воскресенье, 2 октября 2022 г.

NGFW это UTM, который не умирает


Представьте, вы купили автомобиль, который в рекламе развивает скорость 250 км/ч. Выехали из автосалона и решили включить кондиционер. Включили - и автомобиль едет уже 50 км/ч. Вы набираете производителю - и вам говорят: да все верно, при включении кондиционера скорость падает в 5 раз, это написано в спецификации, мы просто вам не сказали. Вы кладете трубку. И включаете радио - и скорость падает до 5 км/ч. Вам нужен такой автомобиль? Это тот самый UTM.

Unified Threat Management (UTM) - это общий класс устройств все-в-одном, где несколько различных функций безопасности поместили на один сервер и приделали к ним единую систему управления. Поэтому так и назвали - унифицированное управление угрозами. 

Next Generation Firewall (NGFW) - это подмножество устройств класса UTM. Некоторые производители улучшили UTM и назвали NGFW потому, что функции безопасности ускорены на чипах ASIC или FPGA, а встроенная система управления работает вообще на выделенном процессоре, памяти и своем SSD. 

Вы говорите, что у них функции одинаковые - и это верно. Но из-за архитектурных отличий в UTM при включении всех рекламируемых функций скорость анализа трафика падает до нуля. В NGFW - производительность устройства остается на приемлемом уровне, даже если вы включили все функции сразу: APP-ID, USER-ID, IPS, AV, Sandbox, DLP, URL, ML, TI и др. И это главное и основное отличие, которое часто "забывают". Если вы хотите почувствовать разницу: включите функционал DLP, все проверки файлов по типам, полноценный антивирус на любых портах - и поймете разницу.

Реально весь рынок сетевой безопасности сегодня - это UTM. Все рекламируемые функции безопасности включить одновременно в таких устройствах нельзя.

суббота, 6 августа 2022 г.

PT Network Attack Discovery лучше всего подключать через физический TAP или virtual TAP в VmWare и KVM

Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discoveryто нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.

Если это физическая сеть, то варианты подключения

- зеркальный или SPAN порт свитча или роутера

- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.

Если это среда виртуализации, то варианты получения трафика из гипервизора:

- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD

- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE

- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера

- Virtual TAP или vTAP - программный продукт, который забирает трафик из виртуализации/гипервизора и отдает на внешний аппаратный NAD


Аппаратный TAP это устройство с тремя портами: два порта это вход и выход какого-то канала, и третий порт это копия трафика, которую отдаем на NAD. Нужно понимать, что в случае с оптикой каждый порт - это по сути два кабеля внутри. 


Случай с vTAP описан хорошо у этого производителя profitap.com/vtap/ Это программная реализация, позволяющая забрать трафик из сервера виртуализации и отдать наружу, как показано на картинке. Российский производитель VASexperts говорят тоже делает такой софт 



Основные сложности подключения SPAN  в том, что сетевые администраторы обоснованно боятся за производительность своих устройств: делать копию трафика это всегда накладно и админы часто саботируют данное подключение. То есть безопасники тратят время на их убеждение. В общем это становится вопросом политическим иногда. Админы даже иногда сознаются, что боятся, что их самих начнут контролировать таким образом. Плюс потом еще мы почему-то траблшутим работу этих двух команд на роутере для настройки, хотя казалось бы чего проще:

monitor session 1 source interface gi0/1
monitor session 1 destination interface gi0/2


Свитчи и роутеры дают процессу создания копии трафика самый низкий приоритет. То есть, если свитч или роутер загрузился какой-то более важной задачей, то трафик в SPAN порт просто не будет скопирован, данные потеряются. А мы ведь разбираем трафик приложений движком DPI и разбираем протоколы по 1200 полям и еще и собираем из пакетов файлы из трафика для проверки по хешам или для отправки в песочницу по ICAP. Например, если по NFS или SMB идет файл и мы теряем один пакет, то файл уже нельзя собрать полностью и отправить для анализа в песочницу без этого пакета. А там мог идти криптолокер Wannacy...

Идеальным решением для пилотов и внедрений являются TAP и vTAP, поскольку они не теряют пакеты и отдают весь трафик полностью. Минусом для работы сети является то, что они включаются в разрыв, и сеть должна "мигнуть" один раз при их подключении. Что в общем не страшно, если используется High Availability внутри сети.
Ну и фактом является, что TAP устройства надо купить.

Еще одним устройством полезным является сетевой брокер: он может не просто забирать трафик из сети, не трогая психику сетевых админов, а еще проводить с трафиком действия: балансировать, дублировать, дедуплицировать и так далее

Подробнее про то, как пользовать NAD, посмотрите в сборнике информации https://telegra.ph/Materialy-po-produktu-PT-NAD-07-08

Любой вопрос по PT NAD вы можете задать в чате Телеграмм https://t.me/PTNADChat


понедельник, 1 августа 2022 г.

Самые частые способы обхода двухфакторной аутентификации

Многие организации полагаются на двухфакторную аутентификацию для предотвращения использования украденых аккаунтов сотрудников. Для этого в дополнение к паролю запрашивают еще подтверждение от аппаратного токена в USB порту или из приложения в смартфоне или просто код из СМС. И сегодня это обязательное правило гигиены для удаленного доступа к ресурсам вашей компании.


Если у вас есть, вера в то, что это 100% защита, то вы просто не читаете новости. За примером далеко ходить не нужно: вы только что слышали новость от Александра Антипова про обход двухфакторной аутентификации в Microsoft Outlook. И таких новостей было много... и еще будут. 

К счастью, даже если злоумышленник обошел этот тип защиты в вашей компании, то есть другие типы защиты, которые увидят взлом и остановят, например, системы поведенческого анализа.

Я считаю, что вы должны знать самые частые способы обхода двухфакторной аутентификации.
Обсудим их!

Выключение двухфакторной аутентификации

Существуют различные методики выключения MFA, причем вполне себе легитимные и встроенные в сами системы. Например, если это аппаратный токен YubiKey, то существует методика сказать системе защиты, что вы работаете сейчас с iPad. И тогда система скажет сама себе: так там же нет порта USB и человеку не может вставить токен... и не будет его запрашивать. Все - вы залогинились без второго фактора!

Явный обход MFA

Здесь хакер просит вас же аутентифицироваться за него, как это кстати и было сделано в июле 2022 года для Microsoft Outlook, когда злоумышленник использует ваши же cockies для несанкционированного доступа к вашей электронной почте. Сюда же входит перехват СМС или перехват работы приложения, которое проводит аутентификацию на вашем смартфоне.

Другой интересный факт, что в системах MFA часто по-умолчанию настроено, что человек может заходить без второго фактора, если облачный сервис для проверки второго фактора недоступен. Соответственно в успешных атаках злоумышленник просто запрещал на вашем же песональном firewall доступ к серверу аутентификации, агент думал что система аутентификации недоступна и пускал и так.

Помните историю про коменданта в книге "Золотой теленок", который у всех входящих строго требовал пропуск, но если ему пропуска не давали, то он пускал и так? Ильф и Петров что-то знали ) Вход без второго фактора вообще-то легитимный метод, который мог разрешить ваш администратор и он называется bypass. Проверьте, а как у вас настроен bypass в MFA?

Эксплуатация разрешенных исключений

Существуют аккаунты для которых выключена проверка второго фактора: для работы системных служб или сервисов, или которые не умеют подключать второй фактор, например, POP3/SMTP почта. Злоумышленники находят такие аккаунты и пользуются.

Кража сертификата подписи SAML

Эта техника использовалась в том числе во время взлома SolarWinds. Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML для обмена данными аутентификации и авторизации между сторонами процесса. И он естественно зашифрован. Но если  хакер получает доступ к приватному ключу, на котором подписывают все сертификаты, то он получает возможность видеть и менять все атрибуты доступа во время работы SAML. Ну и собственно видеть кто входит в систему и пускать самого себя в систему.

Переиспользование авторизованной сессии

Часто многофакторные системы имеют период в течение которого сессия действует. Если хакер взломал систему, которая уже имеет доступ к нужному ему ресурсу, то ему не нужно даже пытаться аутентифицироваться - доступ уже есть у взломанного компьютера, либо преступник просто ждет. когда сотрудник сам зайдет в нужную систему. Если это бухгалтер, то он так делает несколько раз в день.

Вывод

Многофакторная аутентификация может замедлить и даже остановить многие типы атак. Да, как и многие другие механизмы безопасности ее можно обойти. Организации должны поменять свой взгляд на защиту: мы сегодня не можем гарантированно остановить взломы, мы можем снизить ущерб от атак. Точек входа в информационную систему организации сегодня слишком много и мы можем только быть настойчивы в выявлении каждого нового проникновения и выдворении злоумышленника и его утилит из нашей сети. Для этого в компании Positive Technologies для вас трудится 1300 человек.


четверг, 26 мая 2022 г.

Advanced Persistent Threat - это про искусство нападения и защиты

Buzzword из трех слов Advanced Persistent Threat уже лет десять мучает индустрию своим разным прочтением разными экспертами.
Для меня три буквы APT обозначают набор техник, которыми меня или мою организацию будут ломать. Для хакеров это набор каких-то утилит, каких-то алгоритмов, каких-то тактик их применения и также уровень экспертизы людей, которые будут эти утилиты и техники и тактики применять. Существует целые группировки таких людей, которые пользуются определенным набором утилит и схем нападения. И именно по этим двум факторам и различают группировки: какие утилиты и техники и как они используют. Мы понимаем, что невозможно знать все утилиты в мире и все техники атак в мире и все ИТ приложения в мире. Именно поэтому APT группировки часто специализируются только на определенной индустрии: кто-то хорошо ломает финансовые учреждения, кто-то промышленные, кто-то медицинские или государственные. Связано это с тем, что в каждой из индустрий нужно серьезно разбираться в деталях ее работы.


Серьезным подходом к классификации техник и тактик хакеров стало появление базы MITRE ATT&CK. Это самая успешная попытка записать в единую базу все известные техники и тактики хакеров. MITRE также классифицировали этапы их работы, которые также в литературе называют kill chain или cyber-attack lifecycle: подготовка утилит и ресурсов, проникновение, закрепление в сети, горизонтальное перемещение и эксплуатацию найденных критичных данных и ресурсов. И сегодня именно на основе этой базы знаний мы все делаем выборку конкретных техник и тактик хакеров конкретной APT группировки. Существует еще термин кампания (вторая буква именно а) - по сути это проект, когда хакеры подготавливают определенный набор инструментов (например, поддельных сайтов) фокусируются на определенные типы компаний (например, на финансовые) и занимаются применением своих знаний и утилит против этой группы компаний. Обычно каждая компания заканчивается выводом денег, как это сделал Cobalt и Lazarus c банками, кражей или уничтожением данных, как это было в Росавиации или даже остановкой предприятий, как это было с Rutube. На слуху чаще всего атаки вымогателей, когда компании хакеры шифруют все данные и просят выкуп как это было с компанией Garmin, которая заплатила 10 миллионов долларов за то, чтобы получить доступ к своим же данным, или норвежской компанией Norsk Hydro, которая отказалась платить и потратила 25 миллионов долларов на восстановление ИТ инфраструктуры в 40 странах мира.

Что же делать безопаснику: нужно ли ему знать все техники и тактики хакеров всего мира? Ведь мы только что решили, что это невозможно )

К счастью для нас, существуют типовые хакерские техники, которые используют хакеры всего мира. Это и типовые способы проникновения в сети и типовые способы закрепления в сети и типовые способы повышения привилегий и перемещения внутри сети. Да, этих способов тоже много, но установив средства контроля за этими техниками мы решаем задачу обнаружения злоумышленников. Злоумышленники тоже не стоят на месте - они постоянно придумывают техники обхода межсетевых экранов, систем предотвращения атак, песочниц и антивирусов. И поэтому защитники выстраивают многоэшелонированную защиту, иногда даже несколько средств защиты от одной и то же угрозы, чтобы хакер попал хотя бы в одну из ловушек.

Обычно продукты по безопасности сравнивают как раз по числу техник и тактик, которые может обнаружить система защиты.

Для продукта Positive Technologies Network Attack Discovery список методик защиты выглядит так


Основная проблема мира безопасности, что в компании есть деньги на устройства защиты, но нет людей, которые понимают что эти устройства защиты вообще делают или хотя бы что за информацию они пишут на экране и еще реже люди знают как на это надо реагировать. Именно поэтому существует анекдот, что девушка установила на компьютер антивирус, он ей нашел 12 вирусов, она подумала и удалила антивирус.

Как решать эту проблему?
  1. Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
  2. Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
  3. Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.
Среди безопасников есть те, кто занимается бумажной волокитой: соответствием требованиям государственных и отраслевых регуляторов. Есть те, кто занимается реальной безопасностью: созданием центров управления безопасностью SOC, команд реагирования CIRT и другими задачами. И третий тип - кто контролирует безопасность на уровне бизнеса, поддерживая business continuity согласно BCP/DRP. За границей это должность вице-президента по безопасности. В России пока что еще не распространенная должность. Обычно у этих сотрудников должен быть как минимум сертификат CISSP и от 10-15 лет работы в индустрии по специальности. 

воскресенье, 22 мая 2022 г.

Часто используемые хакерами уязвимости 2021 года

На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/ 
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.

В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.

Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.

CVEВ каком ПО обнаруженаНазвание уязвимостиТип уязвимостиБазовая оценка CVSS
CVE-2021-27101Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27103Accellion FTA
Подделка запроса на стороне сервера9,8
CVE-2021-27104Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27102Accellion FTA
Remote code execution (RCE)
7,8
CVE-2021-26855 Сервер Microsoft ExchangeProxyLogonПодделка запроса на стороне сервера9,8
CVE-2021-26857,

CVE-2021-26858,

CVE-2021-27065
Сервер Microsoft ExchangeProxyLogon
Remote code execution (RCE)
7,8
CVE-2021-44228Библиотека Apache Log4j2
Remote code execution (RCE)
10,0
CVE-2021-28799QNAP NAS
Remote code execution (RCE)
9,8
CVE-2021-34527 Диспетчер печати WindowsPrintNightmare
Remote code execution (RCE)
8,8
CVE-2021-34473 Сервер Microsoft ExchangeProxyShell
Remote code execution (RCE)
9,8
CVE-2021-34523 Сервер Microsoft ExchangeProxyShellПовышение привилегий9,8
CVE-2021-31207 Сервер Microsoft ExchangeProxyShellОбход аутентификации7,2
CVE-2021-40444Модуль MSHTML в Internet Explorer
Remote code execution (RCE)
7,8
CVE-2021-21972 VMware(обнаружена экспертом Positive Technologies Михаилом Ключниковым)
Remote code execution (RCE)
9,8

Для сравнения мировые организации
Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях

Самые частые уязвимости используемые хакерами по их версии
CVE
В каком ПО обнаружена
Vulnerability Name
Type
Apache Log4j
Log4Shell
Remote code execution (RCE)
Zoho ManageEngine AD SelfService Plus
 
RCE
Microsoft Exchange Server
ProxyShell
Elevation of privilege
Microsoft Exchange Server
ProxyShell
RCE
Microsoft Exchange Server
ProxyShell
Security feature bypass
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE

 
Atlassian Confluence Server and Data Center
 
Arbitrary code execution
VMware vSphere Client
 
RCE
Microsoft Netlogon Remote Protocol (MS-NRPC)
ZeroLogon
Elevation of privilege
Microsoft Exchange Server
 
RCE
Pulse Secure Pulse Connect Secure
 
Arbitrary file reading
Fortinet FortiOS and FortiProxy
 
Path traversal

И также важно знать про эти уязвимости,
CVE
Vendor and Product
Type
Sitecore XP
RCE
ForgeRock OpenAM server
RCE
Accellion FTA
OS command execution
Accellion FTA
Server-side request forgery
Accellion FTA
OS command execution
Accellion FTA
SQL injection
VMware vCenter Server
RCE
SonicWall Secure Mobile Access (SMA)
RCE
Microsoft MSHTML
RCE
Microsoft Windows Print Spooler
RCE
Sudo
Privilege escalation
Checkbox Survey
Remote arbitrary code execution
Pulse Secure Pulse Connect Secure
Remote arbitrary code execution
SonicWall SSLVPN SMA100
Improper SQL command neutralization, allowing for credential access
Windows Print Spooler
RCE
QNAP QTS and QuTS hero
Remote arbitrary code execution
Citrix Application Delivery Controller (ADC) and Gateway
Arbitrary code execution
Progress Telerik UI for ASP.NET AJAX
Code execution
Cisco IOS Software and IOS XE Software
Remote arbitrary code execution
Microsoft Office
RCE
Microsoft Office
RCE

Что это означает для вас? Нужно проверить эти уязвимости на вашем периметре и установить патчи. Чем быстрее, тем лучше.

Также рекомендую посмотреть отчет какие решения используют компании.

Классы решений, которые действительно способны обнаружить злоумышленника в сети, использует только каждая четвертая компания: Sandbox ― 28% опрошенных, решения класса NTA ― 27%.


Оцените свою внешнюю поверхность атаки

Множество взломов за последние месяцы было через открытые наружу сервисы. Давайте посмотрим статистику, какие же сервисы у компаний открыты. А вдруг они открыты и у вас? )

По отчету компании Positive Technologies статистика открытых служб (включая нестандартные порты) выглядит так


Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения

Также компания Positive Technologies оценила и наличие уязвимых сервисов среди всех найденных служб. 

Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.

По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Следующая по частоте - открытые в паблик интерфейсы систем управления сетевых устройств.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
И следующие по частоте открытые сервисы - аналитические системы и доступы к данным. Этих доступов вообще не должно быть в паблике. И тут даже не может быть каких-то оправданий к ИТ службе.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно. 
В общем делаем вывод, что ИТ службе нужно проверять не только ИТ, но и устройства Operation Technologies (OT).

Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye


Не забываем про старый добрый Shodan, который показывает открытые сервисы. 

Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.

И естественно вы можете это делать сами сканером безопасности.

Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.

И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.


 

суббота, 16 апреля 2022 г.

Состояние рынка VPN шлюзов в России на апрель 2022 года


Заказчики остались без подписок и поддержки для иностранных устройств и софта компаний Fortinet, Cisco, Palo Alto Networks, Juniper, внутри которых были шлюзы VPN. Часть устройств полностью перестало работать. В связи с этим на мероприятии AM Live мы обсуждали насколько быстро можно перейти на российские VPN и удовлетворяют ли они требованиям заказчиков. 

По нашему опросу больше 55% пришедших участников искали себе новые средства удаленного доступа, включая доступ по TLS и 39% site-to-site VPN. Павел Коростелев из Кода Безопасности считает, что в настоящее время повезло тем заказчикам, у которых уже был русский VPN, в частности это государственные заказчики.

Александр Веселов из Солар подсветил, что проблема еще усугубилась тем, что проблемно перейти на русские устройства VPN из-за их подорожания в 2 раза. А у большинства заказчиков бюджеты были заложены заранее. Андрей Шпаков из S-Terra объяснил, что подорожало железо, и это связано с нарушением цепочек поставок и отсутствием новых аппаратных платформ на рынке в принципе и приходится еще и возить через третьи страны аппаратные платформы. Множество платформ сегодня делается на основе тайваньского оборудования компании Lanner и его сейчас трудно привезти.

Павел Луцик указал на то, что вдобавок к тому, что перестали работать VPN шлюзы, у работающих шлюзов были отозваны TLS сертификаты и это вызвало трудности с перевыпуском и быстрым переподключением у многих заказчиков. Сейчас по идее нужно переходить на сертификаты подписанные русским центрами сертификации, но для этого русские центры сертификации должны быть прописаны в браузеры. А это еще одна трудность и кому-то нужно договориться с производителями браузеров и с компанией Microsoft, чтобы добавить еще и в Windows корневой центр сертификации.

Павел Великов из Cross Technologies поделился, что часть производителей смогли быстро предоставить виртуальные версии VPN и заказчики смогли решить задачу удаленного подключения к офису достаточно быстро. Он видит, что часть заказчиков еще пытается держаться за иностранных поставщиков, а часть уже переходит на русские решения.

Андрей Шпаков и Павел Луцик рассказали, что все заказчики привыкли уже к VPN шлюзам в составе устройств UTM/NGFW и им приходится ставить вместо одного устройства сразу несколько решений. Также заказчики привыкли к второму фактору на базе смс в мобильные устройства а таких сертифицированных решений не существует. Сейчас приходится использовать VPN отдельно и UTM отдельно, что неудобно, поскольку часто нужно знать имя пользователя не только при аутентификации на VPN шлюзе, но и при написании правил межсетевого экранирования.

Еще одной трудностью по мнению Павла Великова является требование законодательства передавать ключи шифрования из рук в руки и это по сути вызов реальности, где люди находятся все по домам и им трудно так передавать ключи технически. В итоге из-за того, что российские производители делали устройство под требования российского законодательства, то они были ограничены и не могли в принципе реализовать некоторые необходимые фичи, такие как удобную двухфакторную аутентификацию, удобное распределение ключей, удобный API для интеграции с другими устройствами, что уже сделано иностранными производителями, которые не ориентировались на русские стандартны сертификации. При этом Павел Луцик из КриптоПро поделился тем, что их решения хорошо интегрируются с решениями класса MDM и NAC.

Павел Коростелев считает, что TLS шлюзы, которые публикуют приложения через браузер приносят много достаточно функционала ZTNA, поскольку контролируют что делать пользователь. 

Павел Коростелев считает, что сертифицировать клиент VPN по требованиям ФСТЭК и ФСБ одновременно практически нереально. И в итоге общий вывод, что сделать UTM c VPN сложно потому, что сложно сертифицировать одновременно VPN+МСЭ+СОВ. И в итоге производители вынуждены делать две ветки продуктов - для сертификации, чтобы соответствовать требованиям регуляторов и для заказчиков, которым удобство важнее, чем сертификат.

Получается, что и добавить такой функционал как compliance или допустим digital experience monitoring (DEM) тоже в сертифицированные клиенты невозможно. И это удел только несертифицированных решений.

Павел Луцик подсказал, что пока что для защиты неконфиденциальной информации можно пользоваться иностранной криптографией. Также в КИИ нет требований по использованию сертифицированной криптографии, кроме тех кто подключается к ГосСОПКА.

По схеме применения производители выделили две схемы применения для удаленного доступа: с программным клиентом и с подключением через браузер к VPN шлюзу. Павел Коростелев при этом считает, что есть три подхода, где самый правильный вариант подключения - выдать ноутбук корпоративный с VPN, второй вариант - экстремальный - поставить прямо на домашний компьютер пользователя, и еще гибридный вариант, когда выдается USB флешка с загружаемой операционкой. Клиентские приложения сегодня есть у российских производителей под Linux, MacOS, iOS, Android и Windows.

Когда мы перешли к вопросу интеграции вендора с вендором, то выяснилось, что у всех разные протоколы и стандартный IPSEC даже если и реализован, то возникают вопросы с передачей ключей шифрования. Инфотекс, например, создал свой протокол IPlir, который считает удобным для использования.

Александр Веселов поделился опытом работы со всеми производителями VPN и ситуация выглядит так, что до 10 Гбит/с у большинства производителей есть решения. Есть у некоторых аппаратные реализации, которые могут выдать до 40 Гбит/с. Сложности возникают при большом числе клиентов VPN и там приходится ставить уже несколько VPN шлюзов. Попытка поставить балансировщики упирается в поддержку ГОСТ алгоритмов. Компания Ростелеком-Солар проводит внутренние тестирования для выбора VPN шлюзов на оборудовании IXIA и стоит обратиться к ним, чтобы подобрать устройство с необходимой производительностью.

На пропускную способность VPN шлюза сегодня влияет
- размер пакета и размер транзакции
- количество новых сессий
- количество одновременных сессий
- количество правил журналирования
- количество правил фильтрации, если там есть межсетевой экран
Так много факторов, что тестирование производительности не так просто осуществить, особенно если это разные производители и разные функции реализованы у каждого.

На мой взгляд самое простое - референс, то есть пойти к компании, которая уже использует оборудование VPN и посмотреть какие устройства у него стоят и какую производительность они обеспечивают.

Все сказали, что самое трудное - это сроки сертификации. Я сам тратил на сертификацию производства TippingPoint и Proventia на каждый по 3 года и такой срок конечно уменьшает пользу - ведь пользоваться устройством трехлетней давности, лишь потому что оно сертифицированное заказчик чаще всего не хочет, да и не может, потому что за это время даже оборудование уже устаревает. И на мой взгляд это стоит обсуждать на ТК26.

И еще одна трудность была отмечена коллегами: системы управления. Удобство - это то, над чем сейчас нужно работать, чтобы заказчики были довольны.

Отзывы от слушателей по итогам мероприятия и вообще по используемым ими российским криптошлюзам выглядят вот так


Запись доступна ниже

По результатам конференции я выяснил, что в будущем производители ждут
- подорожания аппаратных платформ;
- множества запросов на виртуальные решения;
- ужесточения законодательства по использованию русского оборудования и софта;
- прихода подделок на основе opensource;
- интеграции криптошлюзов и NGFW;
- появление SD-WAN как новой фичи шлюзов.