Безопасность инфраструктуры. Обзор

Просмотров: 2160
Автор:
Лукацкий Алексей

Лукацкий Алексей

бизнес-консультант по безопасности — Cisco

В начале сентября Счетная палата США опубликовала доклад с разбором нашумевшего взлома крупнейшего бюро кредитных историй Equifax, произошедшего в 2017-м году и приведшего к утечке персональных данных 145 миллионов граждан США, Канады, Великобритании и других стран. Сам взлом происходил, согласно опубликованному расследованию, по стандартной для злоумышленников схеме:

  • использование известной уязвимости, давшей доступ к публичному Web-порталу,
  • подключение за счет доверенного канала к внутренней базе данных компании,
  • кража информации.

В процессе слушаний в американском Сенате выяснились прелюбопытные детали, которые пролили свет на причину одного из крупнейших взломов за историю человечества. Во-первых, сеть Equifax была не сегментирована, что позволило неустановленным злоумышленникам не только получить неконтролируемый доступ к внутренней базе данных, но и к другим базам данных. Во-вторых, киберпреступники шифровали все свои коммуникации, в течение нескольких месяцев оставаясь невидимыми для специалистов пострадавшей компании. В-третьих, Equifax использовал средство инспекции сетевого трафика (видимо, речь идет о разновидности системы обнаружения атак), на котором, внимание, был устаревший цифровой сертификат, не позволивший мониторить зашифрованный трафик, что привело к длительной «невидимости» злоумышленников. 

Все это, несмотря на наличие средств защиты периметра, привело к утечке данных и нанесению компании как финансового, так и репутационного ущерба, что поднимает вполне закономерный вопрос о том, что же надо еще было сделать в инфраструктуре для обеспечения ее безопасности.

7 составных частей инфраструктуры

Практически любую инфраструктуру можно представить в виде набора взаимодействующих между собой модулей, которых можно выделить всего 7 (в отдельных организациях их может быть и меньше):

  1. Промышленный модуль. Данный модуль присутствует на предприятиях, имеющих либо производственные мощности (например, машиностроение, ТЭК, металлургия и т.п.), либо осуществляющих те или иные критические процессы (например, процессинг в банке и т.п.)
  2. Корпоративный модуль. Данный модуль, представляющий устройства конечных пользователей и обслуживающую их инфраструктуру, может включать в себя до 80% всех устройств компании.
  3. Модуль периметра. Данный модуль обеспечивает взаимодействие корпоративной или ведомственной сети с внешним миром.
  4. Модуль оператора связи. Данный модуль хотя и не принадлежит предприятию, но включается в общую схему, так как некоторые угрозы (например, DDoS) могут быть отражены только путем взаимодействия с Интернет-провайдерами или операторами специализированных услуг.
  5. Модуль облачных вычислений. Данный модуль не только подразумевает использование и, как следствие, обеспечение безопасности облачной инфраструктуры, которая принадлежит третьему лицу (или даже нескольким лицам в разных юрисдикциях), но и контроль так называемых «теневых облаков», то есть использование сотрудниками неразрешенных в организации облачных сервисов, которые могут приводить к потере контроля над корпоративными данными.
  6. Модуль мобильных устройств. Данный модуль отвечает за работу с различными мобильными устройствами, принадлежащими как компании, так и самим сотрудникам, которые могут хранить на них ценную корпоративную информацию, но при этом находиться за пределами периметра организации, что представляет особую опасность.
  7. Модуль Интернета вещей. Принтеры, СКУД, видеокамеры, термостаты и освещение, контролируемые через Интернет, паллеты с RFID-метками, автомобили с GPS/ГЛОНАСС-трекингом… Перечень можно продолжать, и все эти объекты попадают именно в этот модуль с особыми требованиями к безопасности.

Технологии защиты инфраструктуры

Каждый из модулей характеризуется не только различными бизнес- и ИТ-задачами, но и совершенно различными угрозами, что приводит нас к логичному выводу об отсутствии серебряной пули – единственной технологии и продукта, которые бы позволили закрыть все существующие проблемы и решить все задачи. Поэтому на рынке сегодня представлено несколько десятков различных классов средств защиты, которые могут, а в ряде случаев и должны, применяться для обеспечения безопасности инфраструктуры. Попробую кратко перечислить их:

  • Межсетевые экраны (файрволы или брандмауэры, хотя так их называть и некорректно). Это классика, с которой начиналась сетевая и инфраструктурная безопасность еще в 80-х годах, когда только-только стали появляться первые сети. Несмотря на то, что технология межсетевого экранирования мало изменилась с 90-х годов, когда пакетные фильтры трансформировались в сетевые решения с контролем состояния (stateful firewall). Сегодня по статистике чуть ли не каждая организация использует МСЭ на периметре, а многие внедряют эти решения и внутри сети, например, на границе ЦОДа.
  • МСЭ следующего поколения (Next Generation Firewall, NGFW). Представьте себе дверь на входе в помещение. Это аналогия обычного межсетевого экрана, который может пустить или не пустить тех, у кого есть или нет ключ от двери. Но мы не знаем, что у человека, проходящего через дверь в карманах или рюкзаке за спиной. За дверью можно поставить (или вмонтировать в дверь) рамку металлодетектора, который и будет выискивать то, что запрещено к проносу. В инфраструктуре эту задачу призваны решить именно NGFW. В инфраструктуре они работают на прикладном уровне и могут распознавать, инспектировать и фильтровать приложения, а не только IP-адреса и порты. Особенно это актуально для протокола HTTP, который, по сути, превратился в протокол IP 20-го века. Именно на базе HTTP сегодня работают многие привычные нам приложения и поэтому NGFW, которые умеют заглянуть внутрь HTTP, очень важны для защиты инфраструктуры.
  • Сетевые системы обнаружения вторжений. Что обычно стоит за дверью в контролируемом помещении? Правильно, видеокамера, аналогом которой в сетевой инфраструктуре является система обнаружения вторжений (intrusion detection system, IDS), мониторящая сетевой трафик на предмет совпадения с шаблонами (сигнатурами) атак. Многие такие системы могут работать и в режиме предотвращения атак (intrusion prevention system, IPS), но функционал блокирования включается обычно в 10-15% случаев  существует вероятность ложного срабатывания и блокирования вполне легитимного трафика или приложения. 
  • NGIPS. От обычных IDS/IPS отличаются решения NGIPS, то есть системы предотвращения атак следующего поколения, которые обладают большим интеллектом и умеют коррелировать информацию об уязвимостях с атаками, учитывать контекст происходящего, распознавать типы атакуемых или атакующих устройств, использовать не только сигнатурные методы, но и методы обнаружения аномалий и т.п. 
  • Средства инспекции зашифрованного трафика. По данным Cisco 55% глобального web-трафика в 2017-м году передавалось в зашифрованном виде, что на 12% больше, чем в 2016-м. А по данным  Gartner уже к 2019-му году уже 80% всего web- трафика будет передаваться в зашифрованном виде. Возникает закономерный вопрос  как анализировать зашифрованный трафик? Ответом на него могут стать специализированные высокоскоростные средства инспекции зашифрованного трафика. Схожая технология часто встраивается в NGFW, NGIPS или иные средства сетевой безопасности, но ее включение может существенно снизить пропускную способность всей системы.
  • Web Application Firewall (WAF). Данный класс решений позволяет защитить web-сайты и порталы от широкого спектра угроз, связанных как с уязвимостями в ПО web-платформ (например, Apache), так и с ошибками при программировании, которые приводят к выполнению произвольного кода в формах на сайте, краже данных из баз данных и т.п.
  • Защита электронной почты. Несмотря на почти полувековую историю, электронная почта остается одним из основных инструментов бизнес-коммуникаций. И его же облюбовали злоумышленники, использующие e-mail не только для рассылки спама, но и для распространения вредоносного кода, а также фишинговых ссылок. По оценкам экспертов до 95% всех атак начинаются именно с электронной почты, поэтому так важно использовать соответствующие программные или аппаратные решения, позволяющие контролировать как входящую, так и исходящую электронную корреспонденцию.
  • Secure Internet Gateway (SIG). Решения данного класса трансформировались из обычных web-прокси и позволяют контролировать доступ пользователей к web-сайтам, блокируя доступ к ненужным для работы ресурсам, вырезая из HTML-страниц рекламу и вредоносные скрипты, контролируя загрузку файлов, в том числе и вредоносных, а также анализируя содержимое страниц, динамически их классифицируя.
  • Средства инспекции DNS-трафика. Представьте, что перед вами стоит задача защиты модуля Интернет вещей, описанного выше. У вас тысячи миниатюрных устройств с нестандартной ОС, разбросанных по огромной площади, и все они подключены напрямую в Интернет. Как их защитить? Поставить перед ними межсетевые экраны и системы предотвращения атак? Никаких бюджетов не напасешься. Но все эти устройства, а также любые иные, подключенные к Всемирной сети, объединены одной общей особенностью  все они обращаются по протоколу DNS. Его же в 92% случаях используют и современные вредоносные программы. Его же нельзя обойти при подключении к фишинговым сайтам, управляющим серверам ботнетов и другим вредоносным ресурсам. Поэтому сегодня начинают набирать популярность решения по инспекции DNS-трафика, которые подменяют собой обычные DNS-сервера, но с расширенной, защитной функциональностью. 
  • Облачные брокеры (Cloud Access Security Broker). В любой компании всегда находятся сотрудники, которые нарушают внутренние регламенты и политики и пользуются запрещенными публичными облачными сервисами для хранения конфиденциальной информации. Но даже если такой доступ разрешен, то пользователи все равно могут сталкиваться с различными проблемами  хранение чувствительной к утечке информации, подбор пароля, нарушение законодательных и корпоративных ограничений. Контролировать доступ к облакам, даже к чужим (например, Amazon AWS или MS Azure), как раз и помогают решения класса CASB, которые включают в себя целый пласт технологий  контроль доступа, защита от утечек, контроль поведения и т.п.
  • Защита от DDoS. Необходимость в этом классе решений не вызывает вопросов у тех, кто столкнулся с атаками «отказ в обслуживании» или нуждается в обеспечении высокой доступности своей инфраструктуры. Но надо помнить, что устанавливать такие решения надо не у себя на периметре (в этом случае канал до него все равно будет забит паразитным трафиком), а на стороне оператора связи. Возможно также использование и готовых сервисов по отражению DDoS-атак, предоставляющих весь спектр необходимых сервисов «под ключ».
  • UTM. Решения класса Unified Threat Management представляют собой комбайн, который разрабатывался как серебряная пуля, которая должна объединить все перечисленные выше средства защиты в одном устройстве. Но как это часто бывает, когда объединяешь в одном решении множество разрозненных функций, все они выполнены «на троечку», уступая своим выделенным аналогам. Также такие решения поднимают вопрос о том, можно ли класть все яйца в одну корзину и что будет, если защитное устройство выйдет из строя. Но у UTM есть и преимущество  цена, гораздо меньшая, чем совокупная стоимость решений, реализующих защитные функции по отдельности.
  • Управление уязвимостями. В вышеупомянутом примере с Equifax вторжение началось с неустраненной уязвимости, которую использовали злоумышленники. И таких уязвимостей в инфраструктуре может быть тысячи и десятки тысяч. Чтобы своевременно обнаруживать их, приоритезировать и рекомендовать патчи для устранения и необходимо использовать соответствующие решения.
  • Контроль сетевого доступа (network access control, NAC). Решения данного класса представляют из себя распределенные межсетевые экраны для внутренней сети. Они используют каждый маршрутизатор, коммутатор или точку доступа как точку применения политик безопасности, что позволяет не строить выделенную и наложенную защитную инфраструктуру, а использовать встроенные возможности уже имеющегося сетевого оборудования.
  • Микросегментация (micro-segmentation или software-defined segmentation). Это технология, которая позволяет осуществлять не просто статическую, а динамическую сегментацию, зависящую от контекста, то есть ответов на вопросы: КТО, ЧТО, КАК, КОГДА, ОТКУДА и КУДА осуществляет доступ. При этом в один сегмент может попадать всего один узел, что и позволяет к сегментации добавлять приставку «микро».
  • Анализ сетевого трафика. Если технология NAC  это внутренний распределенный межсетевой экран, то технологии анализа сетевого трафика (network traffic analysis, NTA) выполняют роль системы обнаружения атак, но внутренней и распределенной. Они собирают Netflow (или cFlow, sFlow, jFlow, IPFIX и др.) с имеющегося сетевого оборудования, в том числе и виртуального, и облачного, и ищут в нем следы вредоносной активности. В истории с Equifax решения именно такого класса могли бы обратить внимание на аномалии сетевого взаимодействия между публичным web-порталом и внутренними базами данных.
  • Шифрование баз данных. Вновь возвращаясь к истории с Equifax, последним шагом, который позволил злоумышленникам украсть данные полутора сотен миллионов граждан, являлось отсутствие шифрования баз данных, что и привело к утечке информации, нанесению ущерба людям и нарушению законодательства многих стран. Последней линией защиты в таком случае могло бы стать шифрование СУБД. В этом случае, даже если база будет украдена, данные все равно останутся в секрете.
  • Защита и аудит СУБД. Дополняют шифрование баз данных средства их защиты и аудита, позволяющие контролировать доступ как таблицам и хранимым процедурам, так и к отдельным записям и даже полям записей.
  • Сетевые песочницы (sandbox). Я осознанно не упоминаю антивирусы в числе решений для защиты инфраструктуры, так как они существенно устарели и сегодня уже не выполняют своей задачи. Если вкратце, то они обнаруживают обычно то, что известно антивирусным компаниям, оснастившим свои творения соответствующей сигнатурой. Песочницы же действуют по иному принципу  они запускают подозрительный файл в себе и анализируют его на предмет вредоносности, применяя к нему несколько сотен поведенческих индикаторов, которые срабатывая, сигнализируют о плохом поведении файла. Иными словами, антивирус детектирует известные угрозы, а песочницы анализируют файлы на предмет неизвестных.
  • Системы управления событиями безопасности (Security Information Event Management, SIEM). По статистике Cisco среднестатистическая компания использует около 50 различных средств защиты. Представьте, какой объем событий безопасности приходится собирать, анализировать, коррелировать и искать в нем реальные атаки, приводящие к инцидентам. К примеру, инфраструктура Cisco генерит около 2 триллионов (!) событий в сутки. Для эффективной работы с таким количеством событий придуманы специализированные решения  SIEM, которые автоматизируют поиск следов хакеров в постоянно растущем объеме данных, генерируемых инфраструктурой. В перспективе такие решения оснащаются технологиями Big Data и машинным обучением, но задача у них остается прежней.
  • Threat Intelligence Platform. У решений класса SIEM есть одна особенность  они оперируют только событиями, которые собираются от вышеперечисленных, а также иных, средств защиты, которые не всегда могут обладать полным знанием об угрозах. Необходимо обогащать эти данные регулярно появляющейся из разных источников информацией о методах злоумышленниках и их самих. Это и делают платформы Threat Intelligence, которые интегрируются с SIEM и иными средствами инфраструктурной безопасности, которым требуется регулярное обновление базы знаний об угрозах.
  • 20 перечисленных выше типов средств защиты инфраструктуры  это не полный набор того, что может быть использовано для защиты корпоративных активов. Я оставил в стороне решения для защиты облачной инфраструктуры, для защиты мобильных устройств и рабочих станций, для защиты Интернета вещей и промышленных сегментов и т.п. А ведь там тоже есть свои решения  защита Wi-Fi, VPN, средства симуляции атак и организации пентестов, решения PKI, средства управления учетными записями (IAM), в том числе и привилегированными (PAM), контроль поведения пользователей (UEBA), обманные технологии и т.п. Но даже из того, что перечислено, становится понятно, что защита инфраструктуры  это не так просто, как кажется на первый взгляд. Даже защита обычного периметра не ограничивается установкой только одного межсетевого экрана, даже с приставкой Next Generation. Вот как выглядит типовая защита периметра современной организации.

Если вернуться к исходной задаче и задаться вопросом  что же из перечисленных двадцати технологий нужно в первую очередь для защиты инфраструктуры, то вынужден огорчить  весь этот список относится к разряду джентльменских решений, без которых сегодня инфраструктура будет считаться незащищенной. 

Комментарии (0)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.