Defense in Depth: военные принципы корпоративной безопасности::Журнал СА 12.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6229
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6936
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4222
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3011
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3808
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3825
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6320
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3463
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7280
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12368
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9127
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3158
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Defense in Depth: военные принципы корпоративной безопасности

Архив номеров / 2018 / Выпуск №12 (193) / Defense in Depth: военные принципы корпоративной безопасности

Рубрика: Безопасность /  Механизмы защиты

Олег Тундайкин ОЛЕГ ТУНДАЙКИН, CTO, «Мерион Нетворкс», ot@merionet.ru

Defense in Depth:
военные принципы корпоративной безопасности

За то короткое время пока вы читаете эту статью, по самым приблизительным оценкам, в мире будет совершено свыше 22 тысяч кибератак, а за день эта цифра превысит 6,5 миллиона случаев

В 2017 году «Лаборатория Касперского» [1] фиксировала более 360 тысяч новых образцов вредоносных файлов в день, что на 11,5% больше, чем годом ранее. Независимые исследователи из AV-Test [2] сообщают, что в 2018-м уже зафиксировано 836,23 миллиона новых вредоносов (см. рис. 1).

Рисунок 1. Количество вредоносных образцов по годам

Рисунок 1. Количество вредоносных образцов по годам

Все это говорит о том, что в киберпространстве сегодня идет настоящая война, и в это противостояние ввязано все начиная от целых государств и заканчивая простыми гражданами, как вы и я.

Основным драйвером для злоумышленников по ту сторону баррикад по-прежнему остается получение финансовой прибыли, поэтому большинство атак направлено на организации малого, среднего и крупного бизнеса. Однако в последние годы участились атаки на учреждения здравоохранения [3], и это становится действительно опасным явлением. В отличие от коммерческих организаций больницы и госпитали не могут позволить себе простоя своих сервисов, поэтому вынуждены выполнять все требования хакеров, т.к. от этого, без преувеличения, зависят человеческие жизни. Злоумышленники всегда будут на шаг впереди, так как они не руководствуются ни нормативными актами ни, как показала практика, принципами гуманности.

Концепция «глубокой защиты» предполагает организацию независимой защиты каждого уровня информационной системы

К большому сожалению, на сегодняшний день не существует универсальной «серебряной пули», которая могла бы защитить компании от вредоносной активности и хакерских атак. Старый военный принцип «лучшая защита – этонападение», пока только в частных случаях используется правоохранительными органами после выявления причастных к атакам лиц. Поэтому остальным организациям остается только вооружаться и защищаться на всех имеющихся рубежах.

Однако кое-какие из военных принципов все-таки полезно взять на вооружение, когда дело касается защиты информационной инфраструктуры. Это концепция «глубокой защиты» (Defense in Depth), которая предполагает организацию независимой защиты каждого уровня информационной системы. Идея такого подхода заключается в защите системы от конкретного типа атаки с использованием нескольких независимых методов (см. рис. 2).

Рисунок 2. Архитектура Defense in Depth

Рисунок 2. Архитектура Defense in Depth

Эту тактику наслаивания придумали в Агентстве национальной безопасности (NSA) как комплексный подход к информационной и электронной безопасности. А изначально это военная стратегия, которая направлена на то, чтобы заставить атакующего тратить как можно больше времени на преодоление каждого уровня защиты, нежели предотвратить наступление противника.

Концепция Defense in Depth делит организацию защиты инфраструктуры на три контролируемые части:

  • Физическая: сюда относятся все меры по ограничению физического доступа к ИТ-инфраструктуре неавторизованных лиц. Например, охранник вашего офиса, системы СКУД, камеры видеонаблюдения, сигнализация, телекоммуникационные шкафы с замками и так далее.
  • Техническая: сюда относятся все хардверные и софтовые средства защиты информации, призванные контролировать сетевой доступ к объектам информационной системы, межсетевой экран, средства антивирусной защиты рабочих станций, прокси-серверы, системы аутентификации и авторизации.
  • Административная: сюда относятся все политики и процедуры информационной безопасности, принятые в организации. Данные документы призваны регулировать управление защитой, распределение и обработку критичной информации, использование программных и технических средств в компании, а также взаимодействие сотрудников с информационной системой, сторонними организациями и другими внешними субъектами.

Итак, давайте же углубимся в уровни «глубокой защиты» и посмотрим, как можно применить данный подход на практике.

Уровень физической защиты

Надолго останавливаться на физическом уровне мы не будем, т.к. тут и так все понятно.

Скажу лишь, что на данном уровне во избежание серьезных инцидентов информационной безопасности нужно однозначно идентифицировать всех и все, что физически попадает внутрь организации, начиная с людей (особенно если они неявляются сотрудниками) и заканчивая техническими средствами.

Такие векторы атак, как нелегально пронесенное на территорию офиса оборудование (Wi-Fi-шлюзы, USB-накопители и так далее), хоть и встречаются достаточно редко, все же не являются исключением. А злоумышленнику, который может находиться на территории объекта абсолютно легально, не обязательно даже иметь доступ к оборудованию, достаточно обладать хорошими навыками социальной инженерии и психологической манипуляции. Такие методы, как shoulder surfing и dumpster diving, тоже имеют место быть, так что...

Рисунок 3. Офисные шредеры

Рисунок 3. Офисные шредеры

Но хватит околошпионских сценариев, давайте рассмотрим методы защиты уровней, применимых к каждой без исключения организации, будь то SMB или Enterprise.

По порядку продолжим техническим уровнем.

Уровень технической защиты

Согласно концепции Defense in Depth на данном уровне необходимо реализовать целый комплекс защитных мер.

Firewall

В первую очередь это, конечно же, межсетевое экранирование. Нужно фильтровать весь входящий и исходящий сетевой трафик. Конечно, лучше будет использовать решения NGFW, которые сочетают в себе функционал традиционного Firewall с другими функциями фильтрации и анализа сетевого трафика, например IPS (система предотвращения вторжений), DPI (углубленный анализ сетевых пакетов), фильтрация на уровне приложений и их функций.

Тут учитывается несколько факторов.

Во-первых, такие решения стоят недешево, поэтому нужно определить, какие задачи решит приобретение такого оборудования – защита сети, организация VPN, детектирование атак, анализ сетевого трафика и так далее. Помимо этого каким-то организациям разрешено приобретать только сертифицированные решения или только отечественного производства, поэтому стоит обратить внимание на наличие таких сертификатов или перспективу их получения.

Во-вторых, важно не попасться в маркетинговую ловушку. Дело в том, что существует несколько схожих решений UTM, NGFW, NGIPS, которые обладают приблизительно одинаковым функционалом, и производители не стесняются позиционировать свое решение как «швейцарский нож», хотя на самом деле оно может таковым и не является. Лучше абстрагироваться от маркетинга и руководствоваться фактами. Подходит ли решение под мою задачу? Соответствует ли оно нашим требованиям? Сможем ли мы с ним работать? Есть ли поддержка? Если есть возможность – возьмите «тест-драйв».

UTM, NGFW – это продукты, сочетающие в себе все необходимые модули сетевой безопасности, такие как межсетевое экранирование, IPS/IDS, VPN, фильтрация приложений, защита почты, антивирус, – в одном флаконе. Как правило, они имеют виртуальное, аппаратное или программное исполнение, легко масштабируются, пополняются новыми модулями и поддерживают кластеризацию.

Межсетевой экран – не такое решение, чтобы на нем стоило экономить, ведь именно это устройство будет защищать ваши передовые рубежи. С тех пор как появились первые UTM, а за ними и NGFW, прошло уже достаточно много времени, решения стали более производительными и способными обрабатывать большие объемы трафика.

Сейчас на рынке представлено достаточно большое количество производителей, выпускающих решения этого класса как для малого и среднего, так и для крупного бизнеса. Среди них можно выделить такие решения, как Sophos UTM, Cisco Firepower, Fortinet FortiGate, Checkpoint, Palo Alto.

Защита почты

По данным Symantec [4] за последний год, 71% таргетированных атак совершалось методом spear phishing. Это такой вид атаки, который направлен на конкретных владельцев почтового ящика с использованием методов социальной инженерии и психологического воздействия.

Почта вообще является излюбленным вектором атаки у хакеров, потому что она есть у всех, и если ее никак не защищать, то вероятность успеха атаки будет почти стопроцентной.

Письмо может быть сформировано так, что его нельзя будет отличить от письма из доверенного источника. Банки, ведомства, государственные учреждения, ваши партнеры, клиенты – хакеры могут притвориться кем угодно. Доверчивый сотрудник откроет ссылку или вложение из такого письма, и вашу сеть вмиг поразит очередной шифровальщик или агент ботнета. Конечно, нужно максимально ограничивать возможность получения таких писем вашими сотрудниками.

В этом нам помогут антиспам-решения, которые проверяют входящие письма по множеству критериев, таких как данные отправителя, адрес почты, IP, домен, наличие/содержание вложений и ссылок, и принимают решение об ихдальнейшей обработке.

Такой популярный вектор атаки, как почта, должен быть защищен максимально надежно. Для этих целей могут подойти NGFW, UTM с модулями защиты почты, а также отдельные решения, из которых можно отменить Cisco IronPort ESA, Kaspersky Security для почтового сервера, Eset Email Security.

Антивирусная защита

Максимальный урон вирус наносит, когда попадает и закрепляется на конечной цели – рабочей станции, сервере или другом устройстве. Отсюда он начинает свое разрушительное действие и распространение по сети. Это может быть шифрование файловой системы, установка агента ботнет-сети, бэкдора, руткита, программы-шпиона и многое другое. Поэтому защита оконечных точек от вредоносных файлов является одним из важнейших факторов комплексной безопасности. Если уж все предыдущие рубежи пали или вредонос нашел какие-то другие пути до цели, то только антивирус способен защитить оконечную станцию и остальную сеть от вредоносного воздействия.

Выбирая антивирусное решение, следует обращать внимание на поддерживаемый список методов определения вредоносного кода. Помимо простого сигнатурного анализа, существуют еще поведенческий, эвристический методы, основанные на контроле целостности. Решения большинства ведущих разработчиков антивирусного ПО, такие как Kaspersky Endpoint Security, Symantec Endpoint Protection, ESET Endpoint Security, Dr.Web Desktop Security Suite, поддерживают данные методы.

Интересное решение – Sophos Intersept-X, которое выявляет угрозы с использованием технологий искусственного интеллекта.

Кстати, свободные антивирусные решения тоже есть [5].

Системы управления доступом

Неограниченный доступ ко всем элементам информационной системы может быть не только бесполезным, но и опасным. Например, операторам ни к чему иметь доступ к API веб-приложения или консоли управления почтового сервера. Согласно лучшим практикам нужно выдавать доступ только к тем компонентам, с которыми пользователь будет работать. Для эффективного управления доступом нужно иметь систему авторизации и аутентификации, которая будет однозначно идентифицировать пользователя и определять, какие права на доступ у него есть. Наиболее подходящим решением в данном случае является создание контроллера домена (domain controller) и установки службы Active Directory. Как правило, этот же сервер можно задействовать под роли DNS и DHCP. А чтобы все было «по канону» рекомендуется не ограничиваться одним контроллером и установить резервный, что повысит безопасность и отказоустойчивость решения.

При настройке системы управления доступом, особое внимание следует уделить требованиям к паролям. Настроить частоту их смены и содержания, блокировку системы в случае неправильного ввода и другое.

Регулярные обновления

В программных и аппаратных продуктах постоянно находят новые уязвимости. Каждая такая уязвимость невольно делает всех, кто работает с решением, в котором она найдена потенциальной жертвой злоумышленников на время, пока небудет выпущено исправление. Поэтому необходимо постоянно следить за новыми обновлениями продуктов от разработчиков и своевременно их устанавливать.

Но бездумно это делать не рекомендуется. Согласно лучшим практикам обновление лучше сначала хорошенько обкатать в лаборатории и, лишь убедившись в отсутствии других «сюрпризов», накатывать в продакшн. Это долгий путь, зато правильный.

Контролировать наличие активов с устаревшими и уязвимыми версиями ПО поможет сканер уязвимостей.

Технические улучшения

В сфере информационных технологий прогресс не останавливается ни на минуту. То, что было актуальным вчера, сегодня может уже не работать и кишеть опасными уязвимостями!

Поэтому важно не зацикливаться на том, что есть, а постоянно искать возможности добавления новых решений для усиления защищенности.

Кроме того, производители и разработчики сами стимулируют адаптироваться к новым вызовам, сворачивая поддержку и снимая с производства старые продукты.

Резервное копирование

Делайте резервные копии всего, что только можно, особенно критичных систем и их конфигурации. Кто-то может спросить, а как это относится к безопасности, напрямую. Установили свежий апдейт на продакшн-решение, и оно «прилегло отдохнуть»? Это инцидент информационной безопасности и непрерывности ведения бизнеса. Вирус-шифровальщик уничтожил базу данных с критичной информацией? Очень жаль. Вот бы остался бэкап, правда?

Делайте регулярные бэкапы!

Мониторинг и анализ

В идеале нужно понимать, что происходит с вашими информационными активами и сетью. Каким атакам они подвергаются, опасны ли они, есть ли среди них успешные?

Для этих задач существуют системы управления событиями информационной безопасности (SIEM). Они собирают журналы со всех критичных узлов инфраструктуры (межсетевых экранов, маршрутизаторов, коммутаторов, серверов, рабочих станций и так далее) и по заданным правилам ищут коррелирующие признаки, на основании которых сообщают об инциденте. Например, сервер сообщает, что на него были 34 неспешные попытки аутентификации, а на 35-йпользователю удалось войти. Налицо успешная попытка брутфорса – инцидент, разбираемся.

Нужно сказать, что в сегменте SMB такие системы пока не распространены и коммерческие решения могут себе позволить далеко не все. Они требуют достаточно точной настройки и долгой отладки для устранения ложных срабатываний.

Тем не менее Open Source-решения такого класса существуют, и никто не запрещает попробовать адаптировать их под свои задачи [6].

Ну и напоследок о ноу-хау в списке решений информационной безопасности, которые имеют хороший потенциал, но пока массово не применяются.

Песочницы (Sandboxes)

Это такие изолированные, как правило, виртуальные системы, в которых можно проверить, является ли файл вредоносным. Ну, допустим, вы получили письмо с вложением от недоверенного источника и пока что его не открыли. Вы можете направить файл из вложения в песочницу. Вирус подумает, что он добрался до оконечной станции, и начнет свое разрушительное действие, а вы сможете изучить работу вируса и, например, поделиться результатами исследования сразработчиками антивирусного ПО.

Сейчас технология Sandboxing применяется в основном в антивирусах для проверки поведения вредоносных файлов.

UEBA

Модные в последнее время тренды машинного обучения нашли применение в сравнительно недавних решениях в области информационной безопасности – системах поведенческого анализа (User and Entity Behavior Analytics). С помощью различных технологий данные системы могут находить аномалии в работе множества сущностей, от сетевого оборудования и трафика до пользователей, и уведомлять об этом ответственных лиц. Такие системы могут стать дополнением крешениям мониторинга информационной безопасности.

Ловушки для хакеров (Honeypots)

На рынке пока еще представлено не так много коммерческих решений данного класса. Суть проста: создается заведомо уязвимое устройство или целый парк таких устройств, они могут быть как аппаратными, так и виртуальными. Этиустройства должны имитировать актив, работающий в нарушение всех политик безопасности, чтобы привлечь внимание злоумышленников. Главное – не слишком перестараться, а то подвох окажется очевидным.

Суть в том, что после установки такого устройства, вы и ваши коллеги больше не должны никак с ним взаимодействовать, а значит, любая активность на нем будет свидетельствовать об атаке. Очень удобный способ, чтобы исследовать действия злоумышленников.

Благодаря таким решениям, в том числе собираются многочисленные индикаторы компрометации злоумышленников (IP-адрес, домен, URL, хеш-сумма вредоносных файлов и так далее), которые потом применяются в Threat Intelligence.

Уровень административной защиты

Последний по счету, но не по значимости, уровень в концепции Defense in Depth.

Усиливать безопасность своей компании можно (и нужно), в том числе с помощью административного ресурса. Защитные меры, которые применяются на данном этапе, направлены на самый уязвимый в мире вектор атаки – человека.

Ведь если в компании разработана политика информационной безопасности, в которой четко прописано, что можно и что нельзя делать при работе с информационной системой, какие последствия и штрафные санкции может за собой повлечь ее нарушение, то это уже сокращает риск возникновения серьезных инцидентов.

Помимо этого, нужно повышать осведомленность сотрудников об актуальных опасностях. Например, о том, что опасно переходить по подозрительным ссылкам, которые ведут на незащищенные сайты, что опасно открывать вложение изписем от подозрительных отправителей, что можно использовать рабочую почту только в деловых целях и ни в коем случае для регистрации на сторонних ресурсах. В идеале – проводить для сотрудников регулярные тренинги, где рассказывать об актуальных угрозах и способах защиты от них.

Сложно представить себе, что когда-нибудь для защиты информационной инфраструктуры понадобится всего одно решение, поэтому пока что концепция Defense in Depth остается актуальной. Она подходит для бизнеса любого размера вне зависимости от имеющихся ресурсов.

Конечно, кто-то может позволить себе более качественные коммерческие продукты с поддержкой от производителя, а кто-то только Open Source с поддержкой от комьюнити, но при правильном подходе даже на открытых решениях можно выстроить полноценную многоуровневую систему для защиты информационных активов.

Укрепляйте рубежи и stay safed!

  1. https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-detects-360000-new-malicious-files-daily
  2. https://www.av-test.org/en/statistics/malware/
  3. https://www.beckershospitalreview.com/cybersecurity/11-of-the-biggest-healthcare-cyberattacks-of-2017.html
  4. https://www.symantec.com/blogs/expert-perspectives/why-phishing-continues-spear-victims
  5. https://www.quora.com/What-is-the-best-open-source-antivirus-software
  6. https://logz.io/blog/open-source-siem-tools/

Ключевые слова: корпоративная безопасность, кибератаки, firewall, UTM, Honeypot, защита почты.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru