Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Импортозамещение грянуло

Импортозамещение случилось внезапно и автоматически. Западные производители ушли сами из страны. На рынке информационной безопасности выстроились огромные очереди к российским производителям систем защиты информации.

Введение

Иностранные производители в течение первых недель марта 2022 года отключали один за одним свои сервисы обновлений и техподдержки для клиентов из России. При этом в анонсах на сайтах компаний IBM, Citrix, Dell, Fortinet, Microsoft, VMware используется глагол «suspend», то есть компании предполагают, что еще могут вернуться на рынок России. А в официальных анонсах Cisco, Dell, ESET используется уже глагол «Stop».

По словам сотрудников, представительства компаний Cisco, Fortinet, HPE и VMware в Москве ушли в отпуск на 3 месяца, надеясь, что ситуация улучшится. Представительства компаний Arista, Citrix, IBM, Fortinet, HPE, TrendMicro, Palo Alto Networks продолжают платить зарплату своим сотрудникам. При этом компании Arista, Cisco, Citrix, IBM отключили доступ российским сотрудникам к корпоративной информации. Компания ForcePoint полностью терминировала контракты своим сотрудникам в Москве.

Многие ИТ-компании прекратили техподдержку своих продуктов в России и Белоруссии, и заказчики просят вернуть деньги. Особенностью ситуации является то, что в Москве находятся еще и сотрудники международных компаний, которые обслуживают клиентов из Казахстана, Армении, Грузии, Узбекистана и других стран. Прагматичнее всех поступила компания Amazon, которая перевела еще несколько лет назад всех своих сотрудников в Мюнхен, и они отвечают за страны СНГ из Германии.

Самым важным для любого потребителя продукта по безопасности являются обновления сигнатур для глубокого анализа контента приложений, систем предотвращения атак, антивирусных средств. Также обновлений требует URL-категоризация и базы индикаторов компрометации Threat Intelligence. Чтобы обеспечивать безопасность, нужны ежедневные обновления баз сигнатур. Да и сами продукты требуют обновлений программного обеспечения.

Все иностранные производители отозвали лицензии и прекратили обновлять базы сигнатур заказчикам из России. В итоге во всей стране уровень обеспечения информационной безопасности компаний снизился. Анализ вредоносного кода по поведению в «песочницах» также перестал работать.

Как минимизировать последствия отключений

Если лицензия еще не истекла, то у некоторых продуктов обновления можно устанавливать вручную при помощи загрузки файлов. Такие файлы можно получить на портале техподдержки, если он обслуживает клиентов из России.

Однако общая рекомендация для пользователей из России касается отключения автоматического обновления программного обеспечения и операционных систем. Причин для отключения две. Первая – лицензию для продукта могут отозвать после подключения к серверу обновления. И вторая – есть риск, что в обновлении будут содержаться недокументированные функции. Это особенно важно учесть при обновлении продуктов с открытым исходным кодом.

Часть компаний рассчитывает использовать решения с открытым исходным кодом, но опасность заключается в том, что уже множество таких решений вместе с обновлениями получили вредоносные части кода. Применение подобных продуктов может привести к нарушению доступности и функционирования информационных систем, компрометации важной информации, выводу из строя средств защиты. Поэтому использование решений с открытым исходным кодом сегодня сопряжено с серьёзными рисками.

Такие случаи уже были. Например, бухгалтерская программа M.E.Doc внезапно разослала всем своим пользователям вредоносный код Petya, а программа мониторинга SolarWinds внезапно предоставила удаленный доступ к сетям 300000 компаний неизвестным хакерам. Все случилось после взлома серверов поставщиков программного обеспечения, куда злоумышленники внедрили нужный им функционал.

На сегодняшний день в России представлено не так много компаний, проводящих собственную экспертизу, чтобы проверить сторонний файл на наличие вредоносного кода или найти уязвимость в программном обеспечении. Наличие такой исследовательской лаборатории – это база для создания любого продукта по информационной безопасности. В России мало компаний, которые сами создают сигнатуры для решений классов «предотвращения вторжений» (Intrusion Prevention System, IPS), «обнаружения вторжений» (Intrusion Detection System, IDS), антивирусных средств, баз URL-адресов и баз данных об угрозах (Threat Intelligence, TI).

Создание и «сопровождение» продуктов в сфере информационной безопасности требует круглосуточной работы команды специалистов, которые разрабатывают сигнатуры для вредоносного кода, систем обнаружения атак, определения контента приложений и поставляют клиентам индикаторы компрометации. В итоге частым случаем является ситуация, когда в основе российских продуктов лежит иностранный или бесплатно распространяемый «движок». Обязательно спрашивайте поставщика, откуда он берет сигнатуры и индикаторы компрометации. Типовым способом создания собственного продукта является использование сигнатур и кода Snort и Suricata, что скорее удивляет клиентов, чем мотивирует платить деньги.

Необходимость наличия собственной исследовательской лаборатории в компании-разработчике подчеркивает то, что злоумышленники постоянно разрабатывают методики обхода защиты. К примеру, популярная сейчас технология URL-фильтрации столкнулась с техникой cloaking, когда вредоносный сайт возвращает легитимную страницу серверам анализа, а вредоносную страницу – браузеру жертвы. Поэтому сейчас активно развиваются технологии на основе машинного обучения (Machine Learning) для обнаружения в режиме реального времени таких вредоносных сайтов, подключений и файлов в самом средстве защиты внутри компании.

Что у вас должно быть, и что предлагают производители в России

Если говорить о классах продуктов, то первоочередная задача – обеспечить «периметровую» безопасность. Это первый рубеж защиты, на котором фильтруются и входящие соединения (например, электронная почта), и исходящие соединения от всех приложений сотрудников. Их необходимо контролировать, потому что именно через такие соединения происходят утечки, случаи подключения к системам управления и загрузка вредоносного кода.

При этом типовой ошибкой будет отслеживание только входящей почты и исходящих соединений браузера. Для защиты периметра требуется множество функций, например, контроль туннелей внутри DNS и ICMP.

Вспомогательными средствами могут стать два класса продуктов: обеспечивающие сетевую защиту и защиту конечных устройств (хостовую защиту). Они всегда дополняют друг друга. Атаки, которые не увидели в зашифрованном трафике, можно увидеть на рабочей станции, а атаки, которые нельзя посмотреть на принтере или веб-камере, – видно по сети.

Функционал сетевой защиты на периметре
Обнаружение приложений и блокировка ненужных компании
Выявление утилит удаленного управления
Выявление туннелей и proxy
Контроль учетных записей пользователей и привязка к соединениям
Обнаружение и блокировка атак (IDS и IPS)
Анализ IoC по базе Theat Intelligence с базой DNS, IP, URL
Адреса бот-сетей
Антивирус для файлов в SMTP, POP3, IMAP, FTP, HTTP, SMB
«Песочница» для файлов в SMTP, POP3, IMAP, FTP, HTTP, SMB
Журналирование соединений для разбора инцидентов
Журналирование атак для разбора инцидентов
Анализ атак в трафике SSL
Machine Learning для защиты DNS запросов к DGA доменам
Определение страны по IP-адресу
Определение ролей и типов устройств в сети (включая устройства IoT)
Обновление сигнатур в реальном времени для новых атак
Выявление целевых атак на компанию на разных стадиях MITRE ATT&CK
API для интеграции с другими устройствами защиты
Обнаружение сканирований и DDoS-атак
Разбор атак внутри трафика, инкапсулированного в VLAN, MPLS, VXLAN, TEREDO, GRE, ERSPAN
Функционал анализа сетевого трафика по поведению (NTA, UEBA)
Выявление учетных данных, словарных паролей и паролей «по умолчанию» в трафике
Передача файлов по ICAP в сторонние «песочницы» и DLP
VPN шлюз
URL-фильтрация

Таблица 1. Функционал сетевой защиты на периметре

Большинство функций безопасности реализованы в таком типе защиты, как устройства «все-в-одном»: универсальные устройства сетевой безопасности (Unified Threat Management, UTM) или межсетевой экран следующего поколения (Next-Generation Firewall, NGFW), а также средства мониторинга сетевого трафика (Network Traffic Analysis, NTA или Network Detection and Response, NDR).

В составе решений класса UTM чаще всего используется VPN для удаленного доступа, и затем уже трафик фильтруется различными технологиями: URL фильтрация, обнаружение атак, антивирус. DNS и IP-адреса, URL-ссылки проверяются по базе известных индикаторов компрометации, которые постоянно дополняются исследовательскими лабораториями.

Когда вы выбираете замену иностранному продукту, то стоит исходить из набора функций, которые вам нужны, а не из названий продуктов. Одну функцию может выполнять несколько продуктов, и наоборот, одно решение может поддерживать несколько функций. Например, технология VPN, входящая в состав российского решения NGFW, возможно, вам не подойдет, и её нужно будет приобрести отдельно. Система предотвращения атак может в потоковом режиме блокировки не справиться с вашим трафиком, и её следует поставить в режим мониторинга. В таком случае у вас будет больше вариантов – продуктов класса IDS продается больше, чем класса IPS. В основном это связано с ложными срабатываниям, поэтому финансовые организации чаще всего используют средства информационной безопасности в режиме обнаружения с последующим анализом выявленных признаков компьютерных инцидентов сотрудниками центра мониторинга информационной безопасности (Security Operation Center, SOC).

Также в российских компаниях активно используется технология предотвращения утечек информации (Data Leak Prevention, DLP), и тут российские производители уже практически полностью заняли отечественный рынок.

Следующим важным классом защиты являются «песочницы». Именно они рассматриваются как ядро обнаружения неизвестного вредоносного кода. Такие продукты есть у ряда российских производителей. Здесь важно найти правильного «архитектора», который закроет максимальное количество каналов доставки файлов: HTTP, SMTP, POP3, IMAP, FTP, SMB, NFS, а также их SSL-версии.

Важно, что перед обработкой подозрительных файлов в «песочнице», их необходимо каким-то образом «забрать» из сетевого трафика, с серверов и конечных устройств сотрудников. А после их анализа в «песочнице» необходимо получить сигнатуры или хэши для блокировки вредоносной активности или оповещения о новой угрозе. Для этих целей подойдут решения классов «обнаружение компьютерных угроз на конечных устройствах» (Endpoint Detection and Response, EDR) и «расширенное обнаружение и реагирование» (Extended Detection and Response, XDR), а также продукты, в составе которых есть модуль проверки сетевых пакетов (Deep Packet Inspection, DPI). В продуктах класса XDR/EDR есть интеграция с «песочницей».

Продукты хостовой защиты класса XDR/EDR не только контролируют реестр, порты, проверяют файлы по сигнатурам и организуют доступ сотрудников в сеть в соответствии с установленными правилами безопасности, но и контролируют аномальное поведение приложений и пользователя на рабочей станции и сервере.

Существует угроза того, что злоумышленники просто украдут данные учетной записи сотрудника или будут использовать в ходе компьютерной атаки легитимные утилиты, содержащиеся в различных операционных системах. Для защиты от этого типа угроз также подойдут решения классов XDR или EDR. В решениях XDR есть функционал, позволяющий отслеживать не только хостовую активность (как в решениях EDR), но и сетевую активность.

Для анализа трафика и обнаружения признаков атак в трафике, рекомендуется использовать продукты класса NTA или NDR.

Для защиты ресурсов компании, размещенных за пределами периметра, можно использовать класс продуктов для управления внешней поверхностью атаки (External Attack Surface Management, EASM). Такие решения обеспечивают мониторинг всех доступных извне цифровых активов организации, выявляют и приоритизируют уязвимости, позволяют отслеживать эффективность принимаемых мер.

Важным компонентом защиты в современных сетях является инвентаризация элементов инфраструктуры для выявления теневых ИТ-систем (Shadow IT), сканирование уязвимостей и их устранение. Такие решения также присутствуют на российском рынке.

Какие первоочередные меры должен предпринять руководитель службы информационной безопасности компании

  1. Протестировать работу компании без доступа в сеть Интернет. Работает ли ваш бизнес и процессы в случае отключения страны от Интернет?
  2. Провести инвентаризацию всего используемого программного обеспечения, средств защиты информации.
  3. Проанализировать, в чьей юрисдикции находится каждый поставщик программного и аппаратного обеспечения, подготовить меры по переходу на отечественного поставщика в случае отказа от поддержки. В проверку входит проверка TLS-сертификатов для веб-приложений и хостинга на предмет функционирования в случае отказа разработчика от их поддержки.
  4. Заменить используемые иностранные облачные сервисы HaaS, PaaS, SaaS, FaaS их российскими аналогами.
  5. Сделать резервное копирование всех важных баз данных и образов операционных систем. Проверить, что их возможно восстановить из архива. Реализуйте процесс периодического архивирования критичных систем и проверок их восстановления из архивов.
  6. Провести инвентаризацию доступных за пределами периметра ресурсов компании (веб-сервера, VPN-шлюзы, почтовые сервера, DNS-сервера, каналы связи) и удостовериться, что они достаточным образом защищены и не содержат известных уязвимостей. Используйте сканеры безопасности, чтобы выявлять и устранять уязвимости таких ресурсов. Выделите сотрудников, отвечающих за каждый конкретный ресурс, чтобы в случае инцидента знать, к кому обращаться.
  7. Подготовиться к DDoS-атакам на сервисы компании – установить необходимое для защиты оборудование внутри инфраструктуры компании, у провайдера или подключить сервисы защиты от DDoS-атак. Если у вас веб-сервер, то для защиты от DDoS-атак на уровне веб-приложений можно использовать решения класса межсетевых экранов для веб-приложений (Web Application Firewall, WAF).
  8. Провести инвентаризацию учетных записей всех сотрудников и организовать смену паролей.
  9. Реализовать двухфакторную аутентификацию для всех сервисов компании.
  10. Проконтролировать, что для собственных разработок не используются публичные библиотеки исходного кода, которые могут быть модифицированы злоумышленниками. В этом помогут продукты класса SAST/DAST.
  11. Контролировать весь входящий и исходящий трафик. Это нужно делать в двух точках – непосредственно в сетевом трафике и по возможности на каждом конечном устройстве в компании. Здесь потребуются решения класса Network DLP и Host DLP, «песочницы» и TIP.
  12. Контролировать исходящий трафик на предмет вредоносного контента и подключения к известным вредоносным адресам в сети Интернет. С этой целью можно использовать общеизвестные базы URL-адресов, базы Threat Intelligence, специальные блокировщики DGA-доменов, «песочницы» и другие техники, которые есть в составе решений NGFW, UTM и NTA.
  13. Разработать и довести до сотрудников планы реагирования на основные типы компьютерных инцидентов: DDoS-атаки, шифрование данных, взлом сайта, кража данных учетных записей сотрудников и клиентов, нарушение работоспособности оборудования.
  14. Проинструктировать или провести тренировки для сотрудников с отработкой действий, которые необходимо предпринимать в случае компьютерной атаки с использованием программ-шифровальщиков, техник социальной инженерии, распределенных атак типа «отказ в обслуживании» (DDoS-атак), кражи конфиденциальных данных, остановки производства.
  15. Проверить, что в инфраструктуре компании не содержатся компьютеры или сетевые устройства, зараженные известными видами вредоносного программного обеспечения. Для этого можно воспользоваться услугами по аудиту от российских компаний Positive Technologies, Лаборатории Касперского, BiZone и других.

Наименование отечественных и зарубежных продуктов в сфере информационной безопасности

Класс продукта
Название продукта
Российский аналог
Межсетевой экран следующего поколения
NGFW
  • Palo Alto Networks NGFW
  • Check Point Firewall
  • Fortinet FortiGate
  • Cisco FTD
  • Sophos XG Firewall
  • Juniper SRX
  • UserGate UTM
  • Ideco UTM
  • Код Безопасности Континент
  • Инфотекс xFirewall
  • PT Network Attack Discovery
Хостовая защита
EPP/EDR/XDR
  • Check Point SandBlast Agent
  • Cisco AMP
  • Microsoft ATP
  • Symantec ATP
  • Palo Alto Networks XDR
  • Sophos Endpoint
  • Bitdefender Enpoint
  • Avast Business Antivirus
  • Symantec Endpoint
  • Panda Endpoint
  • McAfee Endpoint
  • Kaspersky EDR
  • Kaspesrky KES
  • Positive XDR
  • Код Безопасности Secret Net Studio
  • BiZone EDR
Защита веб-приложений
WAF
  • F5
  • Imperva
  • PT AF
  • Код Безопасности WAF
  • SolidWall WAF
Системы анализа и корреляции событий
SIEM
  • Micro Focus ArcSight
  • IBM Qradar
  • FortiSIEM
  • McAfee SIEM
  • PT MP SIEM
  • Kaspersky KUMA
  • RuSIEM
Сканер безопасности
  • Tenable Nessus
  • Qualis
  • PT VM
Поведенческий анализ сетевого трафика
NDR/NTA/UEBA
  • Cisco StealthWatch
  • Plixer Scrutinizer
  • Vectra AI
  • Awake Security Platform
  • LogRhythm NetworkXDR
  • RSA NetWitness Network
  • ExtraHop Reveal(x)
  • TrendMicro DDI
  • PT NAD
  • Гарда Монитор
Обнаружение вторжений
IDS/IPS
  • TrendMicro TippingPoint
  • Palo Alto Networks NGFW
  • Check Point Firewall
  • Fortinet FortiGate
  • Cisco FTD
  • Sophos XG Firewall
  • Juniper SRX
  • VipNet IDS
  • Код безопасности Континент
  • Kaspersky KATA и KICS
  • PT NAD
  • Гарда Монитор
Мультифакторная аутентификация
MFA
  • ESET SA
  • Microsoft MFA
  • Okta
  • Google Authenticator
  • Multifactor
  • Алладин Jacarta
  • Актив Рутокен
Защита от утечек по сети и на хостах
DLP
  • Symantec
  • ForcePoint
  • McAfee
  • Infowatch
  • SearchInform
Антиспам
  • Fortinet FortiMail
  • Cisco IronPort
  • Kaspersky Antispam
Разработка безопасного кода
SAST/DAST
  • Fortify Static Code Analyzer
  • Checkmarx CxSAST
  • IBM App Scan Source
  • Solar inCode
  • Infowatch Custom Code Scanner
Управление внешней поверхностью атаки
EASM
  • Palo Alto Networks XPANSE
  • Group-IB AssetZero
Защита контейнеризации
CWPP
  • Palo Alto Networks Prisma Cloud
  • Aqua
  • Sysdig
нет
Безопасность в облаке
CASB
  • Netscope
  • Palo Alto Networks CASB
  • Symantec CloudSOC
  • CipherCloud
  • Cisco CloudLock
  • Oracle CloudService
  • Microsoft Cloud App Security
нет
Сетевая безопасность
SASE/ZTNA
  • Palo Alto Networks Prisma Access
  • Skyhigh Networks
  • Netscope NewEdge
  • Cisco SASE
  • Check Point CloudGuard Connect
  • Citrix SASE
  • FortiSASE
  • Versa SASE
  • Vmware SASE
  • Zscaler SASE
нет

Таблица 2. Наименование отечественных и зарубежных продуктов в сфере информационной безопасности

Автор:
Денис Батранков, руководитель направления сетевой безопасности компании Positive Technologies