Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Два подхода для технического обеспечения информационной безопасности: превентивный и детективный.
Превентивный способ защиты информации направлен на недопущение нарушения состояния информационной безопасности актива, например, блокирование запуска вредоносного файла антивирусом или запрет на входящее несанкционированное подключение межсетевым экраном. Таким образом, угрозы информационной безопасности пресекаются в зародыше - всё направлено на сохранение информации с помощью превентивных (предотвращающих) средств.
Детективный способ защиты информации направлен на сбор как можно большей информации о неком событии или действии, при условии, что мы точно не знаем, являются ли эти события или действия легитимными или нет. Далее собранная информация отправляется специалисту по информационной безопасности для того, чтобы он проанализировал её и принял решение.
Типы СЗИ:
• Активные (превентивные) / Пассивные (детективные)
• Сетевые / Хостовые
• Аналитические / пользователецентричные / датацентричные
1. Средства антивирусной защиты предотвращают выполнение вредоносного кода и деятельность вредоносного программного обеспечения на конечных точках (рабочих станциях и серверах), в локальном и веб-трафике, в электронной почте. Они обнаруживают вредоносный код с помощью средств сигнатурного, эвристического, репутационного анализа и анализа на основе индикаторов компрометации.
2. Средства антиэксплойт защиты позволяют обнаруживать и предотвращать вредоносное воздействие эксплойтов, т.е. программ или набора команд, использующих уязвимости установленного прикладного или системного программного обеспечения. Для этого данные типы средств контролируют обращения к определенным участкам оперативной памяти, попытки заменить адрес возврата при выполнении программной функции, попытки переопределить тип используемых объектов в памяти (данные или команды), попытки заполнить определенные участки оперативной памяти своим кодом и т.д.
3. Средства детектирования, реагирования и защиты на конечных точках (англ. Endpoint Detection and Response / Endpoint Protection Platform) анализируют работу конечных точек и ищут соответствия их поведению известным индикаторам компрометации, например, путем анализа хэш-сумм запущенных файлов и сетевых подключений к определенным IP-адресам. Кроме того, они осуществляют репутационный анализ и корреляцию данных от всех оснащенных данной системой конечных точек, выстраивают хронологию атак с отображением цепочки атаки, выявляют затронутые атакой данные, процессы, узлы в сети, а также изолируют зараженные узлы в сети и собирают форензик-данные для последующего проведения компьютерного криминалистического исследования.
4. Средства создания защищенной программной среды и контроля целостности обеспечивают защиту и мониторинг используемого системного и прикладного программного обеспечения для исключения запуска вредоносного или нежелательного ПО, а также осуществляют контроль целостности и подлинности используемых санкционированных программ. Этот функционал достигается путем инвентаризации и построения списков разрешенного и запрещенного к использованию системного и прикладного ПО; контроля версий, цифровой подписи издателя, контрольных сумм, имён компонент системного и прикладного ПО; контроля запуска программ, включая мониторинг файловой и сетевой активности, а также запросов на повышение привилегий и взаимодействие с пользовательскими данными.
5. Средства контроля и управления учетными записями осуществляют централизованное управление учетными записями пользователей и администраторов информационных систем в течение полного жизненного цикла от создания до удаления, включая контроль членства в группах, полномочий, делегирования, наследования привилегий, а также осуществляют управление сервисными (технологическими) учетными записями и управление авторизацией пользователей, администраторов, иных сущностей в информационных системах. Такие системы, как правило, поддерживают интеграцию с системами кадрового делопроизводства, документооборота, планирования и администрирования, системами контроля и учета доступа и с системами мультифакторной аутентификации с использованием одноразовых паролей или биометрических данных. Одной из опций функционала данного класса систем является журналирование действий учетных записей систем, администраторов и пользователей.
6. Средства предотвращения утечек данных предназначены для контроля обработки информации в информационных системах, включая передачу по различным каналам, обработку (хранение, изменение, удаление) на конечных точках и удаленных сетевых ресурсах, вывод на печать, копирование на съемные носители информации и прочее. Кроме того, функционал данных систем позволяет проводить классификацию данных с маркированием конфиденциальной информации, поиск такой информации на конечных точках, сетевых ресурсах, в потоках сетевого трафика.
7. Средства межсетевого экранирования осуществляют мониторинг и контроль входящего и исходящего сетевого локального и интернет-трафика на конечных точках и сетевом оборудовании. Существует несколько классов данных средств, которые отличаются по функционалу, например, простейшие межсетевые экраны с контролем состояния соединений (или даже без такового), работающие на сетевом и транспортом уровнях модели OSI, или межсетевые экраны уровня приложений, обеспечивающие анализ и контроль соединений на прикладном уровне модели OSI, что позволяет глубоко анализировать и фильтровать контекст передаваемых данных в зависимости от конкретного приложения. Межсетевые экраны нового поколения (англ. NGFW – Next Generation Firewalls) отличаются интеграцией дополнительных средств мониторинга и анализа сетевого трафика, таких как системы глубокого анализа трафика, сетевые антивирусные системы и системы предотвращения вторжений, системы глубокого анализа приложений и их контекста, механизмы URL-фильтрации веб-ресурсов в зависимости от категории размещенной на них информации, механизмы раскрытия зашифрованного трафика (SSL/TLS-инспекция).
Межсетевые экраны веб-приложений (англ. WAF – Web Application Firewall) являются на настоящий момент самыми современными средствами межсетевого экранирования, которые предназначены для глубокого анализа передаваемых данных из Интернета внутрь сети, например, веб-приложениям и включают в себя функционал поведенческого анализа работы клиентов с веб-приложением и блокировку подозрительных действий на основе эвристики, системы репутации подключающихся клиентов по IP-адресам и географическому расположению, системы защиты пользователей от наиболее распространенных атак на веб-приложения, системы установки виртуальных патчей (т.н. «заплаток»), которые не позволяют эксплуатировать известные уязвимости в веб-приложении до момента их устранения.
8. Средства обнаружения/предотвращения вторжений предназначены для анализа сетевого трафика и поведения системы в целях выявления вредоносной активности, такой как использование эксплойтов, несанкционированный доступ к защищаемым ресурсам, функционирование вредоносного или нежелательного ПО. Данный класс средств защиты функционирует либо на сетевом уровне, либо на уровне конечных точек. Есть различия в функционале систем обнаружения и предотвращения вторжений: системы обнаружения вторжений детектируют вредоносный код или эксплойты и выдают предупреждения об этом администратору системы для осуществления дальнейших действий, а системы предотвращения вторжений не позволяют обнаруженному вредоносному коду или эксплойтам запускаться, своевременно блокируя данный код в памяти конечного устройства или в сетевом трафике.
Данный класс систем различается также по способу обнаружения угроз:
• сигнатурные системы базируются на заранее заданных шаблонах (сигнатурах), характеризующих специфическое поведение вредоносного кода или особые участки кода или команд эксплойтов;
• системы на основе анализа состояния и обнаружения аномалий оценивают конечные точки или сетевые узлы по наличию отклонений в их нормальном поведении, например, по количеству и типу трафика, операциям с файлами, обращениям к памяти и веткам реестра и т.д.;
• системы на основе правил получают данные о поведении сетевых узлов из журналов трафика или логов функционирования систем, а затем производят их сравнение с заданными условиями для реагирования в соответствии с преднастроенными правилами (т.е. набором логических выражений вида «если – то»);
• системы на основе правил приложений используются в том случае, если приложение функционирует по проприетарным протоколам, для которых требуются особые правила детектирования вторжений, учитывающие все нюансы работы конкретного ПО.
9. Средства изолированного выполнения программ (т.н. «песочницы») позволяют запускать проверяемый программный код в некоторой изолированной виртуальной среде, которая специально предназначена для выявления аномалий или потенциально вредоносного воздействия. Песочницы могут быть установлены как локально в ЦОД компании, так и в облачной инфраструктуре поставщика данного решения. По методу детектирования и способу включения в сеть песочницы разделяются на:
• активные песочницы, установленные в разрыв соединений и получающие данные на проверку непосредственно от сетевых устройств или серверов;
• пассивные песочницы, получающие данные от пользователя по его команде и при его непосредственном участии, а также получающие только копию веб- или почтового трафика без возможности прервать передачу подозрительных файлов;
• песочницы, использующие техники подавления техник их обмана, например, при пересылке по электронной почте запароленного архива с подозрительным файлом и при сообщении пароля к архиву в тексте, в теме или отдельным письмом;
• песочницы, использующие техники искусственного интеллекта для распознания техник их обхода, а также эмулирующие действия реального человека для анализа потенциально вредоносных файлов, например, при пересылке по электронной почте ссылки на скачивание файла, которая ведет на страницу, требующую Captcha.
10. Средства сканирования на наличие уязвимостей предназначены для проведения анализа уязвимостей различных систем путем получения данных об используемых версиях прикладного и системного ПО и сравнением данной информации с каталогами известных уязвимостей, применимых к данным версиям. Сканирования могут проводиться как в аутентифицированном режиме, когда сканер имеет возможность аутентифицироваться в системе и получить широкий доступ к текущим настройкам, так и в неаутентифицированном режиме, при котором сканер будет изучать систему только снаружи.
11. Системы ресурсов-приманок для злоумышленников (англ. honeypots и honeynets) представляют собой заранее созданные «муляжи» информационной системы, предназначенные для анализа поведения атакующего в среде, похожей на реальную среду организации, но не содержащей никаких ценных данных. Различают как отдельные системы (honeypots), например, поддельные сервера для заманивания атакующих, так и целые сети (honeynets), служащие той же цели и воспроизводящие уменьшенную картину инфраструктуры организации. Атакующие, попав в такую ловушку, попробуют применить свой инструментарий для проведения атаки, а в этот момент их действия будут тщательно журналироваться и затем изучаться подразделениями кибер-разведки для выявления тактик, техник и процедур атак.
12. Средства управления портативными устройствами (англ. MDM – Mobile Device Management или EMM – Enterprise Mobility Management) представляют собой решения для контроля портативных устройств сотрудников организации (смартфонов, планшетов, портативных компьютеров) и позволяют:
• контролировать соответствие модели, версии операционной системы, установленных приложений заранее заданному стандарту;
• контролировать отсутствие внесенных изменений в прошивку устройств (отсутствие прав root, отсутствие jailbreak);
• удаленно управлять устройствами для установки корпоративного ПО, отключения ненужных или потенциально небезопасных функций, удаленного стирания данных с аппарата в случае утери или кражи;
• предоставлять защищенный доступ к корпоративным ресурсам, как правило через VPN-соединение;
• обеспечивать работу с корпоративными данными на выделенном зашифрованном участке внутреннего хранилища;
• исключать обмен данными между корпоративными и личными приложениями.
13. Средства мониторинга и корреляции событий ИБ осуществляют сбор, агрегацию, запись, хранение, поиск, таксономию, обогащение, корреляцию событий безопасности. Данные средства подразделяются на системы управления событиями ИБ (Log Management), в которых нет полноценной корреляции событий из разных источников на основании задаваемых правил, и на полноценные системы SIEM (Security Information and Event Management), которые, помимо корреляции событий и создания инцидентов, могут также оснащаться дополнительными функциями, такими как управление рисками и уязвимостями, инвентаризация активов, автоматизированное реагирование на инцидент, интеграция с источниками Threat Intelligence (TI Feeds), построение отчетов и диаграмм и т.д. Данные системы необходимы в случае работы с большим потоком разнородных событий информационной безопасности от различных источников в целях выявления потенциальных инцидентов и своевременного реагирования на них.
Кроме того, существуют системы защиты от DDoS-атак, системы защиты электронной почты, системы криптографической защиты информации, средства контроля баз данных, системы контроля действий пользователей, системы инвентаризации, классификации и учета активов, системы анализа и поиска актуальных угроз (Threat Hunting, Threat Intelligence), системы защиты облачных сервисов (CASB - Cloud Access Security Broker, CSPM - Cloud Security Posture Management, CWPP - Cloud Workload Protection Platforms), системы анализа действий пользователей и сущностей (UEBA - User and Entity Behavior Analytics) и т.д.
