Искусство Инфобеза, часть 1: Введение

Информационная безопасность – это огромный стек связанных методологий, техник, технологий, программного и аппаратного обеспечения, приправленный половиной тонны нормативных актов и постановлений регулирующих органов, разобраться в котором с нуля, мягко говоря, достаточно сложно.

Мы – команда Инфобеза Inline Telecom Solutions и мы точно знаем, насколько это сложно, ведь мы разобрались. Теперь поможем тебе, поехали.

Начинать, как говорят, лучше всего с начала, желательно с чего-нибудь интересного. Но где оно, это самое «интересное начало» в запутанном клубке Инфобеза? Там, где рождается волшебство, где очаровывают прогрессивные технологические решения приобретают формы реальных продуктов, способных поразить своим функционалом людей, которые раньше с этим не сталкивались.

Добро пожаловать в цикл уютных статей по основам Информационной безопасности. Устраивайся поудобнее, бери чай, мы начинаем.

Классов решений в Инфобезе великое множество, а самих продуктов еще больше. Но есть такие, которые нужны буквально всем – от булочной за углом до нефтяного гиганта. По сути, если у тебя есть информационные активы, то найдутся и злоумышленники, для которых они представляют ценность. Ценность эта может быть совершенно разной, даже если ты сам считаешь, что твои активы ее не имеют. Например, твою инфраструктуру могут использовать, чтобы добраться до крупного оператора связи, у которого ты арендуешь интернет-канал, или твое оборудование компрометируют и поддержат им распределенную атаку.

Определим классы таких решений и посмотрим на их концепции защиты чуть подробнее.

Шаг 1. Базовый уровень.

• Next Generation Firewall (NGFW) – Межсетевой экран следующего поколения. Способен осуществлять защиту сетевой инфраструктуры на уровнях L3-L4 и L7;

• Endpoint Protection Platform (EPP) – Антивирус на максималках. Сложнее, лучше и универсальнее;

• Web Application Firewall (WAF) – Межсетевой экран уровня приложений. Защищает веб-приложения от нежелательных воздействий;

• Data Leakage Prevention (DLP) – Защита от утечек данных. Препятствует компрометации и публикации чувствительных данных;

• Vulnerability Management (VM) – Управление уязвимостями. Поиск уязвимых хостов и рекомендации по устранению;

• Endpoint Mobility Management (EMM) – Защита мобильных устройств. Полный цикл контроля носимых устройств;

• Zero-Trust Network Access (ZTNA) – Доступ в сеть с нулевым доверием. Система гарантированной безопасности устройств, подключающихся в твою сеть.

NGFW. Next Generation Firewall. Межсетевой экран следующего поколения.

Ласково называемый в народе Некстгеном, Next Generation Firewall в наши дни является фундаментом обеспечения защищенности информационных активов. Сетевое устройство ставится inline на границе твоей сети и начинает творить настоящую магию:

1. Даже самый дешевый NGFW может обрабатывать сотни мегабит трафика правилами stateful inspection (L4-firewall, классические правила межсетевого экранирования, разрешающие или запрещающие соединения по ip-адресам и портам источника и назначения);

2. Обеспечивает сетевые функции пограничного устройства (статическая и динамическая маршрутизация, LAG, NTP, DHCP, все виды NAT, Port Forwarding, LACP и прочее);

3. Осуществляет глубокую проверку пакетов (определяет и позволяет контролировать возможность использования различных протоколов, приложений);

4. Разбирает и анализирует HTTP-заголовки, а продвинутые решения имеют в комплекте базовые WAF и защиту электронной почты;

5. Определяет и предотвращает вторжения в сеть (непрерывно формирует стандартный профиль состояния вашей сети и ее клиентов, определяет девиации – отклонения от нормы, блокирует подозрительный и нетипичный трафик);

6. Имеет функционал User proxy (контролирует доступ ваших сотрудников в сеть Интернет) и Reverseproxy (отвечает за публикацию ваших ресурсов и балансировку нагрузки).

EPP. Endpoint Protection Platform. Платформа защиты конечных точек.

Те, кто разбирается в Инфобезе знают, что антивирусы сейчас не продаются. Никак, нигде и никакие. Даже если очень надо. Антивирусное ПО давно эволюционировало и породило новый класс решений – Защита конечных точек или EPP. Функционально они могут вас порадовать тебя следующим внушительным набором технологий:

1. Классический сигнатурный антивирус (каменный век обороны от злоумышленников, но куда же без него);

2. Локальный межсетевой экран (ограничивает исходящие сетевые соединения на рабочей станции или сервере. Крайне полезная вещь, если использовать правильный подход к защите информации, и основа заклинания Hardening);

3. Шифрование данных (создание защищенных хранилищ для чувствительных данных);

4. Контроль запуска приложений (черные списки для приложений);

5. Контроль подключаемых устройств (позволяет заблокировать подключение съемных носителей);

6. Поведенческий анализ (на основе девиаций с блокированием потенциально вредоносных действий).

Согласись, это несколько интереснее, чем просто «Обнаружен вирус» в углу экрана, но и такое тут тоже есть.

WAF. Web Application Firewall. Межсетевой экран уровня приложений.

Межсетевой экран уровня приложений. Абсолютный мастхэв для тех, у кого в информационных активах живые и критичные для бизнеса веб-сервисы. Если деятельность компании зависит от надежной работы какого-то веб-ресурса, то без защиты рано или поздно найдется хотя бы скрипт-кидди, который заставит руководство понервничать, в лучшем случае только положив, например, интернет-магазин на пару часов.

Ты спросишь нас «Но ведь выше вы писали, что NGFW справляется на L7, зачем мне в добавок к межсетевому экрану уровня приложений еще один межсетевой экран уровня приложений?» А мы тебе ответим: «WAF куда более узкоспециализированный продукт, ориентированный на защиту веб-приложений (спасибо, кэп), при этом осуществляя более глубокую защиту, адаптированную к бизнес-логике, и делая это строго на L7 и только с HTTP/HTTPS трафиком». Часто получается так, что WAF выявляет более сложные манипуляции злоумышленника с HTTP-запросами, которые Некстген считает легитимными с точки зрения логики пограничного устройства.

Политики DPI в Некстгене рассчитаны на любой трафик на границе сети, они определяют клиентское приложение по характерным особенностям и используют эту информацию для фильтрации соединений.

Политики WAF в свою очередь рассчитаны на свое применение непосредственно перед веб-ресурсом (часто выступая в роли reverse-прокси или являясь его модулем) и защищают сервера конкретных веб-приложений от веб-атак. Друг, мы сознательно так много используем веб-, чтобы ты все понял правильно.

Ты спросишь: «Но ведь в Некстгене тоже есть reverse-прокси!?». Мы ответим: «Да, есть, но это далеко не одно и то же.» Почему? Потому что WAF «понимает» структуру веб-ресурса и, как следствие, отвечает на совершенно различные с NGFW риски, атаки, уязвимости.

Немного глубже. WAF анализирует входящие запросы на предмет их легитимности, разрешает то, что не может нанести вред, блокирует то, что по мнению администратора безопасности и здравого смысла (основой которого у любого вендора является OWASP Top-10 – ежегодно обновляемый список из 10 наиболее часто встречающихся типов атак на веб-ресуры) несет угрозу, а также выполняет виртуальный патчинг (блокировка до исправления ошибок).

Помимо этого, современные WAF системы как правило содержат в себе движок поиска уязвимостей, только особенный, ориентированный на веб-ресурсы и веб-сервисы. Учти в своей работе, что WAF не предназначены для полноценной защиты API.

По разного рода статистикам эксплуатация уязвимостей web-ресурсов давно занимает первое место по частоте использования как начальный вектор атаки.

DLP. Data Leakage Prevention. Предотвращение утечек данных.

Кошмар любого сотрудника, притча по языцех «ПоИБэ» и основная причина, по которой обыватели недолюбливают специалистов по защите информации. Система помечает чувствительные документы и следит за всеми действиями пользователей:

1. Движения файлов на внешние и периферийные устройства;

2. Переписка в IM;

3. Электронная почта (в том числе личная на веб-ресурсах, хотя такое в серьезных компаниях вообще запрещено);

4. Активность на файлообменниках;

5. Кейлоггер;

6. Снимки экрана и учет рабочего времени;

7. Машинное обучение для сбора корректной статистики и искусственный интеллект для анализа полученных данных.

Офицеры безопасности и руководство очень любят функционал DLP, остальные ненавидят. Но концептуально здесь все просто – если у тебя есть чувствительные документы, то без такой системы тебе точно не обойтись.

Естественно, результаты, полученные такой системой, используют для предотвращения инцидентов, связанных с конфиденциальностью информации, для внутренних расследований и как доказательную базу в суде, а не там, где думают рядовые сотрудники.

VM. Vulnerability Management. Управление уязвимостями.

Еще их называют «сканерами уязвимости», но функционал тут несколько шире и не такой, как в WAF. Эта система предназначена для исследования твоей внутренней инфраструктуры и информационных активов на предмет наличия актуальных уязвимостей. Современные системы умеют выдавать отчеты о соответствии международным стандартам защиты, могут осуществлять безопасное сканирование по косвенным признакам (например, по баннерам в консоли или характерным открытым портам), а могут и полноценный пентест сделать с попыткой эксплуатации обнаруженных уязвимостей.

Для каждой обнаруженной уязвимости предоставляется подробная информация о ней, начиная от критичности и заканчивая рекомендациями (иногда очень и очень неплохими) по устранению. Также в современных решениях всегда присутствует подсистема контроля жизненного цикла уязвимостей, которая существенно упрощает рутинную работу специалистов ИБ и делает взаимодействие со сканером крайне продуктивным и интуитивно понятным.

В неумелых руках VM из полезного инструмента для ежедневной работы может превратиться в ядерную бомбу.

Наравне с NGFW такие системы формируют основу основ при выстраивании качественной системы обеспечения информационной безопасности, ведь только досконально зная свои активы и их слабые стороны ты можешь грамотно и эффективно защитить их от действий злоумышленников.

ZTNA. Zero-Trust Network Access. Доступ в сеть с нулевым доверием.

Сама концепция Zero-Trust означает, что мы работаем с конечным устройством, про которое ничего не знаем и никак его не контролируем и никогда не будем контролировать. И, самое главное, никому не доверяем, причем ни снаружи, ни внутри. Например, удаленный администратор подключается в твою инфраструктуру через personal VPN со своего личного ноутбука. Что ты знаешь про него? Ничего. Можешь ли ты гарантировать безопасность такого подключения? Оказывается, можешь!

Идея системы ZTNA простая – перед подключением к твоей инфраструктуре конечная машина должна подтвердить, что соответствует твоим политикам безопасности. На помощь приходит технология HIP – hostinformation profiles, профили информации о хосте. Эти профили позволяют агенту ZTNA собрать информацию о состоянии хоста и проверить, соответствует ли он тем требованиям, которые ты считаешь приемлемыми. Например, установлен ли на хосте антивирус, а если установлен, то запущен ли, актуальные ли у него базы, установлены ли критические обновления безопасности и так далее.

Только после подтверждения от агента хосту разрешено установить соединение. Такая проверка не занимает много времени, а сам агент обычно интегрирован в клиента VPN, что делает процесс с точки зрения пользователя неизменным. При этом доступ хост получает только туда, куда администратор ZTNA разрешит. И только с микросегментацией. Помнишь? Мы никому не доверяем, поэтому чем более гранулярно предоставляется доступ – тем лучше. На практике микросегментация действительно одна из базовых основ ZTNA и доступ предоставляется не P2S, как в классических remote access решениях на базе personal VPN, а буквально P2P. 

Резюме Шага 1

Это понятный и достаточно прозрачный объем средств защиты, который подходит большинству МСП. Разумеется, имеются исключения и специфика бизнеса, но набор СЗИ практически не изменится. 

Шаг 2. Зрелый уровень

• Anti-DDoS – Системы противодействия DDoS-атакам;

• Network Traffic Analyzer (NTA) – Анализ сетевого трафика. Обеспечивает видимость сети и обогащает другие СЗИ информацией;

• Identity and Access Management (IAM) – Управление идентификацией и доступом пользователей. Унификация и контроль пользовательского доступа к инфраструктуре;

• Endpoint Detection and Response (EDR) – Обнаружение и реагирование на конечных точках. Прогрессивный инструмент активной защиты АРМ;

• Security Information and Event Management (SIEM) – Система управления событиями безопасности. Агрегирует логи с сетевых узлов и СЗИ, помогает обнаруживать сложные и неочевидные инциденты;

• Privileged Access Management (PAM) – Управление привилегированным доступом. Контроль внутренних и внешних администраторов;

• Network Access Control (NAC) – Управление доступом в сеть. Проверка соответствия политике безопасности перед доступом в сеть.

Anti-DDoS. Противодействие DDoS-атакам.

С технической точки зрения Anti-DDoS – это один из самых завораживающих программно-аппаратных комплексов. Такое решение способно осуществлять мониторинг,  поиск аномалий и блокировку атак в совершенно гигантских потоках трафика. Система выявляет атаки в потоке трафика, при необходимости, перенаправляет поток на фильтрующий узел или кластер, который аккуратно вырезает паразитный трафик и передает уже очищенный трафик к защищаемому ресурсу.

Надо признаться, что отражение атак мощностью в 30 Тбит/с и 10 Bpps очень впечатляет, особенно если ты хоть немного представляешь себе сколько это вообще информации.

Защита в таких системах есть не только и не столько от таких танковых атак, но и от наукоемких и высокоинтеллектуальных DDoS-атак, когда отказ целевого ресурса вызывается небольшим потоком специально сформированных «особенных» запросов.

С каждым годом атаки становятся все более автоматизированными и «умными», поэтому критически важна максимально быстрая реакция, максимально выверенные и эффективные превентивные меры  (Zero-secondmitigation) и фильтрация на уровне приложений (L7 filtering). Эти техники выводят комплексы защиты на новый уровень эффективности, особенно в борьбе с ботами.

Также защиту от DDoS-атак без проблем можно получить как услугу, и в зависимости от критичности постоянной доступности защищаемого ресурса «из вне», защиту от DDoS-атак вполне можно отнести к первому шагу.

NTA. Network Traffic Analyzer. Анализатор сетевого трафика.

Давайте сразу определимся, что это IDS на стероидах и этот инструмент тебе необходим только если у тебя достаточно большая ИТ и сетевая инфраструктура, в которой нужно контролировать каждый шорох.

Он помогает понять состояние твой сети, анализируя в режиме реального времени сырой трафик и flow, ищет аномалии и отклонения от нормы (так называемого baseline), за счет чего могут на ранней стадии определять действия злоумышленников и неизвестные угрозы (0-day, Zero-day или угрозы нулевого дня в том смысле, что о них еще ничего неизвестно или, другими словами, «известно ноль дней»).

В отличие от подавляющего большинства средств защиты NTA это пассивная система, которая не в состоянии ничего заблокировать. Она предназначена для анализа и оповещения, но не для реагирования.

Ты скажешь: «Звучит так, как будто это нужно всем», а мы ответим: «Да, мой друг, но стоит это столько, что ты вряд ли захочешь покупать такую штуковину для салона лэш-мейкеров».

Поэтому лучший кейс для внедрения таких систем – это расширение видимости сети для хорошо внедренного SIEM.

По секрету скажем тебе, что технологии не стоят на месте и если тебе кажется, что мониторинг с использованием NTA гео-распределенной сети с 15к пользователей – это скучно, то есть NDR (Network Detection and Response) – то же самое, но с искусственным интеллектом и модулем активного реагирования на обнаруженные угрозы. Говорят, что NDR создан настоящим ИБ-спецами для настоящих ИБ-спецов.

IAM. Identity and Access Management. Идентификация и доступ пользователей.

Если ты хочешь чуда, если хочешь поразить всех от акционеров до бухгалтерии, если хочешь утереть нос проклятым DevOps, то IAM это твой выбор. Без лишних слов заявляем – эта система имеет наибольшее влияние на имидж ИБ в компаниях, она всегда принимается на ура (правда после крайне сложного внедрения и еще более сложного переходного периода). Но результат… Игра стоит свеч.

На выходе ты, мой друг, получаешь TrueSSO. Нет. Не так. Ты получаешь TRUE SSO! Давай разберемся, что это такое и зачем оно тебе вообще надо.

IAM проксирует все (какие настроишь) сеансы аутентификации пользователей, прикручивает многофакторную аутентификацию, управляет авторизацией в целевые системы, ротацией паролей (которые пользователь вообще не видит), автоматизирует создание пользовательских учетных записей и делегирование доступа в целевые информационные системы, и вместо логина в каждую систему отдельно получает портал, с которого может осуществить доступ ко всем нужным ИС с нужным уровнем доступа.

Только подумай, админам не надо управлять учетками, даже создавать не надо, IAM все сделает сам. Не надо расставлять всем ярлычки на рабочий стол, а значит никто в них не запутается. Не надо заставлять пользователей запоминать много разных и сложных паролей. Не надо вечно разблокировать вечно блокирующиеся УЗ.

IAM очень качественный инструмент, несущий в себе знамя синергии ИТ и ИБ. Он всем делает удобнее.

EDR. Endpoint Detection and Response. Обнаружение и реагирование на конечных точках.

Если EPP, про который мы говорили ранее, пришел не смену классическому антивирусу, то EDR это следующий шаг. А что, если мы будем не только обнаруживать подозрительную активность, но еще и составим некие сценарии реагирования, по которым агент на конечном устройстве будет эту подозрительную активность блокировать или, по крайней мере, сильно ограничивать? Теоретически (в большинстве случаев и практически тоже) EDR способен противодействовать атакам нулевого дня и блокировать вредоносную активность.

Естественно, это не панацея, механизмы атак все время развиваются, а локальным мониторингом нельзя определить все виды негативного воздействия, но EDR определенно лучший на данный момент инструмент реагирования на конечных точках. Особенно при его интеграции с SIEM-системой и NTA.

SIEM. Security Information and Event Management. Система управления событиями безопасности.

Можно без преувеличения сказать, что SIEM – это сердце ИБ средних и крупных компаний. Эта система собирает логи с событиями безопасности со всех устройств в вашей сети. От сетевого оборудования до конечных рабочих станций. И естественно со всех других средств защиты.

SIEM сам ничего не блокирует, его полезность заключается в том, что он выполняет роль этакого машинного зрения, просматривая миллиарды строк журналов и обнаруживая связи между событиями безопасности с разных устройств по предварительно заданным правилам, которые называются правилами корреляции. Если у тебя, мой друг, была теория вероятности в институте, то это слово для тебя знакомо и ты начинаешь припоминать, что же оно обозначает? Все просто – это связь двух случайных величин, при которой с изменением первой всегда меняется вторая. В конкретной реализации SIEM правило корреляции обозначает, что при возникновении в твоей инфраструктуре заранее заданных тобой событий ты характеризуешь эту цепочку как инцидент безопасности. Например, если ты наблюдаешь подключение к хосту из списка, содержащего подсеть внутренних серверов и 10 раз за минуту после этого на нем же неудачный ввод пароля, то это попытка подбора пароля.

Именно в этих правилах заключается мощь SIEM одновременно с великой сложностью управления им. Есть лучшие практики, но даже с ними контролировать такую систему – это задача для крайне опытных специалистов. Учти, что алгоритмы и технические реализации инструментов написания правил корреляции очень сильно различаются от решения к решению, у некоторых это полностью графический no-code инструмент с drag & drop, а у некоторых SQL-подобный языке, а у кого-то консоль. При этом логика самих правил наукоемкая и требует четкого понимания того, что именно ты делаешь и что хочешь получить.

По этим данным любая система такого класса умеет строить красивые инструменты графического анализа: дашборды, диаграммы и прочие полезности.

PAM. Privileged Access Management. Управление привилегированным доступом.

Внешние специалисты – это незаменимый инструмент в жизни любой компании. Но можем ли мы им верить? И как их контролировать? Хорошо, если таких специалистов немного, но как быть, если их десятки и все работают в разных ИС? Нанимать аутсорс и привлекать как минимум столько же внутренних специалистов для сопровождения и наблюдения кажется странной затеей. А еще, если ты вдруг забыл, друг мой, то внутренним администраторам мы тоже доверять не можем. Никому не можем. Но угроза от специалиста совершенно точно пропорциональна уровню его привилегий. Специально для таких случаев созданы системы PAM, поразительный функционал которых заключается в следующем:

1. Проксирование административных сессий;

2. Аутентификация администраторов;

3. Автоматическая авторизация в управляемых системах;

4. Ротация паролей (админ при этом не получает учетку и пароль от конечной системы);

5. Запись сессий и лог команд;

6. Машинный анализ и автоматическая блокировка сессий при подозрении на нелегитимные действия.

В прогрессивных системах набирает популярность концепция Just-In-Time, согласно которой учетная запись в управляемой системе создается в момент подключения и удаляется при отключении администратора.

Крайне полезный класс систем, позволяющий защититься от злонамеренных действий слабо контролируемых людей, имеющих (иногда) практически неограниченных доступ к твоей инфраструктуре.

NAC. Network Access Control. Управление доступом в сеть.

Это такой Port Security на максималках. Ты как любой уважающий себя специалист ИБ уже должен знать, что подделать MAC-адрес на устройстве не такая уж сложная задача, поэтому ограничения по нему не считаются безопасными. И это не паранойя, это то, что в современных реалиях может сделать школьник из 7 класса.

Система класса NAC – инструмент, позволяющий применить политики безопасности к целевым устройствам в момент их подключения в твою сетевую инфраструктуру. Логика здесь следующая – при попытке доступа в сеть пользователь перенаправляется на captive-портал, скачивает (единожды) скрипт для осуществления автоматической проверки или уже имеет агента, если это внутренний пользователь. Агент собирает тем или иным способом, не требующим административного доступа, информацию о конечном устройстве: операционную систему, установленные обновления, статус антивируса, его наличие и прочее, прочее, прочее. Реализация у всех различная, но логика одна и та же – сначала проверка соответствия твоей политике безопасности, потом доступ в сеть. При каждом подключении происходит верификация и отслеживание изменений.

В случае несоответствия можно автоматически перекинуть пользователя в так называемый карантинный vlan, имеющий доступ к ограниченному количеству ресурсов (например, локальный сервер обновлений, контроллер домена и управляющий сервер EPP). Пользователь получает важные обновления средств защиты и клиентского ПО и только после этого получает доступ в сеть.

Стоит отметить, что некоторые решения имеют практически полностью автономный режим работы, в котором достаточно приземлить сервер в твою сеть, осуществить автопоиск активного сетевого оборудования, указать админские учетки и выбрать предустановленный профиль безопасности. Абсолютное волшебство.

Шаг 3. Максимальный уровень.

• Incident Response Platform (IRP) – Платформа реагирования на инциденты информационной безопасности. Реализует сценарии жизненного цикла самого инцидента для снижения MTTR (времени на решение);

• Security Orchestration, Automatization and Response (SOAR) – Система оркестрации, автоматизации и реагирования. Автоматизирует типовые действия по защите при реагировании на инцидент;

• Thread Intelligence (TI) – Поставка информации об угрозах.

Шаг 3 характерен для сверхкрупных компаний или SOC. Мы поговорим о них отдельно после того, как окончательно разберемся в Шаге 1, Шаге 2 и нормативной базе.

Есть еще безопасная разработка, но в ее концепции и решения проще и продуктивнее вникать позже и отдельно.

Итого.

Безусловно, кто-то скажет, что все индивидуально и нужно смотреть на специфику бизнеса, строить модель угроз и модель нарушителя, а уже после подбирать решения, и будет полностью прав. Тем не менее, следует изначально понимать, на каком шаге мы находимся и какие потенциальные решения можем рассматривать. Ведь согласитесь, нет смысла внедрять SIEM, если из средств защиты у вас только антивирус на машине гендиректора.

В следующих статьях мы подробнее разберем три этих шага и остановимся на каждом средстве защиты. Спасибо за внимание и помните: лучший инцидент это тот, который не произошел.