на разную целевую аудиторию, учитывая степень и особенности ее участия в процессах деятельности (в том числе и обеспечении ИБ);краткость подачи учебного материала (тренингов) — предоставление материала небольшими порциями с закреплением в формате практических заданий;реальность заданий — построение учебных и практических материалов на основе рассмотрения ситуаций, приближенных к действительности, а не абстрактных случаях.Мы уже представляли свой «Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)», где в составе ключевых игроков упоминали «Лабораторию Касперского». В компании создано целое направление по разработке и предоставлению сервисов повышения осведомленности в области кибербезопасности — Kaspersky Security Awareness. Сервисы Kaspersky Security AwarenessУчитывая все недостатки процедур обучения и повышения осведомленности, выявляемые в ходе периодических исследований и опросов, а также пожелания опрашиваемых по совершенствованию подходов к преподнесению учебных материалов и проведению практических занятий, специалисты «Лаборатории Касперского» стремятся в своих продуктах, направленных на обучение и повышение осведомленности, применять инновационный подход к организации тренингов по защите от киберугроз.Инновации предложенного подхода к обучению и повышению осведомленности заключается в следующем:преподнесение материалов организовано с учетом особенностей человеческой памяти: короткие блоки информации с акцентом на ключевых сообщениях/событиях;применение для закрепления полученных знаний наглядных заданий, построенных на основании ситуаций, встречающихся к повседневной работе сотрудника. В основе курсов лежит богатый опыт «Лаборатории Касперского» в области кибербезопасности и разработке защитных решений;нацеленность на развитие у сотрудников навыков безопасного поведения, формирования устойчивых привычек и способности принятия наиболее безопасных решений в любой, даже неизвестной заранее ситуации (так как из-за вариативности поведения злоумышленников невозможно в инструкциях предусмотреть и рассмотреть все случаи такого поведения). При обучении используются игровой подход, практические занятия, имитация атак и т. д.;адаптация материалов с учетом потребностей любой организации;ориентация курсов/тренингов/учебных материалов на разные категории сотрудников: высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты. Охват программами повышения осведомленности всех уровней оргштатной иерархии компании, но с уклоном и персонализаций их под определенные слои иерархии и даже отдельных сотрудников;ориентация на онлайн-форму проведения курсов и тренингов.Сами сервисы повышения осведомленности Security Awareness «Лаборатории Касперского», чьи особенности мы только что перечислили, представлены на сайте компании в соответствующих разделах (см. таблицу 1). Таблица 1. Перечень сервисов Kaspersky Security AwarenessНаименование сервисаРаздел сайтаКраткое описаниеKaspersky Interactive Protection Simulation (KIPS)Для крупного бизнесаИнтерактивная игра, направленная на развитие командного духа и поиск оптимального баланса между приоритетами технологического процесса, бизнеса и безопасности в условиях реалистичных атакKaspersky Cybersafety Management GamesДля крупного бизнесаИнтерактивный семинар, направленный на демонстрацию важности кибербезопасности на уровне ответственности линейных менеджеров и развитие навыков, необходимых для поддержания безопасной рабочей среды в структурных подразделенияхПлатформа для повышения осведомленности о кибербезопасностиДля крупного бизнесаКомплект интерактивных обучающих модулей, направленный на формирование основ общекорпоративной кибергигиены (получение базовых навыков в области цифровой безопасностиKaspersky Automated Security Awareness Platform (ASAP)Для среднего бизнесаАвтоматизированная платформа (онлайн-инструмент), направленная на формирование и закрепление у сотрудников навыков безопасной работыОценка культуры безопасностиДля крупного бизнесаОнлайн-опрос, направленный на формирование отчета о культуре кибербезопасности компании на основании восприятия кибербезопасности обычными сотрудникамиНавыки поддержания ИБ для IT-специалистов — Cybersecurity for IT Online (CITO)Для крупного бизнесаИнтерактивный тренинг, направленный на обучение распознаванию признаков атаки IT‑специалистами и сбору данных об инцидентах для их последующей передачи специалистам по информационной безопасности Перечисленные выше сервисы предназначены для разной целевой аудитории: Рисунок 2. Целевая аудитория сервисов Security Awareness  Kaspersky Interactive Protection Simulation (KIPS)Назначение. KIPS — игровой тренинг для повышения осведомленности о рисках и проблемах безопасности, связанных с использованием современных компьютерных систем, а также для демонстрации влияния киберугроз на результаты бизнеса организации.Целевая аудитория. Игра KIPS предназначена для руководителей компаний, корпоративных экспертов по кибербезопасности и сотрудников IT-отделов.Преимущества. К преимуществам данного сервиса обучения и повышения осведомленности можно отнести следующее:интересная и увлекательная игра — непредсказуемое развитие сюжетной линии;динамичность развития событий — игра займет не более 2 часов;демонстрация руководству (осознание руководством) роли ИБ и ИТ в достижении организацией поставленных бизнес-целей;укрепление командного духа — минимизация барьеров во взаимоотношениях руководства, служб IT и ИБ;наличие состязаний — способствует проявлению инициативы, а также развитию и совершенствованию аналитических навыков;более простой и понятный подход к освещению и пониманию принципов IT-безопасности — наглядно и «безболезненно» в плане экспериментов.Формат реализации. Данный сервис доступен как в офлайн-формате в виде бумажных карточек и поля, так и в онлайн-режиме на сайте http://eu-online.kips.site. Сведения о подключении (лицензировании) и стоимости сервиса предоставляются по запросу.Независимо от формата реализации в игре доступны следующие сценарии:«Корпорация» — в рамках сценария необходимо обеспечить защиту предприятия от программ-вымогателей, целевых атак и нарушений безопасности автоматизации;«Банк» — в рамках сценария необходимо обеспечить защиту финансовых учреждений от специализированных целевых атак, направленных на банкоматы, управляющие серверы и бизнес-системы;«Электронные госуслуги» — в рамках сценария необходимо обеспечить защиту государственных электронных ресурсов от атак и эксплойтов;«Промышленная компания» — в рамках сценария необходимо обеспечить защиту АСУ ТП и критически важной инфраструктуры. В сценарии доступно два варианта объектов: «Электростанция» и «Станция водоочистки»;«Транспорт» — в рамках сценария необходимо обеспечить защиту логистической компании от серии кибератак, включая целевую атаку, проникновение инсайдера, ошибку Heartbleed.Каждый сценарий построен вокруг наиболее актуальных для выбранной отрасли векторов угроз. Следовательно, в рамках игры предоставляется возможность выявить и проанализировать типичные ошибки в отношении выбранной стратегии кибербезопасности и примененных способах реагирования на инциденты.В зависимости от выбранного сценария участники как бы попадают в имитацию соответствующей среды, где им предстоит не только защитить свою организацию и оставить ее на плаву, сохранив репутацию, но и получить прибыль. Действуя в условиях меняющейся обстановки и неполной информации, участники учатся расставлять приоритеты, принимать решения и учитывать разные точки зрения. Таким образом, создается приближенная к жизни ситуация: в основе каждого сценария лежат события, которые вполне могут произойти в реальности.В игре в рамках ограниченного бюджета и человеческих ресурсов предстоит выполнить 5 ходов, выстроив при этом оптимальную стратегию кибербезопасности, которая эффективна и против существующих, и против будущих угроз. Структура каждого хода разбита на следующие фазы:фаза сообщений — в рамках данной фазы участникам предоставляются новости индустрии, сведения об атаках злоумышленников и внутренние сообщения от реализованной системы защиты;фаза действий — происходит обсуждение между участниками команды, выбор оптимального (по мнению участников) решения и совершение необходимых действий, которые в игре представлены в виде карточек (например: установка средств защиты, проведение оргмероприятий — см. рисунок 3). При этом карточки в зависимости от описанных в них мер разделяются по типу действий («постоянного», «многоразового» и «вкл/выкл»), а также имеют стоимость, выраженную в денежном эквиваленте и человеческих ресурсов, которые в свою очередь будут вычитаться из выделенного в начале игры объема; Рисунок 3. Пример карточки действий  фаза получения дохода. В рамках данной фазы определяется величина прибыли, полученная в рамках выполненного хода;фаза отчета. В рамках данной фазы приводится отчетность по выполненным в течение хода действиям и достигнутым результатам.В конце игры определяется размер прибыли, которую получит или не получит организация.Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. Kaspersky Cybersafety Management GamesНазначение. Демонстрация линейным руководителям/менеджерам среднего звена важности обеспечения кибербезопасности на их уровне ответственности и формировании правильного отношения к поддержанию безопасной рабочей среды во всем подразделении.Целевая аудитория. Линейные руководители / менеджеры среднего звена.Преимущества: Игровые тренинги CyberSafety Management Games предоставляют линейным руководителям необходимые знания, а также развивают требуемые компетенции и правильное отношение к кибербезопасности, без которых невозможно обеспечить безопасную работу их подразделений. По результатам тренинга у линейных руководителей формируется:понимание необходимости реализации методов кибербезопасности и принятие их как значимого и одновременно не слишком сложного набора действий;новое отношение к кибербезопасности, позволяющее посмотреть на повседневные рабочие процессы через призму кибербезопасности;принятие решений с учетом кибербезопасности;мотивация к применению полученных знаний в части обладания базовыми навыками и знаниями по кибербезопасности, которые позволяют отвечать на вопросы сотрудников по направлениям ИБ и давать полезные советы.Формат реализации. Интерактивный мастер-класс (игровой тренинг), который включает компьютерные занятия и уроки под руководством инструктора, реализуемый как в офлайн-, так и в онлайн-режиме.Основной упор в рамках данного тренинга делается на том, чтобы донести до линейных руководителей, что без их помощи невозможно разрешить насущные вопросы и обеспечить кибербезопасность организации, сохранив высокую эффективность ее работы. Ведь именно они, а не отдел ИБ, ежедневно взаимодействуют с рядовыми сотрудниками и принимают важные для бизнеса решения. В рамках тренинга в течение 2 или 4 часов проводится обучение в игровой форме. При обучении используются ставки на доступные варианты ответов для предлагаемых на рассмотрение ситуаций, с которыми могут столкнуться в своей практике линейные руководители (см. рисунок 4). Рисунок 4. Пример рассмотрения ситуаций и ставки на принятые решения  После обсуждения в команде все результаты вводятся в программу, чтобы рассчитать лучшие варианты и найти победителей.Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу.Сервис может быть лицензирован в качестве программы для корпоративных обучающих центров — при такой лицензии компания сможет проводить неограниченное число тренингов силами внутренних тренеров.Ключевые преимущества корпоративной лицензии:простота подачи материала — тренерам в данном случае не обязательно быть экспертами в области кибербезопасности;простота планирования занятий — для коротких модулей может уделить время даже сотрудник с высокой загрузкой. Компании нет необходимости в составлении графика обучения с ориентированностью на доступность тренеров «Лаборатории Касперского»;возможность кастомизации тренинга под политики компании и ее процессы. Онлайн-платформа обучения навыкамОбщие сведенияОнлайн-платформа обучения навыкам представлена в двух вариациях:Платформа для повышения осведомленности о кибербезопасности;Kaspersky Automated Security Awareness Platform (ASAP)Платформа для повышения осведомленности о кибербезопасностиНазначение. Комплект интерактивных обучающих модулей, направленный на получение базовых навыков в области цифровой безопасности, включая освоение разных сценариев и ситуаций, получение знаний и понимания того, как определять и реагировать на распространенные киберугрозы.Целевая аудитория. Все сотрудники организации.Преимущества. Преимущества Платформы можно распределить по следующим логическим группам в зависимости от ее функциональности:интерактивные обучающие модули: более 25 коротких модулей с охватом всех областей IT-безопасности, упражнения с немедленным откликом на принятое решение, автоматическая корректировка процесса обучения по результатам прохождения предыдущих заданий;оценка знаний: возможность предварительного выбора тестов или включение случайного режима выбора, конфигурируемость тестов в части тематики и длины теста, обширная библиотека вопросов;имитация фишинговых атак: наличие нескольких типов фишинговых атак разной сложности (приближенных к реальным событиям), настраиваемые шаблоны и возможность автоматического назначения обучающих модулей (направления на обучение навыкам) в случае открытия пользователем таких писем;отчетность и анализ: статистические данные по всей организации в целом и по каждому подразделению в отдельности, контроль успеваемости (навыков и скорости обучения), возможность экспорта данных в разные форматы и возможность интеграции в систему дистанционного обучения (LMS), используемую в организации;всесторонняя оценка: проведение оценки с разных точек зрения — Организационный уровень (уровень руководства), Персональный уровень (уровень сотрудников), Знания в области ИБ, Система кибербезопасности как непрерывно действующий процесс;поддержка более 30 языков.Формат реализации. Онлайн-обучение на интерактивном портале. Полная версия курса состоит из более чем 25 обучающих модулей, каждый из которых рассчитан на 15 минут времени, а также из инструментов оценки, автоматического назначения обучающих модулей в зависимости от результатов, подготовки отчетов и аналитики.Каждый модуль представляет собой интерактивную вводную часть (текст, картинки, анимация) и серию упражнений. Модули направлены на получение знаний с помощью действий.Рассмотрим предоставляемые возможности на примере одного из модулей. При выборе интересующего модуля будет выполнен переход к нему, где можно выбрать язык и приступить к прохождению обучения (см. рисунок 5). Рисунок 5. Выбор модуля   В рамках обучения демонстрируется краткий экскурс по теоретической части модуля с указанием того, как должно быть в чистом виде (при отсутствии злоумышленных намерений) и какие могут быть ключевые элементы, характеризующие зловредную составляющую (см. рисунок 6). Рисунок 6. Пример теоретической части   После теоретической части проводится экспресс-подготовка к тестированию с указанием общих сведений о тесте и индикаторах, на которые необходимо обращать внимание (см. рисунок 7). Рисунок 7. Пример подготовки к тестированию  После подготовки выполняется тестирование, в рамках которого необходимо выполнить действия, обозначенные при подготовке (см. рисунок 8). Рисунок 8. Пример тестирования  По результатам каждого раунда в модуле подводятся итоги с возможностью ознакомления с допущенными ошибками (см. рисунок 9). Рисунок 9. Пример результатов раунда тестирования  Стоимость. Для ознакомления с работой Платформы на сайте «Лаборатории Касперского» доступна бесплатная интерактивная демоверсия.Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. В рамках каждого модуля и на странице с перечнем модулей есть кнопка для связи с отделом продаж.Kaspersky Automated Security Awareness Platform (ASAP)Назначение. Платформа Kaspersky ASAP направлена на формирование и закрепление у сотрудников навыков безопасной работы.Целевая аудитория. Все сотрудники организации.Преимущества. К преимуществам данной платформы можно отнести:возможность оценки текущих знаний сотрудника в сфере кибербезопасности и определения в соответствии с этим — набора навыков, необходимых именно ему (в зависимости от его рабочих обязанностей и профиля риска). Всего в сервисе заложено более 350 навыков;формирование индивидуальных графиков прохождения программы в зависимости от требуемых для изучения навыков;построение занятий с учетом особенностей человеческой памяти: во время каждого урока несколько раз делается акцент на ключевых сообщениях;каждый урок длится не более 10 минут;урок включает в себя интерактивный модуль и видеоролики, а также упражнения на закрепление и проверку (тест или имитацию фишинговой атаки);отработка навыков основана на принципе от простого к сложному — то есть пока проверка не будет пройдена, следующий этап тренинга не будет доступен;наличие автоматизированного управления — позволяет контролировать процесс на всех этапах: от постановки цели до оценки эффективности.Ключевые возможности платформы Kaspersky ASAP в сравнении с традиционными онлайн-тренингами приведены на рисунке ниже. Рисунок 10. Ключевые возможности платформы Kaspersky ASAP в сравнении с традиционными онлайн-тренингами  Формат реализации. Автоматизированная платформа (онлайн-инструмент).Благодаря автоматизации процесса управления действия по подготовке платформы к использованию выполняются довольно быстро: выбирается страна; регистрируется администратор платформы; подгружается/формируется список пользователей, подлежащих обучению; выполняется распределение пользователей по группам риска; определяются цели с учетом средних общемировых и отраслевых показателей.После чего пользователю на адрес электронной почты поступают письма о том, что он добавлен в программу обучения и может приступать к занятиям (с указанием ссылки на ресурс).Пользователь приступает к занятиям, а платформа построит процесс в соответствии с его темпом обучения и способностями, а также в зависимости от группы риска, в которую он добавлен. При этом пользователь сможет проходить задания строго в той последовательности, в которой их подготовит для него платформа.В панели управления представлена вся необходимая информация для оценки прогресса. При этом платформа сформирует рекомендации в части того, что нужно сделать, чтобы улучшить результат.Каждая тема делится на четыре уровня, посвященных отработке определенной группы навыков в сфере безопасности. Уровни соответствуют угрозам разной степени опасности по возрастанию: первый уровень — подходит для защиты от простых и массовых атак, а для защиты от сложных — потребуется четвертый уровень. При этом каждый уровень включает: интерактивный модуль и видео → упражнения на закрепление → проверку (тест или имитацию фишинговой атаки). Пример по отработке навыков в рамках темы «Интернет» представлен на рисунке ниже. Рисунок 11. Пример по отработке навыков в рамках темы «Интернет»  Рассмотрим предоставляемые возможности платформы на примере одного из вопросов урока (для уже обучающегося сотрудника). При переходе по ссылке из письма сотрудник попадает на свою страницу с активным уроком обучения и общей статистикой своего обучения (см. рисунок 12). Рисунок 12. Пример страницы обучающегося в Kaspersky ASAP  Сотрудник начинает урок с того момента, на котором он остановился. По изучаемому вопросу предоставляется теоретическая часть (см. рисунок 13), а дальше проводится тестирование (см. рисунок 14). Рисунок 13. Пример теоретической части в Kaspersky ASAP  Рисунок 14. Пример тестирования в Kaspersky ASAP  После прохождения тестирования будут отображены результаты и представлены выводы (см. рисунок 15). Рисунок 15. Пример отображения результатов и выводов в Kaspersky ASAP  Стоимость. Для ознакомления с работой Платформы на сайте «Лаборатории Касперского» доступна бесплатная интерактивная демоверсия. С 14.05.2019 продолжительность пробного периода ограничена: полная функциональность платформы доступна для всех желающих попробовать обучение кибербезопасности в течение двух месяцев.Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. Оплата производится только за активных пользователей (тех, кто проходит программу). Оценка культуры кибербезопасностиНазначение. Оценка культуры кибербезопасности предназначена для выявления проблемных областей и правильной расстановки приоритетов во внутренней и внешней деятельности отдела ИБ.Целевая аудитория. Руководство, ответственное за направление информационной безопасности организации.Преимущества. К преимуществам данного сервиса можно отнести:всесторонний анализ поведения и отношения сотрудников к аспектам кибербезопасности;выявление проблемных областей в рамках деятельности организации.Формат реализации. Оценка проводится в виде онлайн-опроса на базе облачной платформы. Опрос одного сотрудника занимает около 15 минут, а для анкетирования всей организации может потребоваться около 2 недель.В процессе оценки выполняется анализ поведения сотрудников всех уровней и определение их отношения к аспектам кибербезопасности.В рамках оценки рассматриваются следующие области:ответственное отношение к кибербезопасности (восприятие безопасности и политик);управление рисками (руководство, обратная связь, улучшения);следование принципам кибербезопасности (отношение к мерам безопасности и соответствующее поведение);влияние на бизнес (баланс между безопасностью и эффективностью работы компании).По результатам оценки готовится отчет о культуре кибербезопасности, который показывает, как обычный сотрудник воспринимает кибербезопасность; что он думает о культуре, привычках, ежедневных процедурах и других аспектах, связанных с кибербезопасностью; каковы его индивидуальные взгляды на те или иные принципы защиты компании от киберугроз. Такое восприятие формируется на основе всей совокупности практик, принятых в компании, а не только в результате работы отдела ИБ или отдела управления рисками. Необходимо понимать, что оценка культуры кибербезопасности не подменяет собой оценку уровня защищенности (не является аудитом IT-безопасности) и ничего не говорит об эффективности работы отдела ИБ. Рисунок 16. Пример отображения круговой диаграммы с результатами оценки  Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. Навыки поддержания ИБ для IT-специалистов — Cybersecurity for IT Online (CITO)Назначение. Обучение IT-специалистов навыкам поддержания кибербезопасности.Целевая аудитория. IT-специалисты — в первую очередь служба поддержки и системные администраторы.Преимущества. К преимуществам этого сервиса можно отнести:формирование навыков первой линии киберобороны по поиску признаков кибератак и выявлению их задач;формирование навыков по сбору данных для реагирования, необходимых службе IT-безопасности;интуитивно понятный интерфейс с подсказками;практические занятия на реальных процессах без риска причинения вреда своей IT-инфраструктуре.Формат реализации. Онлайн-курс, состоящий из шести модулей:основные практические сведения о киберугрозах;вредоносное программное обеспечение;потенциально нежелательные программы и файлы;основы расследования инцидентов;реагирование на фишинг и разведка в открытых источниках;корпоративная безопасность: контроль уязвимостей и защита серверов.В рамках модуля каждый тренинг состоит из теоретической (см. рисунок 17) и практической (см. рисунок 18) частей. В практической части содержится моделирование реального процесса с задачей по предшествующей теории. Рисунок 17. Пример теоретической части  Рисунок 18. Пример практической части  В случае неправильного выполнения задачи в практической части появится предложение о повторном изучении теории.Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. ВыводыЗадача повышения осведомленности сотрудников в вопросах кибербезопасности становится первостепенной с развитием методов социальной инженерии. Появляются различные курсы и тренинги, а наличие каналов с хорошей пропускной способностью открывает большие возможности для удаленного обучения, без отрыва от производства.Но даже наличие дистанционного обучения и отличных по своей сути учебных программ может не стать решающим фактором в их выборе, если сама методика преподавания хромает и оперирует вымышленными ситуациями, вероятность возникновения которых стремится к нулю.У сервисов Security Awareness «Лаборатории Касперского», рассмотренных в этом обзоре, минимизированы все указанные выше недостатки благодаря применению грамотного подхода к обучению и повышению осведомленности.При этом сервисы охватывают широкий спектр тем в области кибербезопасности, а также различных методик и практик, которые могут быть полезны как начинающим специалистам, так и опытным экспертам. Кроме того, «Лаборатория Касперского» предлагает свои сервисы с учетом размеров организаций — есть сервисы для крупных компаний и для компаний малого и среднего бизнеса.Тренинги, реализованные в рамках сервисов, сочетая в себя теоретическую и практическую части, охватывают все группы сотрудников организации, но формируя для разных категорий сотрудников разные навыки: высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты — все эти группы сотрудников обучаются разным навыкам с учетом их должностных обязанностей.Большинство сервисов реализованы в онлайн-формате, но и от офлайн-формата проведения обучения и повышения осведомленности «Лаборатория Касперского» не спешит отказываться.Одним из ключевых достоинств всех рассмотренных нами сервисов является то, что в их основе лежит экспертиза «Лаборатории Касперского» в области кибербезопасности и разработки защитных решений, а также наличие самой свежей, детальной и уникальной информации о способах борьбы с кибератаками.

В новом UTM-продукте корпоративного уровня «Континент 4» от российской компании «Код Безопасности» была полностью переработана система управления, на одном устройстве могут функционировать одновременно межсетевой экран с глубоким анализом трафика, система обнаружения вторжений, L3VPN с поддержкой ГОСТ, L2VPN, сервер доступа, модуль поведенческого анализа и модуль репутации URL. Решение гибко распределяет трафик по компонентам защиты, может использовать для создания политики безопасности объекты LDAP и более 2600 сетевых приложений. С точки зрения производительности продукт обеспечивает пропускную способность в режиме межсетевого экрана до 80 Гбит/с, а в режиме UTM — до 11 Гбит/с. Введение1.1. Что нового в «Континент 4»Характеристики комплекса «Континент 4»2.1. Оптимизация сетевой архитектуры2.2. Оптимизация архитектуры IDS\IPS (СОВ)Работа с комплексом «Континент 4»3.1. Базовые настройки комплекса «Континент 4»3.1.1. Работа с системой обнаружения и предотвращения вторжений «Континент 4»3.1.2. Настройка виртуальных частных сетей «Континент 4»3.1.3. Настройка L2VPN «Континент 4» 3.1.4. Настройка L3VPN «Континент 4»3.1.5. Поведенческий анализ сетевого трафика «Континент 4»3.1.6. Веб-фильтрация «Континент 4»Выводы ВведениеМежсетевой экран — передовая линия обороны между внешними угрозами и корпоративной сетью. Он должен постоянно развиваться, чтобы отражать новые угрозы и обеспечивать безопасность сложных и высокопроизводительных инфраструктур.Границы современных сетей размываются, и поэтому некоторые специалисты предсказывают закат эпохи корпоративных межсетевых экранов. Среди причин называют миграцию инфраструктуры и приложений в публичные облака, что делает «периметровый» подход к безопасности бесполезным. Однако опыт показывает, что массовая миграция в облака, особенно в России, — дело отдаленного будущего. Сейчас корпоративный межсетевой экран остается «точкой приземления» множества облачных сервисов ИБ, и он продолжит быть критически важной частью корпоративной системы защиты информации.Другой особенностью российского рынка является расширение требований к сертификации средств борьбы с угрозами, поддержке алгоритмов ГОСТ, а также к их санкционной устойчивости.Существующие иностранные сертифицированные UTM-решения корпоративного уровня не могут в полной мере обеспечить необходимую защиту по нескольким причинам:сертифицированы версии ПО и аппаратные платформы, которые заканчивают свой жизненный цикл;в процессе сертификации из продуктов вырезается ключевая функциональность, например, глубокий анализ трафика или SSL-инспекция;продукты нельзя сертифицировать по требованиям к системам обнаружения вторжений, так как их сигнатуры обновляются из-за рубежа;для реализации шифрования с использованием алгоритмов ГОСТ необходимо использовать отдельное устройство.Комплекс «Континент» затронули значительные изменения. Версию 3.9 мы обозревали в декабре 2018 года, сравнительно недавно. Но уже всего через полгода ей на смену пришла радикально новая четвертая версия, с иной архитектурой и набором функций.Для начала посмотрим, как решение было устроено раньше (рисунок 1). Каждый компонент (межсетевой экран, система обнаружения вторжений, L2 VPN) требовал отдельной аппаратной платформы. Решить эти проблемы только лишь увеличением вычислительной мощности уже не представлялось возможным. Именно поэтому команда «Кода Безопасности» взялась за сложную и крупномасштабную задачу принципиального улучшения «Континента». Рисунок 1. Как был устроен «Континент 3.9»  В результате получился обновленный продукт, отличающийся не только графическим интерфейсом, как иногда бывает. Теперь все актуальные механизмы безопасности консолидированы (рисунок 2) на едином устройстве, по принципу UTM — Unified Threat Management, универсальное решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Рисунок 2. Объединение механизмов безопасности в «Континент 4»  Во всех необходимых точках присутствия ставится одна аппаратная платформа, на которой доступны все механизмы защиты, но активируются только те из них, что нужны в этой конкретной точке сети. Использование UTM значительно упрощает администрирование и сетевую топологию, так как вместо управления несколькими физическими устройствами (брандмауэр, система обнаружения вторжений, VPN и т. д.) можно сконцентрироваться на работе с одним. Типовой вариант развертывания «Континент 4» представлен на рисунке 3. Рисунок 3. Вариант развертывания «Континент 4»  Gartner — исследовательская и консалтинговая компания, специализирующаяся на рынках информационных технологий — выделяет три больших сценария использования межсетевых экранов: пограничный, внутренний и для частного облака.От пограничного межсетевого экрана требуется обеспечить защиту взаимодействия с интернетом. В рамках этой задачи необходимы механизмы:идентификации пользователей при доступе в интернет;обнаружения вторжений;глубокого анализа трафика;защиты от доступа к вредоносным сайтам;подключения удаленных пользователей;создания защищенных каналов связи.Это — главный сценарий, который поддерживают все устройства «Континент 4».Внутренний межсетевой экран сегментирует корпоративную сеть. Для решения этой задачи требуются:высокая пропускная способность при любых характеристиках трафика;возможность работать с большой политикой фильтрации;высокий уровень отказоустойчивости.Для реализации этого сценария был создан специализированный брандмауэр. Разработка потребовала кардинальной смены подхода к архитектуре, но заложила существенный запас производительности на будущее.Виртуальный межсетевой экран обеспечивает микросегментацию сети частного облака, и для него характерны следующие задачи:разграничение трафика между виртуальными машинами;поддержка миграции виртуальных машин на другой сервер;автоматизация создания и изменения политик безопасности;минимальное влияние на работу виртуальной среды.«Континент 4» совместно с vGate 4 закрывает все эти сценарии. Таким образом, обеспечивается комплексное решение всех проблем, связанных с сетевой безопасностью.Модельный ряд «Континент 4» позволяет компаниям выбрать решение, подходящее по масштабу защищаемой сети и, соответственно, по бюджету, так как один из критериев лицензирования — производительность аппаратной платформы. Таблица 1. Производительность линейки устройств «Континент 4» в режиме UTM, МЭ и VPN IPC-10IPC-50IPC-500/500FIPC-600IPC-800FIPC-1000FIPC-3000FПроизводительность межсетевого экрана, лабораторный трафик600120026006200115002230050000Производительность межсетевого экрана, Real-world mix4006001200300049001450025000Производительность UTM, лабораторный трафик500700140029006000720011680Производительность UTM, Real-world mix2803007301500300045006000VPN1503205501300250044007200 Таблица 2. Линейка устройств «Континент 4» по сегментам Что нового в «Континент 4»Разработано ядро UTM — межсетевой экран с гибким распределением трафика по механизмам безопасностиНовая система работы с передачей данных является главным архитектурным нововведением. Дополнительные подсистемы (DPI, IPS, URL reputation) включаются только для релевантного трафика. Это значительно экономит ресурсы и обеспечивает высокую пропускную способность без снижения уровня защиты.Обновлена система управленияСтоит также обратить внимание на измененную систему администрирования, которая ориентирована на создание и поддержание единой инфраструктуры (таблица 3). Таблица 3. Централизованное управление инфраструктурой «Континент 4»Наименование функцииОписание и возможности функцииЦентрализованное управлениеНовая система позволяет единообразно управлять:сетевыми узлами;VPN-сообществами;криптографическими ключами;правилами фильтрации трафика;настройками маршрутизации.Пользователь как основа политикиУправление пользователями как одним из объектов инфраструктуры. Происходит привязка к пользователю различных правил фильтрации и других политик. Также есть возможность интеграции с LDAP и Captive-порталом.Единая база сетевых объектов для политики безопасностиУдобная функция, если в компании имеется большая корпоративная сеть со множеством удаленных филиалов и разнообразной серверно-сетевой инфраструктурой.Ролевое управление доступомПозволяет реализовывать гибкие и динамически изменяющиеся правила разграничения доступа.Удобный веб-интерфейс мониторингаВеб-интерфейс для мониторинга вынесен отдельно: теперь есть Центр управления сетью (в виде толстого клиента) и Центр мониторинга. Расширен набор механизмов безопасностиВ сравнении с предыдущим поколением заметно дополнен арсенал используемых способов проверки трафика:контроль использования сетевых приложений: в базовой версии — 100 приложений, в продвинутой — более 2600 программных продуктов в 20 различных категориях;обнаружение и предотвращение сетевых вторжений на базе сигнатурного анализа с возможностью обработки трафика как на сетевом, так и канальном уровнях;блокировка доступа к вредоносным сайтам на основе репутационного сервиса «Лаборатории Касперского», а также локального черного списка сайтов;обнаружение аномалий в сетевом трафике с использованием технологий машинного обучения.Разработан специализированный межсетевой экран для сегментации внутренней сетиДля задач сегментации внутренней сети был с нуля создан новый модуль фильтрации трафика. За счет применения технологии Intel DPDK удалось добиться производительности в 80 Гбит/с и 45 млн пакетов в секунду, причем благодаря патентованной технологии трансляции политики фильтрации трафика в префиксные деревья производительность устройства не падает при увеличении числа правил. Произведены доработки в части возможностей построения виртуальных частных сетей и межсетевого экранирования:автоматическая смена ключей;динамическая маршрутизация (OSPF, BGP);L2 и L3 VPN, с возможностью шифрования по ГОСТ-алгоритмам;возможность настроить выставление приоритета обслуживания по разным типам трафика (QoS) и ограничение пропускной способности канала для определенных узлов (traffic shaping);поддержка Jumbo-frame.Запущена процедура сертификации по требованиям ФСТЭК России и ФСБ России«Континент 4» пройдет сертификационные испытания по требованиям ФСТЭК (МЭ тип «А», 4 класс, и СОВ уровня сети 4 класса) и ФСБ (4 класс по Руководящему документу МЭ, средства криптографической защиты информации КС2\КС3).Если суммировать вышеизложенное, новый «Континент 4» поможет эффективно защитить периметр сети и обеспечить сегментацию, оптимизировать затраты на безопасность, сэкономить время администратора. Характеристики комплекса «Континент 4»Ранее было отмечено, что характеристики комплекса были значительно доработаны и улучшены. Для начала разберемся, что же было предпринято и чего стоило добиться заявляемой производительности. Затем мы, конечно, детально рассмотрим практические примеры настройки новой версии.Оптимизация сетевой архитектурыВ процессе разработки эксперты «Кода Безопасности» провели объемную исследовательскую работу. Без такого подхода, возможно, не получилось бы достичь значительных результатов.По словам представителей компании, перед отделом исследований было поставлено несколько приоритетных задач:разработать платформу, способную обрабатывать трафик со скоростью до 100 Гбит\с;оптимизировать прохождение трафика;для высокопроизводительных решений вынести криптографические функции на отдельный чип.Для начала нужно понять, в чем, собственно, состояла проблема. Заключалась она в последовательной обработке правил, что часто приводило к деградации производительности при значительном возрастании их количества. Ввиду этого невозможно было сделать сверхмощную платформу без оптимизации подсистем обработки трафика и других компонентов. Например, то же добавление процессоров с большим количеством ядер, узлов для распараллеливания обработки трафика или применение интегральных схем специального назначения (ASIC) и FPGA-модулей просто привело бы к удорожанию и плохой масштабируемости. Средние и младшие платформы «Континент» стали бы неконкурентоспособными. Поэтому вариант с модернизацией уже и так достаточно мощной платформы от версии 3.9 признали нецелесообразным.Такие выводы были сделаны не на пустом месте. Разработчики провели нагрузочное тестирование:на HTTP-трафике пропускная способность составила порядка 55 Гбит\с;на пакетах UDP 64 байта (считается самым тяжелым трафиком) пропускная способность падала на 98% и составляла всего 1,5 Гбит\с.Такие результаты явно указывали, что нужно искать иные подходы и совершенствовать программную часть комплекса «Континент». Рассматривались три возможных варианта, отраженные в таблице 4; по результатам их сравнения был избран третий подход, заключающийся в собственной разработке внутренней логики. В основу подхода легли упомянутые ранее средства: технология Intel DPDK и алгоритм префиксных деревьев. Таблица 4. Варианты доработки программной части комплекса «Континент»: достоинства и недостаткиВариантыДостоинстваНедостаткиНастроить ядро ОСМинимальные трудозатратыНе универсальный вариант;прирост будет несущественнымПоменять логику работы ОСПотенциально высокий прирост производительностиМного трудозатрат;сложно интегрировать и поддерживатьВынос всей логики в пользовательское пространство (user space) — Intel DPDKВысокий прирост производительности;ошибки приводят к менее критичным последствиямВсю логику нужно писать с нуля Эффективность третьего варианта подтверждается проведенными тестами на стандартной версии межсетевого экрана Netfilter и доработанной версии с применением Intel DPDK и алгоритма префиксных деревьев.Стандартный Netfilter: 1 правило — скорость 1,5 Гб\с, 100 правил — 1,2 Гб\с, 1000 правил — 405 Мб\с (падение производительности на 75%). Такие результаты связаны с методами обработки, применяемыми в стандартном межсетевом экране (рисунок 4), суть которых состоит в прохождении пакета по всем имеющимся правилам в блоке сверху вниз. Рисунок 4. Стандартный алгоритм обработки пакетов в межсетевом экране  Новый вариант обработки правил с применением префиксных деревьев отличается тем, что в момент получения пакета просчитывается путь, по которому он может пойти, учитывая его характеристики. Также просчет нужно производить при изменениях правил (и только после этого отправлять на узлы безопасности обновленные политики).После внедрения Intel DPDK и алгоритма префиксных деревьев были произведены повторные замеры на UDP-трафике с размером пакета 64 байта (рисунок 5). Рисунок 5. Повторные замеры «Кода Безопасности» на новой программной основе в сравнении с предыдущими результатами  В конечном итоге оказалось, что на любом количестве правил и на любых пакетах достигается производительность до 30 Гбит\с, даже при снижении аппаратной мощности с 14 ядер сначала до 8, а потом и до 4 ядер. Такие показатели для разработчиков «Кода Безопасности» означали то, что можно использовать одну и ту же аппаратную платформу сразу для нескольких функций безопасности. Поэтому следующим логичным шагом была оптимизация архитектуры системы обнаружения и предотвращения вторжений.Оптимизация архитектуры IDS\IPS (СОВ)Система обнаружения и предотвращения вторжений (далее — СОВ) — один из самых ресурсоемких механизмов защиты. Помимо того, что приходится тратить ресурсы на экранирование трафика, нужно еще его обрабатывать и проверять на наличие потенциально вредоносной активности. Рассмотрим ключевые проблемы СОВ и подходы, которые применили для их решения в «Континент 4» (таблица 5). Таблица 5. Ключевые проблемы СОВ и способы их решенияПроблемаОписание проблемыСпособы решенияПроседание производительности UTM-устройства при включении модуля СОВдополнительные затраты на более мощную аппаратную платформу;деактивация (частично или полностью) механизма защиты для экономии ресурсов;снижение пропускной способности при включении механизма защитыоптимизировать архитектуру;оптимизировать сигнатуры;вынести ресурсоемкие сигнатуры за пределы модуля СОВ (создание отдельного модуля поведенческого анализа)Большое количество ложных срабатыванийснижение доверия к срабатываниям модуля СОВ;расход ресурсов на изучение и разбор ложных срабатываний Видно, что некоторые следствия ключевых проблем могут привести к снижению уровня безопасности: например, отключение групп правил или всего механизма в целом создает риск пропустить атаки злоумышленников.Для оптимизации данного механизма разработчики «Континент 4» пошли следующим путем: вынесли подключение сигнатур во вполне удобное для администраторов системы место, а именно — непосредственно в политики фильтрации. Достоинствами такого подхода являются высокая гибкость настройки и гранулярность — точечное включение или отключение СОВ для конкретного типа трафика (рисунок 6). Рисунок 6. Включение СОВ непосредственно в политиках фильтрации  Подход работы с профилями зарекомендовал себя в СОВ, в том числе и в «Континент 4». На самую ресурсоемкую проверку приходит только тот трафик, который действительно нужно проверять.Такой подход решает ключевую проблему комплексных систем защиты информации в формате UTM: значительное падение производительности при активации СОВ, множество ложных срабатываний. Этим могут воспользоваться хакеры, вынудив администраторов безопасности перестать обращать на них внимание или вообще на время отключить систему обнаружения и предотвращения вторжений. В момент такого отключения может быть проведена реальная атака, вероятность фиксирования которой уже будет меньше.Впрочем, недостаточно только лишь повысить удобство работы. Более значимым изменением можно считать, например, оптимизацию сигнатур (правил обнаружения). У «Кода Безопасности» есть аналитический отдел, который постоянно занимается этой задачей; работа сигнатур проверяется на стенде еще до их отправки заказчику, и в случае выявления высокой загрузки ресурсов срабатывает скрипт, который отправляет информацию о ресурсоемкой сигнатуре аналитикам. Заслуживает упоминания и то, что специалисты усовершенствовали типовые профили СОВ.Другое важное улучшение — это вынесение обработки типовых атак за пределы модуля СОВ, для чего применяется поведенческий анализ. На его основе происходит отброс части трафика еще до отправки в сигнатурный модуль (рисунок 7). Рисунок 7. Оптимальная обработка трафика системой обнаружения и предотвращения вторжений  Модуль поведенческого анализа, или «Детектор атак», отсекает примерно 98% мусорной активности, которая идет со стороны интернета (в случае установки на границе сети). При этом включение Детектора атак не влияет на пропускную способность канала. В поведенческом анализе есть обучаемые шаблоны по известным сетевым атакам, среди которых выделены 4 профиля с высокой долей вероятности ложных срабатываний:SYN scan;FIN\RST scan;SYN flood;FIN\RST flood.Для снижения риска некорректной работы применяются методы машинного обучения.Подводя промежуточный итог по данному разделу, можно сказать, что решение проблемы производительности СОВ — задача комплексная. Оптимизация сигнатур для СОВ возможна и необходима для эффективной работы конечных устройств. Вынос части механизмов защиты от атак за пределы системы обнаружения вторжений имел обоснование, и его реализация, несомненно, сыграла положительную роль в улучшении показателей «Континент 4». Работа с комплексом «Континент 4»Комплекс «Континент 4» включает:Менеджер конфигурации — программное средство, устанавливаемое на одном или нескольких компьютерах (рабочих местах администратора) для удаленной работы с центром управления сетью.Узел безопасности, который может работать в разных режимах, активируя при этом только необходимые функции и модули (таблица 6). Таблица 6. Возможные сценарии применения узла безопасности Тип узла безопасностиПрограммные модули, доступные в различных режимах работыЦентр управления сетьюМежсетевой экранМодуль L2VPNМодуль L3VPNДетектор атакСервер доступаМодуль идентификации пользователейМодуль поведенческого анализаUTM++++++++Высокопроизводительный межсетевой экран + +    Детектор атакВ данном режиме поддерживается работа узла безопасности только в качестве детектора атак (может работать «в разрыв» (inline) и режиме мониторинга). В ходе эксплуатации комплекса «Континент 4» мы опробовали некоторые сценарии настройки, а заодно проверили, как он может справляться с нагрузкой (трафик генерировался при помощи системы нагрузочного тестирования межсетевых экранов и средств сетевой защиты Ixia BreakingPoint). В целом тестирование показало, что «Континент 4» выдерживает заявленные нагрузки до 80 Гбит\с на старших версиях IPC1000-NF2 и IPC3000-NF2. Впрочем, кроме производительности, изменились в лучшую сторону интерфейс и способы настройки — о которых мы и хотим поговорить далее.Базовые настройки комплекса «Континент 4»Базовые настройки и инициализация аппаратно-программного комплекса вполне просты, поэтому будут рассматриваться без детализации и углубления. Отметим к слову, что эксплуатационная документация стала удобнее в использовании: описание настроек разведено по конкретным задачам, модулям и продуктам.Инициализировать аппаратно-программный комплекс можно в 3-х вариациях (рисунок 8). Рисунок 8. Инициализация комплекса «Континент 4»  Ряд событий в процессе инициализации происходит на заранее развернутом рабочем месте с установленным программным обеспечением «Менеджер конфигурации». Там присваиваются дополнительные роли, которые определяют функциональность, создаются правила фильтрации трафика и сертификат для SSL\TLS-инспекции (рисунки 9, 10, 11). Рисунок 9. Создание узла безопасности в «Менеджере конфигурации»   Для создания узла безопасности необходимо перейти в раздел «Структура».К созданным узлам будут применяться политики безопасности и контроля доступа, создаваемые в одноименном разделе. На рисунке 10 отражена возможность фильтрации на уровне приложений, что на сегодняшний день приоритетно для устройств класса NGFW и UTM. Рисунок 10. Настройка параметров узла безопасности, фильтрация на уровне L7 (приложений) в «Континент 4»  Далее рекомендуется создать сертификат для узла безопасности, что позволит производить SSL-инспекцию зашифрованного трафика. Рисунок 11. Создание сертификата узла безопасности в «Континент 4»  Первое впечатление от интерфейса — положительное. Рассмотрим на примерах, что и как можно настроить в обновленной версии.Работа с системой обнаружения и предотвращения вторжений «Континент 4»Как было отмечено ранее, система обнаружения и предотвращения вторжений может работать в режиме мониторинга при подключении на SPAN-порт, анализируя зеркалируемый трафик, и «в разрыв», когда СОВ работает бок о бок с межсетевым экраном, модулем глубокого анализа трафика и другими функциями «Континент 4».В данном примере мы включили СОВ на конкретном правиле межсетевого экрана, при этом далее предлагается рассмотреть варианты используемых сигнатур (рисунок 12). Рисунок 12. Включение СОВ в правилах межсетевого экрана в «Континент 4»  Рекомендуется использовать сигнатуры, разработанные и оптимизированные производителем (рисунок 13), так как чаще всего в организации нет специалистов достаточной компетенции, которые смогли бы создать и отладить правила срабатывания СОВ самостоятельно. Рисунок 13. Правила обнаружения от разработчика «Континент 4»  Но, тем не менее, стоит понимать, как создаются правила с нуля (рисунок 14). Может сложиться такая ситуация, при которой пригодится подобный навык. Конечно, здесь не освещены все нюансы и тонкости синтаксиса сигнатуры и методов отладки — иначе пришлось бы готовить отдельную статью по этой теме. Рисунок 14. Пользовательские правила обнаружения в «Континент 4». Часть 1. Создание  После создания необходимо выбрать протокол, для которого будет производиться анализ, чтобы правило срабатывало точечно и не тратило ресурсы на весь проходящий трафик по разным протоколам (рисунок 15). Также здесь можно конкретизировать информацию об источниках и приемниках трафика — например, когда известно, что какой-то конкретный ресурс может распространять вредоносные программы, или когда периодически с него осуществляются атаки. Рисунок 15. Пользовательские правила обнаружения в «Континент 4». Часть 2. Заполнение свойств  И самое интересное, но и сложное, — это формирование сигнатуры. В данном случае обходимся простейшими формулировками, так как это — тестовое правило (рисунок 16). На деле же «боевые» сигнатуры более громоздки и имеют множество условий и параметров, что позволяет снизить риск ложных срабатываний. Рисунок 16. Пользовательские правила обнаружения в «Континент 4». Часть 3. Формирование сигнатуры Настройка виртуальных частных сетей «Континент 4»Еще одной часто применяемой функцией является настройка виртуальных частных сетей (VPN). В новой версии «Континент 4» в этой части также были произведены доработки, и теперь есть возможность использовать так называемые VPN-сообщества, что значительно упрощает администрирование инфраструктуры.Нередко требуется реализовывать защищенные каналы на разных уровнях — канальном (L2) и сетевом (L3).Настройка L2VPN «Континент 4»Настройка L2VPN начинается с создания виртуального коммутатора (рисунок 17), основная задача которого — принимать и передавать между узлами безопасности «Континент 4» Ethernet-кадры через VPN-туннель. Виртуальный коммутатор объединяет создаваемые порты в сетевой мост. Рисунок 17. Создание виртуального коммутатора в «Континент 4»  После создания виртуального коммутатора через режим редактирования (рисунок 18) вносится перечень входящих портов коммутации с указанием узла безопасности, к которому относится данный порт. Рисунок 18. Редактирование свойств виртуального коммутатора в «Континент 4»  Для каждого порта можно настроить параметры: режим динамического обучения, размер таблицы коммутации, реакции на нарушения безопасности и описание. В нашем случае мы добавили два порта и оставили настройки по умолчанию.Чтобы возможно было добавить порты на виртуальный коммутатор, необходимо в свойствах узлов безопасности, которые будут связываться по L2VPN, включить одноименный компонент (рисунок 19). Только после этого мы перешли к данному шагу. Рисунок 19. Добавление портов на виртуальный коммутатор в «Континент 4»  В результате проведенных настроек на выходе получили настроенный L2VPN (рисунок 20). Рисунок 20. Финальный вид сконфигурированного виртуального коммутатора в «Континент 4»  Настройка L3VPN «Континент 4»Настройка L3VPN на первых шагах почти не отличается от L2VPN в части создания. Но, само собой, есть нюансы, на которые стоит обратить внимание. Во-первых, нужно определить, будет ли это полносвязная сеть или централизованная. Во-вторых, здесь не требуется создавать виртуальный коммутатор. Рисунок 21. Добавление в L3VPN узлов безопасности, которые должны взаимодействовать  На следующем шаге выбираем интерфейсы узлов безопасности, через которые они будут взаимодействовать (рисунок 22). Рисунок 22. Выбор интерфейса для взаимодействия  Таким же образом добавляем интерфейс для второго узла безопасности.Далее нужно определить в свойствах создаваемой сети т.н. защищаемые ресурсы (рисунок 23). Рисунок 23. Добавление защищаемых объектов в L3VPN-сеть   По завершении настроек необходимо разослать информацию с ними на узлы безопасности. После обновления информации на узлах можно приступать к работе (рисунок 24). Рисунок 24. Заключительный шаг настройки с отображением созданной топологии L3VPN в «Континент 4»  Следующая опробованная в процессе тестирования функция позволяет обнаруживать атаки сканирования, атаки на основе корректности протоколов и отказы в обслуживании.Поведенческий анализ сетевого трафика «Континент 4»Модуль «Поведенческий анализ» представляет собой самообучаемый программный компонент. В основе его работы находятся методики анализа характеристик сетевого трафика с учетом их изменений во времени в соответствии с наборами шаблонов. Конечному заказчику функция позволит отсечь лишний потенциально вредоносный трафик, что снизит нагрузку на само устройство.Для настройки необходимо зайти в свойства интересующего нас узла безопасности и активировать его в разделе «Компоненты» (рисунок 25). Рисунок 25. Включение на узле модуля «Поведенческий анализ»   На следующем шаге мы произвели настройку режима обучения и определили, на каких интерфейсах активируется данный компонент. Рисунок 26. Настройка режима работы модуля «Поведенческий анализ»  После настройки режима определяем список шаблонов атак. Включать их все, без учета специфики инфраструктуры и приложений, находящихся за узлом безопасности, не имеет особого смысла. Рисунок 27. Выбор шаблонов из списка известных атак в «Континент 4»  В случае с модулем поведенческого анализа стоит обратить внимание на гибкость его работы и возможность выбора из многочисленных профилей известных сетевых атак, равно как и модификации этих профилей.Веб-фильтрация «Континент 4»аСредства межсетевого экранирования чаще всего умеют дополнительно фильтровать сетевой трафик на уровне приложений для защиты от вредоносных сайтов. Соответственно, для этих целей мы попробовали настроить в «Континент 4» веб-фильтры.Непосредственно перед включением механизма защиты от вредоносных сайтов в свойствах узла безопасности был прописан IP-адрес сервера DNS, содержащего доменные имена и адреса всех серверов получателей. Также мы создали корневой сертификат на этапе развертывания, после чего привязали созданные сертификаты к узлам безопасности, на которых настраивается фильтрация, и распространили корневые сертификаты и списки отозванных сертификатов на клиентские АРМ.После этого можно добавлять фильтры (рисунок 28). Рисунок 28. Добавление фильтра в оснастку   Необходимо заполнить описание, назначить адрес, который будет являться недоверенным, и указать контент, при обнаружении которого необходимо применить созданный фильтр (рисунок 29). Рисунок 29. Наполнение фильтра свойствами в «Континент 4»  После наполнения свойств URL-фильтра его можно применять в правилах межсетевого экрана (рисунок 30). Рисунок 30. Установка профиля URL-фильтрации в «Континент 4»  При работе с правилами фильтрации подобного рода нужно учитывать, что по умолчанию на узлах безопасности «Континент 4» включен базовый контроль приложений (с ограниченным перечнем). ВыводыНовый комплекс «Континент 4» выдержал проверки и подтвердил заявленные характеристики. Несомненно, производителю еще есть над чем работать, но взят курс в верном направлении. Посмотрим, как себя покажет «в бою» вся линейка продуктов.В числе новых возможностей можно выделить следующие:расширенный контроль приложений (100 приложений в базовом комплекте и контроль более 2600 программных продуктов в расширенной подписке);полноценный межсетевой экран корпоративного уровня с возможностью выбирать только то, что нужно, при этом аппаратная платформа не потребует замены;принципиально новая система управления, дополненная в части работы с виртуальными частными сетями и другими объектами сети через группы или сообщества;значительное увеличение производительности на всех версиях, в том числе до 80 Гбит\с — на старших платформах.Если вспомнить прошлогодние прогнозы, в которых заявлялось, что «Континент 4» будет обладать еще большим набором функций и соответствовать концепции UTM (универсальное устройство корпоративного уровня, обеспечивающее мощную комплексную защиту от сетевых угроз), можно резюмировать, что обещание было сдержано.Преимущества:Новая модульная архитектура, добавлен сервис репутации URL на основе данных от «Лаборатории Касперского».Межсетевой экран с поддержкой DPI (глубокий анализ пакетов) и правилами фильтрации на уровне L7.Обновленная система обнаружения вторжений с модулем поведенческого анализа «Детектор атак».Достигнута высокая гибкость и гранулярность комплекса.Заметно переработана программно-аппаратная часть, что позволило увеличить производительность межсетевого экрана до 80 Гбит\с, а шифрования трафика — до 20 Гбит\с.Возможность отключать работу системы обнаружения вторжений непосредственно в конкретных правилах безопасности и для определенного типа трафика.Реализация в виде виртуального устройства (вопрос сертификации остается открытым).Недостатки:Первичная доставка ключей для активации криптошлюзов требует физического присутствия.Нет возможности настроить веб-страницу, на которую будет происходить перенаправление в случае блокировки потенциально опасного или запрещенного сайта.Нет полноценной веб-фильтрации по категориям сайтов.Сертификация по требованиям ФСТЭК России и ФСБ России — в процессе прохождения.

Check Point CloudGuard SaaS — передовое решение, предназначенное для защиты информации, обрабатываемой в облачных приложениях. Check Point CloudGuard SaaS поддерживает Office 365, G Suite, Dropbox, Box, ServiceNow и другие популярные облачные сервисы. Клиент получает охрану от актуальных угроз на разных уровнях, а также может пользоваться инструментами для аналитики, защиты доступа и управления информационной безопасностью. ВведениеФункциональные возможности CloudGuard SaaSРабота с CloudGuard SaaS3.1. Настройка CloudGuard SaaS для работы с облачными сервисами3.2. Отображение событий безопасности, зарегистрированных CloudGuard SaaS3.3. Политики безопасности3.4. Аналитика событий безопасности3.5. Карантин3.6. Предотвращение сложных угроз и атак нулевого дня3.7. Защита от взлома аккаунта и несанкционированного доступа к SaaS3.8. Предоставление услуг по управлению информационной безопасностьюЛицензирование CloudGuard SaaSВыводы ВведениеПрограммное обеспечение, распространяемое по модели SaaS (Software as a Service), очень популярно как среди обычных пользователей, так и среди корпоративных клиентов. SaaS-провайдеры полностью управляют приложениями и гарантируют их работоспособность, предоставляя соответствующую функциональность в любой точке мира. Как правило, SaaS-провайдеры видят своей первоочередной задачей повышение качества продаваемого сервиса, а не защиту обрабатываемой в облаке информации.В связи с этим появился новый класс решений – брокеры безопасного доступа в облако (Cloud Access Security Broker, CASB). CASB представляет собой локальное или распределенное программное обеспечение, которое размещается между пользователями и облачными приложениями, отслеживая все действия и обеспечивая соблюдение политик безопасности.Компания Check Point — одна из тех, кто предлагает CASB-решение для защиты SaaS. CloudGuard SaaS предотвращает атаки, в том числе «нулевого дня», в почте и в облачных файловых хранилищах, защищает от фишинга, обнаруживает использование неразрешенных облачных сервисов, блокирует несанкционированный доступ. Эта защита реализуется за счет применения технологий, уже «обкатанных» на шлюзах: SandBlast (динамический анализ или эмуляция), Threat Extraction (мгновенная конвертация файлов в безопасную форму), машинное обучение. Облачный сервис защиты в полной мере использует все возможности глобальной базы данных угроз Threat Cloud. Функциональные возможности CloudGuard SaaSCloudGuard SaaS интегрируется с облачными сервисами через API, выступая в качестве единой платформы управления безопасностью и идентификации пользователей. Взаимодействие осуществляется по протоколам HTTPS и SMTPS. Интеграция по API не требует изменения настроек SaaS со стороны сервис-провайдера. Рисунок 1. Архитектура единой платформы CloudGuard SaaS и взаимодействие с облачными сервисами  CloudGuard SaaS предоставляет защиту:от угроз нулевого дня в почте и в файловых сервисах;от утечки данных из облачного сервиса (функции DLP);от фишинга;от кражи идентификационных данных (Identity Protection).Также продукт обеспечивает:контроль доступа пользователей к облачным приложениям;обнаружение теневой ИТ-инфраструктуры (Shadow IT);безопасный доступ пользователей к облачным сервисам, включая Office365, OneDrive, G Suite, Dropbox и Box.Для защищенного доступа к облакам применяется агент ID-Guard, который устанавливается на компьютер, ноутбук или смартфон пользователя, позволяя гарантировать доступ к приложениям только для безопасных устройств. ID-Guard поддерживает следующие операционные системы:Microsoft Windows 7 и выше;Apple iOS: 8.x, 9.x, 10.x, 11.x;Google Android: 4.x, 5.x, 6.x, 7.x, 8.x. Рисунок 2. ID-Guard для разных типов устройств в CloudGuard SaaS  Рисунок 3. Организация доступа пользователя к облачным сервисам через ID-Guard  Для предотвращения распространения вредоносных файлов и писем CloudGuard SaaS поддерживает три режима анализа данных и реагирования на инциденты.Обнаружение (Detect) — электронные письма и файлы в облачных директориях дублируются на CloudGuard SaaS, где происходит их анализ. CloudGuard SaaS проверяет сами письма, вложения в них, файлы и URL-адреса, а также формирует статистику и отчеты. События отправляются на портал CloudGuard SaaS и регистрируются в соответствии с результатами сканирования. При этом содержимое электронного ящика или директории пользователя не зависит от результатов анализа, выявленные вредоносные письма и файлы не блокируются.Обнаружение и исправление (DetectandRemediate) — в отличие от предыдущего режима, CloudGuard SaaS по результатам анализа помещает вредоносные файлы и письма в карантин, удаляя их из почтового ящика пользователя или директории.Предотвращение (Prevent) — данный режим применяется только для электронной почты. Все письма доставляются пользователю только после анализа в CloudGuard SaaS, вредоносные сообщения помещаются в карантин.Отсутствие режима предотвращения для файлов обусловлено большими задержками — API офисного пакета не сразу сообщает CloudGuard SaaS о появлении новых объектов в облачной директории. В перспективе Microsoft обещает выпустить новый API для сервиса Office 365 — Graph API. По словам разработчиков, переход на него сократит эти задержки.Также CloudGuard SaaS позволяет выявить устройства, программное обеспечение и службы, которые имеют доступ к неразрешенным облачным сервисам. На такую теневую ИТ-инфраструктуру не распространяются политики безопасности и регламенты, и она может стать точкой входа для реализации целевых атак, подрывая оборону всей организации. Подробнее эту защиту рассмотрим далее. Работа с CloudGuard SaaSНастройка CloudGuard SaaS для работы с облачными сервисамиНастройка CloudGuard SaaS не требует особых навыков и занимает примерно полчаса. Прежде всего на главном экране интерфейса администратора следует выбрать облачный сервис, который необходимо защищать. Рисунок 4. Интерфейс администратора CloudGuard SaaS. Перечень доступных SaaS  CloudGuard SaaS поддерживает два режима интеграции с облаками. Рассмотрим интеграцию на примере сервиса Office 365 корпорации Microsoft. Для него доступны два режима:автоматический режим — CloudGuard SaaS сам настраивает электронную почту Office 365 для работы в режиме обнаружения или в режиме предотвращения. Все изменения конфигурации также применяются автоматически;ручной режим — пользователь должен сам вручную выполнить необходимые настройки в Office 365 Admin Exchange Center, прежде чем связывать приложение с CloudGuard SaaS. Рисунок 5. Интеграция с облачным сервисом на примере Microsoft Office 365  Рисунок 6. Разрешения Microsoft Office 365 для интеграции с CloudGuard SaaS  Рисунок 7. Завершение интеграции CloudGuard SaaS  Как видно из скриншотов выше, для настройки CloudGuard SaaS требуется указать аккаунт пользователя Microsoft Office 365 и предоставить CloudGuard SaaS соответствующий доступ к облачному сервису.Настройка коннекторов Microsoft Office 365 производится в соответствии с инструкцией Check Point и не отражается в настоящей статье. Данная процедура хорошо документирована и не вызывает трудностей у опытных пользователей.Сразу после начальной настройки CloudGuard SaaS сканирует хранящиеся в облаке почту и файлы за последние 5 дней, обнаруживая все вредоносные объекты, вложения в письма, фишинговые сообщения. По умолчанию пробная эксплуатация настраивается в режиме DetectandRemediate, так что изменений в привычную работу не вносится. Пробный период длится 30 дней; все это время фильтруется почта, анализируются файлы, защищается доступ. По окончании пробного периода CloudGuard SaaS переводится в коммерческое использование без необходимости переустановки сервиса, только за счет изменения лицензии. Внешний вид интерфейса администратора Check Point Cloud Portal приведен ниже. Рисунок 8. Интерфейс администратора CloudGuard SaaS (Check Point Cloud Portal)  Администратору доступна сводная информация о событиях безопасности: количество зафиксированных и обработанных событий по группам (вредоносные программы, утечка информации, аномалии и т. д.), краткая сводка последних записей в виде электронного журнала, география инцидентов. Интерфейс администратора также содержит элементы управления и статистику по количеству активных пользователей и облачных сервисов.Отображение событий безопасности, зарегистрированных CloudGuard SaaSДля удобства данные и настройки безопасности сгруппированы по соответствующим разделам. В разделе «События» (Events) отображается в реальном времени подробная информация обо всех зарегистрированных событиях безопасности. Здесь пользователь получает исчерпывающую информацию о времени происшествия, его статусе (новый, исправленный, отклоненный), о том, почему CloudGuard SaaS зафиксировал его (DLP, вредоносная программа, фишинг, аномалия поведения, подозрительное поведение, Shadow IT, оповещение, спам), в каком облачном сервисе оно произошло и т. д. Рисунок 9. Зарегистрированные средствами CloudGuard SaaS события безопасности в облачном сервисе  На рисунке ниже представлен пример того, как CloudGuard SaaS анализирует информацию от разных механизмов защиты. Например, сработало предупреждение от песочницы SandBlast по поводу содержимого письма, в то время как подсистемы антифишинга и URL-фильтрации не нашли подозрительных элементов. Рисунок 10. Событие безопасности, связанное с обнаружением подозрительного файла в электронном письме средствами песочницы SandBlast из состава CloudGuard SaaS  В свою очередь, так выглядит событие, которое было сгенерировано системой антифишинга (рисунок 11). Рисунок 11. Событие безопасности, связанное с обнаружением письма, содержащего ссылку на подозрительный сайт  Рисунок 12. Детальная информация о событии в CloudGuard SaaS  На рисунке видно, что CloudGuard SaaS не только анализирует URL-адреса, приведенные в тексте электронного письма, но и собирает информацию об отправителе, о взаимодействии с ним, о сайтах, на которые ведут URL, и принимает решение о блокировке. Администратор вручную может проверить каждый URL-адрес с помощью сканера, чтобы получить последние достоверные сведения.CloudGuard SaaS собирает информацию о действиях пользователей, формируя профиль их поведения. Отклонение от нормального поведения воспринимается как аномалия и требует внимания администратора безопасности. На рисунке ниже показан пример — учетная запись авторизуется в облачном сервисе из разных стран и перенаправляет всю почту на сторонний адрес. Рисунок 13. Пример аномального поведения пользователя, выявленного средствами CloudGuard SaaS  Как было сказано выше, CloudGuard SaaS позволяет выявить использование теневой ИТ-инфраструктуры. CloudGuard SaaS дает представление об аномальном и несанкционированном использовании облака, а также строит модели поведения пользователей и базовые показатели для нормальной деятельности.На рисунке ниже представлена фильтрация записей по значению Shadow IT за последние 12 месяцев. Как видно из примера, использование даже такого популярного облачного сервиса, как Dropbox, может подорвать безопасность информации, если оно не регламентировано. CloudGuard SaaS мониторит весь исходящий из облака трафик, выявляя возможные пути утечки информации, открываемые пользователями по незнанию или со злым умыслом. Рисунок 14. Пример обнаружения Shadow IT в CloudGuard SaaS Политики безопасностиВ разделе «Политика» (Policy) отображаются все политики безопасности и DLP. Для каждого облачного сервиса ведется своя база данных для угроз и правил DLP. Рисунок 15. Политики безопасности и DLP в CloudGuard SaaS  Рекомендуется вести правила для защиты от угроз отдельно от правил для DLP. Каждое правило политики имеет статус, режим безопасности, название, область действия и рабочий процесс ремедиации. Правила применяются в заданном порядке сверху вниз.Компания Check Point подготовила и регулярно актуализирует рекомендуемые правила безопасности для Office 365 и G Suite, позволяющие эффективно настроить CloudGuard SaaS. Рисунок 16. Правила политики определения угроз Microsoft Office 365 в соответствии с рекомендациями лучших практик в CloudGuard SaaS Аналитика событий безопасностиВ разделе «Аналитика» (Analytics) представлена сводка обо всех контролируемых облачных сервисах. На рисунке ниже приведен пример аналитики для Office 365. Рисунок 17. Аналитика Office 365 по результатам анализа CloudGuard SaaS  Администратор может сам создавать собственные фильтры по различным критериям. Это позволяет максимально детализировать события безопасности и проводить расследование инцидентов. Рисунок 18. Построение пользовательского запроса в CloudGuard SaaS  Например, ниже представлены все письма, полученные пользователями облачного сервиса за последние два дня. Рисунок 19. Результат запроса в CloudGuard SaaS КарантинВ соответствии с политиками безопасности электронные письма с вредоносными вложениями и вредоносные файлы из облачных директорий могут помещаться в карантин. Информация о таких письмах и файлах доступна в одноименном разделе. На странице собрана подробная информация для анализа администратором с целью дальнейшего расследования инцидента. Помещенные в карантин объекты могут быть удалены или восстановлены по решению администратора. Рисунок 20. Карантин в CloudGuard SaaS Предотвращение сложных угроз и атак нулевого дняОсновная задача CloudGuard SaaS — защита SaaS-приложений от вредоносных программ и атак нулевого дня. Для этого применяется технология Check Point SandBlast, способная обнаружить даже неизвестные еще образцы вредоносного кода благодаря технологии эмуляции (Threat Emulation). SandBlast развернута на территории и мощностях Check Point и не требует вмешательства со стороны пользователей CloudGuard SaaS. Рисунок 21. Подробный отчет об обнаруженной CloudGuard SaaS угрозе  Check Point SandBlast умеет выявлять угрозы, нацеленные на уклонение от обнаружения и сокрытие своей активности в обычной песочнице. Рисунок 22. Песочница выявила, что вредоносный файл пытался избежать обнаружения  SandBlast Threat Emulation применяет технологию CPU-level inspection, которая отслеживает ход выполнения проверяемой программы на уровне инструкций ЦП, позволяя выявить саму попытку внедрения вредоносного кода, а не его последствия. Подробнее о том, как это работает, можно прочитать в нашей статье. Рисунок 23. Обнаружение вредоносного объекта на уровне инструкций центрального процессора  SandBlast анализирует все действия проверяемого файла и отмечает те, которые выглядят подозрительно. Администратор может скачать pcap-файл для анализа сетевой активности подозрительного файла.В ближайшее время Check Point планирует добавить функцию получения полного протокола действий вредоносных программ в формате песочницы Cuckoo. Рисунок 24. Песочница SandBlast обнаружила подозрительные действия со стороны проверяемого файла  Интересной особенностью SandBlast Threat Emulation в CloudGuard SaaS является построение ДНК вредоносной программы (Malware DNA). Эта функция нужна для того, чтобы администраторы безопасности лучше понимали, как выполняется анализ и почему тот или иной файл был помечен как вредоносный. Ее суть — нахождение сходства между параметрами исследуемого программного обеспечения и возможностями уже известных семейств вредоносных программ. Расширенный поиск охватывает поведение, структуру кода, файлы и шаблоны попыток подключения к вредоносным веб-сайтам (в частности, C&C-серверам). Рисунок 25. ДНК вредоносной программы в CloudGuard SaaS  Для каждого подозрительного файла подготовлен видеоролик, иллюстрирующий поведение файла на реальной машине. Рисунок 26. Видеоролик, подготовленный для демонстрации действий вредоносной программы Защита от взлома аккаунта и несанкционированного доступа к SaaSCloudGuard SaaS блокирует перехват учетных записей, предотвращая вход неавторизованных пользователей, и задает политику доступа к SaaS (Identity Protection). Используя новую технологию ID-Guard, CloudGuard SaaS выявляет мошеннический доступ, обнаруживая неправильные входы в систему и централизуя многофакторную аутентификацию. Кроме того, CloudGuard SaaS может аутентифицировать пользователей в любом приложении SaaS и на любом устройстве.CloudGuard SaaS предлагает три режима развертывания Identity Protection:одноразовый код доступа через SMS (безагентный режим);одноразовый код доступа через push-уведомление в приложении (гибридный режим);опрос устройства через агент ID-Guard для оценки состояния безопасности и других контекстных метаданных (режим агента).Через правила политики администратор может определить негативные сценарии получения доступа, такие как попытки входа с подозрительным или запрещенным местоположением, аномалии в поведении пользователя, плохая репутация IP-адреса источника. Если выявлена активность по таким сценариям, то администратор получает уведомление, а сам доступ к SaaS блокируется. Рисунок 27. Заданные политики Identity Protection в CloudGuard SaaS  Ниже приведен пример правила, запрещающего доступ к облачному сервису по географическому положению: если CloudGuard SaaS определит, что пользователь находится в Северной Корее, то доступ к облаку будет запрещен. Рисунок 28. Пример правила, запрещающего доступ из определенной страны в CloudGuard SaaS  Рисунок 29. Пример правила, запрещающего доступ без ID-Guard в CloudGuard SaaS Предоставление услуг по управлению информационной безопасностьюCheck Point Cloud Portal, представленный как интерфейс администратора, является удобным решением для поставщиков услуг управляемой безопасности (Managed Security Service Provider, MSSP). Портал позволяет быстро и удобно перемещаться между потребителями CloudGuard SaaS внутри одного интерфейса. MSSP могут распоряжаться защитой своих клиентов прямо в облаке, что потенциально снижает издержки на ИБ и повышает уровень безопасности бизнес-процессов. Рисунок 30. Администрирование CloudGuard SaaS со стороны MSSP Лицензирование CloudGuard SaaSCloudGuard SaaS лицензируется по количеству пользователей. Одна лицензия стоит несколько долларов в месяц. Такая стоимость сравнима с ценой механизмов безопасности, предоставляемых SaaS-провайдерами, а в ряде случаев оказывается и ниже нее. Все механизмы безопасности Check Point — анализ угроз, песочница, антивирус, антиспам, антифишинг, ThreatCloud, Identity Protection — входят в стоимость лицензии и не требуют дополнительных затрат.Check Point предоставляет пробный доступ для ознакомления с CloudGuard SaaS. Лицензия выдается на 1 месяц и на 500 пользователей. ВыводыCloudGuard SaaS — полнофункциональный CASB-сервис от компании Check Point. Он поддерживает интеграцию с большим количеством популярных SaaS-сервисов, при этом скорость обнаружения вредоносных файлов, фишинговых ссылок и аномалий поведения пользователя превышает скорость срабатывания механизмов безопасности у самих SaaS-провайдеров.Информация об обнаруженных инцидентах мгновенно распространяется через анализ угроз Check Point Threat Intelligence. Это позволяет накапливать знания об угрозах, совершенствуя механизмы безопасности.Достоинства:Поддержка наиболее популярных облачных сервисов: Office 365, G Suite, Dropbox, Box, ServiceNow, Slack и др.Поддержка нескольких режимов анализа данных — обнаружение, исправление, предотвращение.Интеграция с другими продуктами CloudGuard — Check Point SandBlast, ID-Guard ThreatCloud.Безопасный доступ пользователей к облачным сервисам с помощью Identity Protection.Поддержка операционных систем Microsoft Windows, Apple iOS, Google Android в инструменте ID-Guard.Централизованное управление через Check Point Cloud Portal.Наличие всех функций безопасности Check Point по одной лицензии на пользователя.Обнаружение теневой ИТ-инфраструктуры (Shadow IT).Недостатки:Отсутствие русской локализации.Отсутствие поддержки отечественных SaaS-провайдеров.

Российский разработчик систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») выпустил пятую версию аппаратно-программного комплекса «Периметр». Комплекс представляет собой решение для защиты от сетевых атак отказа в обслуживании (DDoS-атаки) на сетях оператора связи.    ВведениеНовая функциональность АПК «Периметр» 5.0Обнаружение атак и сокращение времени обнаруженияОбъединение векторов DDoS-атакМногоуровневое подавление DDoS-атакИндивидуальная настройка методов подавления различных векторов атакРабота с трафиком HTTPSВзаимодействие с клиентским устройствомРасширение отчетной информацииПолная поддержка «горячего» резервированияТранзакционная модель изменения конфигурацииОбратное разрешение IP-адресовВыводы ВведениеПятая версия аппаратно-программного комплекса «Периметр» получила обновленные механизмы обнаружения и подавления, позволяющие эффективно реагировать на современные угрозы DDoS-атак. Новая функциональность АПК «Периметр» 5.0:обнаружения DDoS-атак на основе сигнатур;оптимизация механизмов и сокращение времени обнаружения атаки до 20 секунд;объединение векторов, идущих на один защищаемый объект, в рамках одной DDoS-атаки;многоуровневое подавление DDoS-атаки;индивидуальная настройка методов подавления векторов;расшифровка HTTPS-трафика и применение к нему методов фильтрации протокола HTTP;расширение взаимодействия операторского и клиентского устройства;расширение отчётной информации;полная поддержка «горячего» резервирования;транзакционная модель изменения конфигурации;возможность обратного разрешения IP-адресов источников и назначений трафика атаки. Обнаружение атак и сокращение времени обнаруженияВ новой версии обнаружение атак осуществляется на основе сигнатур, создаваемых администратором комплекса. Каждая сигнатура описывает вектор атаки: набор характеристик трафика атаки на специальном языке описания сигнатур.В качестве вектора атаки может быть задан как определенный класс атак, например, TCP flood attack или UDP amplification attack, так и конкретные атаки в пределах одного класса, например, NTP amplification, SSDP amplification или ping flood (ICMP echo-request flood), Smurf/Amplification attack, Common ICMP flood.Администратору комплекса доступно 100 сигнатур, которые могут быть адаптированы с учетом потребностей защищаемых клиентов, а индивидуальная настройка пороговых значений трафика для отдельных векторов атак позволяет уменьшить вероятность ложных обнаружений, учитывая характер трафика защищаемых клиентов.Комплекс позволяет обнаруживать DDoS-атаку при значительном превышении пороговых значений трафика не позднее чем через 20 секунд после поступления информации о трафике атаки. Объединение векторов DDoS-атакОбнаруженные комплексом векторы атак, направленные на один узел сети (или одну группу узлов сети при работе детектора в режиме объединения трафика хостов), могут быть объединены в рамках одной атаки. Информация как по трафику атакуемого узла (группы узлов), так и по выявленным векторам атак отображается на одном экране, что позволяет определить характеристики трафика, которые вносят наибольший вклад в трафик атаки, в том числе и по отдельным векторам атак. Эта информация позволяет оптимально подавлять атаки, минимизируя влияние на трафик легитимных пользователей. Рисунок 1. Объединение векторов DDoS-атак  Многоуровневое подавление DDoS-атакДля подавления атак используется система фильтрации комплекса и возможности маршрутизирующего оборудования (BGP FlowSpec и Blackhole). Новая версия позволяет использовать эти инструменты совместно как в ручном, так и в автоматическом режимах. Это дает возможность организовать многоуровневую защиту клиента: при различных уровнях опасности атаки будут использоваться различные инструменты подавления.Например, атаки на защищаемый ресурс, не превышающие 10 Гбит/с, фильтруются на системе очистки. При увеличении объема атаки до 20 Гбит/с, фильтрация выполняется с применением инструмента BGP FlowSpec. При увеличении объема атаки свыше 80 Гбит/с, применяется инструмент Blackhole. Индивидуальная настройка методов подавления различных векторов атакВ новой версии расширены возможности автоматического противодействия DDoS-атакам. Доступен выбор способов индивидуальной фильтрации для каждой сигнатуры (вектора) атаки. При обнаружении вектора будут включаться только те методы, которые эффективны при его подавлении.Например, если атака начинается с вектора TCP SYN flood, то при фильтрации комплекс задействует настроенные для этого вектора атаки методы (например, метод syn-cookie). При развитии атаки и появлении дополнительного вектора NTP-amplification комплекс добавит к фильтрации методы по этому вектору (например, фильтрация по протоколу и порту источника на системе фильтрации или правила BGP-Flowspec). При завершении вектора атаки, методы по нему будут выключены.В случае необходимости, пользователь может вмешаться в процесс автоматической фильтрации и внести дополнительные изменения.Данные механизмы позволяют выполнять фильтрацию, которая гибко адаптируется под развитие DDoS-атаки. Работа с трафиком HTTPSАПК «Периметр»  позволяет эффективно защищать web-серверы как от объемных DDoS-атак, направленных на исчерпание полосы пропускания каналов связи или ресурсов сетевого оборудования, так и от атак уровня приложений, направленных на ресурсы самого web-сервера, в том числе и от медленных атак. Поскольку подавляющее большинство web-серверов использует в качестве протокола взаимодействия с клиентом HTTPS, в новой версии реализован механизм расшифровки HTTPS-трафика. Это позволяет применять методы анализа и фильтрации протокола HTTP к расшифрованному трафику.Например, если защищаемый ресурс предоставляет web-сервис по протоколу HTTPS, то для защиты этого сервиса можно использовать расшифровку трафика и применение к нему методов аутентификации пользователей (HTTP-аутентификация), а также ведение HTTP-журнала и построение статистики запросов и ответов для определения источников, атакующих сервис. Взаимодействие с клиентским устройствомУправление операторским комплексом осуществляет команда инженеров оператора связи и решает следующие задачи по защите от DDoS-атак:предоставление клиентам услуг защиты;защита большого количества клиентов;подавление атак большого объема на системе очистки и границе сети. Рисунок 2. Операторский комплекс  Если у клиента оператора связи есть потребность самостоятельно выполнять полную или частичную защиту собственных ресурсов, а также иметь возможность при необходимости воспользоваться ресурсами операторского комплекса, он может воспользоваться решением «Скаут», разработанным в ООО «Гарда Технологии». Рисунок 3. Схема работы решения «Скаут»  Решение «Скаут»:позволяет выполнять защиту на этапе установки TCP-соединений путем полного проксирования с минимальной задержкой на аутентификацию;аналогично операторскому комплексу, «Скаут» выполняет защиту шифрованного трафика как за счет контроля устанавливаемых SSL-соединений, так и за счет расшифровки SSL-трафика и применения к нему различных методов фильтрации протоколов уровня приложений: HTTP, DNS, SIP и т.д.находится под управлением клиента, что позволяет избежать передачи конфиденциальной информации, например, сертификатов безопасности web-серверов третьим лицам;может взаимодействовать с операторским АПК «Периметр» в случае необходимости подавления атак большого объема с использованием центров очистки оператора связи, а также инструментов подавления на границе сети оператора. Рисунок 4. Взаимодействие «Скаута» и оператора связи  Атаки небольшого объема фильтруются на стороне клиента. Рисунок 5. Фильтрация на стороне клиента  В случае появления атак, фильтрация которых требует больших ресурсов, отправляется запрос операторскому комплексу. Рисунок 6. Операторский комплекс выполняет фильтрацию  В новой версии операторский комплекс кроме запроса на подавление атаки через центр очистки оператора принимает от клиентского устройства:области адресного пространства клиента, к которым необходимо применить фильтрацию;черный и белый списки адресов, которые могут быть использованы при фильтрации в центре очистки оператора. Расширение отчетной информацииВ набор аналитических отчетов АПК «Периметр» 5.0 добавлены отчеты:по аппроксимации объемов IPv6-трафика на будущие периоды времени;о транзитном трафике (по приложениям, странам, сетевым элементам, протоколам, автономным системам);о трафике виртуальных сетей (VPN). Полная поддержка «горячего» резервированияКаждый модуль АПК «Периметр» обладает возможностью «горячего» резервирования. При отказе модуля, происходит автоматическое переключение на резервный. Это позволяет обеспечивать высокую отказоустойчивость комплекса. Транзакционная модель изменения конфигурацииВ АПК «Периметр» добавлен режим работы, в котором каждое изменение конфигурации фиксируется для подтверждения администраторами комплекса. Изменения могут быть применены или отменены. Транзакционная модель позволяет контролировать изменения, вносимые в конфигурацию комплекса, не допуская применение случайных или недопустимых изменений, а также выполнять одновременное применение изменений, сделанных через графический интерфейс. Например, создание защищаемого объекта, настройка для него параметров детектирования и подавления, настройка уведомлений для клиента, - всё это будет применено в рамках одного изменения конфигурации. Обратное разрешение IP-адресовТакая функция позволяет получать дополнительную информацию об IP-адресах, используя сервисы DNS и WHOIS для источников и получателей трафика. Например, для IP-адреса источника можно получить полное доменное имя, используя сервис DNS, а также информацию о регистраторе и принадлежности к сетевому префиксу, используя сервис WHOIS. ВыводыАПК «Периметр» позволяет обнаруживать DDoS-атаки на сетях операторского класса, корпоративных сетях, сетях центров обработки данных с объемами сетевого трафика от единиц Гбит/с до десятков Тбит/с.Кластеры очистки, входящие в состав АПК «Периметр», позволяют защищаться от DDoS-атак объемом до 640Гбит/с.

R-Vision Threat Intelligence Platform относится к классу решений, которые позволяют автоматизировать сбор индикаторов компрометации из различных источников, а также их дальнейшую обработку, анализ и применение. Опираясь на данные об индикаторах, платформа киберразведки от R-Vision помогает идентифицировать активность злоумышленников на ранних этапах и оперативно на нее среагировать. ВведениеФункциональные возможностиРабота с продуктом3.1. Сбор данных3.2. Работа с карточкой индикатора3.3. Автоматизация работы с данными киберразведки3.3.1. Автоматическое обогащение индикатора компрометации3.3.2. Автоматический мониторинг индикаторов компрометации3.3.3. Автоматический экспорт индикаторов компрометации3.3.4. Оповещение о событиях обнаружения индикаторов компрометации3.3.5. Взаимодействие с R-Vision TIP через API3.3.6. Примеры автоматизированных сценариев обработки3.3.7. Интеграция с R-Vision IRPАрхитектураЛицензированиеВыводы ВведениеПрогрессивная часть сообщества информационной безопасности давно пришла к выводу, что во многих случаях выгоднее делиться информацией об угрозах и атаках, а не хранить ее в тайне: чем большее количество участников сообщества будет знать о текущих угрозах, готовящихся или проходящих атаках на их инфраструктуры, тем лучше будет всем. Предупрежден — значит вооружен. Раннее обнаружение компрометации — ключевой фактор, позволяющий свести к минимуму потери данных, финансовые убытки и репутационный ущерб компании.Появление и развитие платформ для обработки данных киберразведки (threat intelligence) — это следствие появления в мире растущего количества разнородных источников информации об угрозах и атаках, уследить за которыми в «ручном» режиме становится невозможным.На текущий момент доступно огромное количество так называемых «фидов» (от англ. feed) — тематических каналов, которые транслируют актуальные данные и информацию об угрозах и атаках. Фиды могут быть открытыми — поддерживаемыми сообществом, со свободным доступом — или коммерческими, когда их поддерживает вендор, обычно предоставляющий их по модели подписки; некоторые фиды поставляет отраслевой регулятор, например ФинЦЕРТ. Доступ к фидам отраслевых регуляторов, как правило, ограничен кругом компаний, находящихся в их ведении.Основная проблематика в threat intelligence — это обилие источников данных, разнообразие сведений и их моделей, сложность их интерпретации, а главное — извечный вопрос доверия к источнику и его репутации. Платформы киберразведки позволяют агрегировать, обработать и обогатить данные для упрощения дальнейшей интерпретации, осуществляют анализ событий SIEM, Syslog и других источников на предмет угроз, оповещают аналитика ИБ при обнаружении признаков вредоносной активности и интегрируются со средствами защиты для обеспечения быстрого реагирования.В 2018 году компания R-Vision анонсировала дополнение функциональности своей платформы IRP возможностью работы с фидами киберразведки (ссылка на пресс-релиз). Теперь разработчик представил рынку специализированный продукт R-Vision Threat Intelligence Platform – первое российское коммерческое решение такого класса. Функциональные возможностиR-Vision Threat Intelligence Platform (R-Vision TIP) обеспечивает полный цикл работы с индикаторами компрометации и позволяет автоматизировать ключевые сценарии их использования.Функциональность продукта включает следующие основные возможности.Автоматический сбор индикаторов компрометации из различных источников.Обработка данных: нормализация, приведение к единой модели представления, объединение дублирующихся записей — агрегация.Фильтрация, сортировка, приоритизация, выборка данных для дальнейшей обработки.Импорт данных об уязвимостях и вредоносном программном обеспечении, а также отчетов, связанных с индикаторами компрометации и объектами наблюдения.Автоматизация обработки с помощью правил и сценариев.Автоматическое обогащение индикатора компрометации дополнительным контекстом.Мониторинг индикаторов компрометации в потоке DNS-запросов или сообщений Syslog в режиме реального времени.Ретроспективный поиск индикаторов в событиях SIEM.Оповещение о событиях обнаружения индикаторов компрометации.Экспорт индикаторов компрометации на средства защиты информации для мониторинга и блокировки.Интеграция с R-Vision IRP.Наличие API. Рисунок 1. Ключевые функции R-Vision Threat Intelligence Platform  Работа с продуктомСбор данныхПосле установки при первом входе нового пользователя ему будет предложено пройти краткое обучение работе с продуктом. Рисунок 2. Приветственное обучение в R-Vision TIP  Работа с платформой начинается с подключения поставщиков данных. Для этого нужно перейти в раздел Настройки → Поставщики данных. На текущий момент R-Vision TIP может работать с такими провайдерами, как Kaspersky, Group-IB, IBM X-Force Exchange, AT&T Cybersecurity (ранее AlienVault), ФинЦЕРТ (АСОИ либо email), а также поддерживает open source-фиды в форматах TXT или CSV. Рисунок 3. Поставщики данных в R-Vision TIP  Каналы поставщиков — это тематические подборки данных об угрозах. Для некоторых провайдеров, например Kaspersky или Group-IB, набор каналов предопределен, и достаточно только выбрать нужные из списка. У других поставщиков каналы можно подключать в любом количестве в зависимости от задач пользователя и его потребностей.Продукт позволяет задать для каналов индивидуальные интервалы обновления или статус (включен/выключен), инициировать принудительное обновление вне расписания, удалить ранее добавленный канал.После конфигурирования поставщиков можно перейти к работе с полученными данными.Работа с карточкой индикатораВся информация о полученных индикаторах компрометации (IoC, indicator of compromise) в R-Vision TIP собрана в разделе «Индикаторы». Их можно отфильтровать по источнику, типам, датам, а также найти с помощью функции поиска. Щелчком по индикатору осуществляется переход в его карточку. Рисунок 4. Список полученных индикаторов  Карточка индикатора — это основной инструмент получения всех знаний о нем, а также ответов на вопросы, которые возникают перед аналитиком в процессе исследования угрозы. Рассмотрим подробнее, из каких блоков она состоит и какая информация в них содержится. Рисунок 5. Карточка индикатора  Часто бывает, что несколько источников упоминают об одном и том же индикаторе компрометации. В таком случае важно то, о чем именно они сообщают и в каком контексте — это может сильно повлиять на результирующую картину взаимосвязей с другими индикаторами и их окружением. R-Vision TIP строит агрегат — сводную информацию для лучшего восприятия пользователем. На карточке индикатора это выглядит как набор данных в блоке «Сводка», где представлены объединенные сведения разного происхождения, а в блоке «Дополнительная информация» будут отображены версии данных от каждого из источников, которые упоминали об этом индикаторе компрометации. Рисунок 6. Пример агрегации данных, полученных из нескольких источников  Помимо набора индикаторов поставщик данных может также предоставлять информацию об их связях с другими объектами или сущностями — с другими индикаторами компрометации, с отчетами, в которых описаны техники и тактики атак, с вредоносными программами и уязвимостями. В блоке «Взаимосвязи» представлены соответствующие сведения, если источники данных предоставили такую информацию. За счет этого формируется целостная картина происходящего, помогающая оценить степень вредоносности индикатора и риски, которые может понести организация в случае его обнаружения в своей инфраструктуре. Рисунок 7. Информация о взаимосвязях индикатора с другими объектами  Такие сущности Threat Intelligence, как «Отчеты», «Вредоносное ПО» и «Уязвимости», также сохраняются в соответствующих разделах системы. Рисунок 8. Пример отчета, связанного с набором индикаторов компрометации  Рисунок 9. Пример уязвимости, связанной с отчетами  Рисунок 10. Вредоносная программа и ее связи с индикаторами компрометации  Поставщик данных может предоставить малое количество контекста или не дать его вообще. Однако для понимания вредоносности индикатора и оценки связанных с ним рисков обычно требуется дополнительная информация. Именно в таких ситуациях полезно обогащение контекстом из внешних источников.R-Vision Threat Intelligence Platform позволяет в один щелчок мышью запросить дополнительный контекст из любого доступного сервиса обогащения. По данным разработчика, в настоящий момент продукт поддерживает два десятка сервисов обогащения, включая наиболее популярные — VirusTotal, Whois, ipgeolocation и др. Для каждого типа индикатора доступен определенный набор сервисов; продукт подсказывает возможные варианты, из которых легко выбрать. Рисунок 11. Пример обогащения индикатора данными о геолокации  Полученные данные сохраняются в блоке «Обогащения» и могут быть в дальнейшем использованы в качестве критериев фильтра в «Правилах обработки», где соответствующие операции можно автоматизировать. Рисунок 12. Результаты обогащения в карточке индикатора  В блоке «Обнаружения» агрегируются события, которые связаны с выявлением индикатора компрометации в инфраструктуре пользователя, найденные либо собственными сенсорами, либо SIEM-системой, с которой настроена интеграция. Рисунок 13. Информация об обнаружениях индикаторов  В блоке «Жизненный цикл» индикатора компрометации сосредоточена информация о событиях получения новых сведений: какой источник обновил данные, когда он это сделал, какие данные изменились. Это полезно для оценки динамики обновления индикатора, а также для понимания того, какие источники упоминали о нем, в какое время и как часто это происходило. Рисунок 14. Блок «Жизненный цикл» в карточке индикатора  Коротко рассмотрим оставшиеся разделы продукта.«Дашборд» — стартовый раздел, который отображается при входе в систему. Здесь представлена статистика по индикаторам компрометации в различных разрезах: по типам, поставщикам, обнаружениям различными сенсорами за разный период. Рисунок 15. Раздел «Дашборд»  Раздел «Обнаружения» предоставляет сводные данные обо всех событиях, которые связаны с обнаружением индикаторов компрометации в инфраструктуре пользователя. Рисунок 16. Раздел «Обнаружения» со сводными данными о событиях по найденным индикаторам компрометации  В разделе «Правила обработки» задаются настройки автоматического выполнения операций с индикаторами компрометации, на которых мы далее подробно остановимся.Автоматизация работы с данными киберразведкиАвтоматизация работы с данными киберразведки — ключевая функция платформы R-Vision Threat Intelligence Platform. Для этого в продукте предусмотрены «Правила обработки», которые позволяют настроить выполнение регулярно повторяющихся операций с индикаторами компрометации. Данная функциональность позволяет существенно сократить время специалиста, затрачиваемое на выполнение рутинных действий. Задав последовательность правил, можно полностью автоматизировать определенный сценарий или рабочий цикл.Автоматическое обогащение индикатора компрометацииПравило автоматического обогащения позволяет выделить наборы индикаторов компрометации, которые нуждаются в обработке, выбрать необходимые сервисы и параметры. Например, можно создать правило, в котором все индикаторы от поставщика ФинЦЕРТ будут обогащены в сервисе VirusTotal. После обогащения индикаторы компрометации приобретают дополнительные поля, которые могут выступать в качестве критериев фильтрации на последующих шагах цикла обработки. Рисунок 17. Создание правила обогащения Автоматический мониторинг индикаторов компрометацииФункция автоматического мониторинга решает задачу проверки инфраструктуры компании на предмет возможной компрометации. R-Vision Threat Intelligence Platform позволяет в реальном времени отслеживать набор индикаторов в потоке DNS-запросов и syslog-сообщений, а также осуществлять ретроспективный поиск в данных SIEM.Для этого в составе R-Vision Threat Intelligence Platform предусмотрены два типа собственных сенсоров (DNS и syslog) и два интеграционных (IBM QRadar и Microfocus ArcSight). DNS- и syslog-сенсоры работают на потоке трафика, отвечая на вопрос о том, есть ли вероятность компрометации в настоящем. Первый слушает «зеркало» трафика, осуществляет мониторинг набора индикаторов компрометации в DNS-запросах и ответах; второй слушает поток syslog-сообщений, который на него направлен (это может быть, например, поток от SIEM или LM-системы).Интеграционные сенсоры позволяют подключаться к SIEM-системам и осуществлять поиск любых типов индикаторов в имеющейся истории событий, отвечая на вопрос «произошла ли компрометация в прошлом?».Сенсоры DNS и syslog можно размещать как локально, так и удаленно, что позволяет гибко выстроить их сеть и масштабировать решение при необходимости. Установка сенсоров ближе к источникам трафика позволяет избежать накладных расходов на транспорт последнего по инфраструктуре.Настройка мониторинга индикаторов осуществляется в разделе «Правила обнаружения». Для этого необходимо по ряду критериев сформировать набор индикаторов компрометации, которые будут отправлены на мониторинг, т.е. выбрать их источник, тип и дополнительный фильтр при необходимости, указать сенсоры и задать срок, в течение которого будет осуществляться их поиск. Для мониторинга индикаторов можно указать несколько выбранных узлов потоковых сенсоров или задействовать все. Рисунок 18. Создание правила обнаружения индикаторов компрометации Автоматический экспорт индикаторов компрометацииЭкспорт индикаторов компрометации применим в случае, когда требуется их выгрузить для мониторинга или блокирования на уровне внешних средств защиты информации. Функция экспорта (в терминологии продукта называется распространением) позволяет за несколько простых действий отфильтровать набор индикаторов и отправить их непосредственно на средство защиты в поддерживаемом формате.  Рисунок 19. Создание правила распространения индикаторов компрометации  На текущий момент продукт поддерживает распространение данных на межсетевые экраны Cisco ASA, Palo Alto, Check Point. Разработчик планирует расширить список доступных интеграций. Рисунок 20. Пример созданных правил распространения на несколько средств защиты информации  Технически распространение осуществляется с учетом специфики вендоров средств защиты, на которые экспортируются индикаторы компрометации. В случае Cisco данные отправляются непосредственно на устройство в соответствии с настройками планировщика экспорта. Для Palo Alto и Check Point индикаторы подготавливаются в том формате, который специфицирован вендором, а затем собираются целевым устройством для использования в собственных правилах мониторинга или блокирования, то есть настройки осуществляются на стороне средств защиты от этих производителей.В механизме экспорта предусмотрена возможность добавления исключений для указанных пользователем индикаторов компрометации. Эта функция бывает полезна в случаях, когда что-либо попадает в выборку ошибочно. Исключенный индикатор более не будет экспортироваться на средство защиты, с которым интегрирован R-Vision TIP.Кроме того, любое настроенное правило распространения доступно по API, что позволяет внешним системам забрать необходимую отфильтрованную для них информацию автоматически. Данные будут подготовлены в формате, пригодном для сбора системами-потребителями.Оповещение о событиях обнаружения индикаторов компрометацииВ случае обнаружения индикаторов компрометации сенсорами R-Vision TIP генерируется соответствующее событие, которое может расцениваться в том числе и как инцидент ИБ, требующий оперативного реагирования. Платформа позволяет настроить правила оповещения, чтобы пользователь мог получать уведомления на свой адрес электронной почты.Для правил оповещения предусмотрены различные настройки, которые позволяют группировать события в одно сообщение на основании количества и/или временного диапазона полученных событий. Рисунок 21. Создание правила оповещения Взаимодействие с R-Vision TIP через APIВ некоторых случаях может требоваться автоматическое взаимодействие смежных систем с платформой R-Vision TIP через API. Обычно подобная задача сводится к отправке на платформу киберразведки поискового запроса о наличии индикаторов компрометации. В ответ отдается вся имеющаяся информация о том или ином индикаторе в формате, пригодном для автоматической обработки.В R-Vision TIP для таких задач реализован API: любая система-потребитель может обратиться к нему и получить ответ в формате JSON. Рисунок 22. Пример выдачи данных через API в формате JSON Примеры автоматизированных сценариев обработкиТеперь рассмотрим, как с помощью правил обработки можно автоматизировать определенный сценарий работы с индикаторами компрометации.Пример часто встречающейся задачи в компаниях финансового сектора: регулярный ретроспективный поиск в SIEM и блокировка на межсетевом экране определенного набора индикаторов от ФинЦЕРТ. Этот сценарий подразумевает, что необходимо предварительно проверить индикаторы компрометации на вредоносность во внешних сервисах и отправить на блокировку только те, что являются наиболее опасными.Для решения задачи ретроспективного поиска в SIEM создается правило обнаружения (рис. 23). Рисунок 23. Пример создания правила обнаружения для рассматриваемого сценария  После создания правила обнаружения запустится ретроспективный поиск в SIEM (в данном сценарии — IBM QRadar). Если индикаторы компрометации будут найдены, пользователь увидит это на информационном блоке соответствующего правила, а также в разделе «Обнаружения». Дополнительно может быть настроено оповещение по e-mail. Рисунок 24. Информационный блок правила обнаружения  Рисунок 25. Сводка обнаружений согласно созданному ранее правилу в разделе «Обнаружения»  Далее необходимо создать правило обогащения, по которому все индикаторы от поставщика ФинЦЕРТ будут обогащены в сервисе VirusTotal. Рисунок 26. Создание правила обогащения для рассматриваемого сценария  После создания правила дополнительный контекст, полученный в процессе обогащения, сможет выступать критерием для последующей выборки. В случае с VirusTotal таким критерием может служить количество обнаружений; настраиваем правило, по которому различные сенсоры будут направлять в поиск только те индикаторы компрометации, у которых по версии VirusTotal количество обнаружений, к примеру, превышает 50. После запуска этого сценария все индикаторы компрометации (в том числе новые, только поступающие) от поставщика ФинЦЕРТ будут автоматически обогащены, и те из них, у которых по версии VirusTotal окажется более 50 срабатываний антивирусных движков, сгенерируют события обнаружения, если их выявил один из сенсоров. Эти события отобразятся в разделе «Обнаружения» карточки индикатора, в котором ведется соответствующий протокол.Следующий шаг сценария после обогащения — распространение индикаторов компрометации на средство защиты информации (в рамках сценария пусть будет Cisco ASA). Распространяться будут только те индикаторы, которые заведомо вредоносны и имеют вердикт VirusTotal «более 50 обнаружений». Рисунок 27. Создание правила распространения для рассматриваемого сценария  После создания правила распространения оно вступит в силу и в соответствии с выставленным интервалом планировщика будет отправлять наборы индикаторов компрометации, подпадающие под него.Спустя некоторое время результат выполнения правила можно будет увидеть на устройстве. Рисунок 28. Результат выполнения правила, наблюдаемый на устройстве  Нужно отметить, что этот сценарий будет работать динамически: все новые индикаторы компрометации, получаемые от ФинЦЕРТ, будут обогащаться согласно правилу и отправляться на ретроспективный поиск в IBM QRadar, а те из них, что получат на VirusTotal более 50 обнаружений разными антивирусными движками, автоматически отправятся в лист блокировки Cisco ASA.Интеграция с R-Vision IRPR-Vision TIP может быть интегрирован с платформой автоматизации реагирования на инциденты R-Vision IRP посредством коннектора REST API. При интеграции реализуется сценарий получения контекста к индикаторам компрометации, содержащимся внутри инцидентов R-Vision IRP. Это позволяет автоматизировать рутинные операции аналитиков 1-й и 2-й линии, избавляя от необходимости вручную искать информацию об индикаторе компрометации в ряде (иногда десятках) сервисов, сопоставлять ее и вносить в карточку инцидента новые данные.За счет реализации подобного сценария можно добиться существенного снижения среднего времени обработки инцидентов, получая все доступные данные автоматически в одном месте.Возможен и обратный сценарий интеграции, при котором срабатывание сенсора R-Vision TIP может сгенерировать инцидент для расследования в системе R-Vision IRP. АрхитектураДля пользователя система представляет собой коробочное решение «все-в-одном» с управлением через веб-интерфейс, в котором отчуждаемым компонентом могут являться только сенсоры системы — для того, чтобы их можно было расставить ближе к точкам перехвата данных.Архитектурно продукт представляет собой набор микросервисов, реализующих отдельные функциональные блоки. Каждый блок отвечает за отдельную роль: сбор и обработку данных, реализацию правил автоматизации (обогащение, обнаружение, распространение, оповещение). Микросервисы взаимодействуют друг с другом и с ядром платформы. В качестве СУБД используется PosgreSQL.Такой подход позволяет достичь высокой гибкости с точки зрения удобства масштабирования: решение может работать и как единая инсталляция, и как распределенная система для распределения нагрузки на серверные мощности инфраструктуры заказчика.Продукт может быть установлен на физический сервер либо виртуальную машину под управлением CentOS или RHEL. ЛицензированиеR-Vision TIP обладает весьма гибкой схемой лицензирования, что позволяет заказчику выбрать необходимую функциональность с возможностью последующего расширения. Формирование стоимости R-Vision TIP зависит от следующих факторов:функциональность;количество сенсоров (компонентов решения);число и тип коннекторов к поставщикам индикаторов компрометации и средствам защиты;срок технической поддержки. ВыводыThreat Intelligence — это один из важных инструментов в современных SOC. Возрастающая популярность инструментов TI способствует появлению множества сервисов, поставщиков данных киберразведки, open source-проектов и площадок обмена данными, которые предоставляют информацию об актуальных угрозах. При таком количестве источников практически невозможно качественно собирать, анализировать сведения и задействовать их в реагировании без использования средств автоматизации. Осведомленность — главный партнер в борьбе со сложными угрозами в сфере информационной безопасности.В данном обзоре мы познакомились с особенностями R-Vision Threat Intelligence Platform — первой российской платформы управления данными киберразведки. Несмотря на то, что продукт появился не так давно, он обладает весьма продуманной функциональностью уже на старте. Разработчик реализовал ключевые для этого класса решений возможности агрегации, нормализации, обогащения и анализа данных об угрозах, поиска следов компрометации в инфраструктуре, интеграции с системами защиты. Заложенные в продукте функции автоматизации операций позволяют получить максимальную отдачу от вложений в работу с данными threat intelligence.Продукт находится на стадии активного развития. По словам разработчика, основными приоритетами на текущий момент являются расширение количества и качества собираемых данных, развитие инструментов анализа и автоматизации типовых действий аналитиков при работе с продуктом. Разработчик изучает потребности пользователей продукта и планомерно внедряет востребованную функциональность.ПреимуществаПоддержка работы с наиболее значимыми поставщиками данных киберразведки, представленными на российском рынке.Возможность работы не только с индикаторами компрометации, но и с более полной картиной угроз — отчетами, вредоносным программным обеспечением, уязвимостями.Поддержка большого количества сервисов обогащения «из коробки».Возможность интеграции со сторонними решениями, что позволяет искать угрозы в собственной инфраструктуре заказчика.Возможность автоматизации рутинных операций за счет создания пользовательских правил обработки данных. НедостаткиВ настоящий момент продукт поддерживает ограниченное число интеграций «из коробки». По информации от разработчика, этот вопрос будет одним из приоритетных направлений развития.Нет привычной для данного класса продуктов возможности построения графов взаимосвязей объектов.Отсутствуют разграничения по уровням конфиденциальности данных (TLP), а также механизм обмена данными TI между участниками отраслевых или корпоративных сообществ.

«Офисный контроль и DLP Safetica» от компании ESET позволяет анализировать потоки данных, пересекающие периметр организации, а также осуществлять мониторинг и контроль действий сотрудников, влияющих на выполнение ими должностных обязанностей. «Офисный контроль и DLP Safetica» контролирует файловые операции, работу приложений и различных устройств рабочих станций с целью обеспечения комплексной защиты от утечек конфиденциальной информации. ВведениеОсновные возможности «Офисный контроль и DLP Safetica»Архитектура «Офисный контроль и DLP Safetica»3.1. Сервер «Офисный контроль и DLP Safetica»3.2. Консоль управления «Офисный контроль и DLP Safetica»3.3. Консоль управления WebSafetica3.4. Загрузочный агент «Офисный контроль и DLP Safetica»3.5. Safetica Endpoint ClientУстановка и предварительная настройка «Офисный контроль и DLP Safetica»Работа с консолью управления «Офисный контроль и DLP Safetica»Работа основных модулей «Офисный контроль и DLP Safetica»6.1. Выявление нестандартного поведения сотрудников с помощью модуля «Аудитор»6.2. Ограничение нелегитимной деятельности сотрудников с помощью модуля «Супервайзер»6.3. Защита от утечки конфиденциальной информации с помощью модуля DLPВыводы ВведениеМногочисленные исследования утечек конфиденциальной информации свидетельствует о том, что порядка 75% утечек данных происходит из-за действий внутреннего нарушителя (который, как правило, является действующим сотрудником компании). Поэтому необходимо уделять внимание построению системы внутренней защиты от утечек. Существует несколько подходов к решению этой задачи. Один из них — сбор и анализ данных из различных точек инфраструктуры (начиная от рабочих станций сотрудников и заканчивая принтерами) с последующим выявлением инцидентов; здесь угрозы, как правило, обнаруживаются уже после утечки конфиденциальных сведений. Другой подход связан с постоянным контролем и анализом безопасности компонентов инфраструктуры, т.е. с защитой не самой конфиденциальной информации, а систем, ее обрабатывающих.Эффективным решением для борьбы с внутренними нарушителями является DLP-система, внедряемая с целью выявить и блокировать нелегитимную передачу данных за пределы периметра. Перед ее использованием организация должна определить, какие сведения следует считать имеющими ценность, и классифицировать внутренние информационные потоки. Это позволит сформировать политику безопасности и распределить роли с точки зрения доступа к системам и активам. Также к DLP-системе предъявляются функциональные требования, т.е. она рассматривается не сама по себе, а в контексте окружающей среды; с этой целью будущие эксплуатанты формализуют угрозы и риски, политики и правила, предположения и гипотезы, включающие аспекты безопасности того окружения, в котором будет использоваться продукт.Программный комплекс «Офисный контроль и DLP Safetica» (далее — «Офисный контроль и DLP Safetica») от компании ESET является комплексным средством защиты от внутреннего нарушителя, которое позволяет закрыть каналы утечки информации и урегулировать риски, связанные с человеческим фактором. Посредством мониторинга деятельности сотрудников «Офисный контроль и DLP Safetica» выявляет их нелегитимное поведение, блокирует нестандартные операции и защищает предприятие от последствий нежелательной активности персонала. В этом обзоре мы подробно рассмотрим устройство и принципы действия данного продукта, а также особенности работы с ним. Основные возможности «Офисный контроль и DLP Safetica»Отметим следующие ключевые элементы функциональности.Закрытие основных каналов утечки информации с помощью гибкой конфигурации модулей «Офисный контроль и DLP Safetica», что позволяет защитить конфиденциальные данные компании не только от несанкционированного доступа, но и от потенциально вредоносной активности сотрудников, наделенных правом работать с такими сведениями.Распознавание потенциально опасных действий задолго до того, как они приведут к информационным, финансовым или репутационным потерям. Благодаря подробным отчетам и наглядным графикам, отражающим полноценную картину деятельности сотрудника, задача распознавания нестандартной деятельности не вызывает затруднений.Выявление колебаний продуктивности работы сотрудников путем наблюдения за тем, что они делают в рабочее время, а также подсчета генерируемого и получаемого сетевого трафика.Контроль использования приложений и устройств, а также посещения веб-сайтов.Контроль печати, работы с файлами и электронной почтой.«Офисный контроль и DLP Safetica» предоставляет возможность автоматического детектирования конфиденциальной информации несколькими способами.Первый способ требует экспертных знаний. Он связан с установкой меток на файлы и позволяет формировать правила, в соответствии с которыми этот процесс будет происходить. Можно задать правила для приложений (указывается категория программного обеспечения, и файлы, в нее входящие, будут помечены), веб-сайтов (метку получат объекты, загруженные из определенных доменов) или путей (помечаются файлы, помещенные в указанную папку). Также администратор вправе установить порядок распространения меток при открытии приложения из выбранной категории либо настроить анализ содержимого файлов на предмет конфиденциальных данных (выполняется только во время первого сканирования папки).Второй способ детектирования основан на классификации по метаданным. «Офисный контроль и DLP Safetica» универсально совместим со сторонними инструментами — Microsoft Office, Microsoft Azure Information Protection, Boldon James, Titus и Tukan GREENmod, — которые хранят информацию в виде тегов в свойствах документа.Третий способ связан со встроенными шаблонами персональных данных. Поддерживаются, например, чешские, словацкие, польские и турецкие идентификаторы личности, европейские и американские номера социального страхования, международные номера банковских счетов (IBAN), кредитных карт и т.п. Здесь же можно создавать пользовательские регулярные выражения или ключевые слова. Стоит отметить, что в следующей версии программного комплекса будет добавлена поддержка российских идентификаторов личности.Для автоматического детектирования конфиденциальных данных также используется предустановленный набор расширений файлов и категорий приложений. Продукт умеет определять разнообразные документы и мультимедийные объекты, а также программное обеспечение почти любого рода — от браузеров и VPN-клиентов до майнеров и кейлоггеров. Полный список поддерживаемых расширений и категорий весьма объемен, и полностью приводить его здесь излишне.Заметим также, что хотя «Офисный контроль и DLP Safetica» позволяет закрыть потребности, связанные с продуктивностью персонала, в нем не предусмотрены теневое копирование, запись экрана и прочие элементы функциональности, которые обеспечивают скрытый просмотр действий сотрудников. Архитектура «Офисный контроль и DLP Safetica»«Офисный контроль и DLP Safetica» состоит из трех модулей, которые дополняют друг друга. Компонент «Аудитор» отслеживает нелегитимные действия пользователей, а модуль «Супервайзер» предотвращает нежелательную активность за счет запрета запуска определенных приложений, ограничений на посещение веб-сайтов и т.п. Наконец, модуль «DLP» защищает от утечки конфиденциальной информации и работает в автоматическом режиме на основе пользовательских правил.Решение основано на клиент-серверной архитектуре. На рабочих станциях вместе с клиентской частью программного обеспечения функционирует загрузочный агент, который выполняет задачи по установке, обновлению и управлению. Для администрирования, настройки и отображения собранной информации используется толстый клиент или веб-консоль WebSafetica. Сведения, полученные с отдельных терминалов, и настройки для всех компонентов Safetica хранятся в базе данных на сервере. Таким образом, в состав продукта входят сервер с базой данных, панель управления и веб-консоль WebSafetica, загрузочный агент и клиент. Рассмотрим каждый из этих компонентов подробнее.Сервер «Офисный контроль и DLP Safetica»Эта часть программного комплекса работает как служба на выделенном сервере и обеспечивает связь между базой данных и другими компонентами Safetica, а также удаленное управление ими. На одной машине может быть установлен только один экземпляр сервера. База данных используется для хранения журналов, настроек и категорий приложений, сайтов и расширений. В качестве систем управления используются 32- / 64-разрядные версии Microsoft SQL Server 2008 и более поздние редакции, включая бесплатные экспресс-выпуски. Таблица 1. Рекомендуемые аппаратные и программные требования к установке серверной части «Офисный контроль и DLP Safetica»ПроцессорPentium 4 2,4 ГГц и вышеОперативная память2 ГБ и вышеСвободный объем на жестком диске3 ГБОперационная системаMicrosoft Windows Server 2008 R2 или более новаяКонсоль управления «Офисный контроль и DLP Safetica»Консоль управления обеспечивает взаимодействие между клиентом и загрузочным агентом на конечных точках (с одной стороны) и серверными службами с базой данных (с другой стороны). Через консоль осуществляется гибкая настройка всех функций «Офисный контроль и DLP Safetica»; в ней же отображаются результаты работы основных модулей в виде статистических диаграмм, графиков и таблиц. Таблица 2. Рекомендуемые аппаратные и программные требования к установке консоли управления «Офисный контроль и DLP Safetica»ПроцессорPentium 4Оперативная память2 ГБ и вышеСвободный объем на жестком диске2 ГБОперационная системаMicrosoft Windows 7 (32- / 64-разрядные выпуски) или более новаяКонсоль управления WebSafeticaWebSafetica – браузерная веб-консоль, содержащая функциональность управления и предназначенная для отображения результатов работы основных модулей. Веб-консоль не может использоваться без других компонентов продукта, но доступен вариант ее отдельной установки на сервере или другом устройстве, имеющем доступ к базе данных (MS SQL 2012 и выше, включая бесплатные экспресс-выпуски).Загрузочный агент «Офисный контроль и DLP Safetica»Загрузочный агент используется для управления клиентом на конечных точках. Он позволяет выполнять удаленную установку или обновление, а также решать другие задачи администрирования. Требования к аппаратному и программному обеспечению — такие же, как и у консоли управления.Safetica Endpoint ClientЭтот Клиент предоставляет все функции безопасности и мониторинга «Офисный контроль и DLP Safetica» на конечных точках. Основным его компонентом является служба, которая активируется при каждом запуске системы и обеспечивает мониторинг, применяет политики DLP, облегчает связь с базой данных и сервером. Клиентская служба управляет работой трех главных модулей на конечных точках. Во время установки клиента загрузочный агент устанавливается автоматически, если он не был установлен ранее. Требования к аппаратному и программному обеспечению клиента аналогичны таковым у консоли управления. Установка и предварительная настройка «Офисный контроль и DLP Safetica»«Офисный контроль и DLP Safetica» поддерживает автоматический и «ручной» варианты установки, а также извлечение компонентов в случае необходимости. Автоматическая установка предназначена для тестирования или для небольшого количества клиентов «Офисный контроль и DLP Safetica», установленных на конечных точках.Перед установкой необходимо проанализировать корпоративную сеть компании и учесть следующие требования: компьютер с серверной частью «Офисный контроль и DLP Safetica» должен иметь возможность подключения к SQL-серверу, на котором будут храниться основные базы данных; машины с консолью и загрузочным агентом должны иметь возможность подключаться ко всем серверам, которые планируется администрировать с их помощью; для каждого клиента «Офисный контроль и DLP Safetica» понадобится определить, к какому серверу он будет подключен. Также следует убедиться, что компоненты «Офисный контроль и DLP Safetica» (сервер, консоль, клиент) не заблокированы брандмауэром или антивирусом. Рисунок 1. Окно выбора типа установки «Офисный контроль и DLP Safetica» Установка отдельных компонентов «Офисный контроль и DLP Safetica» осуществляется вручную и включает следующие модули: серверная часть программного обеспечения, система управления базами данных (СУБД) Microsoft SQL Server, консоль управления или WebSafetica, загрузочный агент и клиент. При этом инсталляция или выбор уже существующей СУБД входит в установку серверной части. После успешного завершения настройки сервера будут созданы три базы данных:safetica_main – для хранения и совместного использования настроек;safetica_data – для хранения данных, полученных от клиентов;safetica_category – для хранения категорий веб-сайтов и приложений. Рисунок 2. Окно установки компонентов «Офисный контроль и DLP Safetica»  После успешной установки консоли управления следует ее начальная настройка, в которую входят конфигурирование SMTP-сервера для отправки уведомлений по электронной почте, определение параметров импорта из Active Directory, если рабочая станция с сервером находятся в домене, установка загрузочного агента и ввод лицензионного ключа. Рисунок 3. Окно начальной конфигурации консоли управления «Офисный контроль и DLP Safetica»  Заключительной частью установки «Офисный контроль и DLP Safetica» является инсталляция клиентской части программного обеспечения на конечные точки. Клиент работает вместе с загрузочным агентом, который был установлен на предыдущем этапе, и обеспечивает соблюдение политик безопасности, а также работоспособность всех функций, настроенных в консоли управления. Конечным пользователям он также может предоставить набор средств безопасности для собственного применения. Рисунок 4. Окно установки клиента Safetica Endpoint  Работа с консолью управления «Офисный контроль и DLP Safetica»«Офисный контроль и DLP Safetica» позволяет контролировать работу своих основных компонентов из единого веб-интерфейса — консоли управления. Она дает возможность конфигурировать работу основных модулей, настраивать службы управления «Офисный контроль и DLP Safetica» и администрировать клиенты, установленные на конечных точках. Консоль работает в двух режимах: настройки и визуализации. В режиме визуализации, в зависимости от модуля и функции, представляются записанные данные и графики, связанные с выбранным пользователем или группой. Поддерживается создание собственных макетов диаграмм, столбцов и фильтров, а также экспорт отображаемых графиков и диаграмм в PDF и XLS. Рисунок 5. Окно с основными элементами консоли управления «Офисный контроль и DLP Safetica»  Как видно из рисунка, с помощью консоли можно распоряжаться обновлением клиента и сервера, управлять базами данных (резервное копирование, выбор и удаление отслеживаемых сведений), разграничивать доступ к ней. В последнем случае предусмотрены учетные записи администратора, диспетчера и пользователя. Первый тип, очевидно, имеет полный доступ ко всем функциям и настройкам; диспетчер способен видеть записи всех функций, но не вправе вносить изменения в конфигурацию, а пользователь может работать с конкретными функциями и параметрами, которые ему назначил администратор.Консоль управления также позволяет автоматически генерировать отчеты об активности отдельных сотрудников, их группы или всего сервера. Рисунок 6. Окно настройки генерируемых отчетов в консоли управления «Офисный контроль и DLP Safetica»  Если на рабочей станции, подключенной к «Офисный контроль и DLP Safetica», сработало определенное правило, то продукт должен вывести пользователю информационное сообщение, а также составить отчет и выслать его на указанную почту либо отправить в формате SIEM или Syslog на сервер. В консоли управления для этого поддерживаются триггеры действий, которые основываются на записях активности пользователя, что позволяет запускать команды на рабочей станции сотрудника или инициировать запуск скриптов с конкретными аргументами и в выбранной папке. Рисунок 7. Окно настройки триггеров действий в консоли управления «Офисный контроль и DLP Safetica»  Работа основных модулей «Офисный контроль и DLP Safetica»Выявление нестандартного поведения сотрудников с помощью модуля «Аудитор»Модуль «Аудитор» анализирует деятельность сотрудников и предупреждает руководство о любых отклонениях от привычной активности. Он также показывает картину реальной производительности работников, предоставляя информацию о запускаемых приложениях, посещаемых веб-сайтах, отправляемых письмах и использованных файлах.Модуль занимается исключительно мониторингом, т.е. не выполняет никаких действий, связанных с блокировкой приложений или запретом посещения определенных интернет-ресурсов. Помимо этого, «Аудитор» регистрирует объем данных, отправленных или полученных рабочей станцией, и выдает статистику использования сети с разделением по каждому приложению. Рисунок 8. Окно с настройками функций модуля «Аудитор» в «Офисный контроль и DLP Safetica»  «Аудитор» осуществляет анализ активности приложений, показывая, какое программное обеспечение запускают сотрудники и как долго они держат его в активном или фоновом режиме. Помимо этого, он делит приложения по категориям, что позволяет максимально быстро получить обзор того, какие типы прикладных программ используются сотрудниками. Мониторинг также составляет рейтинг самых активных пользователей и наиболее часто запускаемых приложений.Анализ активности посещения веб-сайтов позволяет отслеживать интернет-ресурсы, которые просматривают сотрудники в рабочее время. «Аудитор» предоставляет статистику об открываемых страницах и времени, потраченном на их просмотр. Страницы классифицируются в зависимости от категорий, количества просмотров и уровня производительности. В результате мониторинга веб-сайтов в режиме визуализации можно отследить самые посещаемые сотрудниками домены, увидеть наиболее активных пользователей, а также самые популярные веб-категории.Мониторинг почты на рабочей станции дает возможность просмотреть отправляемые и получаемые сотрудниками электронные письма, в том числе — сообщения с вложениями, т.к. они могут содержать конфиденциальную информацию. В данном случае «Аудитор» позволяет выявить пользователей, отправивших и получивших наибольшее количество писем, а также адреса электронной почты и домены, где обмен сообщениями был самым интенсивным.Контроль операций копирования, перемещения, создания, удаления, открытия, загрузки через интернет и FTP, передачи файлов позволяет отследить все операции, выполняемые на рабочей станции конкретным сотрудником. «Аудитор» поддерживает фильтрацию по расширениям и по путям — т.е. позволяет указать список путей, действия по которым будут записываться, — а также предоставляет информацию о пользователях, которые больше всего работают с файлами, наиболее активных приложениях, используемых для этих целей, и о наиболее частых файловых операциях.Одним из самых важных аспектов защиты от утечек конфиденциальной информации является контроль подключений периферийных устройств (например, USB-накопителей) на рабочей станции. «Аудитор» позволяет отследить все подобные подключения с детализацией по приложениям, типу устройства и интерфейса, вендору и описанию.Модуль также отслеживает активность печати документов, тем самым предоставляя улики против сотрудников, которые используют принтеры для личных целей или для вывода конфиденциальных сведений. «Аудитор» дает наглядную статистику об активно печатающих пользователях, самых нагруженных принтерах, а также о приложениях, часто применяемых для печати. Рисунок 9. Окно с отображением мониторинга печати модуля «Аудитор» в «Офисный контроль и DLP Safetica»  Наиболее наглядной с точки зрения визуализации функцией «Аудитора» является возможность отображения тенденций, которые показывают отклонения в показателях активности при работе с приложениями и при просмотре веб-сайтов. Тенденции используются для профилирования и отслеживания производительности пользователей, что предоставляет четко организованные результаты и немедленные оповещения о превышении пределов в данных категориях. Для выявления тенденций среднее время, проведенное сотрудником в какой-либо категории прикладных программ или интернет-ресурсов за базовый период, сравнивается со средним активным временем, проведенным в этой категории в течение текущего периода.Ограничение нелегитимной деятельности сотрудников с помощью модуля «Супервайзер»«Супервайзер» блокирует неуместные и недопустимые действия, а также информирует о возникших проблемах, позволяя тем самым повысить безопасность, сэкономить ресурсы компании и предотвратить инциденты. Он управляет активностью сотрудников при работе в интернете, при взаимодействии с приложениями и в ходе печати документов.За счет гибкой настройки правил веб-контроля возможно определить, какие сайты сотрудникам разрешено либо запрещено посещать, и указать адрес для перенаправления при блокировке веб-страниц. Правила являются строковыми, т.е. задаются с помощью указания конкретного URL-адреса или домена. Также администратор вправе выбрать заранее заданную веб-категорию (бизнес, CRM, ERP, файловые хранилища, финансы, игры, политика, здоровье, информационные технологии, небезопасные веб-сайты, мессенджеры, поиск работы, досуг, мультимедиа и искусство, новости, порнография, веб-прокси, образование, поиск информации, шоппинг, социальные сети, спорт, веб-почта, веб-порталы) либо настроить свою. Рисунок 10. Окна с настройками веб-контроля в модуле «Супервайзер»   Контроль приложений позволяет защитить сотрудников компании от несанкционированных продуктов и обеспечить целостность разрешенных. Правила задаются посредством указания категории или системного пути; возможен также выбор прикладных программ, полученных из магазина Microsoft. Рисунок 11. Окна с настройками контроля приложений в модуле «Супервайзер»  Управление печатью предоставляет средства общего администрирования и позволяет определить, какие пользователи могут печатать на каких устройствах, а также установить квоты. Принтеры делятся на физические, виртуальные и сетевые. В конечном итоге формируются белый список принтеров, с которыми сотруднику разрешено работать, и перечень заблокированных устройств. Запрет печати возможен по трем причинам: печать заблокирована для указанного приложения, печать заблокирована для указанного принтера, превышена квота печати. Рисунок 12. Окно с настройками контроля печати в модуле «Супервайзер» Защита от утечки конфиденциальной информации с помощью модуля DLPDLP служит для защиты конфиденциальной информации компании от неправомерного использования уполномоченными лицами и от доступа третьих лиц. Внедрение DLP предотвращает финансовые потери и возможный ущерб репутации компании, а также защищает от нежелательных действий сотрудников задолго до того, как появится проблема.Перед использованием DLP в реальных условиях необходимо его настроить, исходя из условий текущей эксплуатации. Напомним, что в рассматриваемом продукте поддерживаются три типа конфигурации, которые основаны:на заранее заданных конфиденциальных данных и пользовательских выражениях,на детектировании классификационной информации (тегов) в свойствах документа, устанавливаемой сторонними приложениями,на установке меток и на правилах, в соответствии с которыми помечаются конфиденциальные объекты.Функции модуля DLP делятся на основные и дополнительные. К основным относятся политики, категории данных, зоны, защита дисков и контроль устройств. В число дополнительных входят возможности шифрования с помощью BitLocker. Модуль также протоколирует и отображает в виде графиков и таблиц все операции, источником которых являются политики DLP.Политики используются для создания правил безопасности, обеспечивающих защиту данных на конечных точках. Каждая политика состоит из типа, режима и правила. В DLP выделяется три типа политик: общий (позволяет устанавливать правила по умолчанию для всего взаимодействия каналов — например, все электронные письма, все внешние устройства и т. д.), направленный на категории данных и направленный на категории приложений.Важным этапом конфигурации модуля является выбор режима, в котором будет работать политика DLP, поскольку он определяет характер ее реагирования на события безопасности. Каждый из возможных режимов является сочетанием трех функций (протоколирование, уведомление и блокировка), которые могут быть отключены или активированы. Например, режим журналирования подразумевает, что любые данные или операции приложений регистрируются, но при этом пользователь не получит уведомлений, и никакие операции не будут заблокированы. Рисунок 13. Окно создания политики безопасности в модуле DLP  Категории данных предназначены для разделения файлов на группы в зависимости от того, кто может с ними работать. Категоризация основана на трех способах, которые описывались выше: выражения, метаданные и метки для файлов. Самым простым вариантом является использование словарей вместе с регулярными выражениями: остается только задать минимальное пороговое значение, которое определит, сколько раз заданные ключевые слова должны встретиться в рассматриваемом файле. Рисунок 14. Окна с настройками категорий данных модуля DLP  Зоны DLP и контроль устройств нужны для гибкой конфигурации групп внешнего аппаратного обеспечения, принтеров, IP-адресов, сетевых путей, которые могут администрироваться различными функциями DLP, а также для управления свойствами устройств (CD/DVD, Bluetooth, USB, LPT, COM, IR, Firewire, Windows Portable Devices, чтение карт памяти). Зоны разделяются на безопасные и небезопасные. Безопасные зоны, как правило, используются для настройки доверенной среды компании. В зону могут быть включены:внешние устройства, которые добавляются автоматически (когда консоль управления сама видит их) или вручную, когда необходимо ввести информацию о производителе в соответствующие поля;IP-адреса, маски подсети или диапазоны IP-адресов;сетевые пути;адреса электронной почты и почтовые домены;принтеры, сетевые и физические;веб-адреса, которые могут быть заданы в виде отдельного URL (*.google.ru) или доменной зоны (.com).Высокая степень риска при работе с внешними устройствами определяет многообразие режимов доступа к ним: настройки устройства наследуются от родительской группы; чтение и запись на внешних устройствах запрещены; внешнее устройство может только считываться, но не записываться; при использовании внешнего устройства пользователь увидит уведомление в диалоговом окне, а также будет создана соответствующая запись в журнале; режим тестирования, когда создается запись в журнале, а пользователь не оповещается; чтение и запись на внешние устройства включены. Рисунок 15. Окно с настройками зон в модуле DLP  Защита дисков в модуле DLPпозволяет разграничить права доступа к локальным накопителям, локальным или сетевым путям. Возможна также регистрация попыток доступа к ним. Права задаются в том числе и для облачных дисков (продукт поддерживает сервисы OneDrive, SharePoint, Google Drive, Dropbox и Box Sync). Доступ для пользователей может быть разрешен или запрещен, унаследован от группы более высокого уровня или осуществлен в режиме «только чтение».В качестве дополнительных возможностей модуля DLP реализована функциональность шифрования дисков и устройств. Это обеспечивает гарантированную сохранность данных и позволяет разграничить доступ к дискам и устройствам посредством авторизации. Функция BitLocker в модуле DLP дает возможность локально или удаленно шифровать внешние устройства (USB-накопители) с помощью соответствующей службы. Доступ к зашифрованным устройствам может быть предоставлен отдельным пользователям, рабочим станциям или группам. При удаленном сценарии носитель информации будет зашифрован сразу после входа пользователя на рабочую станцию, а при локальном — по указанию администратора «Офисный контроль и DLP Safetica» при непосредственном подключении этого устройства.Помимо съемных накопителей можно шифровать системные и несистемные диски на рабочих станциях. В BitLocker предусмотрены политики шифрования: расшифровывать системный диск и все диски с данными; шифровать системный диск выбранным способом и с использованием случайно сгенерированных ключей (при этом диски с данными будут разблокированы автоматически после разблокировки системного диска); шифровать диски при наличии данных. В каждой политике необходимо настроить дополнительные параметры: например, разблокировка системного диска может быть выполнена с помощью пароля, чипа Trusted Platform Module (TPM) или комбинации последнего с PIN-кодом, а также посредством USB-ключа, хранящегося на USB-накопителе. Также можно задать в параметрах совместимость с зашифрованными ранее дисками с помощью BitLocker Drive Encryption и без использования «Офисный контроль и DLP Safetica»; при этом старый логин и прежние ключи восстановления будут удалены и заменены новыми, совместимыми с установленной политикой. Выводы«Офисный контроль и DLP Safetica» – это полноценный корпоративный продукт, обеспечивающий защиту от запланированных либо случайных утечек конфиденциальной информации и соблюдение политик безопасности компании. Продукт может полноценно закрыть потребности организации, связанные с проблемами продуктивности персонала и защитой важных документов. «Офисный контроль и DLP Safetica» содержит множество предустановленных шаблонов, предназначенных для детектирования конфиденциальных данных, и позволяет гибко настраивать пользовательские правила. Модули «Офисный контроль и DLP Safetica» обеспечивают мониторинг активности сотрудников и отслеживают отклонения от стандартного поведения, в том числе выявляя проблемы продуктивности или всплески трафика в определенных категориях, по которым также можно сделать определенные выводы. В «Офисный контроль и DLP Safetica» есть четкое разделение между мониторингом деятельности сотрудников, защитой от утечек и ограничением нестандартных действий; продукт позволяет сформировать политику борьбы с угрозами, когда все нестандартные действия будут блокироваться и протоколироваться средствами «Офисный контроль и DLP Safetica». Программное обеспечение поддерживает вывод информации в формате SIEM и Syslog, что дает возможность автоматизировать процесс расследования инцидентов. Достоинства:Целостный продукт от одного разработчика, покрывающий задачи DLP и офисного контроля.Гибкая конфигурация модулей, позволяющая настроить безопасную информационную зону компании, выявить проблемы продуктивности персонала, предотвратить различного рода потери еще на стадии их возникновения и закрыть основные каналы утечки информации.Наличие предустановленных наборов категорий веб-сайтов для быстрого создания политик контроля трафика.Интуитивно понятная визуализация результатов работы продукта в виде графиков, таблиц и диаграмм, позволяющие распознать потенциально опасные действия сотрудников.Единый и интуитивно понятный интерфейс управления возможностями «Офисный контроль и DLP Safetica».Русская локализация консоли управления.Недостатки:Регулярные выражения, использующиеся для автоматического поиска конфиденциальных данных, не рассчитаны на персональные данных жителей России.Отсутствие возможностей теневого копирования, сканирования и распознавания изображений, записи голоса и видео с экрана сотрудника.Отсутствие сертификата ФСТЭК России.

JCR721 — универсальный считыватель для любых типов контактных микропроцессорных смарт-карт. Он разработан в соответствии с «Требованиями к уровням доверия» ФСТЭК России и в данный момент проходит сертификацию; может применяться для работы со сведениями, составляющими гостайну (до степени секретности «СС»). JCR721 поддерживает все наиболее популярные операционные системы, включая отечественные.   ВведениеФункциональные возможности и особенности JCR721Примеры использования JCR721Системные требования JCR721Сертификаты соответствия JCR721Работа с JCR721Выводы ВведениеВ настоящее время в нашей стране все больше внимания уделяется информационной безопасности. За последние годы было выпущено несколько нормативно-правовых актов различной направленности, в числе которых — Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ, Постановления Банка России № 683-П и № 684-П об установлении требований к обеспечению защиты информации для кредитных и некредитных организаций соответственно, ссылающиеся на необходимость выполнения требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Не стоит забывать и о ранее выпущенных документах ФСТЭК России, о безопасности государственных информационных систем, мест хранения и обработки персональных данных, автоматизированных систем управления технологическими процессами (АСУ ТП).Каждый указанный выше документ так или иначе побуждает администраторов безопасности задуматься о необходимости выстраивания комплексной системы защиты, в качестве одного из направлений которой будет выступать управление доступом (как физическим, так и логическим). При этом для персональных данных, государственных информационных систем или АСУ ТП в зависимости от уровня защищенности может потребоваться двухфакторная аутентификация, а для финансовой сферы понадобится электронная подпись. Как следствие, во всех подобных структурах, включая системы дистанционного банковского обслуживания, электронного документооборота и электронных торгов, используются смарт-карты. Удобство их применения неоспоримо, ведь один такой носитель информации может сочетать в себе функции нескольких идентификаторов: электронных удостоверений сотрудников, зарплатных, медицинских, кампусных карт и т.п.Незакрытым, однако, остается вопрос о порядке применения смарт-карт. Сложность заключается и в том, что 30.07.2018 г. был утвержден приказ ФСТЭК России №131 о требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (сокращенно – «Требования к уровням доверия»), который предписывает использовать эти новые директивы взамен привычной классификации по отсутствию незадекларированных возможностей.Компания «Аладдин Р.Д.», известный российский разработчик и поставщик средств аутентификации, а также продуктов и решений для информационной безопасности и конфиденциальности данных, разработала устройство, которое позволит применять смарт-карты во множестве PKI-проектов, обеспечивая в то же время требуемый уровень доверия. Универсальный настольный считыватель смарт-карт JCR721 может использоваться в государственных информационных системах, АСУ ТП, на объектах критической информационной инфраструктуры, а также подходит для работы с персональными данными (до первого класса (уровня) защищенности) и сведениями, составляющими государственную тайну (до степени секретности «СС»), в соответствии с новыми «Требованиями к уровням доверия» ФСТЭК России. Функциональные возможности и особенности JCR721Можно выделить следующие основные функциональные возможности JCR721.Поддержка современных смарт-карт с тактовой частотой до 16 МГц (см. системные требования).Поддержка скорости обмена данными со смарт-картой до 323 Кбит/с.Поддержка скорости обмена с хостом (ПК) по интерфейсу USB 2.0 (Full Speed) до 12 Мбит/с.Оповещение о скором исчерпании ресурса контактной группы (количества подключений) — в данном случае на устройстве загорится красный индикатор. При этом ресурс составляет более 200 000 циклов подключения смарт-карты.Считыватель JCR721 имеет неотсоединяемый USB-кабель с защитой от перегибания и перетирания (разъем USB 2.0 Type-A поставляется по умолчанию, USB 3.1 Type-C — на заказ). В «ридер» встроена подсистема безопасного обновления прошивки, благодаря чему у администраторов не возникнет сложностей в случае добавления новых функций либо поддержки протоколов и спецификаций. Рисунок 1. Считыватель смарт-карт JCR721 может поставляться в двух цветах — светло-серый и черный (дополнительный)  К особенностям JCR721 можно отнести следующие его характеристики.Специальный контактный механизм с технологией «Микролифт», который используется в дорогих промышленных устройствах, благодаря чему контакты не скользят по поверхности в процессе подключения и отключения, царапая ее, а опускаются на контактную площадку только после полной фиксации карты в считывателе. За счет этого увеличивается срок службы смарт-карт.Защита от пробоя статическим электричеством и короткого замыкания: +5В / GND на любую линию.Вместе с устройством JCR721 заказчику могут быть предоставлены SDK для интеграции с прикладным и встраиваемым программным обеспечением, а также электронные замки типа модулей доверенной загрузки (АПМДЗ).По желанию заказчика на считыватель JCR721 может быть нанесен цветной или монохромный логотип. При этом используется тампопечать или лазерная гравировка.Разработчики уделили внимание эргономичности — устройство оборудовано силиконовыми ножками, что не позволяет ему скользить по столу при подключении и отключении карты. Рисунок 2. JCR721 может быть представлен в бескорпусном (встраиваемом), малогабаритном и вертикальном исполнении  Примеры использования JCR721JCR721 способен решать любые задачи, в рамках которых требуется применение смарт-карт:Идентификация и двухфакторная аутентификация пользователя.Хранение криптографических контейнеров программных средств криптографической защиты информации на смарт-карте.Хранение пользовательских данных в защищенной области памяти смарт-карты.Выполнение криптографических операций на смарт-карте и передача результатов, в том числе электронной подписи, хеширования, согласования сеансовых ключей и т.д.Широкие возможности считывателя позволяют использовать его в различных отраслях, включая электронные формы банкинга, платежей, систем здравоохранения, а также в инфраструктуре различных организаций, например для обеспечения сетевой безопасности и реализации правил управления доступом. Рисунок 3. Пример использования «ридера» JCR721  Системные требования JCR721Считыватель JCR721 является универсальным устройством, которое работает с любыми типами контактных микропроцессорных смарт-карт (стандарты ISO 7816 Part 1-3 Class A, B, C (5V, 3V, 1.8V)). Таким образом, если в компании уже применяются смарт-карты от компании «Аладдин Р.Д.» (например, JaCarta PRO, JaCarta PKI, JaCarta-2 ГОСТ или комбинированные модели) либо идентификаторы других производителей, то устройство будет полностью совместимо с ними. При этом поддерживается работа по протоколам Т=0/Т=1. Рисунок 4. Фотография JCR721 с разных ракурсов  «Ридер» JCR721 может использоваться с отечественными процессорами «Эльбрус» и «Байкал», а также практически с любой операционной системой:Windows XP SP3, Vista SP2, 7 SP1, 8, 8.1, 10.Microsoſt Windows Server 2003 SP2, 2008 SP2, 2008 R2 SP1, 2012, 2012 R2.GNU/Linux x32/x64, в том числе Astra Linux 1.5 x64, Astra Linux 1.6 x64, Альт Линукс СПТ 7.0 (x32 и x64), KTL (Kraſtway Terminal Linux), МСВС 3.0 х32, МСВС 5.0 х64, ОС «Эльбрус».Apple macOS 10.13 High Sierra (x64), mac OS 10.14 Mojave.Android 8 (Oreo).Российская защищенная мобильная операционная система Sailfish Mobile OS Rus (Отечественная мобильная ОС «Аврора»).Также поддерживается работа в различных средах виртуализации:Citrix XenApp 7.5 (ICA, RDP).Microsoft Hyper-V (RDP).VMware WorkStation 15 (64 бит), VMware Horizon 7.3.1 (BLAST), VMware ESXi (PCoIP, RDP).OpenStack, российские сборки Linux — KVM (Spice, freerdp, rdesktop).KTL (Kraftway Terminal Linux).Особенностью считывателя JCR721 является отсутствие потребности в установке специальных драйверов или других прикладных программ. При этом обеспечивается автоматический выбор протокола и параметров PPS. Для JCR721 доступны программные интерфейсы PC/SC и CCID. Сертификаты соответствия JCR721Считыватель смарт-карт JCR721 имеет следующие сертификаты:Microsoft WHQL (Windows Compatible) и Certified for Microsoft Windows 10 Client для платформ x64 и х86;EMVCo Compliance (EMV Level 1/Contact);NDS (Navigation Data Standard) Compliance;Устройство соответствует требованиям:ГОСТ Р 51318.22-99, Технического регламента Таможенного союза ТР ТС 020/2011 «Электромагнитная совместимость технических средств» в части электромагнитной совместимости.ГОСТ Р 51317.4.2-2010 в части повышенной защищенности от пробоя статическим электричеством (до 15 КВ).IP33 в части пыле- и влагозащищенности. Рисунок 5. Сертификаты Microsoft Windows 10 Client для платформ x64 и х86 Работа с JCR721Для того чтобы начать работу со считывателем JCR721, потребуется выполнить три простых действия:Ознакомиться с «Руководством пользователя» (документ доступен на сайте производителя) и проверить требования к системе. Например, не рекомендуется использовать USB-кабели длиной более 1,5 метров, потому что это может привести к нехватке напряжения и таким образом негативно повлиять на работу устройства.Подключить устройство к USB-порту. При этом на современных операционных системах «ридер» JCR721 определится самостоятельно, т.к. поддерживается технология Plug & Play, после чего загорится зеленый индикатор.Корректно вставить смарт-карту — контактами вверх и вперед. В момент передачи данных зеленый индикатор будет мигать. Рисунок 6. «Ридер» JCR721 оповестит в случае неисправности или исчерпания ресурса контактной группы  ВыводыИспользование смарт-карт прочно встроилось в процесс обеспечения безопасности систем разного уровня, включая объекты критической информационной инфраструктуры, банковские системы, системы электронных торгов, персональных данных и управления технологическими процессами. Считыватель смарт-карт JCR721 позволяет повысить эффективность и обеспечить удобство применения таких универсальных идентификаторов.«Ридер» JCR721 в данный момент проходит испытания для получения сертификата о соответствии новым «Требованиям к уровням доверия» ФСТЭК России, что означает возможность его использования в работе с гостайной до степени «совершенно секретно» включительно. Устройство уже получило сертификат соответствия Microsoft WHQL, поддерживая при этом широкий спектр операционных систем и даже отечественные процессоры.JCR721 может поставляться в двух цветах, при этом по желанию заказчика на считыватель может быть нанесен логотип организации. Тем компаниям, которые хотели бы получить встраиваемое решение, «Аладдин Р.Д.» предлагает SDK для разработчиков.ПреимуществаОбеспечивается поддержка разъемов USB Type-A и USB Type-C, при этом устройство поддерживает версии USB 1.1, 2.0, 3.0 и 3.1.Высокий ресурс контактной группы (более 200 000 циклов подключения смарт-карты).Отсутствие потребности в установке дополнительных прикладных программ (для сертифицированных версий поддерживается возможность аутентификации устройства в приложениях).Устройство JCR721 зарегистрировано в «Едином реестре отечественного программного обеспечения» (регистрационный номер 4318).Поддержка отечественного аппаратного обеспечения (процессоры «Эльбрус» и «Байкал»).После получения сертификата соответствия считыватель JCR721 можно будет применять в системах обработки сведений, составляющих государственную тайну, до уровня «совершенно секретно».НедостаткиНа момент написания обзора ожидается получение сертификата соответствия новым «Требованиям к уровням доверия» ФСТЭК России.Не поддерживаются выходящие из обращения карты памяти, работающие по протоколам I2C (S=8), 3-wire (S=9), 2-wire (S=10), например карты с защищенной памятью и аутентификацией по паролю или PIN-коду, смарт-карты с защитой Security Logic, а также Free memory card.

WEB ANTIFRAUD – современная защита пользовательских аккаунтов различных онлайн-сервисов от кражи и неправомерного доступа к ним. WEB ANTIFRAUD позволяет обеспечивать защиту сразу по нескольким направлениям. Этот продукт может как применяться в виде самостоятельного решения, так и дополнять уже реализованные антифрод-системы. Применение продукта обширно, но в первую очередь он направлен на защиту финансового сектора.  ВведениеОбщее описание системы WEB ANTIFRAUDФункциональность системы WEB ANTIFRAUDИнтеграция системы WEB ANTIFRAUDАрхитектура WEB ANTIFRAUDПроверка работоспособности защитных модулей WEB ANTIFRAUDОбнаружение инцидента: нетипичное поведениеОбнаружение инцидента: риск по устройствуОбнаружение инцидента: лишний HTML-элементОбнаружение инцидента: лишний HTML-элемент на другом сайтеОбнаружение инцидента: повторное использование сабсессииОбнаружение инцидентов: использование чужой сессии и использование чужой сабсессииОбнаружение инцидента: использование средств анонимизацииОбнаружение инцидентов: использование средства автоматизации и виртуальной машиныОбнаружение инцидента: мультиаккаунтАналитика инцидентов в системе WEB ANTIFRAUDВыводы ВведениеАнтифрод системы или фродмониторинг, как правило, в широком смысле предназначены для оценки действий пользователей с целью выявления какой-либо подозрительной или, проще говоря, мошеннической активности и дальнейшей ее блокировки. Все это направлено на сохранение финансовых активов конечных пользователей и их конфиденциальных данных.Согласно официальному обзору несанкционированных переводов и платежей ФинЦЕРТ Банка России, опубликованному в 2018 году, объем незаконных операций с платежными картами физических лиц с каждым годом увеличивается, и по состоянию на 2018 год эта цифра составляет более 1 млрд руб. Со счетов юридических лиц в 2018 году было похищено около 1,5 млрд руб.ФинЦЕРТ Банка России также указывает, что в 97% всех случаев несанкционированный доступ к финансовым активам был осуществлен с применением социальной инженерии, в 2% случаев было отмечено воздействие вредоносного кода, и 1% — иные причины. Как видно из статистики, человек в этой цепочке остается наиболее слабым звеном. Передавая ключевую информацию от своих онлайн-аккаунтов и личных кабинетов, человек не задумывается, к каким последствиям это может привести.Однако стоит отметить, что внедрение антифрод-систем в кредитных организациях, помимо снижения рисков репутационных потерь, также необходимо для исполнения требований вступившего в силу федерального закона от 27.06.2018 г. № 167-ФЗ, который обязывает финансовые организации блокировать различные мошеннические операции, связанные со счетами клиентов.Таким образом, можно сделать вывод, что применение антифрод-систем рекомендовано для всех без исключения организаций, у которых хранится важная пользовательская информация, разглашение которой может нанести вред клиентам. А в случае с кредитными организациями применение антифрод-систем носит обязательный характер.Система WEB ANTIFRAUD является современным представителем фродмониторинга. Позволяет своевременно выявлять мошенническую активность, блокировать ее и оперативно оповещать об этом конечных пользователей. Система может использоваться как самостоятельное решение, так и эффективно дополнять уже существующую транзакционную антифрод-систему, что позволяет значительно поднять уровень эффективности борьбы с мошенническими действиями. Общее описание системы WEB ANTIFRAUDДля нормального функционирования WEB ANTIFRAUD не требуется дополнительного выделения ресурсов в инфраструктуре организации, а также нет потребности в содержании большого штата специалистов для технического обслуживания системы и проведения аналитической работы.Алгоритм работы WEB ANTIFRAUD основан на получении поведенческого отпечатка пользователя и получении технического отпечатка устройства, которое использует пользователь при доступе к своему ресурсу. Затем происходит анализ полученной информации. При помощи внутренних алгоритмов выявляются подозрительные действия пользователя в системе, и при отсутствии подтверждения легитимности пользователя такие действия блокируются. Все выявленные системой инциденты фиксируются в соответствующих журналах, а самые критические из них доводятся непосредственно до конечного клиента, чтобы он смог принять необходимые действия.Для работы с системой WEB ANTIFRAUD достаточно встраивания JavaScript-кода на защищаемый веб-портал и интеграции с API на бэкенде. API работает как на отсылку данных об активности пользователя с сайта к системе, так и для уведомлений от системы к сайту клиента.Система WEB ANTIFRAUD для пользователя чаще всего остается незаметной. При осуществлении доступа пользователя в свой личный онлайн-кабинет, он получает html-код страницы со встроенным JavaScript-кодом системы антифрод. JavaScript-модуль обеспечивает сбор всей необходимой технической и поведенческой информации пользователя. Эта информация передается в аналитический центр разработчика системы для ее дальнейшего анализа на наличие мошеннических действий. Функциональность системы WEB ANTIFRAUDВ составе системы WEB ANTIFRAUD можно выделить три основных подсистемы, которые определяют основной ее функционал:Подсистема анализа устройстваПроводит технический анализ браузера и устройства, который использует пользователь на наличие каких-либо аномалий, которые нетипичны для стандартной работы устройства.На основе собранных данных и полученного анализа система формирует отпечаток устройства пользователя, который сравнивается при каждом доступе пользователя к своему аккаунту (личному кабинету).При каждом входе подсистема дополнительно проверяет пользователя на применение средств анонимизации и виртуальной машины, а также на наличие средств автоматизации действий.В подсистеме анализа устройства, помимо всего прочего, реализована рекомендация запроса двухфакторной аутентификации (2FA) на сайте клиента. 2FA применяется только в случаях, когда пользователь пытается войти в свой аккаунт с другого устройства или браузера или же пытается войти в свой аккаунт из незнакомого для системы места (новая сеть Wi-Fi, интернет-кафе и т.д.). В этом случае сайт отправляет пользователю одноразовый код подтверждения по заранее определенному способу (sms и email-сообщение, возможно использование аппаратного токена и т.п.). При прохождении такой аутентификации система запоминает новое устройство, браузер или же новое место, с которого осуществлялся доступ, и помечает его как доверенное.Подсистема анализа поведенияОтвечает за выявление аномальных или нетипичных особенностей в процессе работы каждого пользователя. Так как каждый человек индивидуален, то и привычки и особенности работы с информационными ресурсами у каждого человека уникальны, будь то скорость печати на клавиатуре, стиль заполнения форм, клики, движения мыши или же способ навигации по сайту. Вся эта информация позволяет формировать для каждого пользователя индивидуальный поведенческий отпечаток.Во время последующих сессий полученный поведенческий отпечаток сравнивается с предыдущим на наличии в нем критических отклонений и при их обнаружении блокирует такую активность и сообщает об этом клиенту системы.Подсистема защиты от трояновСвоевременно определяет вмешательство вредоносного JavaScript-кода на защищаемый ресурс путем поиска участка кода и элементов, добавленных сторонними программами и приложениями. Подсистема собирает и моментально предоставляет всю доступную информацию по каждому обнаружению трояна (без ожидания действий пользователя) с целью дальнейшего анализа и расследования такого инцидента.Помимо перечисленных функций, в WEB ANTIFRAUD реализована проверка связи между используемыми аккаунтами, что позволяет оперативно выявлять всю группу мошеннических или скомпрометированных пользовательских аккаунтов. В системе реализована проверка целостности и актуальности пользовательских сессий, а также оперативно определяются попытки перехвата или подмены сессии. Использование обфусцированного протокола взаимодействия клиентской части и сервера затрудняет анализ передаваемых данных и защищает их от перехвата.Разработчики системы WEB ANTIFRAUD отмечают, что в процессе работы система анализирует только техническую информацию и метаданные (настройки браузера, стиль поведения пользователя, элементы страниц сайта, IP адрес пользователя и данные о соединении), смысловая информация, вводимая пользователем, никуда не передается и анализу не подвергается. Интеграция системы WEB ANTIFRAUDИнтеграция WEB ANTIFRAUD осуществляется добавлением front-end- и back-end-частей системы.Интеграция части front-end осуществляется добавлением кода JavaScript во все значимые страницы сайта, которые необходимо защитить. Как правило, при стандартном варианте интеграции модуля front-end, его необходимо добавить только на страницу авторизации аккаунта пользователя и страницу с проверкой двухфакторной аутентификации.Интеграция back-end заключается в настройке работы с API разработчика на защищаемом сайте. Это происходит в виде отправки отчетов о действиях пользователей и дальнейшего получения ответов системы. Также осуществляется настройка URL адреса, по которому WEB ANTIFRAUD будет отправлять пользователю отчеты о важных событиях.Интеграция части back-end дает следующие преимущества:оперативный анализ пользователей ресурса на наличие у них признаков мошеннических действий, а также получение максимально точной и актуальной информации о действиях пользователя (данные передаются непосредственно от сайта клиента, а не только собирается в браузере);анализ действий пользователей происходит в реальном времени и в автоматическом режиме, что позволяет оперативно реагировать при выявлении каких-либо инцидентов;автоматические уведомления, идущие на сайт клиента, о выявленных инцидентах информационной безопасности, связанных с безопасностью аккаунтов пользователей; не совсем. Уведомления идут к сайту клиента. Что с ними дальше делать, решает клиент. Сейчас по этому пункту кажется, что мы сами шлем уведомления кому-то на почту, итд, но это не так.при блокировании злоумышленниками исполнения кода  фронтенд-части, система немедленно об этом оповещает.Интеграция системы WEB ANTIFRAUD не требует дополнительного доступа к внутренней инфраструктуре и базе данных компании.WEB ANTIFRAUD поддерживает многие используемые браузеры и корректно работает на всех популярных и более ранних их версиях. В таблице 1 указаны наименования поддерживаемых браузеров в зависимости от используемой операционной системы. Таблица 1. Поддерживаемые системой WEB ANTIFRAUD браузерыТип ОСWindowsMac OS XiOSAndroidНаименование поддерживаемого браузераInternet Explorer, Edge, Google Chrome, Mozilla Firefox, Opera, Yandex BrowserSafariSafari, Google ChromeGoogle Chrome  Стоит отметить, что для нормального функционирования WEB ANTIFRAUD в пользовательских браузерах должно быть разрешено исполнение JavaScript-сценариев, что является стандартной настройкой для современных браузеров. Архитектура WEB ANTIFRAUDАрхитектура системы основана на базовом сценарии взаимодействия владельца онлайн-ресурса с пользователем и разработчиком антифрод системы.На рисунке 1 представлена схема базового сценария входа пользователя в персональный аккаунт онлайн ресурса с интегрированной системой WEB ANTIFRAUD. Рисунок 1. Базовый сценарий входа пользователя в личный аккаунт с интегрированной системой WEB ANTIFRAUD  Для более четкого понимания картины прокомментируем этот рисунок:Шаг 1: Пользователь обращается к ресурсу (сайту), для осуществления входа в свой личный аккаунт.Шаг 2: Запрошенный сайт передает браузеру свой html-код страницы со встроенным модулем JavaScript, принадлежащим системе WEB ANTIFRAUD.Шаг 3: JavaScript-модуль собирает всю необходимую информацию о пользователе и отправляет ее в аналитический центр системы WEB ANTIFRAUD, где формируется отпечаток устройства пользователя и его поведенческий отпечаток.Шаг 4: Пользователь вводит на странице входа в аккаунт свои регистрационные данные и кликает на кнопку входа. После чего запрос от браузера пользователя с логином и паролем отправляется на запрошенный сайт.Шаг 5: Далее сайт передает системе WEB ANTIFRAUD собранную техническую информацию об авторизации пользователя. Стоит отметить, что пароль, конфиденциальные и персональные данные пользователя не обрабатываются и не передаются. Передается лишь обезличенный идентификатор, по которому клиент потом сможет связать собранную информацию с конкретным пользователем.Шаг 6: Антифрод-система анализирует собранную информацию и на ее основе выдает рекомендации по защите аккаунта.Шаг 7: В зависимости от проведенного анализа сайт разрешает доступ пользователя в систему, либо блокирует попытку входа, либо запрашивает у пользователя дополнительную аутентификацию.Так как рассмотренный вариант взаимодействия ресурса, пользователя и системы антифрод-мониторинга на сегодняшний день является наиболее распространенным и защищенным, то именно он принят за основу при построении взаимодействия между перечисленными элементами. Проверка работоспособности защитных модулей WEB ANTIFRAUDРабота системы основана на принципах полной автоматизации, незаметности для пользователя, прозрачности принятых решений, отсутствия ручной настройки системы и использования принципа разумной защищенности, то есть - обеспечение безопасности без создания неудобств для пользователей.Так как система работает в автоматическом режиме, то для проверки работоспособности WEB ANTIFRAUD смоделируем определенные ситуации и посмотрим, как система реагирует на них. Обнаружение инцидента: нетипичное поведениеПервое, что проверим, это реакцию системы на нетипичное поведение пользователя. В этом случае система проверяет отклонения от стандартной модели поведения пользователя.С большой долей вероятности мошенник для быстроты и удобства подбора пользовательского логина и пароля будет использовать буфер обмена для ввода данных аутентификации.Для моделирования такого инцидента на защищенной странице авторизации пользователя, которая представлена на рисунке 2, заполним поля авторизации вручную, а при повторном входе введем их же, но при помощи процедуры копирования. Рисунок 2. Страница авторизации пользователя  Система аналитики не обратила внимание на ввод логина и пароля вручную, но использование процедуры копирования в процессе заполнения форм аутентификации пользователя вызвало серьезные подозрения у WEB ANTIFRAUD, о чем имеется отметка в журнале выявленных инцидентов.На рисунке 3 представлена строка из журнала выявленных инцидентов системы WEB ANTIFRAUD с обнаружением использования процедуры копирования при вводе идентификационных данных пользователя, что привело к записи о нетипичном поведении пользователя. Рисунок 3. Запись об инциденте – нетипичное поведение в системе WEB ANTIFRAUD  Обнаружение инцидента: риск по устройствуСледующим пунктом проверим уязвимость – риск по устройству. В этом случае проверяются все аномалии в работе технического устройства пользователя или же отмечаются нетипичные параметры браузера пользователя. А также система оповестит об опасности в случае, если пользователь войдет в свой личный аккаунт с нового технического устройства или при использовании нового браузера.Для обнаружения системой аномалий по устройству сменим привычный браузер и повторим процедуру авторизации пользователя.На рисунке 4 представлена запись из журнала выявленных инцидентов системы WEB ANTIFRAUD с обнаруженным риском по устройству. Рисунок 4. Запись об инциденте – риск по устройству в системе WEB ANTIFRAUD  Обнаружение инцидента: лишний HTML-элементСледующая ситуация, которую проверим, – лишний HTML-элемент. Система WEB ANTIFRAUD проверяет наличие посторонних элементов html на защищаемой странице сайта. Проверяются формы, элементы, скрипты, фреймы, которых в оригинальной версии сайта быть не должно. Также проверяются переменные и функции JavaScript, содержимое хранилищ, а также нетипичные ajax-запросы.Такие лишние HTML-элементы могут внедряться злоумышленниками для мониторинга действий пользователя в сети и передачи всей его введенной смысловой информации.Для проверки обнаружения системой такого инцидента подгрузим в браузер небольшое дополнение, которое будет инициировать подобный инцидент.Как видно из рисунка 5, система выявила инцидент — лишний HTML элемент и записала информацию о нем в журнал WEB ANTIFRAUD. Рисунок 5. Запись об инциденте «лишний HTML-элемент» в системе WEB ANTIFRAUD  Обнаружение инцидента: лишний HTML-элемент на другом сайтеСледующая ситуация — лишний HTML элемент на другом сайте. В этом случае проверяется наличие посторонних элементов html, которые могут добавляться трояном или другим вредоносным софтом в страницы других сайтов по маске URL.Проверку проводим так же, как и в прошлый раз, подгрузив браузерное дополнение, имитирующее работу зловреда, добавляя лишний HTML-код на различные страницы сайтов.На рисунке 6 представлена запись из журнала системы аналитики WEB ANTIFRAUD, в которой отмечено обнаружение лишнего элемента HTML на другом сайте. Рисунок 6. Обнаружение инцидента «лишний HTML-элемент» на другом сайте в системе WEB ANTIFRAUD  Обнаружение инцидента: повторное использование сабсессииДалее проверим, как реагирует система на уязвимость «повторное использование сабсессии».Суть проверки заключается в том, что каждая сабсессия (метка для каждой открытой страницы) уникальна, поэтому ее повторное использование говорит либо о манипуляциях с профилем браузера, либо о повторении старых запросов (replay attack), либо об удалении сторонним софтом или троянами кода подключения к антифрод-системе из страницы.На рисунке 7 представлена запись журнала инцидентов WEB ANTIFRAUD об обнаружении повторного использования сабсессии. Рисунок 7. Отметка об обнаружении повторного использования сабсессии системой WEB ANTIFRAUD  Обнаружение инцидентов: использование чужой сессии и использование чужой сабсессииСледующим этапом проверим реагирование системы WEB ANTIFRAUD на использование чужой сабсессии и сессии. Этот инцидент может произойти в случае, когда пользователь авторизовался в сабсессии или в сессии, которая была инициирована на другом устройстве, что в свою очередь может говорить о манипуляциях с профилем браузера.Для имитации таких инцидентов загрузим в браузер расширение, которое позволяет в любой момент изменить UserAgent пользователя.Первым инициируем инцидент «использование чужой сабсессии». Для этого меняем UserAgent пользователя при идентификации на главной странице авторизации.Затем инициируем инцидент «использование чужой сессии». Для этого меняем UserAgent пользователя только после того, как авторизовались в личном кабинете.На рисунке 8 показан процесс смены UserAgent в процессе доступа к личному кабинету пользователя. Рисунок 8. Смена UserAgent при доступе в личный кабинет пользователя  Система WEB ANTIFRAUD успешно распознает подобные попытки и заносит о них информацию в журнал обнаруженных инцидентов (Рисунок 9). Рисунок 9. Отметка об обнаружении использования чужой сабсессии и сессии в системе WEB ANTIFRAUD  Обнаружение инцидента: использование средств анонимизацииК основным уязвимостям также можно отнести использование средств анонимизации. Злоумышленники, как правило, прибегают к таким средствам для того, чтобы подменить видимую информацию о себе, по которой их можно обнаружить. В частности, это может быть информация об используемой ими операционной системе, информация о браузере, реальный IP-адрес и любая другая техническая информация о мошеннической системе.Для анонимизации в сети и проверки реакции системы WEB ANTIFRAUD на такой инцидент воспользуемся сетью TOR. На рисунке 10 показан вариант идентификации пользователя в своем личном кабинете при помощи браузера TOR. Рисунок 10. Идентификация пользователя в личном кабинете при помощи TOR-браузера  Система WEB ANTIFRAUD адекватно отреагировала на применение средства анонимизации при осуществлении доступа в личный кабинет пользователя, после чего занесла этот инцидент в соответствующий журнал (рисунок 11). Рисунок 11. Запись в журнале инцидентов системы WEB ANTIFRAUD о применении TOR-браузера  Обнаружение инцидентов: использование средства автоматизации и виртуальной машиныСледующие рассматриваемые инциденты – это применение средств автоматизации и использование виртуальной машины.Применение средств автоматизации позволяет злоумышленнику осуществлять подбор логина и пароля для доступа в личный кабинет пользователя или же заполнять необходимые ему формы в автоматическом режиме. Стоит отметить, что применение мошенником средств автоматизации довольно обширно и ограничивается только его фантазией.Использование виртуальной машины для обычных пользователей при осуществлении доступа к своим учетным записям, как правило, нетипично. Но с точки зрения злоумышленника, применение виртуальной машины играет ему на руку, так как позволяет полностью подменить свой технический отпечаток системы на отпечаток системы легитимного пользователя.Для проверки реакции системы WEB ANTIFRAUD на перечисленные инциденты применим в качестве средства автоматизации браузерное расширение Selenium IDE с загруженным в него скриптом, который будет имитировать работу средства автоматизации, а в качестве виртуальной машины используем VirtualBox.На рисунке 12 показана работа браузерного расширения Selenium IDE. Рисунок 12. Имитация средства автоматизации при помощи браузерного расширения Selenium IDE  Можно отметить, что после проведенных проверок система аналитики WEB ANTIFRAUD адекватно отреагировала на имитацию использования средства автоматизации и виртуальной машины.На рисунке 13 представлена запись журнала выявленных инцидентов системы WEB ANTIFRAUD об обнаружении применения средства автоматизации. Рисунок 13. Запись в журнале инцидентов системы WEB ANTIFRAUD о применении средства автоматизации  Обнаружение инцидента: мультиаккаунтИспользование мультиаккаунта или множества аккаунтов на многих ресурсах запрещено внутренними правилами, поэтому проверка на обнаружение мультиаккаунтов никогда не будет лишней.На рисунке 14 представлена запись об обнаружении использования мультиаккаунта при обращении пользователя к сайту. Рисунок 14. Обнаружение использования мультиаккаунта системой WEB ANTIFRAUD  Как видно из проведенных проверок, система WEB ANTIFRAUD позволяет оперативно обнаружить и зарегистрировать подозрительные действия, которые могут быть использованы мошенниками в своих корыстных целях. Аналитика инцидентов в системе WEB ANTIFRAUDWEB ANTIFRAUD предоставляет подробные аналитические данные по зафиксированным действиям пользователей, которые, возможно, имеют отношения к мошенническим действиям.Страница аналитики содержит следующие разделы:Общая статистика;Поиск;Инциденты.Раздел «Общая статистика» можно разделить на три информационных блока.Первый блок содержит графическое представление количества выявленных инцидентов и статистическую гистограмму количества авторизаций пользователей в системе за последние две недели, а также круговую диаграмму со статистикой по типам инцидентов, выявленных за текущие сутки. На рисунке 15 представлен первый информационный блок страницы общей статистики. Рисунок 15. Графическое представление выявленных инцидентов на странице общей статистики в системе WEB ANTIFRAUD  Второй информационный блок – это информация со списком последних выявленных опасных действий пользователя. В этом списке указывается дата события, пользователь, инициировавший событие, тип события, территориальная локация пользователя, IP адрес, а также страница, на которой выявлен инцидент. На рисунке 16 можно увидеть, как выглядит список с выявленными подозрительными действиями пользователей. Рисунок 16. Список выявленных подозрительных действий пользователей на странице общей статистики в системе WEB ANTIFRAUD  Третий информационный блок – краткий список выявленных инцидентов с указанием даты инцидента, пользователя, инициировавшего инцидент, типа инцидента и уровня риска инцидента для системы. На рисунке 17 представлен краткий список выявленных инцидентов. Рисунок 17. Краткий список выявленных инцидентов на странице общей статистики системы WEB ANTIFRAUD  Раздел системы «Инциденты» содержит развернутый список выявленных инцидентов. Для наглядности и быстрого поиска нужной информации инциденты можно фильтровать по уровню риска. Помимо этого, по каждому инциденту доступна более подробная информация. На рисунке 18 представлен список выявленных инцидентов раздела «Инциденты» в системе аналитики WEB ANTIFRAUD. Рисунок 18. Список выявленных подозрительных действий пользователей в разделе «Инциденты» системы аналитики WEB ANTIFRAUD  Следующий раздел – «Поиск». Он включает в себя всю собранную информацию о подозрительных действиях пользователя по искомому аккаунту. На рисунке 19 показана страница поиска аккаунта. Рисунок 19. Ввод имени пользовательского аккаунта для поиска необходимой информации в WEB ANTIFRAUD  Система позволяет проводить поиск по логину или по IP-адресу пользователя. При нажатии на кнопку «Найти» система выдает результаты поиска, а при нажатии на кнопку «Информация о пользователе» система представляет подробный отчет, в котором содержится список активности пользователя, список выявленных инцидентов, диаграмма связи с другими пользователями и активность пользователя на карте.В списке активности пользователя, который представлен на рисунке 20, можно найти дату, длительность и тип активности, идентификатор устройства пользователя, локацию пользователя, его IP-адрес, краткое описание инцидента и страницу, на которой была обнаружена активность. Рисунок 20. Список активности по конкретному пользователю в системе аналитики WEB ANTIFRAUD  В списке выявленных инцидентов пользователя содержится информация о дате, типе и уровне риска инцидента, а также доступна более подробная информация. На рисунке 21 представлен список выявленных инцидентов по конкретному пользователю. Рисунок 21. Список инцидентов конкретного пользователя в системе аналитики WEB ANTIFRAUD  Диаграмма связи с другими пользователями визуализирует связь конкретного юзера и его аккаунта с другими учетными записями, при этом указывается тип связи и их дополнительная подсветка. Диаграмма связи с другими пользователями представлена на рисунке 22. Рисунок 22. Визуализация связей с другими аккаунтами в системе аналитики WEB ANTIFRAUD  И последний информационный блок в этом разделе – информация об активности пользователя на карте. Здесь можно увидеть карту с отметками локаций, из которых пользователь взаимодействовал с сайтом с указанием количества выполненных действий в выделенной локации. Пример активности пользователя на карте подремонтирован на рисунке 23. Рисунок 23. Пример активности пользователя на карте в системе аналитики WEB ANTIFRAUD  Аналитика системы WEB ANTIFRAUD позволяет получать подробные данные о выявленных инцидентах как по объекту в целом, так и по конкретному пользователю. Такой подход способствует более подробному и тщательному расследованию инцидентов информационной безопасности, связанных с пользовательскими аккаунтами, а графическое представление информации облегчает процесс восприятия, что сокращает время реагирования на инцидент.Также стоит отметить, что графическое представление информации по обнаруженным связям с другими пользователями позволяет в кратчайшие сроки определить и заблокировать всю цепочку мошеннических аккаунтов, или же точно определить количество скомпрометированных пользовательских аккаунтов. Таким образом, можно более точно подсчитать нанесенный ущерб. ВыводыНа сегодняшний день на российском рынке антифрод-систем представлено множество вариантов таких решений со всевозможным набором функциональных возможностей. Но систему WEB ANTIFRAUD можно выделить из всего представленного многообразия.Сравнение технического отпечатка пользовательского устройства и сравнение поведенческого отпечатка пользователя в системе WEB ANTIFRAUD дает на практике неплохие результаты по обнаружению и блокированию мошеннических действий, а применение двухфакторной аутентификации значительно повышает защиту доступа в пользовательские аккаунты.Решение WEB ANTIFRAUD предоставляет подробную информацию по каждому зарегистрированному инциденту, что позволяет на высоком уровне проводить расследования.Достоинства:Широкое покрытие различных типов инцидентов безопасности (технических, поведенческих, внедрение троянов, манипуляции с профилем браузера, средства анонимизации, автоматизации и виртуализации).Полностью автоматическая в реальном времени обработка информации.Подробная аналитика каждого значимого действия пользователя.Система не требует доступа к внутренней инфраструктуре и базе данных компании.Разработчики осуществляют  индивидуальную поддержку каждого клиента и учитывают пожелания при разработке нового функционала.Недостатки:Необходима backend API интеграция системы с сайтом клиента.Нет ручной настройки отдельных параметров системы.В завершении отметим, что система WEB ANTIFRAUD является достойным решением защиты от мошеннических действий. Адекватные возможности и предоставляемая аналитика позволяет не затеряться на рынке среди множества аналогичных решений. WEB ANTIFRAUD может активно применяться как самостоятельное решение, а также будет хорошим дополнением к уже существующей системе  транзакционного/внутреннего антифрода (больше подходит как дополнение к транзакционному, либо другому внутреннему антифроду, который работает с данными пользователей и транзакций внутри системы, а не собирает данные в браузере).С разработчиком системы можно связаться через их официальный сайт или через их твиттер-аккаунт (@AntiFraud2ru).

Компания Zyxel Communications Corporation представила доступную по стоимости серию межсетевых экранов серии ATP, позволяющих компаниям сектора малого и среднего бизнеса (SMB) защитить свои сети от угроз, в том числе и от атак «нулевого дня», которые не обнаруживаются традиционными средствами безопасности. Zyxel ATP — это универсальное решение, в которое интегрированы масштабируемая «песочница» на базе облака и дополнительные технологии защиты для обнаружения и блокировки как известных, так и неизвестных атак.  ВведениеМодельный ряд межсетевых экранов ZyWALL ATPОсновные функциональные возможности линейки Zyxel ATP3.1. «Песочница» (Sandboxing)3.2. Защита от вредоносного программного обеспечения3.3. Инспектирование SSL3.4. Контроль приложений (AppPatrol)3.5. Контентная фильтрация (Content Filtering)3.6. Фильтр ботнетов3.7. Защита от вторжений3.8. Статистика и SecuReporterПолитика лицензирования межсетевых экранов Zyxel APTВыводы ВведениеМеханизмы атак на сеть постоянно совершенствуются, а число целенаправленных нападений постоянно увеличивается, как и их разнообразие. Причем целевые атаки (Advanced Persistent Threat, APT), как правило, спроектированы для незаметного, скрытного выполнения злонамеренных действий, а не для того, чтобы нанести заметный ущерб.Современное вредоносное программное обеспечение использует техники, которые позволяют весьма легко обойти традиционные технологии защиты: межсетевые экраны, системы обнаружения вторжений, антивирусы. Неуловимость достигается, например, за счет маскировки под легитимные файлы. Поэтому в последнее время на рынке информационной безопасности остро ощущается потребность в защите от целенаправленных атак.Компаниям всё труднее реагировать на быстрые изменения в ландшафте угроз, и в особенно сложной ситуации оказывается сегмент SMB — небольшие и средние фирмы, у которых в отличие от крупных корпораций нет ни специалистов по информационной безопасности, ни мощных ресурсов для обеспечения защиты своей сети. Большие организации, как правило, выстраивают эшелонированную защиту от APT-атак, устанавливая отдельные специализированные решения (анализаторы трафика, сетевые песочницы и т.д.). При этом компаниям уровня SMB хотелось бы иметь эффективное и недорогое универсальное устройство «всё в одном» для защиты своих корпоративных сетей, которое помимо типовых модулей — межсетевого экрана, системы обнаружения вторжений, VPN-сервера — включало бы такие компоненты, как «песочница» (sandbox), фильтр ботнет-сетей, потоковый антивирус.Компания Zyxel Communications представила доступную по стоимости серию межсетевых экранов серии ATP, позволяющих компаниям сектора малого и среднего бизнеса (SMB) защитить свои сети и данные от различных угроз, в том числе и от атак «нулевого дня», которые не обнаруживаются традиционными решениями для информационной безопасности. Не так давно мы уже делали несколько публикаций о разработках Zyxel:  «Обзор Zyxel USG Series, унифицированных шлюзов безопасности» и «Обзор межсетевых экранов с функцией VPN компании Zyxel». В данном обзоре мы сфокусируем внимание на защите от целенаправленных атак Zyxel ATP и расскажем обо всех ее возможностях и особенностях.Zyxel ATP — это универсальное решение, в которое для обнаружения и блокировки как известных, так и неизвестных атак интегрированы масштабируемая «песочница» на базе облака и дополнительные технологии защиты. Модельный ряд межсетевых экранов ZyWALL ATPМежсетевые экраны серии ZyWALL АТР используют облачное обучение и песочницу для защиты от различных новых угроз, обеспечивая тем самым  эшелонированную защиту от будущих, ранее неизвестных атак.Модельный ряд межсетевых экранов ZyWALL ATP представлен четырьмя моделями — ZyWALL ATP100/200/500/800. Рисунок 1. Распределение моделей ZyWALL в зависимости от размера бизнеса  Краткие характеристики всех моделей линейки приведены ниже. Таблица 1. Ключевые характеристики моделей устройств ZyWALL ATPХарактеристикаZyWALL ATP100ZyWALL ATP200ZyWALL ATP500ZyWALL ATP800Спецификация оборудованияПорты 10/100/1000 Мбит/сек RJ-454 x LAN/DMZ,1 x WAN, 1 x SFP4 x LAN/DMZ, 2 x WAN, 1 x SFP7 (Configurable),1 x SFP12 (Configurable),2 x SFP (Configurable)Порты USB 3.01222Порт консолиДа (RJ-45)Да (DB9)Да (DB9)Да (DB9)Монтаж в стойкеНетДаДаДаБезвентиляторное исполнениеДаДаНетНетПроизводительность системыПропускная способность межсетевого экрана SPI (Мбит/сек)1000200026008000Пропускная способность VPN (Мбит/сек)3005009001500Пропускная способность IDP (Мбит/сек)600120017002700Пропускная способность AV (Мбит/сек)2504507001200Пропускная способность UTM (AV и IDP)2504507001200Максимальное число одновременных сессий TCP30000060000010000002000000Максимальное число одновременных туннелей IPsec VPN40402001000Одновременных пользователей SSL VPN1010501000Интерфейсов VLAN81664128Управление WLANЧисло управляемых точек доступа (с лицензией на 1 год)101834130Функции (сервисы) безопасностиПесочницаДаДаДаДаКонтентная фильтрацияДаДаДаДаБотнет-фильтрДаДаДаДаПатруль приложенийДаДаДаДаАнтиспамДаДаДаДаАнтивирусДаДаДаДаОблачный запрос (Сloud Query)ДаДаДаДаОблачная база данных угрозДаДаДаДаIDP (обнаружение и предотвращение вторжений)ДаДаДаДаРепутационный фильтрДаДаДаДаGeo EnforcerДаДаДаДаSecuReporter PremiumДаДаДаДаОсновные функции межсетевого экранаVPNIKEv2 IPsec SSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecSSL (HTTPS) InspectionДаДаДаДаДвухфакторная аутентификацияДаДаДаДаMicrosoft AzureДаДаДаДаAmazon VPCДаДаДаДаОтказоустойчивая конфигурацияНетНетДаДаФизические характеристикиРазмеры (ШxГxВ)272 x 187 x 36300 x 188 x 44430 x 250 x 44216 x 147.3 x 33Вес (кг)1.41.653.30.85 Рисунок 2. Внешний вид ZyWALL ATP100  Рисунок 3. Внешний вид ZyWALL ATP200  Рисунок 4. Внешний вид ZyWALL ATP 500  Рисунок 5. Внешний вид ZyWALL ATP 800  Основные функциональные возможности линейки Zyxel ATPМежсетевые экраны Zyxel ZyWALL ATP в сочетании с  облаком Zyxel Cloud предлагают комплексный набор подсистем защиты, и, в частности, многоуровневую безопасность Multi-Layer Protection. Для пользователей доступны следующие сервисы и функции:Sandboxing  (Песочница)—изолированная среда в облаке, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, что значительно усиливает защиту от атак нулевого дня;Malware Blocker (Антивирус) — помимо традиционной защиты в режиме потокового антивируса, данный модуль ежедневно синхронизируется с базой данных Cloud Threat Database, поэтому защита от вредоносного кода в ATP не ограничивается только локальным уровнем, а благодаря обмену через облако обеспечивает комплексную защиту на глобальном уровне;Application Security — содержит функции Application Patrol и Email Security, которые не только блокируют кибератаки, но и обеспечивают настраиваемый контроль для оптимизации трафика приложений и блокирования нежелательных приложений;Intrusion Prevention (IDP) — выполняет углубленную проверку для блокирования слабых мест в защите приложений и использующих эти слабые места атак, обеспечивая полную безопасность;Web-Security — включает в себя функции Botnet Filter и Content Filter, обеспечивающие проверку адресов (как URL, так и IP) с использованием синхронизируемых с облаком категорий, которые могут эволюционировать с ростом облачной базы;Geo Enforcer — может ограничивать доступ из тех стран, где чаще всего возникают угрозы, и выяснить географический адрес инициатора или потенциальной жертвы атаки с помощью преобразования IP-адресов в физические;SecuReporter — выполняет комплексный анализ журналов с корреляцией данных и выдает отчеты по заданным параметрам. Это — необходимый инструмент для провайдеров сервисов. Рисунок 6. Перечень сервисов линейки межсетевых экранов Zyxel APT  Расскажем о них подробнее. «Песочница» (Sandboxing)Одним из ключевых отличий линейки межсетевых экранов Zyxel ATP является «Песочница» (Sandboxing) — облачная изолированная среда, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, в том числе методом запуска. Рисунок 7. Вкладка «Песочница» в консоли ZyWALL ATP 500  Если файл вызывает подозрения, и при этом среди актуальных сигнатур в локальной базе для него не найдено совпадений, шлюз отправит его в Zyxel Cloud по защищенному каналу. В облаке будет проведено полноценное исследование, включая эвристический анализ и иные современные методы проверки. Этот процесс занимает до 15 минут.Zyxel Cloud помогает локальному шлюзу отражать угрозы. Облако идентифицирует неизвестные файлы на всех межсетевых экранах ATP, собирает результаты в базе данных и ежедневно пересылает обновления на все шлюзы семейства ATP. Это позволяет собирать знания о новых угрозах и развивать систему методом машинного обучения. Таким образом, облачная среда «учится» противостоять новым атакам. Рисунок 8. Машинное обучение облака Zyxel Cloud и обогащение Cloud Threat Database  Интеллект облака идентифицирует каждую новую угрозу, поэтому с каждой атакой база данных Cloud Threat Database накапливает всё больше знаний, развивается и становится более эффективной.При этом необходимые элементы управления размещаются локально на межсетевом экране. В Zyxel Cloud переносятся только автоматизированные процессы проверки. С Zyxel Cloud  межсетевой экран семейства ATP всегда находится на связи и получает доступ к самым свежим сигнатурам, алгоритмам и другим инструментам для защиты сети. Интеллект облака извлекает информацию о самых распространенных угрозах и постоянно информирует о них все межсетевые экраны ATP. Такой метод оперативного обмена информацией помогает успешно предотвращать скрытые угрозы.Отметим ключевые возможности и особенности «песочницы»:инспекция осуществляется в облаке;поддерживаются протоколы HTTP/SMTP/POP3/FTP;обмен информацией (синхронизация) между шлюзом и облаком ведется в режиме реального времени.Защита от вредоносного программного обеспеченияВ устройствах реализован  антивирус Zyxel AV (движок от партнера — Bitdefender) и антиспам Zyxel AS (движок от партнера — CyREN), которые поддерживают более 650 000 сигнатур вирусов, все популярные почтовые протоколы, HTTP, файлы неограниченного размера, автоматическое обновление баз, фильтрацию по IP-репутации, движок Recurrent Pattern Detection (RPD), распознавание X-Header, черные и белые списки, отчеты.Антивирус обеспечивает:сканирование файлов на вирусы, трояны, черви и другой вредоносный код до того, как они проникнут в сеть;потоковое сканирование без ограничений на размер файла;ежедневное обновление информации о самых опасных угрозах.Антивирусная проверка трафика осуществляется по протоколам HTTP, FTP, POP3 и SMTP, работающим по стандартным портам. Проверка HTTPS-трафика возможна, если активировать опцию инспектирования SSL, о которой мы расскажем далее в обзоре.Антивирусной проверке подвергаются все передаваемые файлы, даже если они заархивированы. При этом существует возможность  разрешить или запретить проверку архивов определенных форматов, например ZIP и RAR. Рисунок 9. Вкладка «Anti-Malware» в консоли ZyWALL ATP 500  Модуль вычисляет хеш-сумму файла или его части и сравнивает с базой вирусных сигнатур, расположенной на межсетевом экране.Локальная база сигнатур межсетевого экрана Zyxel ATP обновляется весьма часто. При этом может возникнуть ситуация, когда на момент пересылки вредоносного файла в защищаемую сеть какая-либо новая модификация вируса ещё не содержится в локальных базах сигнатур межсетевого экрана. Тогда Zyxel ATP с помощью опции Cloud Query может отправлять хеш-сумму в облако для сравнения с облачной базой сигнатур. Cloud Query быстро (в течение пары секунд) проверяет хеш-код и определяет, является ли объект опасным. Для работы данного сервиса требуется минимум сетевых ресурсов, и поэтому он не снижает производительность устройства. Эффективность защиты, таким образом, обеспечивается использованием постоянно обновляемой облачной базы данных, в которой содержатся сведения о миллиардах вредоносных файлов. Облачный запрос также ускоряет работу интеллектуальных функций обнаружения новых угроз Zyxel Security Cloud, что усиливает защиту каждого межсетевого экрана ATP.Инспектирование SSLМежсетевые экраны Zyxel серии ATP предоставляют возможность выполнить расшифровку передаваемых данных. В данном случае устройство будет выступать в роли прокси, перехватывая зашифрованные данные, расшифровывая их, проверяя на наличие вредоносного программного обеспечения и затем зашифровывая трафик обратно.При необходимости пропуска трафика от определённых ресурсов без инспектирования можно создать список исключений.Контроль приложений (AppPatrol)Application Patrol выполняет следующие функции: контроль использования популярных веб-ресурсов и приложений пользователями с поддержкой категорий (более 15) и гибкой настройкой, шейпинг трафика от определенных приложений, дополнительная авторизация пользователей, статистика и отчеты, специальные IDP/ADP-коннекторы для соцсетей. Рисунок 10. Вкладка «AppPatrol» в консоли ZyWALL ATP 500  Идентификация и классификация трафика в AppPatrol происходит на всех уровнях модели OSI. Во время установки соединения, если разрешено политиками безопасности, AppPatrol анализирует IP-пакеты, в случае успеха находит сигнатуру и помечает ей сессию. Если же распознать ничего не удалось, то такой трафик просто игнорируется.Непосредственно в правилах AppPatrol можно сразу же запретить прохождение нужного трафика.База сигнатур AppPatrol содержит информацию о нескольких тысячах разнообразных приложений и онлайн-сервисов. База регулярно обновляется, предоставляя  возможность фильтрации трафика всё большего количества служб.Контентная фильтрация (Content Filtering)Контентная фильтрация применяется для блокировки доступа к веб-сайтам. Она обеспечивает фильтрацию социальных сетей и вредоносных ресурсов, блокировку сайтов (включая работающие по протоколу HTTPS), в том числе по ключевым словам, а также задание отдельно черных и белых списков URL-адресов.Для улучшения безопасности соединения с веб-сайтами реализованы усовершенствования функций защиты HTTPS Domain Filter, Browser SafeSearch и Geo IP Blocking.Модуль осуществляет блокировку активного содержимого страниц в браузерах пользователей (JavaScript, ActiveX и cookies), проверяет URL сайтов по собственной облачной базе потенциально опасных адресов. Реализована возможность ограничения серфинга пользователей по гео-IP и задания отдельных страновых политик. Рисунок 11. Вкладка «Content Filtering» в консоли ZyWALL ATP 500  Политики фильтрации контента могут быть привязаны ко времени. Расписание применения политик позволяет заблокировать доступ пользователей сети к определённым ресурсам (например, социальным сетям) в рабочее время.Есть возможность в явном виде разрешить или запретить доступ к определенным ресурсам вне зависимости от того, к какой категории они относятся.Модуль не только определяет сайты, к которым пользователям разрешается или блокируется доступ, но также позволяет осуществлять блокировку активного содержимого страниц в браузерах пользователей (JavaScript, ActiveX и cookies).Кроме того, блокировка доступа может производиться по ключевым словам.Фильтр ботнетовСервис по фильтрации ботнетов в межсетевых экранах  Zyxel APT позволяет блокировать все соединения между защищаемой сетью и серверами управления либо известными IP-адресами ботнет-сетей. При необходимости администратор может самостоятельно выбрать, какие блокировки должны использоваться. Рисунок 12. Вкладка «Reputation Filter» в консоли ZyWALL ATP 500  Таким образом, модуль фильтрации ботнетов самостоятельно не защищает от заражения хостов, но он предотвращает возможное последующее их участие в ботнет-сети.Защита от вторженийМежсетевые экраны Zyxel ATP позволяют защищать локальную сеть от вторжений извне путем анализа поступающего трафика и сравнения его с базой известных сигнатур атак. Сервис IDP (Intrusion Detection and Prevention) занимается разбором трафика на уровнях модели OSI с 4-го по 7-й.Сервис обеспечивает:тщательный анализ пакетов, передаваемых по всем портам и протоколам, для защиты сети от известных атак;закрытие уязвимостей до того, как ими можно будет воспользоваться для атаки;возможность кастомизации сигнатур для создания своих собственных правил;постоянное автоматическое обновление сигнатур.Сервис IDP отслеживает генерируемый вредоносными программами трафик, попытки использования известных уязвимостей в прикладном и системном программном обеспечении,  а также любую сетевую активность, связанную с различного рода угрозами.Поиск ведётся по регулярно обновляемой базе сигнатур. Существует возможность добавить собственные правила или сразу загрузить файл с перечнем правил.Статистика и SecuReporterЛокальная консоль Dashboard ATP выдает статистику по угрозам за семь дней и сводку по трафику после перезагрузки устройства. Эта информация очень полезна для быстрой оценки безопасности сети. Рисунок 13. Консоль Dashboard ATP  Рисунок 14. Консоль Dashboard ATP  SecuReporter — это работающий в облаке интеллектуальный сервис аналитики с разработанными для продуктов линейки ZyWALL функциями генерации отчетов, включая сбор данных и их корреляцию. Он предоставляет сетевому администратору централизованную картину различных действий в сети, например:общее число обнаруженного вредоносного кода/вирусов;обнаруженный спам в электронной почте;обнаруженные аномалии;заблокированные запросы;тенденции угроз (за последние 7 дней).SecuReporter идентифицирует и анализирует угрозы и составляет отчеты о них. На основе этих отчетов пользователю выдаются рекомендации по устранению обнаруженных угроз. Этот облачный сервис превращает данные из журналов в ценные знания, используемые для генерации подробных отчетов и аналитики. Политика лицензирования межсетевых экранов Zyxel APTАктивация той или иной функциональности происходит посредством подключения необходимой лицензии. Модульность позволяет клиентам внедрять только те сервисы, в которых есть потребность. В случае необходимости расширить функциональность шлюза клиент может просто докупить необходимые лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности.ATP стандартно поставляется с лицензией на пакет Gold Security Pack на 1 год. Эту лицензию нельзя передавать (non-transferable). Начиная со второго года, пользователь может возобновить лицензию Gold Security Pack либо Silver Security Pack на 1 или 2 года. Возобновленную лицензию уже можно передавать.Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке шлюзов APT для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности. ВыводыВ этой статье мы попытались в достаточной степени подробно описать возможности межсетевых экранов Zyxel серии ATP.Межсетевые экраны Zyxel ATP открывают преимущества облачных технологий информационной безопасности для SMB-сегмента. Рассчитанное на небольшие компании с ограниченным бюджетом, такое устройство борется с различными типами угроз, включая ботнеты, и может блокировать IP-адреса в зависимости от серьезности риска. Таким образом обеспечивается баланс между покрытием и производительностью защиты без использования дорогого оборудования.Ключевыми отличиями Zyxel ATP от других линеек Zyxel (VPN, USG) являются наличие на «борту» механизмов защиты от современных киберугроз — «песочницы», фильтра ботнет-сетей, антифишинга, — а также привлечение облачных ресурсов для поднятия уровня защиты. Облачный ресурс используется для оперативного обмена информацией об уязвимостях, а также для дополнительной проверки подозрительных объектов в рамках песочницы. Благодаря этим мощным функциям Zyxel серии ATP обеспечивает построение комплексной защиты ИТ-инфраструктуры на базе одного решения.

«СёрчИнформ Контур информационной безопасности» («СёрчИнформ КИБ», КИБ) – российская DLP-система для защиты от утечек конфиденциальных данных, а также предотвращения и расследования внутреннего мошенничества. Ранее мы рассматривали ее архитектуру и технические требования, теперь же сосредоточимся на новых возможностях и сценариях применения.     Введение АрхитектураЧто умеет «СёрчИнформ КИБ»3.1. Контроль коммуникаций и передвижения информации по максимально возможному числу каналов3.2. Анализ перехвата3.3. Расследование инцидентовНовые возможности «СёрчИнформ КИБ»4.1. Контроль привилегированных пользователей: удаленные доступы и сессии4.2. Отключение сетевых устройств при связи по LAN4.3. Контроль новых каналов4.4. Расширение возможности контроля корпоративных облачных хранилищ4.5. Расширение функциональности для агентов на Linux4.6. Интеграция со СКУД «Орион Про»Выводы Введение  «Однозадачность» DLP-систем ушла в прошлое. Современные программы должны создавать полноценный контур информационной безопасности в компании, защищать от:утечек информации (в личных целях, в пользу конкурентов, по глупости и ошибке, из мести);корпоративного мошенничества (создания «боковых схем», взяточничества, кумовства);непродуктивного использования рабочего времени и ресурсов компании.«СёрчИнформ» фокусируется на оптимизации работы системы, расширении ее функциональности, а также выпускает родственные решения, которые работают в связке с DLP («СёрчИнформ SIEM», «СёрчИнформ ProfileCenter», «СёрчИнформ TimeInformer» и «СёрчИнформ FileAuditor», о котором писали недавно).Это — тоже в духе потребностей рынка, потому что в идеальном случае софт должен избавлять заказчика от необходимости переключаться с одного решения на другое, снимать вопросы внутренней безопасности в едином интерфейсе.Это — не первый обзор «СёрчИнформ КИБ». Вы можете прочесть полную информацию о предыдущих версиях программного обеспечения в обзорах 2016 и 2018 годов. В этом тексте для удобства повторимся в описании основных функциональных возможностей системы и расскажем об обновлениях. Рисунок 1. Линейка продуктов «СёрчИнформ». Все бесшовно интегрируются друг с другом  Архитектура«СёрчИнформ КИБ» имеет клиент-серверную структуру, защита данных обеспечивается:на конечных рабочих станциях;посредством взаимодействия с сетевым оборудованием или прокси-серверами;за счет интеграции с корпоративными системами.Продукт имеет 15 модулей контроля каналов передачи информации, 2 аналитических модуля. Что умеет «СёрчИнформ КИБ»Главное современное требование к DLP-системам – защищать информацию по всем каналам в любом формате, анализировать поток данных и немедленно выявлять среди них факты нарушения политик безопасности, в том числе в ретроспективном режиме.Рассмотрим, как это реализовано в «СёрчИнформ КИБ». Контроль коммуникаций и передвижения информации по максимально возможному числу каналовПередача данных, а также коммуникации сотрудников друг с другом и пользователями за пределами компании полностью берутся под контроль.«СёрчИнформ КИБ» собирает информацию из:почты;внешних устройств;FTP-серверов;принтеров;мессенджеров, включая те, что используют end-to-end шифрование (Telegram, WhatsApp, Viber);с микрофона, камеры, монитора и клавиатуры компьютера;трафика, переданного по HTTP/HTTPS-протоколам, а также запущенных программ;действий пользователей через удаленные соединения;облачных хранилищ.Контроль также возможен в режиме реального времени, т.к. DLP-система позволяет подключаться к монитору, микрофону, веб-камере. Рисунок 2. В «СёрчИнформ КИБ» — 15 модулей, которые держат под контролем все основные каналы передачи информации Анализ перехватаАналитические возможности – сильная сторона «СёрчИнформ КИБ». В отличие от решений конкурентов, система работает на движке собственной разработки – SearchServer, который создавался исключительно для использования в DLP. В прошлом году движок был обновлен, что повысило производительность всей программы на 30% (по результатам некоторых тестов — на 40%). Это ускорило все процессы, от первичной обработки информации до итоговой поисковой выдачи.SearchServer позволяет индексировать данные перехвата и искать по нему информацию, используя множество разных видов анализа: по словам, словарям, морфологии, атрибутам, по регулярным выражениям, цифровым отпечаткам, по алгоритму «поиск похожих», статистическим и комплексным поисковым запросам, а также любым комбинациям вышеперечисленных. В систему встроен бесплатный OCR-модуль – средство распознавания символов. Он позволяет обнаружить в массиве документов те, которые отвечают установленному образцу. «СёрчИнформ КИБ» также интегрирован с решением ABBYY FineReader Engine, имеющим более широкие, чем у бесплатной OCR, возможности распознавания текста на изображениях (более 200 языков, более качественное распознавание рукопечатных символов (печатные буквы, написанные от руки)).Также система «понимает» попытки обхода политик безопасности, уловки, например использование цифр вместо букв, транслитерацию, умышленное искажение слов и даже попытки шифровать архивы.Поисковый движок КИБ поддерживает Unicode – он работает с документами на разных языках (решение адаптировано для работы в 26 странах), имеет совместимость со всеми популярными типами файлов.В новой версии также реализована возможность находить заданную комбинацию символов в точной последовательности. Эта опция появилась как альтернатива поиску по регулярным выражениям и позволяет не создавать лишнюю нагрузку на сервер. Она подходит, когда ИБ-специалист точно знает, какую комбинацию ищет (номер машины, договора, паспорта и т.д.). Рисунок 3. Обнаружены документы (авиабилеты) с помощью модуля распознавания текста   Запись аудио для экономии времени можно настроить по критериям: например, она может включаться каждый раз при запуске конкретных критичных процессов или программ.Такие мощные поисковые возможности позволяют реализовывать текущий контроль даже по самым сложно настроенным политикам безопасности, предотвращать преступления на этапе их планирования, а также проводить ретроспективные расследования, анализируя архив собранных данных.Расследование инцидентовВсе описанные выше возможности востребованны не только для одномоментного обнаружения инцидента по политикам безопасности, но и для сбора информации обо всех обстоятельствах нарушения, восстановления цепочки действий и круга причастных лиц. Всё это становится основой для доказательной базы.Сценарий использования:После установки DLP стало понятно, что региональный директор производственной компании и ее подчиненная берут «откаты». Более того, стало ясно, что происходило это на протяжении 12 лет. Суммы контрактов были большими, и за годы накопились миллионы долларов.Заподозрили схему благодаря анализу коммуникаций коллег друг с другом (устные переговоры, сообщения в мессенджерах). Далее ИБ-служба начала собирать всю информацию за эти годы. Подняли все заключенные обеими сотрудницами контракты, изучили цены и рынок, пообщались с представителями контрагентов. В итоге выяснилось, что сотрудница и руководитель закладывали «откат» в размере 10% от итоговой стоимости контракта. Во время общения со службой безопасности сотрудница признала наличие схемы. Обе причастные коллеги уволены.В качестве иллюстрации обстоятельств инцидента КИБ предлагает больше 30 базовых шаблонов отчетов. Они удобны для работы пользователей программы – ИБ-специалистов и ИБ-директоров. Кроме того, они позволяют быстро собрать информацию для отчета перед руководством.Отчет по связям – показывает каналы коммуникации, число сообщений по пользователям как внутри сети, так и с внешними адресатами.Рисунок 4. Граф отношений, построенный в Консоли аналитика  Контентный маршрут – описывает перемещение документов от отправителя к получателю как по внутренним, так и по внешним каналам связи. Рисунок 5. Контентный маршрут в «СёрчИнформ КИБ»  Отчет продуктивности и эффективности пользователей – показывает загрузку, фактически отработанное время, фиксирует ранние и поздние уходы, а также наглядно иллюстрирует эффективность сотрудников по тем процессам, которыми они были заняты в течение дня.Отчет по программам и устройствам – упорядочивает данные об установке и удалении программ, отражает изменения в комплектующих и устройствах, которые пользователи подключают к компьютеру.Пользователь может настроить для себя и другие отчеты под собственные нужды. Рисунок 6. Скриншот отчета    Новые возможности «СёрчИнформ КИБ»Контроль привилегированных пользователей: удаленные доступы и сессииВ новой версии функции контроля усилены, реализована функциональность для предотвращения опасных действий пользователей.В «СёрчИнформ КИБ» можно комплексно контролировать протокол подключения к удаленному рабочему столу (RDP) – основному средству удаленного администрирования Windows. С помощью гибких настроек стало удобнее управлять действиями пользователей при активном RDP-подключении:  задавать разные правила для ПК пользователя и удаленной машины – например, запретить копирование с одной стороны или вставку с другой;делать теневую копию всех файлов, обмен которыми идет в RDP;запрещать любое перемещение файлов через RDP-подключение.Также специалисты по безопасности смогут ограничивать действия сотрудников, которые используют VMware/VirtualBox для доступа к виртуальным средам (машинам, ресурсам, приложениям). КИБ заблокирует флешки и другие съемные устройства, если пользователь попытается подключить их к виртуальной машине. Рисунок 7. Настройка действий при использовании VMware/VirtualBox  Основная цель обоих инструментов – не дать пользователям с привилегиями занести на удаленную машину нежелательные файлы или украсть оттуда информацию. На данный момент в DLP конкурентов нет таких широких возможностей защиты терминальных серверов, виртуальных сред и средств удаленного администрирования. Первым шагом было взятие под контроль TeamViewer и его аналогов как самых популярных средств удаленного администрирования. После появились решения для контроля других инструментов, с помощью которых пользователи получают доступ к удаленным хранилищам и машинам.Сценарий использования:Сотрудник банка с привилегированным доступом был в курсе, что действия пользователей контролируются с помощью DLP «СёрчИнформ КИБ», но о том, что система видит действия пользователей во время удаленных сессий, не знал. В результате ИБ-служба увидела попытку сотрудника скопировать часть базы с персональными данными клиентов через интерфейс TeamViewer и предотвратила утечку.Отключение сетевых устройств при связи по LANВ КИБ появилась возможность контролировать действия пользователя при подключении сетевых устройств – реализована опция блокировки беспроводных соединений, если подключен сетевой кабель. Рисунок 8. Настройка действий при подключении по LAN  Опциональная блокировка работы Opera VPNВ КИБ добавлена возможность блокировать работу VPN-соединений в HTTPS/SOCKS в браузере Opera, что позволяет закрыть потенциальную «дыру» в безопасности сети. Без блокировки трафик VPN-соединений в Opera окажется фактически невидимым, и пользователь сможет обходить правила безопасности.Контроль новых каналовС момента прошлого обзора в «СёрчИнформ КИБ» расширена функциональность контроля переписки в бизнес-чате Bitrix24. Теперь мониторинг сообщений происходит путем интеграции с внутренним сервером Bitrix, что не создает дополнительную нагрузку на агент, облегчает возможность перехвата.Под контроль КИБ также взяты бизнес-мессенджеры Microsoft Teams, Slack, Lotus Sametime. В поле зрения специалистов по безопасности попадут документы, изображения и ссылки, которыми обмениваются пользователи.Корпоративные мессенджеры интегрированы с популярными облачными хранилищами и онлайн-планировщиками. Информация оттуда тоже станет доступной. Рисунок 9. Контроль мессенджера Slack. Сработала политика безопасности по «откатной» тематике  Теперь КИБ обеспечивает контроль наибольшего числа популярных мессенджеров – как общедоступных, так и корпоративных. Перехват информации из популярных мессенджеров с end-to-end-шифрованием (Telegram, WhatsApp, Viber и др.) осуществляется на уровне рабочих станций. При этом контролируются не отдельные приложения и типы коммуникаций, а клиенты для рабочего стола, веб-версии, тексты, звонки и файлы.«СёрчИнформ КИБ» находит утечки документов и файлов через переписки, а также обнаруживает коммуникации, сигнализирующие об опасных склонностях и поведении сотрудников.Сценарий использования:На производстве сдавали кислоту на утилизацию, за что организация платила подрядчику 12 тысяч рублей за каждую сданную тонну. В перехват DLP попала переписка из WhatsApp (веб-версия), сработала политика по словарю «боковые схемы». Из нее следовало, что сотрудник, ответственный за сдачу кислоты, каждый раз дописывает 5 лишних тонн. В результате по каждой сделке компания переплачивала 60 тысяч рублей (360 тысяч рублей за год).Расширение возможности контроля корпоративных облачных хранилищВ DLP-системе «СёрчИнформ КИБ» расширена возможность сканирования облачных хранилищ. Содержимое проверяется на соответствие политикам безопасности. Можно проверять документы, которые загружаются или скачиваются сотрудниками из корпоративной инфраструктуры, а также все данные, хранящиеся на аккаунтах. В новой версии функциональность доступна и для популярного хранилища OneDrive. В более ранних версиях КИБ под контроль были взяты Yandex.Disk, DropBox, CMIS.Расширение функциональности для агентов на Linux«СёрчИнформ КИБ» была первой системой, прошедшей сертификацию на совместимость с ОС Astra Linux Special Edition по программе «Software Ready for Astra Linux». Первоначально возможности КИБ для Linux были скромными, но вендор продолжает наращивать их, и сейчас они приближаются к возможностям для Windows-систем.Реализован сбор данных по протоколам HTTP, IM, Mail, FTP, Cloud для операционных систем Ubuntu 16.04.5 LTSи CentOS 7.6. Для CentOS 7.6 также доступна блокировка USB-устройств и сетевых ресурсов. Появилась возможность создавать белые/черные списки – обеспечивать контроль доступа.В новой версии реализована возможность добавления сайтов в черный и белый списки блокировки HTTP. Ранее это делалось на сетевом уровне, что не решало вопроса блокировки в том случае, если пользователь подключался к интернету посредством, например, Wi-Fi, розданного с личного телефона. Теперь блокировка возможна на уровне агента, что в случае необходимости ограничит или, наоборот, разрешит доступ к определенным сайтам с конкретного компьютера.Интеграция со СКУД «Орион Про»Решение поддерживает интеграцию со СКУД с 2017 года. В новой версии добавлена поддержка еще одной распространенной системы, «Орион-Болид». Данные из нее теперь возможно опционально отобразить в отчетах ProgramController:опоздания сотрудников,ранние уходы,журнал рабочего времени,посещения сотрудников,табель рабочего времени.Интеграция DLP со СКУД дополняет отчеты о соблюдении режима доступа информацией о продуктивности сотрудников и показывает, кто появляется на работе в срок, но проводит время за разговорами и кофе, симулирует сверхурочную занятость и т.д. DLP-система фиксирует на видео события, попадающие в поле обзора камеры компьютера. Но интеграция со СКУД позволяет дополнить картину инцидента еще и по «физическим» уликам в офисном пространстве.Сценарий использования:В тех компаниях, где предусмотрена оплата за отработанные часы, встречается форма «латентного» воровства – ненужные переработки, когда человек может сделать задачу за 4 часа, но будет делать ее весь день, а может, и останется на часок после работы. Для сотрудника это — «переработки», которые оплачиваются как сверхурочные.ИБ-служба должна выявлять такие факты. В этой истории ИБ-специалист проверил отчеты по ProgramController, выбрал сотрудников, которые работают более 10 часов, выгрузил данные из СКУД. Внимание привлекла аномалия по одному работнику. Он прошёл через турникет в 18:02, как и все, но судя по запущенным на компьютере процессам, работал за ним до 21:27. Возможные причины:кто-то работал за его машиной из-под его учетки,сам сотрудник работал удаленно,сбой в СКУД.Дальнейшее расследование показало, что «старательный» сотрудник логинился через TeamViewer Portable. Программы удаленного доступа в компании были запрещены, но для TeamViewer Portable не нужны права администратора. Так ИБ-служба раскрыла лазейку, которой воспользовался сотрудник, а также предотвратила «кражу времени» в компании. ВыводыВ целом «СёрчИнформ КИБ» уже можно рассматривать как многофункциональную «машину» для защиты не только данных, но и всего бизнеса от внутренних угроз. Задачи трансформации DLP перед вендорами встают регулярно, и «СёрчИнформ» движется в русле этого тренда.ДостоинстваПродукт позволяет выполнять смежные для DLP функции: eDiscovery, Time Tracking, Risk Management, криптозащита информации, аудит IТ-инфраструктуры, контроль привилегированных пользователей и другое. Также «СёрчИнформ КИБ» легко интегрируется с другими продуктами с «родственными» задачами (SIEM, FileAuditor, ProfileCenter).«СёрчИнформ КИБ» –  отечественная разработка. Наличие сертификатов и опыт позволяют реализовывать крупные и сложные проекты (максимальный размер внедрения – 50 тысяч рабочих станций), в том числе в госсекторе.Большое число контролируемых каналов (почта, внешние устройства, принтеры, мессенджеры, в том числе end-to-end, облачные хранилища, интеграция со СКУД и др.)Развитые возможности поиска и анализа информации, проведения расследований и сбора доказательной базы: обширный архив, в том числе теневых копий файлов с устройств, облачных хранилищ и т.п.Самые широкие среди конкурирующих продуктов возможности контроля удаленных и привилегированных пользователей.  Высокая скорость внедрения и возможность быстрого расширения функциональности благодаря модульной структуре.Более низкая, чем у продуктов конкурентов, нагрузка на IT-инфраструктуру.НедостаткиВ КИБ пока нет поддержки бесплатных СУБД.Нет поддержки macOS на агентах, нет агентов для мобильных платформ.Нет возможности использовать бесплатную операционную систему для сервера, работа только на платной ОС Windows Server.Функциональность для Linux развивается, но пока уступает возможностям агентов для Windows-систем.Вы можете запросить систему для бесплатного полноценного триала на любое число рабочих станций в течение месяца. 

R-Vision Incident Response Platform – решение для автоматизации реагирования на инциденты информационной безопасности, разработанное российской компанией R-Vision. Платформа R-Vision IRP, как и любой SOAR-продукт, нацелена на то, чтобы стать единой точкой, в которой для работы аналитика SOC аккумулируются данные обо всех инцидентах ИБ и обеспечивается координация работы команды.   ВведениеИнтеграция с внешними системами в R-Vision IRP 4.22.1. Интеграция с SIEM2.2. Интеграция со средствами защиты информации2.3. Универсальная интеграцияУправление инцидентами в R-Vision IRP 4.23.1. Карточка инцидента3.2. Жизненный цикл инцидента3.3. Работа со списком инцидентов3.4. Возможности совместной работы3.5. Управление задачамиАвтоматизация в R-Vision IRP 4.24.1. Коннекторы4.2. Сценарии реагирования4.3. Применение автоматизацииУчет активов и управление уязвимостями в R-Vision IRP 4.25.1. Ресурсно-сервисная модель5.2. Управление уязвимостямиОтчетность и визуализация в R-Vision IRP 4.26.1. Графики и контрольные панели6.2. Геокарта и карты сетей6.3. Отчетность и экспортMulti-Tenancy в R-Vision IRP 4.2Выводы ВведениеИнцидент безопасности, будь то фишинговое письмо, вирусное заражение или попытка взлома сайта, попадает к сотруднику служб ИБ, как правило, в виде первичной информации от средств защиты — совокупности событий. Далее работают три фактора. Во-первых, для того, чтобы расследовать инцидент, нужен контекст — та информация, которая позволит его правильно интерпретировать: имена учетных записей должны стать именами живых людей, «свои» IP-адреса — превратиться в серверы и рабочие станции, узлы, с которых производится предполагаемая атака, — обрасти данными о регистрации доменов, рейтингами на основе результатов киберразведки и т.п. Во-вторых, в отношении инцидента необходимо принять меры — как технические (завершить вредоносный процесс, заблокировать учетную запись пользователя, остановить трафик на сетевом экране, удалить вредоносное письмо), так и организационные (оповестить пользователя, подключить к расследованию узкого специалиста, выдать задачу в службы ИТ). Наконец, третий и основной фактор — время. Сколь угодно качественное расследование инцидента будет лишено смысла, если не отреагировать вовремя.Системы класса SOAR, к которым относится и R-Vision IRP, нацелены на автоматизацию обработки инцидентов — как с точки зрения взаимодействия с внешними системами (принятие мер, обогащение), так и с позиций алгоритмизации процесса реагирования, когда создаются сценарии отклика на инциденты (англ. playbook). Высшая цель этого класса решений — сделать так, чтобы система в зависимости от типа инцидента шаг за шагом направляла пользователя по соответствующему алгоритму реагирования, оставляя за человеком определяющие решения и автоматизируя всю оставшуюся рутину.Ранее мы публиковали обзор R-Vision IRP 3.1, где подробно описали процесс инсталляции и первичной настройки продукта, архитектуру, схему лицензирования и другие технические детали. Поскольку в новых выпусках никаких глобальных изменений с этой точки зрения не произошло, перейдем сразу к самому интересному — возможностям обработки инцидентов и реагирования; здесь производитель как раз хорошо и плодотворно поработал.В последних релизах активно развиваются инструменты для командной работы и конструктора статусной модели инцидента, функциональность автоматизации реагирования. В частности, были добавлены следующие возможности:конструктор запросов для взаимодействия с внешними системами,графический редактор сценариев реагирования,нелинейные циклы обработки инцидентов,автоматическое распределение инцидентов между пользователями,универсальная интеграция с базами данных,конструктор графиков,поддержка корпоративных инсталляций в режиме Multi-Tenancy. Рисунок 1. Раздел «Инциденты» в системе R-Vision IRP Интеграция с внешними системами в R-Vision IRP 4.2Инцидент в R-Vision IRP может быть создан не только вручную, но и автоматически, на основе данных, полученных из внешних систем. На практике, если зрелость процессов и объемы происшествий в организации позволяют принять решение о внедрении SOAR, то основным случаем использования становится, как правило, именно автоматизированное создание инцидентов.Интеграция с SIEMВ оптимальном случае основным «поставщиком» инцидентов в SOAR являются SIEM-системы. Для разработок основных игроков рынка (ArcSight, QRadar, MP SIEM и ряда других) в R-Vision реализованы двусторонние интеграции, позволяющие как получить данные извне, так и синхронизировать статус инцидента между системой SIEM и SOAR. Рисунок 2. Список вариантов интеграции для получения инцидентов из внешних систем По умолчанию R-Vision IRP предполагает обработку уже скоррелированных инцидентов с нормализованными полями. Однако работа с «сырыми» событиями также возможна — для интеграции с SIEM предусмотрена возможность запроса событий с их отображением непосредственно в интерфейсе R-Vision.Интеграция со средствами защиты информацииВ системе представлены варианты интеграции с решениями таких вендоров, как Kaspersky, InfoWatch, Symantec, Positive Technologies, «Код Безопасности», Tenable, McAfee и ряда иных. Некоторые из этих сценариев направлены на обогащение ресурсно-сервисной модели, другие — на импорт инцидентов.Вполне ожидаемо, что система от R-Vision поддерживает работу и с недавно представленной на рынке собственной платформой киберразведки (R-Vision TIP).Универсальная интеграцияДля получения данных из произвольных систем в R-Vision IRP заложено несколько универсальных механизмов. Это:REST API, посредством которого в системе можно создавать и изменять инциденты;почтовая интеграция, в рамках которой текст посылаемого в систему сообщения электронной почты интерпретируется как описание инцидента, в том числе с возможностью распознавания значений полей по тегам;появившаяся в версии 4.2 интеграция с базами данных, позволяющая извлекать информацию о происшествиях с настройкой соответствия между полями БД и полями карточки инцидента (т.н. «маппинг»). Рисунок 3. Настройка интеграции с внешней базой данных  Для «раскладывания» данных, поступающих извне, по полям карточки инцидента используются регулярные выражения, которые могут быть заданы для каждого поля в системе. Управление инцидентами в R-Vision IRP 4.2Учет инцидентов — базовая функциональность для систем класса SOAR. Данные о происшествии надо структурировать для удобного вывода и поиска; кроме того, нужно дать команде реагирования возможность совместной работы над инцидентом. Посмотрим, что предлагает в этом отношении продукт от R-Vision.Карточка инцидентаИнциденты в системе R-Vision IRP классифицируются по категориям и типам. При этом перечень категорий и входящих в них типов является полностью настраиваемым. Например, можно создать категорию инцидента «Вредоносное программное обеспечение» и включить в нее типы «Попытка доставки» и «Заражение». Рисунок 4. Настройка категорий и типов инцидентов  Карточка инцидента в системе R-Vision IRP представляет собой набор полей, который настраивается также в привязке к категории и типу. Поддерживаются следующие типы полей:текстовые;числовые (включая денежные);список с привязанным справочником;дата / время;флажок («чекбокс»);выбор пользователя. Рисунок 5. Создание нового поля в системе  Для примера, показанного выше, мы можем:создать текстовое поле «Классификация ВПО» и привязать его к категории «Вредоносное программное обеспечение»;создать поле «Способ доставки» с привязанным к нему справочником для типа «Попытка доставки»;включить в тип «Заражение» поле «Способ выявления». Рисунок 6. Настройка состава полей для типа  Приведенный пример, разумеется, является вырожденным, но он демонстрирует конструктор карточки инцидента в действии.Помимо набора полей к инциденту привязаны:«свидетельства» (файлы);«активы» (оборудование, пользователи и другие сущности из ресурсно-сервисной модели);«действия» (механизм реагирования, запуск которого инициирован для инцидента либо вручную, либо в рамках автоматического сценария). Рисунок 7. Примеры разделов карточки инцидента Жизненный цикл инцидентаОдним из нововведений, представленных в версии 4.2, стал нелинейный цикл обработки инцидента. Цикл обработки представляет собой совокупность статусов, которые может принимать происшествие, и правил перехода между этими статусами. Для разных категорий инцидентов могут быть назначены разные циклы обработки.Продолжая развивать наш пример (см. выше), к категории «Вредоносное программное обеспечение» можно привязать цикл обработки, как показано на рисунке 8. Рисунок 8. Пример схемы нелинейного цикла обработки инцидента  В этом примере можно разрешить закрывать инцидент, например, только группе пользователей «Старшие аналитики». Настройка такого ограничения будет выглядеть в системе следующим образом (рис. 9). Рисунок 9. Настройка переходов по рабочему процессу (workflow) инцидента Работа со списком инцидентовОсновной рабочий экран системы SOAR — список текущих инцидентов. В системе от R-Vision он представляет собой таблицу, в колонках которой выводится содержимое соответствующих полей. Рисунок 10. Список инцидентов  Несмотря на несколько перегруженный вид таблицы, ее можно настроить под собственные нужды — состав и порядок колонок может быть легко переопределен пользователем. Рисунок 11. Настройка списка инцидентов  По поводу фильтрации инцидентов следует заметить, что найти ее в интерфейсе трудно: опция спрятана в настройки колонок (впрочем, разработчики обещают исправить эту ситуацию в ближайших релизах). Функционально, тем не менее, она позволяет задать произвольный фильтр, который может быть закреплен в интерфейсе как отдельная вкладка, и это — довольно удобно. Рисунок 12. Настройка фильтра  Так, например, применив фильтр по статусу инцидента, мы можем создать отдельные вкладки для вывода необработанных инцидентов (статус «Создан») и инцидентов в работе (все остальные статусы, кроме «Закрыт»). Рисунок 13. Вкладка из сохраненного фильтра  Интересной опцией является возможность тиражирования интерфейса: после настройки для одного пользователя (выводимые поля инцидентов, фильтр по полям, вкладки) можно распространить его и на других операторов системы, назначив интерфейсом по умолчанию для той или иной группы. Рисунок 14. Распространение настроек интерфейса  Карточка инцидента выводится в системе в двух вариантах — в виде боковой панели и в качестве отдельной вкладки с выводом данных во всю ширину окна браузера. Таким образом, возможны и быстрый просмотр инцидентов при переходе между записями в таблице, и работа с выбранным инцидентом с максимальной концентрацией на его содержимом. Недочетом можно назвать различие в поведении системы при работе с «маленькой» и «большой» карточкой инцидента: в первом случае изменения, вносимые в инцидент, сохраняются «на лету», во втором — только по нажатию кнопки «Сохранить». Рисунок 15. Боковая панель инцидента  Рисунок 16. Полная карточка инцидента в новой вкладке  Помимо собственно полей с данными в карточке инцидента доступны другие разделы (прикрепленные файлы, чат по инциденту, связанные активы и др.), функциональность которых рассмотрена в этом обзоре отдельно.Возможности совместной работыДля обеспечения возможности командной работы с потоком инцидентов система предлагает внушительный набор функций. Помимо назначения на инцидент ответственного лица, R-Vision предлагает формировать рабочую группу по инциденту, привлекая к разбирательству необходимых специалистов. Рисунок 17. Управление рабочей группой по инциденту  И назначение ответственного лица, и включение участников в рабочую группу можно производить как вручную, так и в рамках автоматических действий в зависимости от заданных критериев. Например, к разбирательствам по инцидентам, которые происходят на узлах из группы «Рабочие станции», можно автоматически подключить администраторов инфраструктуры Microsoft. Рисунок 18. Автоназначение рабочей группы в зависимости от критериев  Еще одна очень интересная опция спрятана в автоматическом действии «Назначение». Начиная с версии 4.2, ответственного за инцидент можно назначить из заданной группы. При этом внутри такой группы события будут динамически распределяться исходя из загрузки ее участников: новый инцидент будет назначен тому пользователю, которому в текущий момент вменено меньше всего происшествий. Распределять инциденты таким способом можно как между всеми участниками группы, так и только между теми, кто находится в статусе «онлайн». Рисунок 19. Настройка динамического распределения инцидентов  Таким, возможно, не совсем очевидным образом в системе реализован механизм распределения нагрузки, который крайне полезен при организации работы SOC в несколько линий, да и в целом при работе команды.Еще один инструмент взаимодействия — чат по инцидентам. Среди разделов карточки инцидента он скрывается под названием «Комментарии». Начиная с версии 4.2, в чате стала возможной отправка сообщений с упоминаниями пользователей; также был переработан интерфейс, который в итоге стал больше напоминать то, что мы привыкли видеть в мессенджерах. Рисунок 20. Чат по инциденту Управление задачамиПоследний функциональный пласт, сопряженный с процессом управления инцидентами, который нам хотелось бы осветить, — это «Задачи». Он аналогичен тому, что в базовом виде предоставляют автономные диспетчеры: дает возможность вести список задач и распределять их между сотрудниками. Рисунок 21. Раздел «Задачи»  При этом задачи могут формироваться как вручную, так и (что действительно важно) автоматически из других функциональных блоков системы. Например, при обнаружении вредоносного программного обеспечения можно автоматически поставить задачу по ретроспективному поиску выявленных для него индикаторов компрометации. Рисунок 22. Создание задачи из инцидента  Для задач, созданных из инцидента, возможно управление их статусами непосредственно из диаграммы действий по инциденту. Рисунок 23. Управление задачей из плейбука по инциденту  Работа с задачами может оказаться довольно полезной для сложных систем и больших организаций, потому как позволяет полноценно упорядочить работу исполнителей.Поддерживаются экспорт задач и их синхронизация с системой HP SM. Автоматизация в R-Vision IRP 4.2Одна из ключевых задач систем класса SOAR — автоматизация тех рутинных процессов, которые сопряжены с обработкой инцидента, будь то обогащение в процессе расследования или принятие мер, инициируемое по его результатам. Посмотрим поближе на ту функциональность, которую продукт R-Vision предлагает в этой части.КоннекторыОсновная «боевая единица», обеспечивающая решение задач по взаимодействию SOAR с внешними системами, в случае R-Vision называется коннектором. Коннектор — это заранее настроенный скрипт, запуск которого может быть инициирован в процессе обработки происшествий как вручную, так и автоматически в рамках сценария реагирования. Например, коннекторы могут использоваться для:обогащения инцидента информацией из внутренних (CMDB, AD и т.п.) и внешних (TI, RIPE и т.п.) систем;выполнения действий по ликвидации инцидента на оконечных узлах (блокировка пользователя, завершение процесса, удаление файла и др.);принятия мер на сетевом оборудовании (добавление правила по запрещению прохождения трафика, блокировка устройства на порту коммутатора и т.п.). Рисунок 24. Раздел настроек, посвященный настройке коннекторов  Поддерживается создание коннекторов для CMD, PowerShell, REST, SOAP, LDAP, SNMP, SSH (с полезной нагрузкой на Shell, Java, JS, Python), СУБД (Oracle, MS SQL, PostgreSQL, MySQL). Если говорить об их функциональном наполнении, то оно ограничено лишь фантазией пользователя.Запускаемый в рамках реагирования коннектор может работать с карточкой инцидента — отправлять вовне содержимое заданных полей или записывать результат в указанное поле. Например, коннектор для получения вердикта VirusTotal по хешу из карточки будет выглядеть так (рис. 25): Рисунок 25. Пример коннектора для обогащения из сервиса VirusTotal  Для постобработки данных, возвращаемых коннектором, может быть применено регулярное выражение. В случае коннекторов к командным оболочкам (SSH, CMD) эта функциональность, возможно, является не самой актуальной — удобнее обработать информацию собственным скриптом, — но при получении сведений по HTTP (REST) или из баз данных это может пригодиться.Сценарии реагированияЕсли коннекторы представляют собой автоматизацию атомарных действий, то функция сценариев нацелена на то, чтобы выстроить алгоритм реагирования на инцидент, на каждом шаге которого выполняется то или иное действие — как из числа созданных в системе коннекторов, так и из набора стандартных операций. К последним относятся:уведомление по электронной почте с возможностью сформировать текст с подстановкой данных из полей инцидента;запрос информации через электронную почту (ответ на письмо-запрос будет прикреплен к инциденту);назначение пользователей, участвующих в обработке инцидента;модификация данных инцидента;постановка задачи пользователю;сканирование оборудования, связанного с инцидентом;запрос событий в SIEM (для ArcSight, QRadar);создание инцидента в HP SM.Сценарий реагирования (или плейбук, если пользоваться сложившейся на рынке терминологией) позволяет выстроить процесс реагирования с использованием базовых шаблонов программирования, но без написания кода. Пользователь работает с графическим редактором. Рисунок 26. Пример сценария для назначения ответственного лица и рабочей группы  Сценарий может представлять собой линейную последовательность действий или «ветвиться». В сравнении с версией 3.1, обзор которой ранее публиковался на Anti-Malware.ru, работа с графическим редактором стала комфортнее — добавление действий и изменение их последовательности производятся за счет манипуляций со стрелками, которые вытягиваются из блоков, как показано на рисунке. Рисунок 27. Пример сценария обогащения индикаторов в процессе редактирования  Ветки сценария могут выполняться параллельно либо запускаться в зависимости от заданного условия. Визуальный конструктор для условного оператора носит имя «Решение» и похож на используемую в программировании конструкцию «case». Присутствует возможность принять упомянутое решение автоматически (в зависимости от значений полей карточки инцидента или связанных активов) либо доверить его оператору системы. Рисунок 28. Пример сценария с ручным принятием решения  Коннекторы в сценарии могут быть запущены как единожды, так и циклично. В качестве критерия останова может выступать заданное число итераций цикла или условие, настроенное на значение какого-либо из полей карточки инцидента.Применение автоматизацииВся описанная выше автоматика может запускаться и вручную, и самостоятельно. В последнем случае настраиваются критерии запуска, роль которых могут играть значения полей и признаки связи заданного оборудования с инцидентом. Есть возможность сочетать критерии при помощи логических операторов. Например, для запуска одного из сценариев реагирования, приведенных в предыдущем разделе, назначены два условия: должны сработать первый и второй критерии одновременно или только третий (рис. 29). Рисунок 29. Пример настройки критериев запуска сценария реагирования  Автоматические действия, выполняемые для инцидента, отображаются в виде графической диаграммы, с которой в случае «ручных» переходов между операциями взаимодействует пользователь. Различными цветами на диаграмме отображаются  завершившиеся, выполняемые и ожидающие своей очереди действия. Рисунок 30. Отображение автоматики в процессе выполнения  Таким образом, средства автоматизации, предлагаемые в системе, располагают достойным инструментарием для «программирования без кода». В системе возможно создание собственных коннекторов с использованием хорошего набора протоколов, которым можно охватить большинство практических задач; сценарии реагирования обладают гибкостью, достаточной для построения сложных последовательностей действий.Если вспомнить версию 3.1, которая ранее тестировалась нами, то чувствуется, что новый продукт был «обточен» практикой: появилось много нововведений, нацеленных на то, чтобы сделать средства автоматизации внутри системы функционально полными (произвольные ветвления, сочетания критериев и т.д.). Как недостаток можно отметить не очень интуитивную процедуру настройки автоматики, что, по словам вендора, можно компенсировать обучением. Учет активов и управление уязвимостями в R-Vision IRP 4.2Существенным отличием платформы R-Vision от собратьев по классу SOAR является наличие функциональности по инвентаризации и учету активов, а также контролю уязвимостей.Ресурсно-сервисная модельCMDB в системе представлена в разделе «Активы». R-Vision предлагает сформировать ресурсно-сервисную модель и поддерживать ее актуальность за счет инвентаризации с использованием собственного сканера сетевых хостов и модуля безагентского сбора информации с оконечных узлов, а также путем импорта информации о хостах из множества внешних систем.R-Vision IRP поддерживает сложные иерархии объектов с поддержкой таких сущностей, как «Организация», «Подразделение», «Бизнес-процесс», «Группа ИТ-активов», «Сеть», «Оборудование» и «Персонал». Объекты CMDB можно связать также с характером обрабатываемой информации или помещением.Важное преимущество наличия в SOAR элементов CMDB заключается в том, что атрибуты информационных активов (например, степень важности, принадлежность к какой-либо системе или бизнес-процессу, контакты ответственного лица) доступны пользователю системы непосредственно после привязки оборудования к инциденту. В результате аналитик имеет дело не с «голыми» IP-адресами, а с узлами сети, у которых есть название, ответственный сотрудник, гриф обрабатываемой информации и иные атрибуты. Рисунок 31. Раздел «Активы»  Второй нюанс, на который хотелось бы обратить внимание, — возможность работы с конфигурацией узлов. Для каждого хоста при настройке инвентаризации и соответствующей интеграции с внешними системами доступна следующая информация:сведения о операционной системе;статус антивирусного программного обеспечения;статус автоматического обновления;статус USB-портов;статус межсетевого экрана;информация о программном обеспечении, установленном на хосте;технические характеристики хоста (мощности и использование процессора, ОЗУ, накопителей);информация о составе пользователей рабочей станции и времени последнего входа.Таким образом, раздел «Активы» системы от R-Vision предоставляет (безотносительно к функциональности по обработке инцидентов) весьма богатые возможности, позволяющие выявлять и исправлять нежелательные конфигурации на оконечных узлах, вести статистику и проводить оперативную аналитическую работу.  Рисунок 32. Характеристики хоста, полученные из скриптов инвентаризации  В дополнение к автоматически собираемой информации присутствует и возможность запуска скриптов для сбора расширенных сведений. Например, при помощи поставляемых с системой скриптов можно получить список автозагрузки на Windows-хосте или информацию о запущенных процессах. Всего в комплект поставки входит несколько десятков скриптов. Рисунок 33. Скрипты автоматизации в карточке оборудования  Помимо собственных модулей инвентаризации, источником сведений для управления активами является интеграция с внешними системами, среди которых:CMDB-системы (Naumen, Micro Focus);средства защиты информации (Kaspersky, Symantec, InfoWatch, SecretNet);системы мониторинга и управления ИТ-инфраструктурой (Microsoft System Server Configuration Manager, Active Directory, Zabbix);другие, порой довольно специфичные системы (например, Atlassian Jira).Для  систем, не поддерживаемых напрямую, предусмотрена универсальная интеграция с базами данных.Сведения, полученные из внешних источников, соотносятся друг с другом при помощи алгоритма слияния, цель которого — исключить создание дублей. На уровне настроек можно также определить, какие внешние системы будут являться первоисточниками информации о тех или иных объектах (опция «не создавать новые узлы») и какими сведениями следует обогащать данные об оборудовании (блок настроек «Импорт дополнительных данных)».Управление уязвимостямиФункциональность по управлению уязвимостями, с одной стороны, неотделима от встроенной CMDB, а с другой — представляет собой автоматизацию совершенно самостоятельного процесса.Система R-Vision производит сбор данных от сканеров уязвимостей, в числе которых — MaxPatrol, XSpider, Nessus, Nexpose, Qualys, RedCheck. Также информацию об уязвимостях можно получить из интеграции с «Антивирусом Касперского». Дополнительным источником для обогащения сведений об уязвимости служит сервис Vulners.Работа пользователя с аккумулированной таким образом информацией возможна несколькими способами.Исходя из общего списка уязвимостей, где для каждой бреши доступен список оборудования, на котором она зафиксирована. Рисунок 34. Раздел «Уязвимости»  Исходя из списка оборудования, где для каждой единицы доступен список обнаруженных уязвимостей. Рисунок 35. Перечень уязвимостей в карточке оборудования  Исходя из списка бюллетеней безопасности Windows, где для каждого обновления от корпорации «Майкрософт» доступен список узлов, уязвимости которых будут закрыты при его установке. Рисунок 36. Перечень бюллетеней обновлений  Применительно к уязвимости, зафиксированной на том или ином хосте, возможны следующие действия:отметить уязвимость как ложное срабатывание;назначить ответственного сотрудника и сроки устранения бреши;создать инцидент из уязвимости.Таким образом, функции по управлению уязвимостями позволяют собрать воедино информацию об изъянах в программах и конфигурациях, предлагают различные варианты сортировок и отображения, облегчающие выбор первоочередных задач для реагирования в условиях ограниченности ресурсов, и обеспечивают назначение и контроль задач по устранению уязвимостей. Благодаря фильтрам и сортировкам можно выделить, к примеру, хосты с наибольшим числом критических брешей, особо опасные уязвимости, присутствующие на наибольшем количестве хостов, и патчи «Майкрософт», установка которых устранит критические ошибки безопасности на наибольшем количестве хостов. Отчетность и визуализация в R-Vision IRP 4.2Как и любая система класса SOAR, R-Vision IRP предлагает пользователю возможность генерировать различного рода отчеты и выводить статистическую информацию в виде графиков на контрольную панель («дашборд»). Рассмотрим эту функциональность немного подробнее.Графики и контрольные панелиРаздел с дашбордами в системе доступен по щелчку на логотипе вендора. Возможно создание множества панелей, навигация по которым производится путем переключения вкладок. Рисунок 37. Графики на дашборде  Процесс работы с графиками аналогичен тому, к которому привык любой пользователь популярных офисных пакетов. Первый путь добавления графика — выбор среди шаблонов, которые поставляются с системой и могут быть созданы оператором дополнительно. Рисунок 38. Мастер создания графика из шаблона  Второй путь — создать график самостоятельно с использованием конструктора. В этом случае схема стандартна: выбираются тип графика, отображаемая величина, критерии группировки и т.д. Поддерживаются все основные виды визуализации — линейная, круговая, диаграмма с областями, вертикальная и горизонтальная гистограммы. Рисунок 39. Конструктор пользовательских графиков Геокарта и карты сетейОтдельного упоминания заслуживает отображение статистики по инцидентам и активам на карте. Придумать что-то новое в этой нише сложно, но реализация от R-Vision выглядит действительно неплохо — в темных цветах, с автоматическим масштабированием и плавной анимацией. Рисунок 40. Геокарта  Интересная особенность заключается в том, что карты в системе являются не только «красивой картинкой», но и вполне самостоятельным инструментом аналитики. Маркеры на карте отображают не только количество инцидентов, но и их распределение по уровню опасности. По щелчку на маркере непосредственно на карте появляются дополнительные окна с подробной информацией и ссылками для перехода в соответствующие разделы системы. Рисунок 41. Геокарта с расширенной информацией  Помимо информации об инцидентах на карту можно вывести статистику по активам и уязвимостям.В разделе «Карты и схемы» также представлена функциональность по выводу карт сетей и помещений. В этом случае карта строится автоматически на основании данных ресурсно-сервисной модели, описанной в разделе выше. Рисунок 42. Карта сети с выводом информации о выбранном устройстве Отчетность и экспортС системой поставляется более 20 шаблонов отчетов с возможностью их частичной модификации (без изменения структуры). В будущих выпусках разработчик обещает реализовать конструктор отчетов, но деталями с широкой общественностью не делится. Рисунок 43. Раздел «Отчеты» и список шаблонов отчетов  Для заказчиков из банковского сектора будет любопытным то обстоятельство, что  система поддерживает заполнение и отправку через API карточек инцидентов в формате ФинЦЕРТ, а также генерацию отчета 0403203. Рисунок 44. Форма инцидента для передачи в АСОИ ФинЦЕРТ  Экспорт и импорт списка инцидентов возможны в формате Excel.Multi-Tenancy в R-Vision IRP 4.2R-Vision IRP поддерживает режим Multi-Tenancy — возможность изолированной работы нескольких организаций в одном экземпляре системы. Эта опция востребована MSSP-провайдерами и группами компаний с централизованными процессами ИБ.Каждая организация в режиме МТ работает только со своими инцидентами, при этом сотрудникам сервис-провайдера может быть назначен доступ как ко всем организациям в инсталляции, так и к только заданным явно. Рисунок 45. Добавление пользователя с доступом к нескольким организациям  Режим Multi-Tenancy лицензируется отдельно и включается автоматически при добавлении двух и более организаций в систему.С точки зрения взаимодействия пользователя с системой (user experience) включение режима не привносит существенных изменений в интерфейс: объекты системы, которые используются раздельно, получают дополнительный атрибут «Организация», управлять которым можно только при наличии соответствующих прав. ВыводыСистема R-Vision IRP — интересный продукт на рынке автоматизации реагирования на инциденты ИБ. Поддерживая функциональность, которой обладают ключевые представители класса SOAR, система, возможно, и обладает некоторыми интерфейсными шероховатостями, но при этом предоставляет эксклюзивные инструменты, позволяющие выстроить ресурсно-сервисную модель и работать с автоматически обогащенной информацией о сетевых устройствах.Интеграционные возможности системы позволяют «вписать» ее в большое количество инфраструктур безопасности за счет хорошего покрытия рынка готовыми вариантами интеграции и возможностью использовать универсальные способы взаимодействия со сторонними решениями. Хорошо поддержаны как специфичные для российского рынка вендоры, так и основные игроки мирового рынка.В сравнении с версией 3.1 средства автоматизации, представленные в системе, существенно выросли в функциональной полноте. Придумать сценарии, при которых они не позволяли бы реализовать какой-то практический процесс, весьма сложно. На фоне зарубежных конкурентов не хватает, пожалуй, магазина готовых «коннекторов», хотя производитель уверен, что это нивелируется привносимой им экспертизой на этапе внедрения системы.Разработчикам, безусловно, есть над чем поработать, но в целом система оставляет приятное впечатление. Хорошей тенденцией для рынка становится то, что отечественная компания не предлагает надстройку над «джентльменским набором» программ с открытым кодом, а делает полноценный продукт, качественно покрывающий потребности современного SOC.Преимущества:широкий набор вариантов интеграции, в том числе с основными игроками отечественного рынка;конструктор жизненного цикла инцидента, позволяющий выстроить процесс реагирования согласно собственным потребностям эксплуатанта;функционально полный набор средств автоматизации, дающий возможность взаимодействовать в рамках процесса реагирования с фактически произвольными внешними системами и выстраивать сложные ветвления плейбуков;поддержка экспорта инцидентов для выполнения требований отечественных регуляторов;встроенный функционал управления активами и уязвимостями.Недостатки:сложность первоначальной настройки системы;нагруженность интерфейса;отсутствие «магазина» готовых коннекторов.

«СёрчИнформ SIEM» (Security Information and Event Management) – система для сбора и анализа событий безопасности в режиме реального времени, выявления ИБ-инцидентов и реагирования на них. Это продукт российского разработчика средств защиты информации – компании «СёрчИнформ». Ключевая особенность «СёрчИнформ SIEM» – простота настройки и использования, что позволяет работать в системе ИБ- и IT-специалистам с любым опытом и уровнем подготовки. ВведениеАрхитектура «СёрчИнформ SIEM 1.28»Функциональные возможности3.1. Создание правил кросс-корреляции3.2. Обнаружение новых устройств и открытых портов на сканере сети3.3. Визуализация инцидентов на контрольных панелях3.4. Мониторинг AD3.5. Просмотр событий на карте инцидентов3.6. Вычитка событий из любого количества источников данных3.7. Управление правилами корреляции3.8. Нормализация инцидентов3.9. Фильтрация, экспорт и вывод инцидентов на печатьУстановка и настройка «СёрчИнформ SIEM»Работа с продуктом5.1. Вкладка «Правила»5.2. Вкладка «Инциденты»5.3. Вкладка «Карта инцидентов»5.4. Вкладка «Сканер сети»5.5. Вкладка «Дашборд»Системные требования «СёрчИнформ SIEM»Лицензирование «СёрчИнформ SIEM»Выводы ВведениеПервые иностранные SIEM-системы появились на российском рынке более десяти лет назад. Последние пять лет активно развиваются и решения отечественного производства, которые вышли на первый план благодаря политике импортозамещения.Хотя рынок SIEM в РФ развит неплохо, в российских компаниях продукты этого класса пока не слишком распространены. Однако интерес к ним растет: по данным исследования «СёрчИнформ», за 2018 год доля SIEM-систем среди ИБ-продуктов, которые используют государственные, частные и некоммерческие организации, выросла на два процентных пункта – с 7% до 9%.Положительную динамику можно объяснить растущим спросом на SIEM со стороны малого и среднего бизнеса (SMB), поскольку крупные компании освоили этот продукт раньше. Причем зачастую в приоритете у сектора SMB — простота внедрения и обслуживания SIEM-систем.Одним из таких решений является «СёрчИнформ SIEM». В прошлом году мы уже делали обзор этой системы, а в январе сравнивали ее с шестью другими продуктами. За это время вышло несколько новых версий, поэтому пора оценить изменения. Архитектура «СёрчИнформ SIEM 1.28» Рисунок 1. Схема работы «СёрчИнформ SIEM»  В архитектуре системы заметных изменений нет. Как и раньше, информация из источников событий попадает на сервер SIEM, который отвечает за обработку, корреляцию и формирование ИБ-инцидентов. За сбор и анализ событий в системе отвечают коннекторы, число которых выросло: с начала года добавлены PostgreSQL, ADMonitoring, 1C и коннектор GPO.Полный список коннекторов теперь выглядит так:PostgreSQLConnector вычитывает и анализирует протоколы PostgreSQL из журнала Windows «Приложения»;ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory;1CConnector вычитывает журналы 1C;GPOConnector отслеживает изменения в настройках объектов групповых политик;WinEventConnector вычитывает и анализирует журнал Windows Event Log, контроллеры доменов и серверов Windows, а также информацию об учетных записях (по протоколу LDAP). Поддерживает контроллеры доменов на базе Windows Server 2008 R2 и выше;ESEventConnector вычитывает базу данных FileController, которая содержит информацию о действиях пользователей с файлами;ProgramConnector собирает информацию об активности пользователей, подключаясь к базам данных ProgramController;DeviceConnector вычитывает базу данных DeviceController, которая содержит информацию о копируемых файлах, подключаемых внешних устройствах;SQLAuditConnector вычитывает и анализирует протоколы Microsoft SQL из журнала Windows «Приложения»;OracleConnector анализирует протоколы СУБД Oracle;KavEventConnector, SymantecConnector и McafeeConnector осуществляют подключения к базам данных Kaspersky Security Center, Symantec EPM и антивируса McAfee соответственно, а также чтение их записей;ExchangeConnector и DominoConnector вычитывают логи почтовых серверов Exchange и IBM Domino соответственно;SyslogConnector обеспечивает получение событий Syslog;VMwareConnector обеспечивает получение событий VMware ESXi;CiscoConnector обеспечивает получение событий сетевых устройств Cisco;FortigateConnector обеспечивает получение событий устройства комплексной сетевой безопасности FortiGate;PaloAltoConnector и CheckPointConnector обеспечивают получение событий межсетевых экранов Palo Alto и Check Point соответственно;LinuxConnector обеспечивает получение событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon;ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET;SIDLPConnector обеспечивает получение событий приложений «СёрчИнформ КИБ»;CWAConnector вычитывает журналы 1C и контрольно-весовых аппаратов.В зависимости от функциональных особенностей источника сбор данных происходит по трем сценариям: прямое подключение к источнику, самостоятельная отправка данных от источника к серверу, сбор через агента (новая опция). Это позволяет применять «СёрчИнформ SIEM» в компаниях с распределенной структурой.Информация по обнаруженным инцидентам хранится в базе данных MongoDB. Функциональные возможностиФункциональность системы расширилась за счет новых аналитических инструментов, в том числе вкладок с графическими представлениями.Создание правил кросс-корреляцииФункция реализована по принципу «настрой и пользуйся». Обычно создание правил кросс-корреляции требует опыта в написании скриптов и навыков программирования. В «СёрчИнформ SIEM» всё сводится к настройке в одном окне условий, по которым разные события объединяются в инцидент. Рисунок 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила  Правила кросс-корреляции позволят настроить систему более тонко, чтобы она могла «увидеть» подозрительный след во внешне безобидных событиях (подключение нового email-адреса, вход в / выход из Active Directory). Например, один из пользователей подключился к AD и через некоторое время вышел из системы. Пока всё логично. Но что, если между логином и логаутом прошло совсем немного времени, и в это время пользователь менял пароль доступа к рабочей базе данных SQL? Это может быть тревожным звонком. Здесь в дело вступает пользовательское правило кросс-корреляции: формирует соответствующий инцидент и дает возможность администратору принять меры и предотвратить проблемы в дальнейшем.Обнаружение новых устройств и открытых портов на сканере сетиСканер, который появился в новой версии «СёрчИнформ SIEM», позволяет определить количество компьютеров, роутеров, свитчей, сетевых принтеров в сети, обнаружить открытые порты и отследить попытки несанкционированного подключения нового оборудования.Визуализация инцидентов на контрольных панеляхЕще одно новшество. Настраиваемые «дашборды» показывают актуальную статистику по инцидентам в удобном для восприятия формате. Администратор может заметить изменение ситуации в системе по одному взгляду на панель. Рисунок 3. Предустановленные виджеты на вкладке «Дашборд» Мониторинг ADНовый функционал, реализованный при помощи отдельного коннектора. «СёрчИнформ SIEM» делает «снимки» состояния AD через выбранные промежутки (к примеру, сегодня и неделю назад). Детальное сравнение снимков показывает количество изменений в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD. Рисунок 4. Сравнение снимков AD, сделанных в разное время в течение одного дня  Просмотр событий на карте инцидентовКарта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет определить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч). Рисунок 5. Детализация выбранного ПК с указанием количества инцидентов по правилам  Вычитка событий из любого количества источников данных«СёрчИнформ SIEM», как и прежде, контролирует любое количество источников данных и выявляет аномалии, угрозы, сбои в оборудовании и попытки несанкционированного доступа, а также сохраняет информацию о работе сети, что позволяет проводить ретроспективные расследования.Управление правилами корреляцииВ системе стало больше предустановленных правил корреляции. Список расширился за счет новых коннекторов.Правила корреляции можно использовать «из коробки» или настроить под себя. Дополнительная настройка сэкономит время на просмотре событий. Например, по правилу «Статистика входов» программа собирает информацию обо всех входах пользователей сети в ОС и выдает длинный список событий. Разбирать его неудобно, если компания велика. Рисунок 6. Список инцидентов по правилу «Статистика входов»   Чтобы решить проблему, в «СёрчИнформ SIEM» можно создать правила по статистике входов для каждого отдела (разбивка по отделам видна в левом меню на рис. 5). В итоге события будут рассортированы, что облегчит анализ и ускорит расследование.Нормализация инцидентов«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до 50 полей. Разработчик изначально настроил нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность определенного поля для события.Фильтрация, экспорт и вывод инцидентов на печатьПрименение фильтров помогает в расследованиях. На вкладках инциденты можно отфильтровать по дате, времени фиксации, имени учетной записи, IP-адресу, тексту, важности события. Пользователь может получить детализированную информацию по интересующим параметрам, убрав из представления лишние подробности. Рисунок 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности  Как и раньше, по любому из правил можно создать отчет для печати или экспорта в другие форматы, например PDF или XLS. Установка и настройка «СёрчИнформ SIEM»Алгоритм установки остался прежним. Для этого используется единственный дистрибутив, который включает все компоненты, необходимые для работы продукта. Установка сводится к нескольким нажатиям на кнопку «Далее», так что с ней справится даже новичок, который видит такое программное обеспечение впервые. Аналогично происходит и установка обновлений.В настройке системы тоже нет сложностей. В большинстве случаев администратору нужно указать несколько параметров: служебная учетная запись, электронный ящик, адрес сервера, номер порта.В новых версиях «СёрчИнформ SIEM» появились уведомления о бездействии источников данных. Программа формирует такие уведомления, когда от источников перестает поступать информация (например, VMwareConnector «молчит» больше суток). Рисунок 8. Настройка уведомлений о бездействии источников   «СёрчИнформ SIEM» позволит вовремя заметить отказ или ошибку системного программного обеспечения, отключение сервера источника данных, аппаратные, программные и сетевые неполадки. Работа с продуктомИнтерфейс новой версии «СёрчИнформ SIEM» стал более современным и деловым. Впрочем, по расположению вкладок и рабочих областей он, как и прежде, напоминает продукты из семейства Microsoft Office, так что ориентироваться в нем просто.В верхней части окна – полоса вкладок, которые делятся на три смысловые группы: настройка и управление («Меню» и «Администрирование»), основной функционал («Правила» и «Инциденты») и графические представления («Карта инцидентов», «Сканер сети», «Дашборд»).Вкладка «Правила»Здесь администратор может настраивать правила корреляции и просматривать инциденты по ним. В системе имеется более 300 предустановленных правил, которые начинают работать сразу после запуска «СёрчИнформ SIEM». При желании можно создавать новые через «Мастер добавления правил» (в прежних версиях программы его не было). Рисунок 9. Добавление правила «Прочие события Syslog»  Вкладка «Инциденты»На этой вкладке администратор может посмотреть срабатывания правил за выбранный период (вчера, неделю назад). На цветных плитках показывается число непросмотренных инцидентов (в правом верхнем углу) и их общее количество по правилу (в левом верхнем углу). Если нужны подробности — например, когда и на каком компьютере имели место попытки подбора пароля, — можно открыть описания инцидентов в виде таблицы. Для этого достаточно нажать на плитку с нужным правилом. Рисунок 10. Вкладка «Инциденты»  Вкладка «Карта инцидентов»В прежних версиях «СёрчИнформ SIEM» во вкладку «Инциденты» была включена и карта инцидентов, которая теперь стала самостоятельной. После переноса на отдельную вкладку работать с картой стало удобнее. Здесь администратор может увидеть все ПК и пользователей в системе с привязкой к инцидентам и определить проблемные точки. Например, можно отфильтровать компьютеры, по которым за день было больше 10 000 инцидентов.Карта масштабируется, для удобства можно скрывать на ней всех пользователей или все компьютеры. Это упрощает анализ ситуации в крупных компаниях с большим количеством сотрудников за ПК.Вкладка «Сканер сети»На этой вкладке появляются результаты сканирования сети в обычном (тип, MAC- и IP-адрес устройства) и углубленном режимах (+домен и операционная система). Визуально отчет напоминает «ромашку». В центре отображается диапазон отсканированных IP-адресов и общее количество обнаруженных устройств и портов. На «лепестках» – сами устройства с информацией о них во всплывающем окне.Также администратор может просмотреть количество принтеров или роутеров в сети, количество открытых портов по номерам, собрать все ПК в группы по IP-адресам для более удобного анализа (например, «Бухгалтерия», «Отдел продаж»). Если в сети появятся новые устройства, то они автоматически попадут в папку «Без группы». Рисунок 11. Сгруппированные устройства на сканере сети Вкладка «Дашборд»Раньше рабочими вкладками в «СёрчИнформ SIEM» были «Инциденты» и «Карта инцидентов». Теперь администратору полезнее сначала зайти на «Дашборд», чтобы увидеть четкую картину всех процессов и событий в IT-инфраструктуре.В системе 11 шаблонов виджетов, на их основе можно создавать новые. Доступны настройка частоты обновления данных на них (от 1 минуты до 1 часа) и отслеживание изменений в диапазоне от одного дня до года. Настраивать можно все виджеты сразу или по отдельности.«Дашборд» позволяет администратору отследить инциденты по горячему следу или в динамике. Например, есть возможность определить дни, когда на ПК было обнаружено больше всего вирусов (возможно, e-mail адреса компании попали в фишинговую рассылку с вредоносами), или вычислить самых проблемных пользователей за октябрь (более 50 000 инцидентов). Системные требования «СёрчИнформ SIEM»Несмотря на увеличение числа коннекторов, системные требования не изменились. При этом скорость работы наиболее нагруженных коннекторов (например, WinEvent) выросла.Минимальные требования для установки сервера SIEM:Microsoft Windows Server 2016, 2012 R2, 2008 R2;процессор: 4-ядерный с частотой 2,1 ГГц;оперативная память: 4 ГБ;жесткий диск: 200 ГБ;сетевая карта: 100 Мбит/с.Требования формируются в зависимости от разветвленности и размера IT-инфраструктуры компании, которая будет использовать программу.Хотя разработчик не предлагает готовое программно-аппаратное решение, при соблюдении рекомендаций программа стабильно работает и в виртуальной, и в аппаратной средах. Лицензирование «СёрчИнформ SIEM»Лицензии раздаются по количеству пользователей, компьютеров и устройств. Раздачу лицензий ведет DataCenter. Тип лицензирования зависит от коннектора. Рисунок 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter  Каждый коннектор использует свои лицензии независимо от другого. Это означает, что общее число купленных лицензий, например 125, распределится следующим образом: каждый установленный коннектор получит по 125 лицензий для контроля пользователей, ПК и устройств.Такой вариант лицензирования не ограничивает производительность системы, поскольку не зависит от количества событий в секунду. Выводы«СёрчИнформ SIEM» стала мощнее за счет новой функциональности и при этом не потеряла в скорости работы. Графические представления упростили контроль состояния IT-инфраструктуры, ускорили поиск инцидентов и расследования по ним.ДостоинстваБыстрая и простая настройка – правила корреляции начинают работать сразу после установки системы.Легкая интеграция с DLP «СёрчИнформ КИБ» для углубленного расследования обнаруженных нарушений.Широкие возможности мониторинга общего состояния сети, узлов, программного обеспечения и оборудования, пользователей, а также возможность глубокого анализа Active Directory.Простое и понятное лицензирование.Разработка и техническая поддержка находятся в РФ, что ускоряет решение вопросов по работе с системой.Система сертифицирована ФСТЭК и внесена в Единый реестр российского программного обеспечения.Недостатки Нет встроенных правил поведенческого анализа.Управление только из приложения (нет web-интерфейса).Нет встроенного сканера угроз.

Indeed Privileged Access Manager (Indeed PAM 2.0), разработка компании «Индид» — российский продукт для контроля доступа привилегированных пользователей. Он предназначен для снижения вероятности внешних и внутренних рисков, связанных с неправомерным использованием привилегированных учетных записей, а также для выявления причин сбоев в работе в корпоративной ИТ-инфраструктуре, вызванных ошибками администрирования, и ее быстрого дальнейшего восстановления. ВведениеАрхитектура Indeed PAM и функциональные возможностиУстановка и настройка Indeed PAMРабота с Indeed PAM4.1. Настройка списка пользователей4.2. Формирование перечня ресурсов4.3. Составление списка учетных записей4.4. Внесение в систему Indeed РАМ данных о доменах4.5. Настройка разрешений на доступ пользователей4.6. Настройка политик учетных записей и подключений4.7. Просмотр сессий4.8. Просмотр событий системы Indeed РАМ4.9. Конфигурация системы Indeed PAMЛицензированиеВыводы ВведениеПривилегированные пользователи ИТ-системы — это сотрудники компании, которые используют учётные записи с повышенными привилегиями. Это могут быть повышенные права на конкретном сервере, в информационной системе или сервисе. В эту группу входят системные администраторы, сетевые инженеры, руководящий состав ИТ-служб и сотрудники аутсорсинг-компаний, выполняющие работы по обслуживанию информационных систем. Они обладают широкими полномочиями на доступ к серверам, службам и сетевым устройствам, а также к конфиденциальной информации. Работники организации-подрядчика не мотивированы сохранять конфиденциальность секретной информации компании-клиента  и могут наживаться на ее продаже. Системные администраторы и специалисты компании с высоким уровнем доступа также могут  превышать свои полномочия и организовывать утечку информации.Кроме того, особыми привилегиями обладают и локальные системные учетные записи. Как правило, они не подпадают под действия общих политик безопасности, пароли к ним не меняются, и их использование фактически не контролируется. Это может стать причиной взлома информационной системы и утечки данных.Для того, чтобы снижать риски неправомерного использования привилегированных учетных записей, существует специальный класс программ. В индустрии используется целый ряд синонимичных терминов для их обозначения: Privileged Access Management (PAM), Privileged User Management (PUM) и другие. Эта тема также более подробно рассматривалась в нашем сравнении систем этого класса.В круг задач, решаемых системами Privileged Access Management, входит не только управление доступом привилегированных пользователей, но также контроль их использования и перехват инициативы у злоумышленников в случае активной атаки. Наличие такой системы безопасности в организации может быть требованием регулирующих органов.Еще одна важная проблема, для решения которой требуется контроль за привилегированными пользователями, — это халатность сотрудников. Известны случаи выхода из строя ИТ-инфраструктуры или серьезных сбоев в ее работе, влекущих большие потери для бизнеса, которые происходят из-за ошибок со стороны ИТ-персонала. Восстановить поврежденную инфраструктуру бывает трудно, поскольку сложно определить действия, приведшие к сбою. Системы класса PAM позволяют быстро узнать, какой специалист работал с вышедшей из строя системой или группой систем, провести ретроспективный анализ его действий и быстро перейти к планированию операций для исправления сложившейся ситуации.Таким образом, современные PAM-системы должны обладать следующими функциями:Управление паролями и доступом к общим учетным записям.Создание надежного хранилища для привилегированных учетных записей.Доступ к привилегированным учетным записям только после надежной аутентификации в системе РАМ.Автоматическая смена пароля по расписанию, чтобы вновь обезопасить привилегированную учетную запись.Отслеживание действий администраторов и пользователей, работающих с привилегированными учетными записями.Российская компания «Индид», имеющая многолетний опыт в разработке ПО для управления учетными данными и доступом пользователей к информационным ресурсам организаций, недавно выпустила новую версию продукта Indeed PAM, о котором и пойдет речь в данном обзоре. Архитектура Indeed PAM и функциональные возможностиIndeed PAM – молодой отечественный программный продукт, который с первых версий обладает хорошим набором функций и решает следующие задачи:Управление защищаемыми ресурсами и паролями администраторов систем:Организует хранилище для паролей привилегированных учетных записей администраторов для RDP/SSH-доступа к машинам под управлением Windows или Linux, доступа к СУБД, а также к клиентским и веб-приложениям.Автоматически отслеживает появление новых учетных записей с повышенными привилегиями в инфраструктуре.Сохраняет в секрете и автоматически обновляет пароли в специальном хранилище.Дает возможность устанавливать ограничения по датам и времени на доступ к защищаемым ресурсам.Запись сессий привилегированных пользователей:В зависимости от протокола (поддерживаются RDP, SSH, сессии клиентских приложений и Web-сессии) возможности записи несколько отличаются, однако в общем случае доступны видеозаписи происходящего, текстовые журналы и снимки экрана.Двухфакторная аутентификация привилегированных пользователей:Добавляет двухфакторную аутентификацию для пользователей системы РАМ (с использованием ТОТР) для входа администратора в консоль управления, а также для входа в личный кабинет и открытия сессий.Indeed PAM имеет модульную структуру, как и другие аналогичные системы. Рисунок 1. Модульная структура Indeed PAM Таблица 1. Основные компоненты системы Indeed PAMНазвание компонентаЗадачиIndeed PAM ServerЦентральный компонент, отвечающий за логику работы программного комплекса. Indeed PAM Server взаимодействует с модулями:1) Политики доступа — механизм для централизованного распространения настроек на объекты системы.2) Архив сессий — защищенное хранилище для долгосрочного хранения записей видео и снимков экрана.3) Архив теневых копий — защищенное хранилище для долгосрочного хранения передаваемых в сессиях файлов.4) Реестр привилегированных учётных записей — специализированное хранилище данных для шифрованного хранения учётных записей.  Консоль администратораВеб-приложение для управления Indeed PAM. Реализует графический интерфейс управления системой.Консоль пользователяВеб-приложение для предоставления доступа к ресурсам.Сервер доступа Компонент для предоставления доступа к конечным ресурсам и записи сессий. Indeed PAM SSH ProxyКомпонент, который отвечает за запуск и отслеживание SSH-сессий. Является независимым от сервера доступа.Коннекторы к целевым системамКоннекторы к ресурсам:Microsoft Active DirectoryMicrosoft WindowsСерверам на базе Linux/UnixСУБД (MS SQL Server, PostgreSQL, MySQL, Oracle Database)Для них поддерживается проверка соединения, синхронизация учетных записей, проверка пароля и SSH-ключа учетной записи, сброс пароля или SSH-ключа.Сервер событийКомпонент для сбора, хранения и выдачи событий Indeed PAM по запросу. Сюда попадают все события системы, которые могут быть экспортированы для передачи в сторонние мониторинговые системы. Установка и настройка Indeed PAMПеред установкой продукта необходимо провести подготовительные работы. Подробная инструкция по подготовке, настройке и работе с Indeed PAM доступна на сайте производителя в онлайн-режиме.Установка компонентов и настройка системы выполняется в любой последовательности. Все компоненты входят в состав дистрибутива. Требуется просто следовать шагам мастера установки. Работа с Indeed PAMДля продуктов, обеспечивающих безопасность ИТ-инфраструктуры, работа с продуктом семейства Privileged Access Management должна рассматриваться не только со стороны администраторов системы, но и со стороны пользователей.Indeed PAM имеет простой и понятный интерфейс. Каждый системный администратор или другой привилегированный пользователь, который имел даже незначительный опыт работы в доменной инфраструктуре, может получить доступ к консоли пользователя и разобраться в ее функциях.Indeed PAM использует протоколы RDP, SSH, HTTP(s) или протоколы, которые реализованы в клиентских приложениях. В Indeed PAM используется сервер доступа, который работает на базе Microsoft Remote Desktop Services (RDS). Конечные пользователи открывают RDP-сессию до RDS, а уже на нем открывается ещё одна RDP-сессия для подключения к ресурсам на Windows или SSH-сессия для ресурсов на Linux через утилиту Putty, либо запускается опубликованное приложение, которое позволяет открыть сессию по протоколу, для которого предназначена (например, браузер для HTTP(S)-сессий или SQL Management Studio — для контроля работы с БД).Для SSH-сессий предусмотрен  отдельный компонент — Indeed PAM SSH Proxy, который открывает SSH-сессии без использования RDS. В этом случае пользователи могут работать через любой SSH-клиент на своем рабочем месте, а компания может существенно сэкономить на лицензиях RDS.При использовании стандартного подключения через RDS пользователю необходимо получить RDP-файл доступа из своего личного кабинета. RDP-файл содержит все необходимые данные для подключения к защищаемому ресурсу. Таблица 2. Сравнение последовательности действий пользователя: в случае обычного подключения к защищаемым ресурсам и в случае работы с использованием Indeed PAM Прямое подключение Подключение с использованием PAM (RDP- или SSH-сессия)1Установить связь с ресурсомВойти в личный кабинет в системе РАМ, используя двухфакторную аутентификацию.2Ввести логин и пароль доступа и войти в системуВ личном кабинете выбрать нужный ресурс и скачать RDP-файл доступа к нему.3 Запустить RDP-файл и ввести данные своей доменной учетной записи и второй фактор аутентификации — одноразовый пароль (TOTP — Time-based One-time Password), после чего соединение будет автоматически установлено.  Рисунок 2. Внешний вид веб-консоли пользователя Indeed PAM Для подключения к любому ресурсу нужно нажать на ссылку «Подключиться» для загрузки .rdp-файла. Рисунок 3. Ввод пароля своей доменной учетной записи при запуске .rdp-файла в Indeed PAM Рисунок 4. Окно ввода одноразового пароля — второго фактора аутентификации Рисунок 5. Установлено подключение к защищаемому ресурсу по протоколу RDP Очевидно, что основным отличием является добавление двухфакторной аутентификации, а все прочие шаги по своему смыслу тождественны обычному подключению к защищаемому серверу. Стоит отметить, что вход в личный кабинет необходим только для скачивания .rdp-файла. Сам файл можно использовать неограниченное количество раз без повторного входа в личный кабинет.В Indeed PAM 2.0 сделан еще один шаг навстречу удобству пользователя — аналогичным образом можно подключиться не к целевому ресурсу, а к шлюзу доступа. В нем выбирается нужный ресурс из списка для открытия сессии администрирования.  Это позволяет использовать только один .rdp-файл для доступа. Рисунок 6. Выбор ресурса для подключения на шлюзе доступа Indeed PAM С помощью Indeed РАМ можно подключиться по SSH к машине под управлением Linux. Для таких сессий также доступны видеотрансляции, видеозаписи, снимки экрана и текстовые журналы.При подключении к веб-приложению необходимо аналогичным образом запустить RDP-файл и пройти процедуру аутентификации. После этого браузер запускается в роли удаленного приложения с необходимыми параметрами. Далее происходит переход на страницу с формой входа; агент Indeed SSO перехватывает ее и подставляет в нее логин и пароль для входа в веб-приложения. Аналогичным образом работают сессии клиентских приложений, например, SQL Management Studio. Рисунок 7. Подключение к веб-приложению Рассмотрим, как выглядит рабочий интерфейс администратора системы Indeed PAM.Настройка списка пользователейIndeed PAM получает список пользователей из Active Directory. Администратор Indeed PAM дает разрешение на использование привилегированной учетной записи пользователю из этого списка. Рисунок 8. Тестовый пользователь в системе PAM. Данные о сотруднике из Active Directory В карточке пользователя можно посмотреть:списки разрешений конкретного пользователя,списки активных и завершенных сессий,наличие второго фактора аутентификации,журнал событий этого пользователя. Рисунок 9. Сессии выбранного пользователя в Indeed PAM Рисунок 10. Статус настройки второго фактора аутентификации в Indeed PAM  Рисунок 11. Список событий в привязке к конкретному пользователюФормирование перечня ресурсовПеречень содержит список ресурсов, доступ к которым требует повышенных привилегий. Это могут быть рабочие станции, серверы на базе Windows или Linux, специализированное оборудование. Рисунок 12. Список ресурсов, добавленных в Indeed PAM  Рисунок 13. Добавление нового ресурса в систему Indeed PAM. Указание имени ресурса Для добавления ресурса требуется указать его имя. При необходимости можно добавить еще и подробное описание. Рисунок 14. Добавление нового ресурса в систему Indeed PAM. Указание типа подключения Далее нужно указать тип подключения. Windows-системы используют подключение по RDP, Linux — по SSH. После выбора типа подключения требуется выбрать политику учетных записей, которая будет распространять настройки на все учетные записи, внесенные с добавляемого ресурса. Для одного объекта может быть назначена только одна политика одного типа. Рисунок 15. Назначение политики в Indeed PAM для вновь добавляемого ресурса Рисунок 16. Синхронизация привилегированных учетных записей (поиск учетных записей и добавление их в PAM) и данных о ресурсе Аналогичным образом происходит процесс добавления ресурсов под управлением Linux. Составление списка учетных записейВ данном разделе отображаются все добавленные в базу PAM учетные записи с конечных администрируемых систем. Рисунок 17. Добавленные в базу PAM учетные записи Для учетных записей, имеющихся в системе, можно выполнить следующие действия: проверку правильности пароля, смену пароля, откат пароля до состояния на определенную дату, получение групп безопасности, в которых состоит учётная запись. Рисунок 18. Процесс смены пароля учетной записи из интерфейса управления учетными записями в Indeed PAM На рисунке 18 видно, что пароль можно задавать вручную или сгенерировать автоматически. Рисунок 19. Процесс возвращения пароля на указанную дату в Indeed PAM Помимо действий с паролями можно совершать действия над учетными записями. Можно удалять, блокировать, игнорировать их, получать список групп безопасности, в которых они состоят. «Игнорируемые» учетные записи будут присутствовать в системе, но никакие другие действия с ними производиться не будут. Это необходимо для того, чтобы исключить из системы PAM учетные записи, которые не требуется контролировать. Внесение в систему Indeed РАМ данных о доменахДобавление доменов в Indeed PAM позволяет синхронизировать привилегированные учетные записи с доменом. Для этого используется группа безопасности, в которую добавляются привилегированные учетные записи. Синхронизация дает возможность получить учетные записи из этой группы, чтобы отслеживать изменения в ней при повторной синхронизации. Рисунок 20. Добавление нового домена в Indeed PAM В процессе добавления нового домена к нему также будет применена политика управления учетными записями.Настройка разрешений на доступ пользователейВ разделе с разрешениями настраивают правила доступа пользователей к ресурсам. Рисунок 21. Настройка разрешений для конкретного пользователя в Indeed PAM  На рисунке 21 видно, что пользователю Victor Osipov разрешен вход на машину ADFS1 под учетной записью Administrator. Можно настроить множество персональных разрешений, которые отобразятся в этом списке.Стоит отдельно отметить, что Indeed PAM умеет предоставлять доступ к ресурсам и от имени самого пользователя. Например, Victor может получить разрешение на доступ к ADFS1 от имени своей учетной записи. Для этого требуется выбрать опцию «Продолжить с пользовательской УЗ» во время создания разрешения, как показано на рисунке 22. Рисунок 22. Выбор учетной записи при создании разрешения в Indeed PAM Если требуется быстро просмотреть права для конкретного пользователя, то нужно воспользоваться полем поиска, чтобы его быстро найти. Рисунок 23. Настройка срока действия разрешения по дате и времени в Indeed PAM Рисунок 24. Настройка графика доступа разрешения в Indeed PAM На рисунке 23 видно, что система позволяет настроить длительность действия разрешения, а на рисунке 24 — период времени, в который можно воспользоваться этим разрешением и открыть сессию.В Indeed PAM можно просматривать учетные данные (логин и пароль) привилегированной учетной записи. Если нужно предоставить эти данные конечному пользователю, то при создании разрешения доступна опция «Разрешить просмотр учетных данных пользователем». Рисунок 25. Включение опции для просмотра учетных данных в Indeed PAM После включения опции пользователю будет доступен просмотр его учетных данных в личном кабинете. Опция позволяет просматривать данные только той учётной записи, которая указана в разрешении. Рисунок 26. Личный кабинет пользователя в Indeed PAM В разделе «Учетные записи» отобразилась учётная запись, в личном кабинете которой можно посмотреть пароль. Для просмотра необходимо нажать на кнопку «Показать учетные данные» и указать причину просмотра. Рисунок 27. Просмотр учетных данных в Indeed PAM Вместе с просмотренными учетными данными пользователь получит уведомление о том, что пароль будет сброшен на случайное значение. Правила и время сброса пароля настраиваются через политику, которая действует на ресурс.Настройка политик учетных записей и подключенийВ системе Indeed PAM существует два типа политик: для учетных записей и для подключений (сессий). Рисунок 28. Политики учетных записей и сессий в Indeed PAM В настройках политик учетных записей задаются:настройки показа пароля и SSH-ключа в личном кабинете пользователя;задания, выполняемые с определенной периодичностью (например, автоматический поиск новых привилегированных учетных записей, проверка на актуальность паролей в хранилище или автоматическая смена паролей);настройки сложности и длины паролей в хранилище для привилегированных учетных записей. Рисунок 29. Настройка политики учетных записей в Indeed PAM В политике сессий настраиваются:требование указать причину при подключении;ограничение на максимальную продолжительность сессии;включение/отключение текстовых логов сессии;включение/отключение видеозаписи сессии, в том числе качество видео и параметры автоматической ротации видеозаписей;включение/отключение снимков экрана, в том числе частота снятия снимков и параметры их ротации;включение/отключение теневого копирования файлов и параметры ротации сохраненных в теневое хранилище файлов;проброс ресурсов: «Принтеры», «Буфер обмена», «Смарт-карты», «Порты» и «Диски». Рисунок 30. Настройка политики сессий в Indeed PAM Рисунок 31. Настройка политики сессий в Indeed PAMПросмотр сессийВ разделах «Активные сессии» и «Все сессии» администратору Indeed РАМ в режиме реального времени доступен просмотр и анализ всех действий пользователя.В случае, когда сессия еще не завершена, система отобразит видеотрансляцию. После окончания сессии будет доступна офлайн-запись. На выбор всегда доступны видеозаписи, снимки экрана, текстовый журнал действий  пользователя и файлы, которые были скопированы с проброшенных дисков на ресурс. Рисунок 32. Профиль сессии в Indeed PAM Рисунок 33. Видеотрансляция действий пользователя в режиме реального времени в Indeed PAM Видеозапись поддерживается для всех типов подключения. Можно просмотреть завершенную сессию прямо в интерфейсе продукта или скачать видеофайл. Рисунок 34. Текстовый лог Indeed PAM для ресурса на базе операционной системы Windows Для сбора текстовых логов на машинах под управлением Windows необходимо наличие установленного агента — специального компонента, отвечающего за отслеживание запускаемых процессов и активных окон, а также регистрацию клавиатурного ввода. На машинах под управлением Linux ввод и вывод полностью отслеживается в рамках сессии SSH без агента.Дополнительное преимущество — это поиск по текстовому журналу, который можно осуществить прямо в интерфейсе продукта, не дожидаясь окончания сессии. Рисунок 35. Снимки экрана на привилегированном ресурсе в Indeed PAM Также можно сохранять файлы, которые копируются на ресурс с проброшенных дисков. Каждый файл сохраняется в хранилище теневых копий. Доступ к переданным файлам можно получить по ссылке в подразделе «Переданные на сервер файлы». Рисунок 36. Переданные на ресурс файлы в Indeed PAM Наличие четырех вариантов фиксирования действий привилегированного пользователя во время сессии позволяет эффективно использовать пространство хранилища. Поскольку не всегда нужны полноценные видеозаписи, можно значительно сократить занимаемое хранилищем пространство. Это достигается за счет сохранения снимков экрана, создаваемых с заданной периодичностью, а не видеозаписей.Важно отметить, что администратор может принудительно прервать сессию. Это очень актуально в случае, когда с помощью системы Indeed PAM обнаружены активные злонамеренные действия привилегированного пользователя. Рисунок 37. Сообщение пользователю Indeed PAM о прерывании сессии  Рисунок 38. Список доступных активных и завершенных сессий в Indeed PAM  Раздел «Все сессии» аналогичен тому, который мы уже видели при рассмотрении карточки конкретного пользователя, с той лишь разницей, что здесь представлены данные о сессиях всех пользователей.Просмотр событий системы Indeed РАМВ разделе «События» можно посмотреть журнал действий по всем ресурсам, учетным записям и пользователям в хронологическом порядке. Доступен быстрый поиск по ключевым словам, что очень удобно для аудита действий администраторов или расследования сбоев. Рисунок 39. Отображение событий в Indeed PAM Конфигурация системы Indeed PAMВ разделе конфигурации системы есть четыре подраздела:Лицензирование — для указания данных о лицензии.Системные настройки — для настройки задач, выполняемых по расписанию, кодеков видео, хранилища медиафайлов, сессии, других параметров.Настройки пользовательских подключений — присутствуют встроенные типы подключений для RDP и SSH и настройки для веб-сессий и сессий клиентских приложений (настраиваются для каждого веб-приложения индивидуально).Настройки сервисных подключений — для уточнения шаблонов сервисных подключений по SSH, которые отличаются для разных дистрибутивов Linux и требуют дополнительной конфигурации. Для систем на Windows никаких настроек не требуется. Рисунок 40. Конфигурация Indeed PAM: Лицензирование Рисунок 41. Конфигурация Indeed PAM: Системные настройки Рисунок 42. Настройки пользовательского подключения в Indeed PAM  Рисунок 43. Настройки сервисного подключения в Indeed PAM С системными требованиями можно ознакомиться по ссылке. ЛицензированиеIndeed PAM поставляется с бессрочными лицензиями. При этом объектами лицензирования являются:конечные пользователи системы — сотрудники компании;ресурсы, к которым предоставляется привилегированный доступ. ВыводыКомпании с обширной ИТ-инфраструктурой неминуемо сталкиваются с необходимостью контролировать использование привилегированных учетных записей. Одним из решений этой задачи может стать внедрение системы класса Privileged Access Management.Несмотря на относительную молодость, продукт Indeed PAM 2.0 осуществляет основные функции, требуемые от продуктов этого класса, и отличается удобным пользовательским интерфейсом.В сравнении с некоторыми конкурентами на этом рынке Indeed PAM уступает в части расширенной функциональности, поддержки специфических устройств и протоколов. Однако стоит отметить, что этот продукт имеет высокие шансы стать популярным на отечественном рынке, так как является российской разработкой, а сама компания готова к гибкому сотрудничеству и оперативной доработке продукта под конкретные нужды заказчика.Достоинства:Весь программный комплекс — полностью российская разработка. Это крайне важно при взаимодействии с государственными структурами.Поддерживаются RDP, SSH, HTTP и проприетарные протоколы (через толстые клиенты) для подключения к конечным ресурсам.Поддерживается управление учетными записями в операционных системах Windows и Linux, а также в СУБД.Функциональность разграничения доступа привилегированного пользователя по датам и времени.Пользовательский интерфейс на русском языке.Круглосуточная техническая поддержка пользователей доступна через почту, по телефону и через средства удаленного доступа. Это значительно упрощает решение возникающих вопросов.Компания «Индид» готова оказывать помощь при внедрении продукта в инфраструктуре заказчика.Готовность вендора поддержать необходимое оборудование по заказу.При необходимости вендор организует дополнительное обучение персонала заказчика.Весьма невысокая стоимость продукта.Недостатки:Небольшой список поддерживаемых протоколов удаленного администрирования.Не предусмотрен контроль встроенных учетных записей (AAPM).В текущей версии не поддерживается контроль доступа к средствам безопасности, SCADA-системам и т.п.На момент написания статьи продуктом еще не получены лицензии, однако компания «Индид» планирует получить сертификат ФСТЭК России по уровню доверия 4 (ОУД 4).