АЛЕКСЕЙ БЕРЕЖНОЙ, независимый консультант, системный архитектор, специалист по системам виртуализации, хранения данных и резервного копирования, alexey.berezhnoy@tech-center.com

Российские системы мониторинга ИТ-безопасности:
есть хорошие новости

В статье пойдет речь о проблемах безопасности и системах мониторинга как эффективном методе поддержания высокого уровня защиты

Вместо предисловия. Эра милосердия еще не наступила

Какую бы отрасль человеческого знания мы бы ни выбрали, всегда найдутся те, кто захочет воспользоваться ею для мошенничества.

Это характерно для любой отрасли: финансов, торговли, медицины, космонавтики и… для информационных технологий.

На смену таким преступлениям, как вооруженный грабеж банков и инкассаторов, приходит взлом информационных сетей. Просто и элегантно, без риска быть убитым.

Порой на бесчисленные рекомендации «безопасников» хочется махнуть рукой: «Да кому мы нужны». Ответ тут простой: нужны не мы, нужны возможности и средства, которые можно легко отобрать при помощи все тех же информационных технологий.

Запугивание потребителей угрозами в сфере информационной безопасности

Несмотря на серьезность таких угроз, информирование о них часто выглядит как запугивание в целях вымогательства.

Врачи хорошо знают, как легко можно запугать пациента, особенно если он обладает небольшой долей мнительности. Это позволяет безбедно существовать огромному количеству шарлатанов от медицины. Но порой этим же грешат имногие платные клиники, которые предлагают реальное, но очень уж дорогое лечение. Примерно так же обстоит дело и в сфере информационной безопасности.

Некоторые производители систем, направленных на защиту информации, пытаются давить авторитетом и пугать потребителя. Этот лейтмотив подхватывает служба ИТ-безопасности (если она вообще присутствует в организации). Давайте разберемся, что есть на самом деле.

Как же отличить запугивание от честного предоставления услуг? В первую очередь стоит посмотреть, от чего предлагается получить защиту. Если эта опасность существует по большей части в представлении самого «защитника», здесь стоит задуматься.

К сожалению, далеко не всегда можно сразу вычислить подобную схему. Особенно при злоупотреблении авторитетом или служебным положением.

Немаловажную роль при оценке угроз играет стоимость подобных услуг. Если цена достаточно высока, то стоит задуматься о реальной необходимости подобных «предложений защиты».

С точки зрения здравого смысла навязчивое предложение купить подобную «крутую систему безопасности» и навязчивое предложение от крепких нагловатых парней нанять их для защиты палатки на рынке в чем-то очень похожи.

Стоит также отметить еще один непоправимый вред, который наносится при такой «рекламе». Описание даже реальных опасностей преподносится настолько навязчиво, что вызывает аллергию у большого числа ИТ-специалистов ируководителей на слова «безопасность», «угрозы», «уязвимости» и так далее.

Очень важно сохранять спокойствие и следовать простым принципам:

• полную защиту на 100% не может гарантировать никто;
• одна компания и тем более один продукт или программа, система и так далее не гарантируют защиты;
• для того чтобы поддерживать приемлемый уровень безопасности, необходимо осуществлять постоянный контроль как защищаемых объектов, так и самой системы защиты.

А какие реальные неприятности возникают из-за проблем в ИТ-безопасности?

В первую очередь стоит отметить риск потери репутации надежного партнера. Дело в том, что участник деловых отношений и связанного с ними информационного обмена отвечает за сохранность конфиденциальности не только своих данных, но и данных своих партнеров. Если руководство организации и ИТ-служба относятся к этому вопросу «спустя рукава», вести с ними дела попросту небезопасно.

Организация несет ответственность не только за свою бизнес-информацию, но и персональные данные сотрудников, которые доверили ей заботу о своей безопасности. Если компания допустила утечку данных о сотрудниках, в ней мало ктозахочет работать.

Чем, помимо репутации, рискует бизнес?

• Прямая потеря денег – как банальные кражи денег со счетов, так и всевозможные схемы с использованием чужих ресурсов, например добыча криптовалюты в пользу злоумышленника.
• Повреждение информации – как непосредственная диверсия, так и распространение вредоносных программ. В качестве примера можно вспомнить «шифровальщиков» или широко известный в свое время вирус One Half.
• Кража секретов – не только секретных документов или технологий, но и персональных данных сотрудников.

Как это делают злоумышленники?

Описать в одной статье все методы взлома просто нереально. Однако существуют некоторые «легкие» пути, которые можно отыскать в ИТ-инфраструктуре.

В любом ПО есть скрытые уязвимости. Они общеизвестны, поэтому ими без особого труда могут воспользоваться «плохие парни».

Облегчают задачу злоумышленникам следующие факторы:

• наличие разнообразного ПО, в том числе уже не актуального для решения полезных задач;
• большое количество открытых портов с широким доступом к ним;
• отсутствие актуальных обновлений программного обеспечения, которые нужны для ликвидации уязвимостей;
• низкая культура информационной безопасности.

К низкой культуре можно отнести не только слабые пароли, но и общее отношение к проблемам безопасности. Например, публикация важных документов на незащищенных ресурсах, сопротивление мероприятиям ИТ-службы по усилению защитных мер и так далее.

Очень сильно осложняется ситуация, когда «темная сторона» использует всевозможные методы автоматизации взлома. Например, распространяется вирус или рассылается письмо с опасным вложением. Вероятность повреждения в этом случае резко возрастает.

Как противостоять возможным угрозам?

• Избавляться от неактуального программного обеспечения.
• Регулярно устанавливать обновления на используемое программное обеспечение. Также следует регулярно читать security notes и оперативно ставить security обновления. (Это вообще очень редко кто делает.)
• Тщательно контролировать ИТ-инфраструктуру на предмет открытых портов, наличия мер защиты, таких как firewall, антивирусное ПО и так далее.
• Регулярно менять пароли, а также контролировать полномочия пользователей.

Построение эффективной системы безопасности

В итоге и руководители, и рядовые сотрудники, работающие в сфере ИТ, всегда находятся в довольно сложной ситуации.

С одной стороны, они должны максимально обезопасить вверенную им систему, с другой – обеспечить полное ее функционирование без проблем для пользователей.

И при этом не стать жертвой нагнетания паники.

Многие проблемы возникают не из-за страшных злых хакеров, а просто из-за халатности пользователей. Для борьбы с такими нарушителями применяются методы административного воздействия, но для этого нужны аргументы, которые необходимо собрать заранее.

Разумеется, в первую очередь необходимо решить кадровый вопрос в ИТ-подразделении. Проще говоря, нанять толковых специалистов.

Но следует учесть, что одному, даже самому классному, специалисту справиться с таким набором задач весьма непросто. Группе людей – немного проще, но тоже нелегко. Нужна серьезная поддержка в плане независимой экспертизы. Некий инструмент, ресурс и так далее, который взял бы на себя функции арбитра.

Разумеется, время от времени можно заказывать аудит безопасности у независимой организации. И это правильная политика. Но каждый день и тем более каждый час заказывать аудит не получится.

А какое реально положение дел между аудитами – тут мало кто может дать подробную информацию.

Нужен какой-то автоматический инструмент, который будет опираться на экспертные оценки и помогать администраторам следить за безопасностью серверов и сетевого оборудования. При этом он должен стоить дешево, чтобы его могла позволить себе компания любого размера – и с 10 серверами, и со 100 тысячами устройств.

Эффективная система для независимого аудита и мониторинга: что в нее входит?

Как сделать хороший продукт для внешнего аудита?

Хорошая новость: существуют уже готовые списки уязвимостей, которые публикуют известные производители, такие как Cisco, Oracle, Red Hat, Microsoft и так далее.

Еще есть такой важный аспект, как проверка на соответствие стандартам безопасной конфигурации ПО (в англоязычной литературе – Compliance). Независимые общепризнанные организации, такие как Center for Internet Security (CIS) [1], выпускают свои наборы рекомендованных стандартов, остается только проверить соответствие системы данным параметрам.

Из дополнительных функций стоит отметить инвентаризацию установленного ПО.

Во-первых, всегда имеет место человеческий фактор, когда ИТ-специалисты теряют из виду, что где-то установлена программа, запущен сервис, открыт порт для доступа и так далее.

Второй момент – лицензионная чистота. Чтобы не скатиться в «пиратство», необходимо точно знать количество установленных копий того или иного программного обеспечения. Например, сколько и каких экземпляров MS SQL Server установлено и для чего они используются.

Помимо экономии средств на оплату лицензий, это позволяет сберечь и другие ресурсы. Например, если избавиться от малонагруженных экземпляров MS SQL Server, можно высвободить эти серверы или ресурсы виртуальной системы длядругих целей.

Разумеется, все вышеперечисленное было бы бессмысленно без системы контроля изменений. Если в системе что-то меняется, неплохо бы знать, что и по какой причине. Например, установилось какое-то незапланированное обновление. Втаких ситуациях полезно знать: это кто-то из своих сотрудников проявил инициативу, сработала система автообновления или в системе «прижился» вредоносный код?

То же можно сказать про изменение конфигурации ПО, оборудования, настроек систем безопасности и так далее.

Надо отдавать себе отчет, что подобные системы не являются каким-то волшебным средством из серии «поставил, настроил и забыл», но они могут упростить жизнь администраторов. От ИТ-персонала по-прежнему требуется читать отчеты и закрывать бреши в системе. Только теперь гораздо проще понять, что именно надо делать, чтобы не допустить обнаруженной угрозы.

Подобных инструментов в мире довольно много. Ниже в разделе «Источники» данной статьи приводится набор ссылок на такие системы.

В данной статье остановимся только на российских разработках: COMPLAUD и MaxPatrol.

COMPLAUD

COMPLAUD – горизонтально масштабируемая отказоустойчивая система аудита информационной безопасности и соответствия стандартам и настройкам.

Основные направления применения COMPLAUD:

• поиск и обнаружение уязвимостей и несоответствия стандартам безопасности;
• избавление от человеческого фактора при обеспечении ИБ;
• единый инструмент мониторинга безопасности и взаимодействия между различными подразделениями и специалистами ИТ-отрасли;
• непрерывный аудит установленного ПО;
• подготовка для успешного прохождения внешних аудитов по стандартам безопасности.

Некоторые технические детали реализации COMPLAUD:

• доступный и документированный набор API-функций (REST API) позволяет автоматизировать процесс работы;
• эскалация событий, генерируемых системой, через syslog позволяет интегрировать COMPLAUD с другими продуктами для мониторинга;
• интеграция с поисковой системой Elasticsearch обеспечивает хранение и поиск информации по всем выявленным уязвимостям или несоответствиям требованиям, а также журналам регистрации действий пользователей системы;
• интеграция с мессенджером Slack;
• установка внешних модулей (plugins) из веб-интерфейса системы дает возможность гибко изменять параметры контроля на сканируемых объектах, также есть возможность написать свои модули для проверки;
• разделение полномочий на основе ролевой схемы позволяет организовать взаимодействие между сотрудниками подразделений, например службы информационной безопасности, технической поддержки, с помощью системы заявок (Ticketing).

Последний пункт мне показался весьма интересным. Ticketing – это возможность создания заявки (тикета) на устранение уязвимости, несоответствия стандарту с вложением уязвимости или/и несоответствия, отслеживание статуса выполнения заявок. Такой вот Service Desk в миниатюре.

Такие заявки помогают упростить взаимодействие службы информационной безопасности и администраторов ИТ в процессе устранения обнаруженных уязвимостей и несоответствий стандартам. Можно согласовать исключение изстандарта или пометить уязвимость как «ложное срабатывание».

Рисунок 1. Схема взаимодействия компонентов при использовании облачной версии COMPLAUD. (Изображение получено с официальной страницы продукта)

Создатели COMPLAUD немало сил потратили для обеспечения горизонтальной масштабируемости и отказоустойчивости. За этими грозными словами кроется вполне понятный набор функций:

• использование кластера Docker позволяет балансировать нагрузку и легко масштабировать систему под инфраструктуру любого размера, просто добавляя новые узлы в кластер и увеличивая количество контейнеров-сервисов;
• для хранения метаданных (а их может быть довольно много) требуется децентрализованная noSQL СУБД – такой подход обеспечивает линейную масштабируемость и репликацию между любым количеством кластерных узлов, размещаемых в нескольких дата-центрах;
• для дополнительной балансировки используется механизм DNS round-robin, чтобы распределить нагрузку между узлами кластера Docker, обрабатывающими запросы к API от агентов и пользователей веб-консоли;
• асинхронный веб-сервер обрабатывает запросы агентов к API, количество которых также может увеличиваться практически без ограничений.

Примечание. В данном обзоре можно встретить термин «пользователи». Дело в том, что при описании облачных систем, в том числе COMPLAUD, пользователем называют потребителя ресурса. В реальной жизни термин «пользователь» может обозначать целую международную корпорацию.

Возможности для контроля:

• поиск уязвимостей (Audit) на основе публикаций безопасности от ведущих производителей ПО (Red Hat Enterprise Linux, CentOS, Ubuntu, Suse Linux Enterprise Server и других);
• проверки на соответствие требованиям безопасной конфигурации (Compliance) серверов Linux и MS Windows, СУБД SAP HANA, гипервизора VMware ESXi, а также оборудования от Cisco, Huawei, MikroTik;
• инвентаризация ПО.

Особенности работы:

• взаимодействие пользователей и агентов с интерфейсами системы осуществляется по протоколу HTTPS, обеспечивающему шифрование;
• для каждого агента существуют приватный и публичный ключи;
• все учетные данные (пароли, ключи) шифруются публичным ключом и могут быть расшифрованы только приватным ключом агента, который работает в инфраструктуре пользователя;
• все операции по шифрованию и дешифрованию производятся только внутри защищенного периметра сети клиента, каждый агент имеет сертификат, выданный ему удостоверяющим центром клиента;
• интеграция со службой каталогов MS Active Directory по протоколу LDAP обеспечивает стандартизированный в корпоративных средах подход к аутентификации и авторизации.

Архитектура и варианты использования

• Минимальный (облачный), когда внутри периметра сети устанавливается агент на выделенный сервер. Агент сканирует сеть, собирает данные и отправляет их на анализ в облако. Этот вариант предназначен для внедрения и вкрупных, и в совсем небольших организациях, в том числе в сфере малого и среднего бизнеса.
• Автономный. Данный элемент подходит для закрытых организаций с повышенным уровнем секретности, например для госструктур. Этот вариант подходит для тех организаций, для которых использование облачного сервиса неприемлемо.

При оценке облачных систем порой возникает вопрос: как осуществляется защита данных пользователя?

Все операции по шифрованию и дешифрованию учетных данных COMPLAUD осуществляются только внутри защищенного периметра пользователя.

Для шифрования используются криптостойкие алгоритмы шифрования (AES-256-CBC, RSA-4096). Кроме того что каждый агент-сканер имеет для аутентификации и шифрования пару ключей, ему выдается подписанный удостоверяющим центром пользователя сертификат.

Таким образом, администратор облачной системы технически не в состоянии получить доступ к учетным данным сканируемых серверов пользователя.

Алгоритм работы достаточно простой:

• Агент получает от ядра задания на проверку хоста.
• Ядро COMPLAUD получает в ответ от агента результаты проверок, информацию об установленном ПО и отмечает результаты в базе данных.
• На основе этих данных, в свою очередь, уже строятся отчеты.
• Проверки выполняются регулярно, чтобы информация о состоянии была максимально близка к реальному времени (realtime).

Агент COMPLAUD и встроенные модули для проверки на соответствие стандартам (плагины) распространяются под свободной лицензией Apache License 2.0. Ядро системы имеет закрытый код, но при необходимости исходные коды могут быть предоставлены для проверки компетентными органами на отсутствие закладок в рамках соответствующего интеграционного проекта.

Хочется отметить ориентированность RCNTEC на поддержку малого и среднего бизнеса. Схема работы достаточно простая, не перегруженная архитектурой, которую при этом можно масштабировать для контроля сотен тысяч устройств (все крупные корпорации были когда-то маленькими фирмами). Есть бесплатный облачный вариант на ограниченное количество хостов для малого бизнеса.

При общении с представителями ООО «АРСИЭНТЕК» у меня сложилось хорошее впечатление. Создатели COMPLAUD очень охотно рассказывают о своей системе, дают возможность протестировать, с удовольствием отвечают надополнительные вопросы. В этом плане можно быть уверенным, что пользователь не останется один на один со своими проблемами и всегда сможет получить поддержку.

Есть возможность сразу протестировать продукт, а также ознакомиться с документацией. В случае возникновения каких-либо вопросов техническая поддержка RCNTEC всегда готова на них ответить вне зависимости от статуса обратившегося.

Что не может COMPLAUD?

Надо понимать, что подобные системы не будут самостоятельно заделывать бреши в безопасности. Основная их задача – быстрое обнаружение и информирование с возможностью построить подробный отчет. В то же время, имея подробную информацию, гораздо проще выполнить комплекс мер по ликвидации уязвимостей.

Что точно нельзя выполнить с помощью COMPLAUD – нельзя перехватить управление ИТ-инфраструктурой. Система изначально основана на принципах «не навреди». Так что злоумышленникам придется поискать другой путь длявторжения.

MaxPatrol

Основные направления применения MaxPatrol:

• инвентаризация элементов ИТ-систем;
• поиск и устранение уязвимостей и ошибок конфигураций составных частей ИТ-систем, а также несоответствий фактических настроек внутренним регламентам и корпоративным стандартам;
• анализ результатов проверок аудита безопасности и соответствия стандартам защищенности, формирование информативных отчетов;
• оценка эффективности контроля безопасности и принятых мер по ликвидации нарушений.

Помимо MaxPatrol, Positive Technologies выпускает и другие продукты для работы в сфере безопасности. Более подробно с их продукцией можно ознакомиться на официальном сайте [8].

Рисунок 2. Система мониторинга MaxPatrol для небольшой корпоративной сети

Рассматриваемый нами MaxPatrol 8 для эффективного контроля безопасности снабжен классическим набором в виде средств аудита безопасности (тестирование на проникновение – PenTest, системные проверки – Audit) и средств контроля соответствия стандартам (Compliance). Данные средства позволяют получить представление о наличии уязвимостей и об уровне защиты и соответствия стандартам и требованиям регуляторов.

MaxPatrol устанавливается в инфраструктуре пользователя. При этом для масштабирования могут быть добавлены серверы-сканеры. Несколько отдельных инсталляций MaxPatrol могут передавать результаты сканирований серверу консолидации, с которого возможен просмотр всей информации.

Рисунок 3. Система мониторинга MaxPatrol для крупной структурированной сети

К сожалению, доступная информация о внутренней архитектуре, встроенных механизмах носит в основном рекламный характер.

Попытки получить дополнительную информацию о доступных платформах, использовании appliance в виде образа виртуальной машины, поддержке малого и среднего бизнеса, а также о том, откуда MaxPatrol Server берет свежие данные, вызвали затруднение. Все, что удалось получить через стандартную линию обратной связи, – несколько «историй успеха».

В то же время надо отметить обширную просветительскую и образовательную деятельность компании. Positive Technologies ведет видеоблог на YouTube с большим количеством материалов, является организатором Positive Hack Days и такдалее.

Ограничения использования MaxPatrol

• Мало документации в открытом доступе. На сайте в основном рекламная информация. Есть канал на YouTube, но материалы, представленные там, не закрывают всех вопросов.
• Нет информации о том, как распространяется система MaxPatrol: с закрытым или открытым кодом. Поэтому приходится отталкиваться от самого ограниченного варианта.
• Отсутствует информация о какой-либо поддержке малого и среднего бизнеса, распространения облегченных версий и так далее.

В обзоре описаны российские продукты, призванные помочь с решением вопросов в сфере ИТ-безопасности.

Как видим, при наличии такой существенной помощи, как системы мониторинга ИТ-безопасности, значительно повысить уровень защиты становится гораздо проще.

Ссылки на продукты и источники из обзора:

1. Официальный сайт Center of Internet Security – https://www.cisecurity.org/.
2. Официальная сайт COMPLAUD – https://www.complaud.com/.
3. Страница Apache License, Version 2.0 – https://www.apache.org/licenses/LICENSE-2.0.
4. Страница регистрации на облачном ресурсе COMPLAUD – https://console.complaud.com/.
5. Документация COMPLAUD – https://console.complaud.com/docs/.
6. Канал RCNTEC на YouTube – https://www.youtube.com/channel/UCP2v2xJMAMW1TGC6WGTy57g.
7. Сайт мероприятия Positive Hack Days – https://www.phdays.com/ru/.
8. Официальная страница MaxPatrol 8 – https://www.ptsecurity.com/ru-ru/products/mp8/.
9. Канал Positive Technologies на YouTube – https://www.youtube.com/user/PositiveTechnologies.

   Продукты, которые не вошли в обзор:

   Freeware

10. Greenbone Community Edition(OpenVAS) – https://www.greenbone.net/en/community-edition/.
11. Retina CE – https://www.beyondtrust.com/products/retina-network-community/.

    Commercial

12. Nessus Professional (tenable.io) – https://www.tenable.com/products/nessus/nessus-professional.
13. Nexpose – https://www.rapid7.com/products/nexpose/.
14. Qualys – https://www.qualys.com/apps/vulnerability-management/.
15. GFI LanGuard – https://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard.
16. Retina CS – https://www.beyondtrust.com/products/retina-cs/.

Ключевые слова: поиск и обнаружение уязвимостей, контроль безопасности, мониторинг ИТ-безопасности.

Комментарии могут оставлять только зарегистрированные пользователи