Реестр ФСТЭК в части по сертифицированным межсетевым экранам (МЭ) и системам обнаружения вторжений (СОВ) содержит много информации, включая сертификаты под сертифицированные отдельные образцы. Я выписал оттуда данные по тем продуктам, что сертифицированы как серия, поскольку если лишь несколько штук, то это уже проданные кому-то экземпляры под какой-то проект.
Мне не удалось обнаружить у многих производителей в тексте сертификата номер их версии операционной системы, которая была сертифицирована. А ведь версия важна, потому что если в сертифицированной версии есть уязвимости, то тогда сертификат работает только с применением дополнительных мер защиты устранящих уязвимость. Также нужно проверять сертифицирована ли система управления. Это оставлю на потом.
Сертификат МЭ.А4 на серию действует у следующих межсетевых экранов
Наименование
Версия
Номер сертификата
Действует до
Рубикон-К
3290
02.12.2020
Check Point
77.10
77.10
3634
03.10.2019
ViPNet
Coordinator HW 4
3692
26.01.2020
FortiGate
5.4.1
5.4.1
3720
16.03.2020
Traffic
Inspector
3834
04.12.2020
UserGate UTM
C, D, D+, E, E+, F, X1
3905
26.03.2021
С-Терра Шлюз
4.2
4058
27.12.2023
Diamond VPN/FW
4066
24.01.2024
Huawei 63XX,
66XX, 95XX версия V500
V500
4083
04.02.2024
ViPNet
xFirewall 4
4093
13.02.2024
Застава-150
VPN/FW
4125
14.05.2024
Сертификат МЭ.А5 на серию
нет таких межсетевых экранов
Сертификат
МЭ.А6 на серию действует у следующих межсетевых экранов
Наименование
Версия
Номер сертификата
Действует до
Сisco ASA 5506-X, 5508-X,
5516-X версия 9.*
9.*
3973
25.07.2021
Huawei Eudemon
8000E-X3 версия V500
V500
3909
05.04.2021
Cisco ASA SM-1
версия 9.* (снят с продажи)
9.*
3909
27.02.2021
Сертификат
СОВ.С4 на серию действует у следующих устройств
Наименование
Версия
Номер сертификата
Действует до
HP TippingPoint
3232
12.09.2020
Рубикон-К
3290
04.12.2020
Сheck Point
77.10
77.10
3634
03.10.2019
FortiGate
5.4.1
3720
16.03.2020
ViPNet IDS 2
2.4
3804
10.10.2020
ИВК СЕНСОР
3868
24.01.2021
UserGate UTM
3905
26.03.2021
Кречет
3911
06.04.2021
Аркан
3976
27.07.2021
Kaspersky
Industrial CyberSecurity for Networks
4027
25.10.2023
Positive Technologies Network Attack Discovery
4042
30.11.2023
Аргус
4048
19.12.2023
С-Терра СОВ
4055
24.12.2023
Diamond VPN/FW
4066
24.01.2024
Сертификат
СОВ.С5 на серию действует у следующих устройств
Из этого списка на российском рынке присутствуют в основном Check Point, Fortinet, Huawei и Palo Alto Networks. Также изредка я вижу Sophos и Barracuda. Компания Cisco со своим решением FirePower в этом году в тесте NSS Labs не обнаружена.
Мне лично приятно, что Palo Alto Networks NGFW стал лидером этого тестирования (самый верхний зеленый кружок) Зеленый означает, что мы обнаружили все техники обхода.
Результаты все публично доступны на сайте NSSи все три отчета: сравнительный между производителями, конкретно по модели PANW PA-5220 и обзорный SVM более детальные можно скачать отсюда.
Существует одна проблема лично для меня, возможно для кого-то тоже: когда ты занимаешься только ИБ, то возникает разрыв знаний с ИТ технологиям. Сейчас информации такое количество на рынке ИБ, что отслеживать новые веяния в ИТ очень сложно. Но нужно.
Информационная безопасность неотделима от ИТ! Только если ты хорошо знаешь сетевые технологии, то ты можешь хорошо защищать сети, если ты хорошо знаешь операционные системы, то можешь хорошо их защищать и так далее.
Контейнеры
Сотрудники ИТ все чаще используют контейнеры вместо виртуальных машин. Такие слова как Docker, Kubernets, Pod, OpenShift активно используются сотрудниками многих компаний. Знаете ли их вы и знаете ли вы проблемы в ИБ в них, как безопасники?
Контейнеры легковесны, поскольку занимают несколько мегабайт, в отличие от виртуальных машин, занимающих гигабайты. И с ними ИТ специалистам проще работать и масштабировать под задачи бизнеса, который требует быстрых результатов и выхода на рынок новых продуктов. Сейчас это делают на основе уже готовых шаблонов контейнеров, на основе которых строят новые приложения. Готовые контейнеры находят, например, на Docker HUB.
Одновременно у контейнеров уже найдены уязвимости и уже были взломы, например, взлом и использование затем мощностей Тесла для зарабатывания криптовалюты был основан на уязвимостях Kubernets.
И уже существуют компании, которые понимают эти уязвимости и делают микросегментацию для сервисов, которые выставляют публично контейнеры.
Например, продукт компании https://www.twistlock.com/ позволяет визуализировать контейнеры, показать уязвимости, защитить контейнеры во время их работы, создать внутреннюю сегментацию в рамках одного хоста с контейнерами.
Function as a Service или бессерверные вычисления
Да, уже есть такие типы облачных сервисов как IaaS, PaaS, SaaS и даже SecaaS, теперь еще и FaaS, когда вы платите поставщику сервиса за исполнение ваших функций, а не операционных систем или приложений. Впервые такое сервис предоставила в 2014 году AWS Lambda, затем уже Google Cloud Functions и Microsoft Functions. Также эту технологию называют бессерверные вычисления. То есть вы передаете сервису для обработки какую-то функцию которая вам нужна в данный момент. Это очень удобно масштабировать и позволяет резко усилить возможности компании в период отчетности или наплыва запросов клиентов, например, в конце квартала или года.
И у этих технологий тоже уже есть уязвимости, например, в данном видео в поле с именем файла PDF для отдела HR вставляется команда curl для скачивания дополнительного кода с pastebin и этот код выполняется на сервере FaaS и результат атаки впечатляет. Как от этого защититься?
Существуют компании, которые занялись защитой Serverless технологий, например, компания PureSec, в продукте выполняется контроль работы таких приложений и даже есть WAF для проверки входящих запросов к сервисам.
SOAR и автоматизация
Конечно же по планете шагает автоматизация. Это применимо одновременно к ИТ и к ИБ. Если существует хоть одна повторяющаяся операция в ИТ или ИБ службе, то ее стоит автоматизировать - зачем мучить сотрудников.
Основным драйвером продуктов автоматизации в России я вижу то, что руководство готово выделять бюджет на продукт, но не готов выделять деньги на новых сотрудников. Поэтому основная задача продуктов класса SOAR - ускорить работу сотрудников текущих или вообще освободить их от рутинных простейших операций: проверок отчетов сканеров уязвимостей, антивирусов, песочниц или даже автоматически решать задачи приходящие по email от сотрудников - заявки на проверки фишнговых писем, автоматические проверки систем или построение отчетов по разным заданным параметрам.
Здесь много продуктов и я постепенно осваиваю продукт Demisto - он позволяет подключаться к существующим или реализовать системы управления инцидентами, автоматически обогащает каждый инцидент нужной информацией, подключает других сотрудников, пишет им запросы, проверяет чтобы сотрудники вовремя на них ответили, не забывает им напомнить, потом строить отчеты и графики эффективности внутренних процессов ИТ и ИБ.
Основой систем SOAR является создание или использование уже готовых Playbook - алгоритмов описывающих как работает процесс и что нужно сделать на каждом шаге. SOAR автоматизирует прохождение этого алгоритма, помогает всем сотрудникам на каждом шаге, подключается ко всем система компании сам через API и решает многие вопросы без участия человека.
Например, Demisto может собрать нужные индикаторы IOC, затем проверить их с полученными в инциденте IP, URL, DNS адресами, хешами и др. Затем автоматически настроить сиетемы защиты на из блокировку, оповестить людей и сформировать графический отчет о своей работе.
Вот так выглядит простейший Playbook когда вы сравниваете свой файл с базой Threat Intelligence например из Facebook и затем со следующей базой, например, с VirusTotal и так далее.
Также основой выгодой таких готовых цепочек проверок является то, что ваш сотрудник может быть не таким профессиональным и даже не знать все методы и способы которые используются профессиональными сотрудниками, но просто запускать этот playbook когда ему нужно проверить заражение или просто любой файл. В Demisto, например, заведено уже 50 готовых плейбуков - что делать в случае потери ноутбука сотрудником, в случае находения вредоносного кода песочницей и так далее. Кроме того Demisto постоянно поддерживает коннекторы к 300 типам различных внешних продуктов ИБ, поддерживает их актуальные версии, чтобы скрипты работали без ошибок.
Пример автоматизации Demisto + песочницы Palo Alto Networks Wildfire + системы Threat Intelligence Autofocus