Современные технологии сетевой безопасности: что об этом надо знать_ЧАСТЬ 1
Содержание статьи
Корпоративные сети, которые на сегодня развернуты в большей части российских компаний отличаются своими огромными размерами. К ним подключены сотни, а в ряде случаев и тысячи устройств, в том числе имеющие доступ к интернету. Но, увы, ведущие поставщики средств защиты ушли с рынка РФ. То есть, аппаратное и программное обеспечение, которое раньше предоставлялось компаниями Cisco, McAfee, Fortinet, Splunk, Palo Alto Networks, Trend Micro, Tenable, все еще работает, но никаких обновлений к нему не поступает. Также свою работу на рынке России прекратили Dell, F5, Citrix, HP, Microsoft, IBM, VMware, а также многие другие производители IT-оборудования и соответствующего программного обеспечения. Ввиду этого перед отделом системной безопасности корпораций встал вопрос о защите локальных сетей от утечки данных, хакерских атак и прочего несанкционированного доступа.
Меры по обеспечению информационной безопасности на сегодня прописаны в соответствующем указе. И следовать ему обязаны свыше полумиллиона компаний, относящихся к малому и среднему бизнесу. Благодаря этому они не обеспечат себе должный уровень защиты, но хотя бы вовремя будут знать, что их корпоративные сети попали под взлом. Так как исполнить требования данного указа? Как понять, что сеть вашей компании взломана? Здесь необходимо использовать ряд комплексных решений в сфере сетевой безопасности, которые актуальны в нынешних реалиях. Сейчас остановимся на основных моментах.
Сигнатуры атак для IDS, IPS и NGFW
В любой корпоративной сети будет достаточно много устройств, подверженных уязвимостям. Большая часть из них связана с пользованием почтовых систем, интернет-сайтов. Для защиты компании от атак специалисты по информационной безопасности используют устройство таких классов, как IDS/IPS, NGFW, WAF. Они работают на основании определенных сигнатур, которые способны обнаруживать сетевые атаки. Эти самые сигнатуры постоянно обновляются, что позволяет корпоративным сетям противостоять постоянно меняющимся угрозам. То есть данное расширение способны идентифицировать во входящем трафике хакерские атаки, а также защищать наиболее уязвимые устройства, подключенные к сети и не имеющие необходимых патчей. К тому же, нельзя забывать, что в любой корпоративной сети будет достаточно устройств, где не получится обновить прошивку. Речь идет о датчиках в сетях с АСУ ТП, видеокамерах, устройствах IoT.
Если судить по данным из базы s CVE, то ежедневно в среднем появляется около 50 новых уязвимостей. И IT-специалистам компании надо как-то о них узнавать. Только так они смогут их выявить и предпринять ряд действий, предотвращающих атаку. И основная проблема в том, что необходимых патчей пока еще не будет в наличии — производители просто не успевают их выпускать. Более того, иностранные поставщики экспертизы и сигнатур для рынка РФ сейчас недоступны.
Сегодня появилась достаточно много бесплатных баз, построенных на бесплатных движках. Но, как показывает практика они не обеспечивают требуемого качества обнаружения уязвимостей и не предоставляют полноценного доступа к техподдержке. Также ряд проведенных тестов показал, что даже самые передовые на сегодня движки движки Snort и Suricata от open-source способны анализировать исключительно трафик, со скоростью не более 1 Гбит/с. Если этот показатель будет выше, все включенные сигнатуры просто перестанут работать и не будут видеть атаки. Но ведь трафик большей части крупных корпоративных сетей значительно выше. А обеспечить их поддержку на сегодня создатели бесплатных движков не могут.
Чтобы предоставить качественную защиту от атак, поставщик должен иметь в собственном распоряжении масштабную и дорогостоящую лабораторию исследователей и так называемых «белых» хакеров. Они будут разрабатывать сигнатуры обнаружения атак буквально в режиме реального времени, мгновенно реагируя на появляющиеся новые уязвимости. Увы, на сегодня в России в таких решений очень и очень мало.
Так что можно предпринять на практике, чтобы обеспечить достаточно высокий уровень защиты своих корпоративных сетей? Оптимальное решение — комплексный подход, предполагающий контроль над:
- Действиями сотрудников.
- Уровнем приложений.
Также нелишним будет выполнить ретроспективный анализ DNS-запросов, а также ответов на них. Рассмотрим эти моменты более подробно.
Контроль над действиями сотрудников
Современные пользователи получили в сети достаточно высокий уровень свободы действий. Они свободно перемещаются по интернету, работают под разными IP-адресами. Но вам, как представителям сетевой безопасности той или иной компании важно понимать, кто именно скрыт под тем IP-адресом, который подключается к вашей сети. Только так вы сможете заметить отклонения от привычной работы, что может указывать на атаку.
Работа современных специалистов по информационной безопасности значительно усложняется тем, что злоумышленники зачастую для действий внутри сети используют стандартные аккаунты ваших же сотрудников, а также все те утилиты, которые применяются в повседневной работе. Как они это делают? Просто крадут личные странички сотрудников либо же подбирают их пароли, получая тем самым доступ к персональным профилям. То есть, для системы они будут выглядеть как обычные сотрудники.
Можно ли их идентифицировать? Можно, если знать типичную активность реального вашего сотрудника и следить за ней, тут же реагируя на нетипичное поведение. В принципе это несложно, ведь сотрудник ежедневно выполняет однотипные действия. Он знает где и что ему взять, куда передать, как обработать. В отличии от него действия хакера не будут слаженными и четкими. Ему изначально необходимо изучить, как устроена система, какими приложениями пользуется тот или иной сотрудник и многое другое. То есть, как только вы заметите аномалии в работе того или иного сотрудника (использование других приложений, заход в сторонние системы и пр.), то можете заметить, что что-то идет не так. Еще такой контроль над действиями пользователей называют профилированием. Данная технология реализована в современных системах защиты NTA (network traffic analysis) и NDR (network detection and response).
Сетевая система защиты, которую вы выстроите для своей компании, должна четко распределять, кому из сотрудников принадлежит тот или иной трафик. Она получила название identity firewall. Система будет сопоставлять IP-адрес и порт, идущие в заголовке пакета с аккаунтом соответствующего сотрудника. Благодаря этому можно не только проверять действия некоторых людей, но и ограничивать их возможности, используя принцип минимума привилегий.
Возможно, все это выглядит несколько сложно и запутано, но, на практике все гораздо проще. Так, например, если вы заметите, что помощник руководителя в данный момент времени занят настройкой маршрутизаторов, то наверняка поймете, что кто-то из сторонних действует под его учетной записью, ведь данные работы никак не входят в его должностные обязанности. Именно это и мы и имели в виду, когда говорили о нетипичных действиях персонала.
Система identity firewall способна собирать данные об IP-адресе и соответствующем ему аккаунте сотрудника с достаточно большого количества источников. Осуществляется это на основании:
- журналов аутентификации Active Directory;
- анализа сетевых запросов аутентификации по Kerberos к Active Directory;
- журналов VPN-шлюзов;
- журналов почтовых сервисов и пр.
Специалисты сами определяют функциональность identity firewall, прописывая соответствующие правила по имени пользователя или же по целый группе. Данные последней удается получить от LDAP-серверов.
То есть, профилирование работы сотрудников предполагает выявления аномалий в их работе. Каждый инцидент — это повод провести дополнительную проверку и установить, не работает ли кто-то сторонний с компьютера вашего сотрудника. То есть и аккаунты, и пользователи утилиты могут быть вполне легитимными, но в итоге окажется, что на вашу сеть совершена хакерская атака. Для реализации этой задачи используются разные техники.
Сразу хотим отметить, что в ряде случаев атака может осуществляться с использованием безфайлового вредоносного кода. Выявить угрозу подобного уровня способен только специалист высокой квалификации. Поэтому не лишним будет периодическое обращение к экспертам за помощью в анализе событий, которые собирает ваша система безопасности. Обладая достаточным знаниями и практическими навыками, аналитик сразу же идентифицирует источник угрозы. Нет такого специалиста в поле зрения? Тогда можно использовать специальные автоматизированные приложения, в алгоритмы которых заложены действия экспертов мирового уровня.
Контроль над уровнем приложений
Deep packet inspection (DPI), NGFW и NTA/NDR уже давно используются специалистами по информационной безопасности для того, чтобы выявлять, кто из сотрудников какими приложениями пользуется в работе. Также важно организовать так, чтобы идентификация приложений в трафике осуществлялась вне зависимости от того, какой порт используется в работе. Так, большая часть устройств, выполняющих данные задачи в автоматическом режиме, работают исключительно по стандартным портам. Так, HTTP проверяется классически на 80 порте, SMTP — на 25. Злоумышленникам этот факт хорошо известен, что позволяет им эффективно обходить установленную защиту. В результате на компьютерах в вашей корпоративный сети могут появиться программы для удаленного управления, туннелирования трафика, криптомайнеры, а также любое другое программное обеспечение, которое в таких сетях не разрешено использовать.
Именно поэтому при организации системы безопасности корпоративной сети очень важно определять непосредственно по трафику, какое именно приложение передает данные. Но, увы, на сегодня это решение больше в РФ не используется, так как требует активной подписки на сигнатуры обнаружения приложений. А они обновляются буквально каждый день. Так как же поступить данной ситуации? Как вариант, можно использовать продукт российской разработки – PT Network Attack Discovery. В его функциональные возможности входит прослушивание пользовательского трафика и его запись в режиме реального времени. Здесь определяются как сотрудники, работающие в сети, так и те приложения, которые они используют в данный момент. Благодаря этому в том случае, если произойдет инцидент, можно будет легко разобраться, кто в этом был виноват. Данную работу следует проводить именно в режиме реального времени, так как злоумышленники зачастую меняют IP-адреса, что может вызвать затруднение при их идентификации.
У данного приложения также есть и более продвинутая версия— PT NAD. Этот движок буквально разбирает каждое сетевое соединение на мельчайшие компоненты вплоть до уровня приложений. На сегодня благодаря ему вы сможете узнать более 1200 параметров непосредственно из интерфейса продукта. Более того, на основании этих характеристик можно составить собственные правила обнаружения, учитывающая специфику вашей корпоративной сети.
Также на момент разбора инцидента очень важно понимать, какой IP-адрес в прошлом соответствовал DNS-имени. Для этого необходимо просмотреть DNS-запросы и ответы на них, сделав себе соответствующую пометку. Данная информация в последующем значительно облегчит работу аналитиков при выявлении причин инцидента.
Подводим итоги
Тема сетевой безопасности очень обширна и разносторонняя. Также сюда можно отнести threat hunting, запись трафика и корреляцию событий, проверку вредоносных файлов. Также важно понимать, как вести работы с зашифрованными соединениями, разбираться в вопросе индикаторов компрометации. Обо всем этом и многом другом можно почитать здесь.
Но ведь атакам подвержены не только устройства, подключенные к корпоративной сети, но и персональные компьютеры, ноутбуки обычных пользователей. Как поступить в этом случае, чтобы обеспечить себе дополнительный уровень защиты при работе в сети? Рекомендуем подключить к работе мобильные прокси от сервиса MobileProxy.Space. Подробную информацию о данном продукте, его функциональности и тарифов можно узнать здесь. Благодаря подмене вашему реального IP-адреса на технические характеристики самого сервера, обеспечивается не только защита от хакерских атак и любого несанкционированного доступа, но и абсолютная конфиденциальность действий, эффективное обхождение региональных блокировок, возможность работы в многопоточном режиме (мультиаккаунтинг) и пр.
Появились дополнительные вопросы? Загляните в блок FAQ или же обратитесь за консультациями в службу технической поддержки.