У вас проблема? Ничего страшного!

Антон Разумов, руководитель группы консультантов по безопасности Check Point Software Technologies

!БДИ: Каковы приоритеты Check Point при решении задач ИБ? На чем приходится фокусировать силы в первую очередь?

Антон Разумов: Мы видим, насколько быстро увеличивается количество векторов атак. Прежние методы защиты, основанные на сигнатурах, уже не спасают. Раньше мы обсуждали атаки «нулевого дня», а теперь это – уже в прошлом. Если какой-то вредоносный код обошел линию обороны, он может за считанные секунды нанести значительный урон, украсть важную информацию. Скорости все больше растут, и сейчас мы говорим об атаках ZERO SECOND.

!БДИ: О каких скоростях идет речь?

А.Р.: Прежде всего, о скоростях Интернета, позволяющих моментально скачивать огромные объемы данных. Кроме того, о вычислительных скоростях, благодаря которым можно гораздо быстрее сканировать сеть, внедрять зловредный код и заражать соседние компьютеры или даже всю сеть. Это происходит не за часы, а за считанные секунды. Получается, что если какая-то угроза «просочилась» внутрь сети, то злоумышленник, скорее всего, получит желаемое (во всяком случае, многое из этого). Потому-то речь и идет об атаках ZERO SECOND и о том, что их надо блокировать сразу же, в «нулевую» секунду, а не в тот же день, как было еще пару лет назад.

!БДИ: Реально ли реагировать за секунды? За это время невозможно даже подойти к компьютеру и увидеть, что поступил такой сигнал.

А.Р.: Раньше использовались всевозможные системы корреляции событий, которые позволяли отслеживать происходящее. Например, у нас был интересный случай, когда в одном банке мы тестировали свое оборудование – прослушивали трафик, «подаваемый» на него администраторами. Мы анализировали, что происходит в сети, проверяли достаточно большое количество компонентов и неожиданно обнаружили какую-то активность, хотя время было поздним. Система среагировала на то, что странный трафик идет в процессинг. Выяснилось, что злоумышленники уводят деньги, но благодаря тому, что мы случайно оказались в том банке, им удалось украсть не так уж много.

Сейчас наступает время решений, защищающих превентивно. Прежние продукты еще работают, но тех из них, которые могут выявлять лишь известные угрозы, уже категорически недостаточно для полноценной защиты. И нет возможности ждать обновлений продуктов, например той же компании Microsoft, которые администратор получает, тестирует на избранных компьютерах, убеждаясь в отсутствии конфликта с установленным ПО, и потом только распространяет. На это может потребоваться несколько часов.

Нужно не ловить зловредный код, когда он уже проник в сеть, а не позволять ему попасть в сеть. А это возможно только при очень тесной интеграции разных решений, которые работают на уровнях как шлюза (для защиты от внешних атак), так и рабочих станций. Защиты от всего не бывает, но очень важно, чтобы не нарушались бизнес-процессы. Блокировать все, например USB-порты в BIOS, ни в коем случае нельзя, но обеспечить механизмы интеграции рабочей станции с системой необходимо – у нас это называется Threat Emulation. Если какой-то файл копируется на рабочую станцию, мы сразу считаем его не доверенным и проверяем так же тщательно (в виртуальной машине, в «песочнице»), как если бы он пришел извне.

!БДИ: Но сейчас злоумышленники стали опытными, и зловредный код «понимает», что находится в тестовой зоне, и не проявляется.

А.Р.: Для того чтобы код «понял» это, он должен выполнить определенные проверки. Если при открытии документа Word или Excel вдруг начинаются проверки, не являющиеся характерной особенность данного документа, то это –  повод задуматься и проверить что-то вручную. Еще один важный момент связан с расширением новой технологии. Уязвимостей не так уж много, ограниченное число, но количество вредоносных экземпляров измеряется сотнями, тысячами и миллионами. Бороться с ними бессмысленно, а проанализировать и не дать сработать с использованием уязвимости – гораздо проще. Один из компонентов защиты отслеживает, что происходит при открытии документа в «песочнице», и констатирует наличие проблемы, если появляются или исчезают какие-то процессы, возникают сетевые соединения. Но так же необходима еще и проверка поведения и правильности выполнения самой программы.

Корректная программа выполняется в определенной последовательности. Если она вызвала какую-то процедуру, мы обязательно должны вернуться к инструкции, следующей за вызовом. Часто атаки основаны на том, что подменяется адрес возврата, и он осуществляется на другой участок. При повседневной работе на компьютере мы иногда получаем сообщение в Windows, что программа допустила ошибку и будет закрыта операционной системой: понятно, она некорректно написана, работает неправильно, и нужно предотвратить дальнейшие разрушения. Мы делаем примерно то же, но на более высоком уровне: увидев, что программа начала работать некорректно, мы понимаем, что это – попытка взлома.

!БДИ: Складывается впечатление, что описанная вами картина свидетельствует о намерении отказаться от полицейского подхода к решению вопросов ИБ: если есть труп, будет заведено дело, а работать на опережение, не допустить инцидента полиция не умеет. Однако уже много лет и нам не удается отойти от такой практики. Почему?

А.Р.: Конечно, лучше предотвращать, но злоумышленники тоже постоянно развиваются, придумывают что-то новое. Какую бы сигнализацию вы ни установили на автомобиле, если преступники зададутся целью его украсть, то, в конечном счете, они это сделают. Обойти можно все, но если мы достаточно хорошо защищены, злоумышленнику проще атаковать кого-то другого.

!БДИ: Мир изменился. Сейчас можно не быть целью, но оказаться жертвой. Известно, что и небольшие компании часто подвергаются атакам.

А.Р.: Совершенно верно. Часто приходится слышать, что мы – компания маленькая, воровать у нас нечего, поэтому никто нас атаковать и не будет. Однако у небольших предприятий и ресурсов мало, и им сложно оправляться от последствий атак. Кроме того, через них проще атаковать крупные компании, партнерами которых они нередко являются. Я иногда привожу такой пример из жизни. Злоумышленники хотели взломать крупную фирму, начали следить за действиями ее сотрудников и обнаружили, что они заказывают в ближайшей кафешке обеды. Тогда был взломан веб-сайт кафе, на нем разместили вредоносный код, и сотрудники этой компании занесли его на свои компьютеры. Естественно, сама кафешка была не нужна злоумышленникам, но потерпела огромные убытки при расследовании инцидента, поскольку именно с ее стороны пошла атака.

!БДИ: Какое решение проблемы возможно для подобных «кафешек»? Оно ведь должно быть достаточно бюджетным, чтобы не съедать всю прибыль, которую с трудом зарабатывают малые предприятия…

А.Р.: Любое внедрение многоуровневой защиты важно начинать с правильного проектирования сети. Раньше все было достаточно просто: установили сетевой экран на периметре, и вот – есть внешний мир, а есть внутренний. Сейчас грань между внешними и внутренними угрозами размыта, особенно если используются облака, тот же Office 365. Куда устанавливать волшебный firewall, если вы уже стали частью внешнего мира?

Важно разбить сеть на маленькие сегменты с учетом обрабатываемой в них схожей информации. Тогда при взломе злоумышленник получит доступ лишь к какому-то определенному сегменту, и там и останется. Например, если взломан компьютер операциониста в банке, а рядом имеется компьютер другого операциониста, то злоумышленник не найдет на нем дополнительной интересной информации. В общей локальной сети злоумышленники через скомпрометированный компьютер операциониста могут проникнуть, например, в кредитный отдел, а там уже есть чем поживиться.

Большинство взломов, имеющих серьезные последствия, реализуются именно так. Сначала атакуется компьютер, не очень тщательно защищаемый, поскольку на нем не хранится ценная информация, а с него атака распространяется дальше. Нужно хорошо понимать, какая информация у вас есть, где она используется и обрабатывается, какие потоки данных имеются и не может ли компрометация одного из сегментов сети привести к дальнейшим разрушительным последствиям. Да, вероятность взлома всегда остается, но не позволить угрозе распространиться мы вполне можем.

!БДИ: Данный подход вызывает сразу два вопроса. Во-первых, зачастую имеется унаследованная архитектура, о которой говорят: «Да, так исторически сложилось, и что теперь с этим делать?». Во-вторых, для свежего взгляда на архитектуру нужен не замыленный взгляд с позиций обновленных компетенций, а у нас с этим – беда.

А.Р.: Проводится множество мероприятий, на которых можно узнать о новых подходах и посещать которые очень полезно. Недостаточно знать технику, что и как работает – следует набирать экспертизу и знакомиться с лучшими практиками, общаясь с коллегами. Такое образование позволяет правильно планировать сети, определять подходы к их защите.

Кроме того, любому внедрению предшествует большая подготовительная работа. Нужно понять, чего мы хотим достигнуть, а не просто что-то покупать, поскольку это – хорошее решение. Оно, конечно, много от чего защитит, но правильное внедрение позволит получить гораздо большие выгоду и эффективность.

Четыре-пять лет назад бытовало расхожее мнение, что при установке двух разных межсетевых экранов друг за другом можно повысить общий уровень безопасности – пропущенное одним защитит другой. На деле из этого ничего хорошего не получится, т.к. в большинстве случаев проблема состоит в ошибках конфигурации, связанных с «человеческим фактором», – не так внедрили, какой-то параметр изменили… Когда систем много, типичной ситуацией оказывается то, что систему вывели из эксплуатации, поскольку в одном месте правило убрали, а в другом забыли. В «живой» системе чем меньше сложность, тем легче управлять, чем меньше консолей управления, тем выше общая надежность. Если все находится в одной системе, нам не требуется огромное количество правил для настроек.

В не очень «засекреченной» системе иногда разрешается, например, подключать собственный ноутбук по WiFi внутри корпоративной сети или подсоединяться к ней с домашнего незащищенного устройства. Но поскольку это – не корпоративный, не доверенный компьютер, доступ будет обеспечен к меньшему количеству ресурсов (хотя пользователь – тот же самый). Безопасность должна следовать за человеком.

Тэги: 

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.