| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Рис. 1 – Средства защиты информации и взаимосвязи
В завершающей части нашего обзора мы уделим внимание средствам защиты информации, которые связаны не только с защитой конечных точек, но и с защитой сети. Инфраструктурные решения обычно самые первые, которые приобретаются для защиты компаний, но несмотря на это многие имеют свои особенности, интересные и крупным организациям, в которых уже применяются десятки решений. Также решения из четвёртого блока обзора часто знакомы и обычным пользователям сети Интернет и компьютеров в целом.
Рис. 2 – Virtual Private Network (VPN) – виртуальная частная сеть
Технологии, позволяющие обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. VPN-сервисы – это клиент серверные приложения: специальное приложение на мобильном устройстве, сервере ноутбуке позволяет установить прямое туннелированное соединение с сервером. Сам сервер при этом может находится внутри корпоративного периметра, за его пределами и даже в другой стране. В зависимости от назначения сервисы также можно разделить на те, что необходимы для интранет- и интернет-подключений, или для удалённого доступа к различным объектам в сети.
Поскольку трафик перенаправляется через отдельный узел, стоит обратить внимание на его безопасность, а также на средства криптографической защиты трафика для особо важных подключений. С точки зрения обычного пользователя при применении VPN-сервисов также стоит уделить внимание безопасности – если сервер VPN недоверенный, он позволяет злоумышленникам получить копию вашего трафика и те данные, которые вы передаёте.
ЗАДАЧИ:
· Создание безопасного удалённого доступа к корпоративной сети
· Маршрутизация трафика через специальные сервера
· Безопасное подключение к сервисам поверх другого соединения
Рис. 3 – Web Application Firewall (WAF) – защита веб приложений
В отличие от классического брандмауэра и межсетевых экранов нового поколения (которые мы рассматривали в прошлой части обзора), данные средства фильтрации сетевого трафика, специально ориентированы на веб-приложения и их пользователей. Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика.
Обычно решения для защиты веб-приложений тесно связаны с фильтрацией (см. далее) и анализом уже прошедших эту фильтрацию запросов. WAF способен скрыть от злоумышленников реальный адрес атакуемого приложения, а при попытках получения несанкционированного доступа – закрывать уязвимости временными «заглушками», используя технологии DAST/IAST. Для анализа трафика применяются также технологии машинного обучения и базы, постоянно обновляемые аналитиками в облаке.
ЗАДАЧИ:
· Выстраивание периметровой защиты для веб-ресурса
· Скрытие реального IP-адреса и повышение защищённости
· Анализ запросов и защита от проникновения
Рис. 4 – Anti - Distributed Denial of Service (a-DDoS)– фильтрация запросов к приложению
Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика на прикладном и сетевом уровнях с использованием методов поведенческого анализа. При этом сам программный продукт разворачивается не на периметре сети компании (как в примере выше), а на глобальных маршрутах трафика по всему миру.
Благодаря такой архитектуре, подобные сервисы часто используются в режиме подписки и не накладывают обременения на ресурсы компании. Фильтрация происходит на узлах магистралей, при этом подозрительные запросы и потенциальные бот-атаки эффективно отбиваются ещё до момента поступления трафика в веб-приложение.
ЗАДАЧИ:
· Мониторинг и фильтрация запросов к веб-сервисам
· Снижение нагрузки на сервис и повышение доступности для пользователей
· Реализация защиты без необходимости применения дополнительного «железа»
Рис. 5 – Container Security (CS) – защита контейнеризации
Для обеспечения безопасности контейнеров применяют технологии, которые обычно состоят из трёх компонентов. Консоль управления – центральный серверный элемент управления, позволяющий встраивать решение в конвейер разработки, интегрироваться с SIEM, проверять образы в репозиториях и удобно управлять сканированием развёрнутых контейнеров. При помощи агентской части системы внутри контейнеров можно дополнительно повышать защиту, как это делают AV/EDR системы. Третий компонент, облако данных, объединяет и коррелирует актуальные данные об угрозах для разработки от провайдеров, а также собственные данные Агент сканирования контролирует активность контейнеров и хостов во время исполнения и обеспечивает их безопасность.
ЗАДАЧИ:
· Повышение безопасности внутри контейнеров
· Анализ репозиториев и централизованное управление
· Решение общих задач ИБ/ИТ и задач в цикле DevSecOps
Рис. 6 – Sandbox – изолирование среды (песочница)
Песочница – это комплекс защиты от направленных атак, представляющий из себя специализированное средство обнаружения – изолированную виртуальную среду. Технологически песочница представляет из себя копию ОС (или её части) или контейнер с подготовленной средой. Для злоумышленников и вредоносных программ песочница выглядит и ведёт себя как настоящая атакуемая система, но на самом деле специальные средства мониторинга отслеживают любые активности, которые способны навредить компьютеру или серверу.
Технологии песочницы используются некоторыми производителями антивирусов и EDR систем, а сами вдохновляются технологией контейнеризации, поскольку она наиболее эффективно и быстро позволяет провести репутационную оценку, эвристический анализ и обнаружить угрозы.
ЗАДАЧИ:
· Изоляция потенциальной вредоносной активности
· Анализ поведения файлов и обнаружение угроз нулевого дня
· Применение в продуктах других классов
Рис. 7 – Asset Management (AM) – управление активами
Для реализации защиты инфраструктуры часто нужно подготовиться, проведя инвентаризацию активов (рабочий станций, серверов, сетевого оборудования, пользователей и программного обеспечения). Подходы к инвентаризации всегда разные, но из-за того, что результат анализа активов может применяться в разных отраслях, появились специализированные автоматические средства ПО. Часть средств используют клиент-серверную архитектуру, собирая основные полезные данные при помощи агентов на АРМ, но существуют и средства, которые используют для этого многочисленные интеграции и безагенсткий подход: сетевое сканирование и применение скриптов. При этом в результате работы программ по управлению активами появляется полная картина ИТ-ландшафта компании.
Результаты инвентаризации и отчёты используются ИТ-специалистами для организации жизненного цикла объектов в инфраструктуре (обновление, выход из строя и т.д.), ИБ специалистами для анализа инцидентов и уязвимых прошивок, и ПО, а также специалистами по анализу рисков и аудиторами (например, в рамках категорирования объектов согласно 187-ФЗ о КИИ).
ЗАДАЧИ:
· Цифровизация определение ИТ-ландшафта
· Сбор данных об активах с целью повышения их безопасности
· Реализация организационных мер для оценки рисков и соответствия требованиям регуляторов