Тренды в практической ИТ безопасности 2015 года
Сегодня у большинства безопасников в разных компаниях идут разноплановые проекты. По роду своей работы, у меня есть возможность посмотреть как идет жизнь в большом числе компаний. Сегодня хочу выделить самые актуальные проекты по моему мнению, которые идут в этом году. Почему это тренд? Потому что число таких проектов будет увеличиваться в следующем году в других компаниях по мере знакомства с этими технологиями.
Защита от APT с использованием эксплойтов
Многие люди столкнулись с тем, что эксплойты присылают лично им. Да еще по несколько вариантов. Да еще с уважительным обращением по имени и отчеству. При разговоре, специалисты по безопасности часто упоминают атаки на себя и сотрудников, где использовались эксплойты встроенные в документы Word, где используется расширение DOC или RTF. Сегодня эксплойты используют Javascript (файлы типа JS), Flash ролики (файлы SWF), также бывают в виде файлов DLL. Угроза актуальна и критична. Однако, если в аудитории задать вопрос “кто знает как защититься от zero day встроенного в документ Word”, то мало кто поднимает руки. Примером такой атаки в прошлом году являлся Carbanak, где эксплойт присылали в поддельном письме от имени ЦБ РФ. В этом году используются его разновидности.
Самые частые атаки, когда люди скачивают вредоносные EXE файлы я уже не рассматриваю как APT. Этот вектор атаки актуален несколько лет и используется хакерами для поддержания размера своей бот-сети в нужном им объеме. Тут нет конкретного вектора на кого-то, поэтому нет APT.
Как бороться с EXE файлами многие компании в курсе. Основная трудность здесь, что сотрудники компании скачивают себе свой личный и уникальный EXE файл, даже заходя по одной и той же ссылке. На стороне злоумышленника стоит генератор EXE файлов. Каждый приходящий за этим файлом получает свою свежую уникальную версию. Сигнатурным антивирусам почти невозможно отследить такой вид атаки.
Защита от APT сейчас выглядит как набор виртуальных машин, где запускаются все приходящие в компанию файлы EXE и, что самое продвинутое, где подгружаются для просмотра в соответствующем приложении файлы документов типа DOC, PDF, SWF и так далее. Виртуальная машина анализирует поведение при запуске или просмотре и затем принимается решение – вредоносный это файл или нет. Таким образом, например, очень хорошо выявляются очень актуальные на сегодняшний день криптолокеры.
Чтобы видеть передачу файлов по сети различными приложениями заказчики используют специализированные межсетевые экраны нового поколения, которые и созданы чтобы видеть файлы внутри различных приложений: HTTP, FTP, SMTP, POP3 и SMB. Также NGFW позволяют увидеть какие файлы передаются внутри SSL и SSH туннелей. Это становится актуальным, поскольку сегодня треть трафика в компании зашифрована с использованием SSL. А ведь часто безопасники даже не смотрят, что же там внутри спрятано. Не смотрят в треть всего трафика!
Появилась в этом году защита от APT на рабочих станциях и даже серверах. Если вы используете хорошее хостовое решение, то оно сразу блокирует все возможности запуска эксплойта внутри офисных приложений или браузерах или приложениях типа Adobe Reader. Хостовая защита от APT, кстати, стала новинкой для рынка информационной безопасности в 2015 году.
Технология USER-ID
С тех пор, как сотрудники компании научились получать доступ в корпоративную сеть из разных точек планеты, писать правила на межсетевых экранах стало удобным указывая в правилах группу сотрудников или конкретное имя пользователя, а не их IP адрес. Межсетевые экраны, которые это поддерживают называются NGFW и все больше используются в корпоративных сетях. В итоге сегодня, подключившись в сеть по VPN из аэропорта или из гостевой Wi-Fi сети, вы будете распознаны как сотрудник компании и получите доступ согласно правилам доступа. Чтобы это работало, NGFW постоянно читает журналы VPN шлюза, где записано какой вам сейчас выдан IP адрес. Или читает журналы с контроллеров Active Directory, где написано с какого адреса вы сейчас залогинились. Или получает информацию с еще каких-то систем где производится аутентификация. Сам межсетевой экран может открывать captive portal для сотрудника и сам запрашивать у него кто он такой, автоматически сопоставляя IP адрес и имя сотрудника и предоставляя сотрудникам нужный им доступ, не привязываясь к фиксированной адресации. То есть сам NGFW отслеживает динамически где вы сейчас находитесь.
В этом году было много проектов используя эту технологию. И, по мере того, как все больше людей будет узнавать об этой удобной технике написания правил межсетевого экрана, таких проектов будет все больше в следующем году.
Использование диодов данных
Диоды данных – это программно-аппаратные устройство, которые активно используются в госучреждениях разных стран и SCADA сетях. Их задачей является установление гарантированно однонаправленного канала из Интернет в секретную сеть для получения необходимой информации из внешнего мира. Через диод данных по законам физики нельзя передать информацию обратно и, соответственно, гарантированно не может быть утечек информации из секретной сети. Как правило, это реализовано как оптоволокно в одну сторону – во вторую сторону оптики просто нет. Ну и естественно есть еще два сервера, которые эмулируют либо стек TCP/IP либо какие-то приложения: SMB, FTP и другие. Более подробно я описывал в статье http://www.securitylab.ru/contest/409633.php
В этом году я заметил, что в проектах по SCADA в России стали использовать эту идею тоже. В АСУТП есть программное обеспечение, которое хочет получать какие-то данные из Интернет. Для того, чтобы дать ему доступ и реализуются такие устройства. Однако это работает не всегда и тут все-равно при ходят на помощь старые добрые межсетевые экраны. Часто это файрволы уровня приложений.
Сетевые разветвители или network TAP
Сейчас в компаниях используются различные устройства безопасности для анализа контента на уровне приложений в сетевом трафик, например, DLP (например, чтобы узнать, кто каким словом обозвал начальника) или IDS (кто ищет уязвимости в сети) или DPI/NGFW (кто какими приложениями пользуется) или WAF (кто атакует сайты по HTTP) или пассивные сканеры безопасности (кто что изучает в сети) или UBA (аналитика поведения пользователей). Устройств сейчас может быть много. Однако, чтобы создать копию трафика и направить на них, использовались зеркальные порты на свитчах (SPAN порты). Это реально загружает процессоры самих свитчей, вдобавок часть трафика теряется на этих портах, плюс это невозможно сделать, когда несколько устройств требует копию трафика. Более удобно применять отдельные устройства под названием TAP. Я уже более 20 лет занимаюсь безопасностью в этой стране и практически все это время на нашем рынке вообще невозможно было купить такие устройства для пассивного получения копии трафика. Рынок просто жаждал когда же наконец! В свое время заменой служили обычные хабы, но это было возможно, когда скорости трафика были небольшие. Сейчас скорости большие, до 10Гбит и используется оптика и поэтому нужны специализированные дубликаторы трафика. Ведь применение таких устройств реально облегчает жизнь всем: и ИТ службе и ИБ службе.
И в этом году был взрывной спрос на такие устройства, поскольку они, наконец, стали продаваться нашими интеграторами. Так что этот тренд, я уверен, продолжится и в следующем году. При этом напомню, что с точки зрения безопасности это не самый лучший метод. Если задуматься, самое надежное решение в безопасности – это вставать в разрыв сетевых потоков и приложений и сразу блокировать угрозы и приложения. Те, кто решил смотреть в трафик и просто оповещать об увиденных атаках – тот не может заблокировать угрозу сразу. И в то же время, ставить устройства безопасности в разрыв информационных потоков многие ИТ специалисты не готовы, объясняя это рисками прерывания бизнеса из-за сбоев в работе устройств безопасности.
Интеграция WAF с продуктами анализа кода
На сегодня стандартный WAF представляет из себя продукт, который сложно настроить и поддерживать правильно настроенным, синхронно с изменениями на сайте. Есть мнение, что настраивать WAF и писать безопасно сайт – равносильные по сложности задачи. Что делать? Есть еще один класс продуктов на рынке ИБ – анализаторы кода. Если анализатор кода имеет возможность отдавать WAF информацию где и какие уязвимости существуют в коде веб-приложения, то WAF имеет возможность эти уязвимости сразу же закрыть. Вот этот тренд уловили разработчики год назад и некоторые заказчики в этом году реально тестируют уже такие решения и они развиваются одновременно с пожеланиями заказчиков. Так что в следующем году будет еще много интересного!
Благодарности и поздравления
Эта статья была бы невозможна без общения со многими безопасниками. Особенно я бы хотел выразить благодарность Вам коллеги: Андрей Бабий (банк «Открытие»), Сергей Барбашин (банк «Русский Стандарт»), Николай Беляков (банк «Кредит-Москва»), Артем Волощук (Сбербанк), Кирилл Ермаков (QIWI), Дмитрий Забелин (A-секьюрити), Артем Медведев (HP), Роман Лепешков (банк “АВАНГАРД”), Алексей Сова (Информзащита), Рустэм Хайретдинов (Appercut, Infowatch)!
Будем развивать дальше безопасность в нашей стране!
Поздравляю всех с наступающим Новым 2016 годом!