Комплексная безопасность корпоративных сетей

Автор: Ярослав Боцман
Основными угрозами для сохранности критически важной информации в корпоративных сетях являются действия собственных сотрудников и влияние внешних заинтересованных лиц. При этом основная проблема – выявить злонамеренную деятельность на фоне обычных рабочих процессов. Решение лежит в сфере применения автоматизированных специализированных систем отслеживания всех активностей в корпоративной среде.

Предотвращение действий недобросовестных сотрудников осуществляется с помощью систем гранулярного контроля доступа, систем предотвращения утечек
(Data Leak Prevention) и административных методов.

Еще сложнее обстоят дела с защитой от действий внешних злоумышленников. Бесследно ушли времена хакеров, анализирующих технические возможности информационных систем из любопытства. На смену исследователям безопасности, работающим в одиночку, пришли хорошо организованные хакерские группировки, целенаправленно атакующие сети компаний для получения прибыли.

Действия злоумышленников хорошо организованы и представляют основную проблему при защите жизненного цикла обмена критической важной информации. Другой причиной изменения ландшафта средств безопасности корпоративных систем является изменение профиля рабочего места, придание ему мобильности и размытие периметра сети.

Современный подход к защите корпоративной сети предусматривает подсистемы защиты периметра, сетевой инфраструктуры, систем хранения и обработки информации, а также защиты рабочих станций.

Основные требования к системам защиты корпоративной сети включают следующие задачи:
1. Обеспечение гранулированного детерминированного доступа к ресурсам корпоративной сети на основе анализа информации об IP-адресах, портах, используемых устройствах, типах приложений, а также данных геолокации.
2. Антивирусная защита передаваемой по сети информации, а также антиспам защита почтовых систем.
3. Предотвращение комплексных атак и атак «нулевого дня», а также атак типа «Отказ в обслуживании».
4. Предотвращение утечки критически важных данных и защита их целостности.
5. Защита от уязвимостей и угроз корпоративных порталов, веб приложений, используемых для доступа к базам данных, браузеров…
6. Централизованное согласованное управление средствами защиты.
7. Предоставление инструмента анализа рисков безопасности и ретроспективного анализа.

Современная защищенная информационная система требует имплементации комплекса программно-аппаратных средств. Их разделение по местам применения весьма условно, т.к. современный уровень угроз требует применения средств защиты на всех участках – от периметра до рабочих станций (рис.1). Средства защиты ориентированы не на физическую инфраструктуру сети, а на логические пути передачи и обработки информации.

Традиционно главным инструментом являются межсетевые экраны (МСЭ), осуществляющие фильтрацию пакетов в соответствии с заданными правилами, динамическую трансляцию IP-адресов и терминацию VPN-соединений. В зависимости от требований к уровню защиты различаются МСЭ разных уровней модели OSI. Вследствие набирающей популярности сложных APT (Advanced Persistent Threat) атак в корпоративных сетях используют МСЭ с механизмом углубленной проверки пакетов, анализом приложений, фильтрацией URL-адресов и имеющие в своем составе систему предотвращения вторжений (Intrusion Prevention System). Правила фильтрации пакетов основаны на выборе одной из двух стратегий – либо полностью разрешить незапрещенный трафик, либо запретить весь неразрешенный трафик. Детализация управления трафиком зависит от глубины контексной информации о пользователях. Для обмена контексными данными проводится интеграция с различными системами контроля доступа, управляющими доступом в рамках сети.

Кроме традиционной роли по аутентификации, авторизации и отчетности (Authentication, Authorization, Accounting) действий пользователей, в современных сетях осуществляется контроль над соблюдением политик безопасности, включая не только доступ к информационным системам, но и состояние рабочих станций.

А благодаря популярности технологии использования собственных устройств (Bring your own device) для доступа к ресурсам корпоративной сети, автоматизированный анализ их безопасности становится насущной необходимостью.

Контроль за соответствием пользовательского устройства политикам безопасности включает анализ версионности установленных программных продуктов, установленных обновлений, проверку актуальности антивирусной базы, контроль за целостностью файловой системы и т.д.

Возрастающая роль Web-приложений в бизнес процессах привела к появлению специализированных МСЭ, направленных на контроль и защиту соответствующих приложений WAF (Web Application Firewall). Обработка Web-пакетов основана на корреляции зависимостей поведения приложений и протоколов, анализа XML/SOAP потока и выявлении атак на уровне Web-трафика. Для анализа приложений использующих защищенное SSL (secure sockets layer) соединение используется технология «Атака типа «человек внутри» (Man in the middle), при этом пользовательская сессия терминируется на МСЭ импортируя сертификат безопасности с запрашиваемого сервиса.

Но даже современный МСЭ не в состоянии защитить от всех угроз, возникающих в сети. Самой характерной является антивирусная защита. Именно поэтому ряд производителей добавляет в МСЭ соответствующие программные платформы, производящие анализ трафика на наличие злонамеренного программного обеспечения.

Это не просто набор антивирусных баз для сигнатурного анализа, а сложный инструмент, сочетающий в себе репутационную фильтрацию и поведенческий анализ. Зачастую решение содержит «песочницу» (sandbox) – виртуальную машину с программным обеспечением, соответствующим используемым в работе компьютером. В нее помещается подозрительное приложение и эмулируется ускоренная работа компьютера на протяжении длительного срока (например, один год). Это позволяет провести анализ поведения приложения и убедиться в его благонадежности.


Рисунок 1. Архитектура системы корпоративной безопасности

Еще одной возможностью противостоять действиям злоумышленников является размещение ловушек (Honeypot). Это ресурс, специально созданный для привлечения несанкционированных действий. Проактивная система собирает информацию о действиях взломщиков и их методах, а также инструментах, используемых для атаки.

Несмотря на значительное усовершенствование технологий, устройства устанавливаемые на периметре сети, имеют существенную уязвимость – мощность аппаратного устройства и пропускная способность каналов связи. Даже не имея возможности взломать защиту, злоумышленники без особых проблем могут парализовать работу коммерческой структуры с помощью DDoS (Distributed Denial of Service) атак или распределенных атак «отказ в обслуживании».

Для проведения таких атак используются бот-сети, содержащие большое количество зараженных компьютеров, управляемых из единого центра. Заражение компьютеров происходит с помощью фишинговых сайтов и специальных закладок в распространяемом через сеть программном обеспечении. Злонамеренное программное обеспечение на зараженном компьютере скрывает следы своей жизнедеятельности и практически незаметно для пользователя. Получив указание из узла управления все зараженные машины начинают открывать большое количество сессий на адрес жертвы, переполняя буферы устройств на периметре сети или канал связи.

Для борьбы с таким видом атак используются специализированные устройства – фильтры, которые анализируют сетевую активность пользователей и позволяют проводить оценку нестандартного поведения клиентов и приложений, а также проводить очистку трафика. Для максимальной эффективности устройства необходимо устанавливать максимально близко к источнику атаки, или на площадке Интернет провайдера или с помощью перенаправления атаки (заменой IP адресов и DNS записей) на облачный сервис очистки трафика.

Отдельная тема безопасности данных – защита приложений. Наиболее опасными являются уязвимости баз данных и программных средств для доступа к ним.

Системные администраторы в основном занимаются вопросами продуктивности баз данных, и нередко не уделяют достаточного внимания обеспечению их безопасности. Ландшафт угроз включает не только предотвращение кражи данных, но и защиту от неавторизованного изменения. Основная часть уязвимостей баз данных касается уязвимостей программного обеспечения, несовершенства ролевого доступа к ресурсам и отсутствия контроля за деятельностью привилегированных пользователей. Применение собственных механизмов аудита значительно сказывается на производительности систем. Кроме того, для разных продуктивных систем зачастую используются базы данных разных производителей.

Поэтому для защиты нашли применение специализированные программные продукты, обеспечивающие разграничение полномочий, логирование проводимых действий с механизмами автоматической отчетности и обладающие минимальным влиянием на производительность баз данных.

Второе по опасности место хранения корпоративной информации — это рабочий компьютер. Даже если удалось обеспечить безопасность на уровне конечного устройства это не значит, что критически важные данные находятся в безопасности. Кроме мест хранения и интерфейса Web-доступа, очень важно защитить приложения, использующие критически важные данные. Чаще всего данные передаются и обрабатываются с помощью браузеров. Используемые для этого браузеры уязвимы для атак типа «шпион в браузере». Защититься от атак данного типа помогают программы, контролирующие интерфейс прикладного программирования (Application Programming Interface) браузера и выполняющие блокировку клавиатурных шпионов.

При самостоятельной разработке мобильных приложений очень важно обеспечить управление их жизненным циклом с соблюдением всех требований безопасности. Для этого применяются сканеры, анализирующие исходный код на наличие в приложениях известных уязвимостей и позволяющие проводить отладку, прогнозируя уровень безопасности данных используемых приложением. Чем раньше проблемы с безопасностью будут выявлены, тем меньше уйдет времени на их исправление и тем дешевле оно обойдется.

Использование описанных систем не является панацеей – они позволяют защититься от большинства известных видов атак, но зачастую бессильны против атак «нулевого дня» (zero day). Эти атаки эксплуатирую неизвестные уязвимости и могут нанести существенный вред корпоративной среде. Если такая атака носит локальный характер, т.е. используется целенаправленно против конкретной структуры, то, даже имея сигнатурные средства защиты, бороться с ней очень сложно. Такая атака может нарушить периметр на очень длительный срок и привести к потере важной информации. Частично эту проблему решают защитные устройства нового поколения, но без глобальной системы поведенческого анализа, анализирующей все информационные потоки, повысить видимость атак «нулевого дня» практически невозможно. Для этого со всех сетевых устройств с помощью семейства протоколов хFlow (NetFlow, sFlow,…) собираются данные о передаваемых потоках и строится карта взаимодействий. Самообучающаяся система постоянно отслеживает изменения шаблона, анализирует отклонения от нормы реализуя мощный инструмент для нахождения аномалий в поведении.

Описанный комплекс средств позволяет реализовать эшелонированную защиту корпоративной инфраструктуры.

В попытке максимизировать общий уровень защиты в сети применяется оборудование различных производителей, имеющих в своем портфеле лучшие решения в каждом направлении. Это приводит к тому, что в сети оказывается множество систем безопасности, которые должны работать согласованно, а каждая система обладает собственной системой управления и контроля.

Чтобы реализовать весь доступный потенциал и гарантировать эффективность функционирования всех систем, в сети организуют центр принятия решений, где администраторы сети смогут управлять информационной безопасностью.

В центре управления размещаются экраны для вывода информации о состоянии систем и рабочие станции для доступа к консолям управления. Учитывая большое количество и разнообразие событий безопасности, очень сложно разобраться в потоке поступающей от каждой подсистемы информации.

Для консолидации инцидентов применяется система управления событиями безопасности (Security information and event management) осуществляющая сбор и хранение логов с устройств и приложений, их нормализацию, корреляцию и уведомление о важных событиях. В результате администраторы акцентируют внимание на небольшом количестве событий требующих реакции.

Структура системы безопасности зависит от уровня зрелости бизнес процессов предприятия и требует постоянного внимания. Реализованная система, как оптимально она бы ни была имплементирована, не может служить перманентной защитой. Ее функционирование должно постоянно контролироваться администраторами, и тогда информационная среда останется безопасной вне зависимости от изощренности действий злоумышленников.