Конференция BAKOTECH: тема дня — безопасность

31 октябрь, 2017 - 17:41Леонід Бараш

Информационные технологии, как сверхтекучая субстанция, проникают во все сферы деятельности человека, оказывают влияние на методы ведения бизнеса, на стиль его жизни, работу, обучение, развлечения. Так называемая цифровая трансформация всего. Одним из неприятных следствий этого является высокая зависимость от технологий и повышение уровня уязвимости технологической окружающей среды, что чревато не просто неприятностями, но и катастрофами.

Тема безопасности в той или иной степени поднимается практически на каждом ИТ-мероприятии. Ей была полностью посвящена конференция BAKOTECH Security Week.

Конференция открылась кратким выступлением главы департамента ИБ BAKOTECH Мирослава Бондаря, в котором он представил задачи недавно созданного департамента.

Конференция Bakotech: тема дня — безопасность

Мирослав Бондарь: «Мы приняли решение расширить портфель продуктов по ИБ, и для этого создали новый департамент»

Компания работает в сегменте ИБ уже более 10 лет и традиционно была партнером McAfee. Однако в 2016 г. было принято решение организовать департамент ИБ, который бы занимался решениями нескольких производителей, и расширить таким образом портфель предлагаемых продуктов. Теперь он, кроме других производителей, включает также предложения от Tenable Network Security, Palo Alto Networks и MobileIron. Структурно департамент разбит на ряд подразделений, каждое из которых занимается своим направлением.

Опередить атаку — такова была основная идея выступления старшего специалиста по продуктам Лесли Форбса (Leslie Forbes) из Tenable. Обрисовывая ситуацию в области ИБ, он отметил, что сегодня на рынке предлагаются инструменты, известные как Exploit Kit, для использования известных уязвимостей с целью доставки вредоносного кода и программ-вымогателей. В типичном случае заражение обычно происходит через скомпрометированные сайты, загружаемые файлы, электронную почту.

Если известно, как это все работает, то с позиций производителя необходимо знать, как этому противостоять. В этом контексте компания Tenable занимается, прежде всего, обнаружением, то есть, каким образом атака может быть предотвращена.

Конференция Bakotech: тема дня — безопасность

Лесли Форбс: «Компании не должны фокусироваться на атаках нулевого дня — такие атаки обычно направлены на важные и крупные цели, и большинство компаний им не подвергаются. Нужно устранять уязвимости 1000-го дня»

Если оглянуться на несколько лет назад, то основным набором инструментов (эксплойтов) был Angler, потом появился набор Neutrino, которые использовались довольно часто. Года два назад появилась группа HackingTeam, одна из тех организаций, которые продают инструменты государственным органам, для того чтобы власти могли шпионить за своим гражданами. Эту группу обвинили в том, что они продавали эксплойты правительству Судана. Однако на самом деле эту группу взломали.

Прошло некоторое время и появились ShadowBrokers. Они сказали, смотрите, мы смогли взломать Агентство национальной безопасности, не хотите ли купить у нас что-нибудь. Никто не захотел. В итоге, они просто все это выложили в открытый доступ, и появился Eternal Blue, который использовался против уязвимости протокола SMB v1, и многое другое. Все эти инструменты объединялись, и в результате этого появились WannaCry и Petya. Суть в том, что когда злоумышленники получают набор эксплойтов, то легко сделать что-то свое.

Так как же защититься от таких атак? С помощью антивируса? Нет, это уже невозможно, поскольку антивирус не решает этих проблем. Согласно Cisco Security Research, антивирусное ПО обнаружило 32 движка из 57. Действительно, многие антивирусы работают с файлами, а современные атаки не используют файлы. Сейчас в основном для атак используется сетевой подход. Атакуют не файлы, а компьютеры.

Итак, как опередить угрозы? Здесь нужно ответить на три вопроса. Как можно определить, где требуются в первую очередь установить критические заплатки, чтобы уменьшить поверхность атаки; как можно проверить, что используемые механизмы уменьшают риск заражения; как узнать, есть ли вредоносное ПО на компьютерах. Для этого нужна видимость инфраструктуры. Компании не должны также фокусироваться на атаках нулевого дня. Как правило, такие атаки направлены на важные и крупные цели, и большинство компаний им не подвергаются. Нужно устранять уязвимости 1000-го дня.

У компании Tenable есть инструмент, который разрабатывается уже около 10 лет. Это Tenable SecurityCenter, и сейчас имеется пятая версия этого продукта. Это набор средств, который дает возможность анализировать данные, генерировать результаты этого анализа и обеспечить видимость инфраструктуры: какие активы присутствуют в сети, как оцениваются эти ресурсы, как можно убедиться в том, что все конечные устройства сети отслеживаются.

Новые методы и типы атак требуют киберзащиты нового поколения. Таковую, по словам системного инженера Ибрагима Эскиосака (Ibrahim Eskiocak), можно построить с помощью платформы Palo Alto Networks.

Сегодня компании сталкиваются с рядом проблем при построении системы защиты информации, в частности нехватка ресурсов как финансовых, так и людских. Результатом является плохая видимость инфраструктуры и невозможность сопоставлять данные, приходится вручную реагировать на автоматизированные атаки.

Конференция Bakotech: тема дня — безопасность

Ибрагим Эскиосак: «Платформа Palo Alto позволяет обеспечить большую видимость, большую безопасность при сокращении используемых ресурсов и затрат времени»

В этой ситуации Palo Alto реализовала три технологии в брандмауэрах нового поколения (NGFW). Так, Content-ID совместно с WildFire выполняет сканирование контента и защиту от всех угроз как известных, так и неизвестных; User-ID и GlobalProtect связывает пользователей и устройства безотносительно их местонахождения с приложениями, а App-ID идентифицирует приложения. Кроме этого, компания вывела на рынок однопроходную архитектуру, которая обрабатывает трафик за один проход, что обеспечивает более высокую производительность. Для обеспечения видимости и контроля NGFW инспектируют сетевой трафик и генерирую отчет (Security Lifecycle Review), который указывает на уязвимости в сети.

Однако компания говорит не об отдельных устройствах, а о платформе безопасности новой генерации. Она должна объединять все решения в целостную платформу. В нее входят соответствующие устройства для физических ЦОД, так называемые ловушки (Traps) для конечных устройств, виртуальные брандмауэры для виртуализованных ЦОД, а для постоянно перемещающихся мобильных пользователей предназначено решение GlobalProtect. Важным является то, что все эти компоненты общаются друг с другом, позволяя выполнять сопоставление данных и обеспечить полную видимость целостной картины.

Устранение брешей является своеобразной гонкой во времени. Компрометации происходят за минуты, фильтрация — за дни, но на обнаружение брешей уходят месяцы. Во многих организациях не определят приоритеты критически важных угроз. Охотники за угрозами тонут в океане уведомлений. Это усложняет исследование, автоматизацию или восстановление системы после инцидента. В то же время для предотвращения неизвестных атак необходимы статистический анализ, машинное обучение, динамический анализ, обнаруживать аномалии, проводить анализ методов атак. Это очень сложно, и для этого нужны время и ресурсы.

С помощью одной из составляющих решения Palo Alto — WildFire — можно обеспечить статический и динамический анализ. Недавно был реализован новый вид анализа — анализ голого железа. Например, если вредоносный код пытается обойти песочницу и добраться до аппаратных ресурсов. В процессе анализа WildFire создает сигнатуры, и они могут автоматически разворачиваться на платформах, ловушках и брандмауэрах каждые пять минут. Такие возможности WildFire, как AutoFocus и MineMeld позволяют получить информацию об атаках с использованием указанных эксплойтов и методов из определенной страны, а также информацию от других производителей. Это позволяет вести расследования и применять упреждающие политики.

Недавно компания вывела новый продукт под названием GlobalProtect Service. Это облачное решение, которое позволяет защищать клиентов в любом месте. Для подключения к облаку на устройстве устанавливается необходимый агент.

Подводя итог, выступающий отметил, что платформа позволяет обеспечить большую видимость, большую безопасность при сокращении используемых ресурсов и затрат времени. Она позволяет защитить от неизвестных атак и применять методику предотвращения атак.

Постоянно изменяющийся ландшафт киберугроз требует непрерывной адаптации системы безопасности к новой среде, другими словами, безопасность должна быть процессом и базироваться на адаптивной архитектуре безопасности (Adaptive Security Architecture). Как ее построить, рассказал региональный менеджер McAfee Руслан Барбашин.

Обычно корпорации всегда опирались на предотвращение атак и основанному на политиках управлении безопасностью. Они привыкли тратить слишком много средств на системы предотвращения атак и слишком мало на системы обнаружения и реагирования. Проблема в том, что традиционные технологии вроде брандмауэров, антивирусов, IDS/IPS неэффективны против развитых и целенаправленных атак, ведь невозможно сформировать сигнатуру против атаки, с которой никто ранее не сталкивался.

Конференция Bakotech: тема дня — безопасность

Руслан Барбашин: «Адаптивная архитектура безопасности обеспечивает непрерывный повсеместный мониторинг и видимость, чтобы иметь возможность постоянного анализа индикаторов компрометации»

Стремясь обеспечить некоторое общее направление, компания Gartner посоветовала архитекторам ИБ сделать следующее. Первое, изменить подход к защите от «ответа на инцидент» на «непрерывный ответ», предполагая, что система компрометируется постоянно и требует постоянного мониторинга и корректировки, и второе, принять адаптивную архитектуру безопасности для защиты против развитых угроз, используя 12 критических функций, разработанных Gartner, в качестве основы. Адаптивная архитектура безопасности, на которую ссылается Gartner, обеспечивает непрерывный повсеместный мониторинг и видимость, чтобы иметь возможность постоянного анализа индикаторов компрометации. Концепция адаптивной архитектуры безопасности сочетает в себе использование традиционных методов предотвращения атак и новых инструментов детектирования и реагирования. Идея в том, чтобы всё это работало вместе.

Именно такой интегрированный подход реализован в экосистеме безопасности McAfee. Продукты компании соответствуют трем основным направлениям: защита всех объектов ИТ-инфраструктуры — конечных точек, серверов, БД, сети и т. п., обнаружение атаки и устранение ее последствий.

Для отражения сложных атак McAfee использует многоуровневый подход, который, в частности, включает проверку источника файлов, антивирусную проверку, эмуляцию в режиме реального времени, статистический и динамический анализ кода.

Утечка данных — одна из актуальных проблем нашего информатизированного общества. Для их предотвращения используются системы, которые так и называются — Data Loss Prevention (DLP). Подобную систему от McAfee представил инженер по технической поддержке проектов Руслан Утченко из BAKOTECH.

Утечка данных может происходить как случайно, так и в результате умышленных действий. Она может привести к финансовым потерям и/или к компрометации репутации компании. Статистика показывает, что 43% инцидентов случается по вине инсайдеров и 57% — результаты внешних атак. При этом 60% данных теряются в электронном виде и 40% — на внешних носителях. Что касается каналов утечки, то 2/3 — это внутренние каналы и 1/3 — через облачные службы. Крупнейшая в истории утечка данных произошла в 2017 г. в США. Там организация Deep Root Analytics по ошибке выложила в открытый доступ БД, содержащую информацию о 198 млн. американских граждан, участвовавших в выборах президента в 2016 г.

Конференция Bakotech: тема дня — безопасность

Руслан Утченко: «McAfee DLP обеспечивает все необходимые инструменты для предотвращения утечек данных»

Переходя к описанию продукта, докладчик отметил, что управление, настройка и мониторинг выполняется с единой консоли ePolicy Orchestrator (ePO). Она позволяет быстрое развертывание продуктов — агентов для связи и агентов для защиты от тех или иных угроз, управление политиками решений, обеспечивает видимость всех систем сети, генерирует отчеты и выполняет ряд других функций.

Продукт обеспечивает все необходимые инструменты для предотвращения утечек данных. Так, контроль устройств и отслеживание действий пользователей выполняется с помощью Device Control/DLP Endpoint, модуль File & Removable Media Protect проводит выборочное шифрование файлов (в том числе и выгружаемых в облако), каталогов и USB-накопителей, шифрование дисков и защита от несанкционированного доступа осуществляется с помощью Drive Encryption, а управление BitLocker и FileVault выполняет Management of Native Encryption.

Система McAfee DLP рассматривает данные трех типов. Для данных, которые передаются по сети (Data-in-Motion), защита осуществляется с помощью модулей DLP Prevent и DLP Monitor. Те данные, которые хранятся на конечных точках, в общих каталогах, БД, АРМ, облачных хранилищах (Data-in-Rest), защищаются посредством DLP Discover и Drive Encryption. Данные, которые находятся в процессе обработки (Data-in-Use), — с помощью модулей DLP Endpoint, File and Removable Media Encryption и Device Control.

Для определения наличия в данных конфиденциальной информации McAfee DLP применяет три метода классификации данных. Для идентификации тестовых документов используются словари, текстовые шаблоны и устойчивые выражения, для файлов различного анализируются с помощью цифровых отпечатков и хэш-сумм, когда же контент документов трудно формализовать применяются метки и метаданные, которые использует DLP Endpoint.

Затем выступающий привел ряд примеров, как McAfee DLP работает с электронной почтой, съемными носителями и приложениями, и рассказал об использовании шифрования в DLP.