Как защищать критические инфраструктуры

Еще не утихло обсуждение в профессиональных кругах атак на «Прикарпатьеоблэнерго» и StarLightMedia. Именно подобные атаки заставляют бизнес и государство уделять более пристальное внимание проблеме защиты критических инфраструктур. Как организовать их защиту от современных атак, было темой конференции, организованной компаниями «Бакотек» и «БМС Консалтинг» в партнерстве с корпорацией Intel и Американо-украинским деловым советом (USUBC) при поддержке SigmaBleyzer.

Участников приветствовали представители компаний-организаторов и партнеров. Михаил Даценко (USUBC) вкратце обрисовал задачи Совета и отметил, что организации подобных конференций не входит в сферу его деятельности. Однако события в декабре прошлого года создали некоторые дополнительные хлопоты. Если продвигать Украину как страну, в которую необходимо инвестировать, то западный бизнес должен быть уверен не только в экономической стабильности, но и в технологической. Его не привлекает возможность остановки, скажем, заводов на несколько часов из-за отсутствия электроэнергии. Поэтому USUBC уже третий год подряд оказывает помощь в проведении подобных конференций, чтобы и частный бизнес, который в Украине намного больше знает об информационной безопасности критических систем, и разные государственные организации несколько лучше понимали, что необходимо для того, чтобы в Украине легче было работать и не опасаться за сделанные инвестиции, по крайней мере, с технологической стороны.

Томаш Петржик: «Для того чтобы защищаться от атак типа АРТ, необходимы другие модели обнаружения — от статических систем анализа уже необходимо отказаться, сегодня нужны динамические системы анализа, динамические модели обнаружения»

Руководитель департамента решений по ИБ Мирослав Бондарь из «Бакотек» проинформировал присутствующих о том, что компания предоставляет целый портфель решений, которые позволяют снизить риски кибератак на критическую инфраструктуру. Он подчеркнул, что эти решения, в основном, являются всего лишь инструментами, а насколько повысится уровень ИБ компаний, будет зависеть от того, как они будут их использовать, какие будут внедрены политики, какой уровень квалификации персонала. Поэтому «Бакотек» предоставляет ряд дополнительных сервисов: участие в расследовании инцидентов, оказание помощи в тренинге персонала и в других вопросах, связанных с повышением уровня ИБ.

Кратко представляя «БМС Консалтинг», ее директор по технологиям Дмитрий Петращук напомнил аудитории, что компания работает на украинском рынке около 18 лет и занимает лидирующие позиции в области ИТ-консалтинга и решений по ИБ. На данной конференции компания намерена представить свои наработки в области защиты ИТ-систем от сложных целенаправленных атак типа BlackEnergy, а также начать и продолжить сотрудничество, чтобы совместными усилиями помочь украинским предприятиям, госструктурам и бизнесу выстроить систему ИБ таким образом, чтобы противостоять атакам в киберпространстве. «БМС Консалтинг» успешно осуществляет свою деятельность не только в Украине, но и за рубежом, в Европе, и опыт и знания украинцев позитивно воспринимается не только в Европе, но и в США. Защита энергетических и производственных критических систем — это крайне важная задача, которую необходимо решать сейчас и постоянно уделять ей повышенное внимание.

Программа конференции была очень насыщенной — участники прослушали восемь докладов, касающихся тех или иных вопросов построения системы ИБ критических инфраструктур. Остановимся на некоторых из них.

Целевые продолжительные атаки повышенной сложности, или Advanced Persistent Threat (APT) на языке оригинала, являются наиболее опасными и трудно отразимыми. Что предлагает в этой области американская компания FireEye, рассказал менеджер системных инженеров в Восточной Европе Томаш Петржик (Tomasz Pietrzyk).

Он начал с обзора современных типов атак и вредоносного ПО и некоторых атрибутов атак, необходимых для их анализа. В первую очередь докладчик определил саму проблему современных сложных атак и основные ошибки, с которыми сталкиваются многие клиенты компании. Прежде всего необходимо понимать, что если в технологии защиты сделано много инвестиций, то это не обеспечивает 100%-й гарантии отражения атак. Очевидно, что обновления ПО и систем защиты, в частности базы сигнатур, являются крайне важными, однако этого не достаточно для защиты. Если открывается зараженный файл Microsoft Word с макросом, который устанавливает связь с сервером, скорее всего с сигнатурой это никак не связано. Другая ошибка, которую допускают заказчики, та, что они ожидают незамедлительного проявления атаки, однако зачастую атака долго остается не обнаруженной. На самом деле, цель атакующих — долго оставаться невидимыми в зараженной сети. Данные отчета расследования по инцидентам FireEye M-Trends 2016 показывают, что, согласно мировой статистике, медиана длительности выявления атак в 2015 г. составляла 146 дней, то есть, половина опрошенных компаний обнаружила атаки за меньшее количество дней, а половина — за большее. В Европе, по словам выступающего, положение хуже — медиана для европейских компаний составляет около года.

Сергей Короленко: «Практика показывает, что сегодня необходимо принимать во внимание ситуацию, когда злоумышленником может быть сотрудник компании, поэтому сканированию должна подвергаться и внутренняя инфраструктура»

Интересно также, каким образом компании определяют, что они подверглись атаке. Около 47% компаний выявили атаки внутренними системами за 56 дней, тогда как компрометация 53% компаний была обнаружена внешними источниками. И в среднем на это уходит почти год. Это происходит потому, что часто не осознается тот факт, что за этими атаками стоят люди. Действительно, трудно предвидеть, что сделает хакер, попав в сеть. Ясно одно, он будет корректировать свое поведение в зависимости от ситуации.

Только на первых этапах проникновения применяются какие-то автоматизированные методы взлома, потом же для выполнения дальнейших действий используются стандартные инструменты ОС и сетевого ПО, и на этой стадии вредоносное ПО уже не может быть обнаружено. В то же время использование этих инструментов может быть идентифицировано. Для этого необходимо составить профиль, который детализирует инструменты, технологии и процедуры, используемые хакером.

Каковы же характерные этапы развитых целевых атак? Сначала производится компрометация системы. Как правило, это делается с помощью социальной инженерии и целевого (точечного, адресного) фишинга (spear phishing). Электронные письма с вредоносным присоединением хорошо спроектированы, отправляются от имени знакомого пользователю человека, организации или компании. Информация о пользователе собирается с помощью социальных сетей. Содержание письма провоцирует получателя открыть присоединение, в результате чего вредоносный код попадает в компьютер. Обычно этот код связывается с центром управления, находящимся на сервере, который управляется атакующим. Цель этого — сделать проход в сеть и получить доступ. После установления доступа, атакующий старается повысить свои права путем кражи учетных записей. Это делается с хоста жертвы или других компьютеров, подключенных к сети. После получения необходимых прав доступа, нападающий начинает изучать структуру сети, работающее ПО, средства защиты и т.п., то есть, по сути, проводит инвентаризацию сети. Он также создает дополнительные коридоры, чтобы в случае обнаружения вторжения на первом узле, можно было бы перейти на другие. Эти резервные коридоры создаются не обязательно с помощью вредоносного ПО, могут использоваться и легальные инструменты, к примеру, корпоративные VPN. Такое поведение может длиться до выполнения цели атаки. Подобные действия могут быть выполнены с помощью эксплойта, загруженного с зараженной веб-страницы. Классические системы защиты нацелены на файлы, а этого может быть не достаточно, как в случае эксплойта, написанного на JavaScript.

Проблема также в том, что классические системы защиты базируются на предыдущем знании об атаках, чтобы выявлять подобные атаки. Для того чтобы защищаться от атак типа АРТ, необходимы другие модели обнаружения. От статических систем анализа уже необходимо отказаться, сегодня нужны динамические системы анализа, динамические модели обнаружения. Такие модели предусматривают выполнение подозрительного кода на виртуальных машинах, аналогичных продуктивным системам компании.

Как FireEye может помочь своим заказчикам? Для проведения динамического анализа угроз компания разработала технологию Multi-Vector Virtual Execution (MVX). Для выполнения подозрительных программ на ВМ используется специальный защищенный гипервизор FireEye Hardened Hypervisor, который не дает возможности программе узнать, что она запущена на ВМ. Под управлением этого гипервизора можно запустить код на многих платформах и версиях инфраструктурного ПО, в том числе и на MAC OS. В зависимости от установленного у заказчика оборудования может быть запущено от 8-ми до 200-т ВМ, на каждой из которых процессы могут выполняться параллельно. Кроме анализа, MVX может отобразить все операции взаимодействия клиента с системой. Это позволяет увидеть тот вредоносный код, который передавался во время сессии. Технология обнаруживает также составные атаки, когда код доставляется в разных потоках отдельными не опасными пакетами, которые потом обираются в полнофункциональную вредоносную программу.

В целом портфель продуктов компании включает общие сетевые решения, устанавливаемые на месте, продукты для конечных точек, помогающие в расследовании инцидентов, широкий набор облачных сервисов по ИБ, а также услуги для клиентов по управлению системой ИБ.

Для обеспечения ИБ критических инфраструктур важно построить процесс управления технологическими уязвимостями. О том, как это сделать на базе сервиса BMS Vulnerability Scanner рассказал консультант отдела анализа защищенности ИС Сергей Короленко («БМС Консалтинг»).

Олег Лободин: «Традиционные брандмауэры, использующие политики, основанные на контроле портов, IP-адресов и протоколов, уже не могут надежно защитить сеть от взлома — нужны брандмауэры следующего поколения»

Уязвимости в ИТ-инфраструктуре несут в себе риски взлома. Чтобы им противостоять, нужно, по мнению докладчика, думать, как злоумышленник. Нужно попытаться найти уязвимости раньше него. Для этого необходимо сканировать сеть и оценивать полученные результаты. Это позволит устранить найденные уязвимости. Данный процесс необходимо периодически повторять с целью проверки эффективности принятых мер и выявления новых уязвимостей. Этот процесс и называется управление уязвимостями, и он позволяет поддерживать высокий уровень защищенности.

При использовании того или иного сканера возникает вопрос, а обнаруживает ли он все имеющиеся уязвимости и все сервисы, которые есть на серверах? На забытых серверах могут быть пароли по умолчанию или уязвимости, характерные для старых систем. По словам выступающего, сканер BMS позволяет это делать.

Практика показывает, что сегодня необходимо принимать во внимание ситуацию, когда злоумышленником может быть сотрудник компании. Поэтому сканированию должна подвергаться и внутренняя инфраструктура.

Результаты сканирования должны быть оформлены в виде отчета, сгруппированного как по уязвимостям, так и по хостам. Это поможет построить план устранения уязвимостей. Желательно получать отчеты с разной степенью детализации для руководства и технического персонала. Такими функциями обладает, в частности, сканер Nexpose компании Rapid7. Однако развертывание такого сканера у заказчика требует больших аппаратных и программных ресурсов, подготовленного персонала, не говоря уже о финансовых затратах.

Этих минусов лишен BMS Vulnerability Scanner. Он состоит из двух компонентов — сканирующей консоли и агента. Сканирующая консоль размещается в облаке «БМС Консалтинг» и позволяет управлять процессом сканирования. Один агент также размещается в облаке, откуда он получает доступ на публичные сервера компании и извне выполняет сканирование. Можно также один сканирующий агент установить в сети заказчика. В этом случае агент по VPN-каналу будет соединяться с консолью, откуда будет выполняться управление, но сканировать он будет внутренние сервера и компьютеры компании. Такое решение позволяет использовать сканер Nexpose корпоративного класса с гораздо меньшими затратами. Компания может выполнять регулярное сканирование с актуальной базой уязвимостей. В процессе сканирования используются вычислительные ресурсы «БМС Консалтинг», и в случае возникающих проблем и вопросов можно обращаться к ее сотрудникам. Сканер можно запустить в пробном режиме, обратившись в «БМС Консалтинг».

При защите критической инфраструктуры вопросы сетевой безопасности являются одними из важнейших. Грамотное сегментирование сети и защита на уровне сегментов могут предотвратить несанкционированный доступ. Решения компании Palo Alto Networks для организации защиты сегментированных сетей представил технический инженер «Бакотек» Олег Лободин.

Вначале он привел некоторые результаты отчета Unit 42. Анализ трафика более 7 тыс. организаций и 2,7 тыс. различных приложений показал, что инструменты, позволяющие обойти политики безопасности — 79 приложений для удаленного доступа к рабочей станции, 35 прокси-клиентов, 49 приложений для организации шифрованных туннелей — доступны практически каждому пользователю; 40% почтового трафика содержало вредоносные вложения; использование SaaS за три года возросло на 46%; из определенных 189 приложений для обмена файлами 10% содержит потенциальные угрозы. Ко всему этому добавляются 90 приложений для социальных сетей. Также изменились и сами сетевые приложения: теперь порты не соответствуют приложениям, IP-адреса — пользователям, а контент — пакетам. Это приводит к тому, что традиционные брандмауэры, использующие политики, основанные на контроле портов, IP-адресов и протоколов, уже не могут надежно защитить сеть от взлома. Ситуация усугубляется сложной топологией и непрозрачной интеграцией, дорогостоящими решениями, а консолидация нескольких функций в UTM-устройствах делает их очень медленными.

Дмитрий Петращук: «Современная система мониторинга безопасности должна включать в себя некий комплекс из программных продуктов, IDS/IPS/WIPS, базы данных инцидентов, инструментов для расследования, сканер уязвимостей и анализаторы сетевого трафика»

Решения Palo Alto Networks позволяют построить платформу сетевой безопасности нового поколения. Так, брандмауэры нового поколения (New Generation Firewall — NGF) имеют отдельные модули для идентификации приложений, пользователей и контента, расшифровывают трафик SSL/SSH, инспектирует пакеты на L7 для всех портов, блокируют угрозы на уровне сети, поддерживает протоколы SCADA. Архитектура однопроходной параллельной обработки пакета позволяет существенно сократить время его прохождения через устройство. Разделение плоскости управления и плоскости данных повышает надежность брандмауэра. Модельный ряд содержит устройства для компаний любого масштаба.

Облако безопасности Palo Alto WildFire служит своеобразной песочницей. В облаке собираются подозрительные файлы и DNS-запросы, проводится поведенческий и корреляционный анализы, формируются сигнатуры. Защита конечных станций Traps устанавливается на ПК пользователей и выполняет инспекцию всех процессов Windows, предотвращает известные и неизвестные угрозы. Так, когда производится попытка эксплуатации уязвимости, эксплойт попадает в «ловушку» (trap) и блокируется во время попытки внедрения.

Все эти инструменты наряду с системой управления и отчетности интегрируются в общую платформу безопасности и позволяют реализовать комплексный подход к предотвращению угроз.

Различные подходы к организации процесса мониторинга ИТ-систем, входящих в состав критических инфраструктурных объектов, были рассмотрены в докладе директора по технологиям Дмитрия Петращука («БМС Консалтинг»).

По мнению докладчика, анализ типа и характера современных атак позволяет сформулировать четыре тезиса: 1) традиционные методы защиты не работают; 2) необходима постоянная готовность к взлому; 3) вчерашний опыт не помогает сегодня и 4) количество новых технологий и методов взлома растет экспоненциально. Поэтому крайне важно участвовать в обмене информацией и опытом, в частности, на таких мероприятиях, как это.

Далее он обратил внимание на проблему времени в кибербезопасности. Так, время от заражения до обнаружения намного больше времени проведения атаки и получения желаемого результата. Поэтому внедрение превентивных статичных мер защиты не обеспечивает необходимый уровень безопасности — необходим постоянный круглосуточный мониторинг ИТ-инфраструктуры и анализ информации в реальном времени. Это может быть реализовано на базе систем SIEM (Security Information and Event Management).

Современная система мониторинга безопасности не должна базироваться только на программном продукте. Она должна включать в себя некий комплекс из программных продуктов, IDS/IPS/WIPS, базы данных инцидентов, инструментов для расследования, сканер уязвимостей, анализаторы сетевого трафика. Необходимо также обеспечить контроль целостности данных, обмен сведениями об атаках, управление уязвимостями, инцидентами, периодически проводить тесты на проникновение, выполнять анализ программного кода. Кроме технологий, необходимы специалисты с высоким уровнем компетенции: операторы, инженеры, разработчики, тестировщики, аналитики и т. п. В идеале, нужен так называемый ситуационный центр реагирования на инциденты ИБ.

Сегодня существует достаточно много известных ситуационных центров у различных компаний, в частности, у NTT, Symantec, IBM, Cisco, HP, Check Point. Любая компания может подключиться к этим центрам либо построить свой. Но это дорого (1–10 млн. долл.) и долго (2–3 года). Кроме этого, такие центры сложно поддерживать, и для них нужны высококвалифицированные кадры. Наиболее быстрый и простой путь — передать функции по мониторингу и реагированию на аутсорсинг.

На текущий момент компания «БМС Консалтинг» развернула свой центр мониторинга, и она предлагает SIEM-систему как сервис. Это предоставляет огромные преимущества для заказчиков.

Сервис работает следующим образом. У заказчика устанавливаются устройства, собирающие журналы, анализирующие трафик и другие необходимые данные. Это все поступает в защищенное частное облако «БМС Консалтинг», в отдельные зашифрованные контейнеры. Со стороны компании круглосуточно работают операторы, которые выполняют мониторинг поступающей информации, проверяют корреляции. Заказчику поступают ежедневные отчеты о событиях, происходящих в сети или требующих внимания. В случае возникновения подозрения на возможность инцидента ИБ, заказчик о нем информируется в течение 30 мин. Ему также предоставляется четкий алгоритм реагирования, помощь в расследовании и рекомендации по повышению защищенности системы.

Конференция закончилась весьма активной панельной дискуссией, на которой, в частности, обсуждались такие вопросы, как отличия систем ИБ объектов критической инфраструктуры и обычных организаций, методы контроля внешнего присутствия в промышленных компьютерных сетях, уязвимости промышленных контроллеров основных производителей.