BIS Journal №2(45)/2022

23 мая, 2022

Импортозамещение грянуло

Импортозамещение случилось внезапно и автоматически. Западные компании ушли из страны. На рынке информационной безопасности огромные очереди к отечественным производителям систем защиты информации.

Иностранные производители в течение первых недель марта 2022 года отключали один за одним свои сервисы обновлений и техподдержки для клиентов из России. При этом в анонсах на сайтах компаний IBM, Citrix, Dell, Fortinet, Microsoft, VMware используется глагол «suspend», то есть компании предполагают, что ещё могут вернуться на рынок России. А в официальных анонсах Cisco, Dell, ESET используется уже глагол «stop».

По словам сотрудников, представительства компаний Cisco, Fortinet, HPE и VMware в Москве ушли в отпуск на 3 месяца, надеясь, что ситуация улучшится. Представительства компаний Arista, Citrix, IBM, Fortinet, HPE, TrendMicro, Palo Alto Networks продолжают платить зарплату своим сотрудникам. При этом компании Arista, Cisco, Citrix, IBM отключили доступ российским сотрудникам к корпоративной информации. Компания Force Point полностью терминировала контракты своим сотрудникам в Москве.

Многие ИТ-компании прекратили техподдержку своих продуктов в России и Беларуси, и заказчики просят вернуть деньги. Особенностью ситуации является то, что в Москве находятся ещё и сотрудники международных компаний, которые обслуживают клиентов из Казахстана, Армении, Грузии, Узбекистана и других стран. Прагматичнее всех поступила компания Amazon, которая перевела ещё несколько лет назад всех своих сотрудников в Мюнхен, и они отвечают за все страны СНГ из Германии.

Самым важным для любого потребителя продукта по безопасности являются обновления сигнатур для глубокого анализа контента приложений, систем предотвращения атак, антивирусных средств. Также обновлений требует URL-категоризация и базы индикаторов компрометации Threat Intelligence. Чтобы обеспечивать безопасность, нужны ежедневные обновления баз сигнатур.Да и сами продукты требуют обновлений программного обеспечения. Все иностранные производители отозвали лицензии и прекратили обновлять базы сигнатур заказчикам из России. В итоге во всей стране уровень обеспечения информационной безопасности компаний снизился. Перестал работать даже анализ вредоносного кода по поведению в «песочницах».

 

Как минимизировать последствия отключений

Если лицензия ещё не истекла, то у некоторых продуктов обновления можно устанавливать вручную при помощи загрузки файлов. Такие файлы можно получить на портале техподдержки, если он обслуживает клиентов из России.

Однако общая рекомендация для пользователей из России касается отключения автоматического обновления программного обеспечения и операционных систем. Причин для отключения две. Первая – лицензию для продукта могут отозвать после подключения к серверу обновления. И вторая –есть риск, что в обновлении будут содержаться недокументированные функции. Это особенно важно учесть при обновлении продуктов с открытым исходным кодом. Есть случаи, когда обновления подобных продуктов содержат вредоносный код. Такие случаи были уже: бухгалтерская программа M.E.Doc внезапно разослала всем своим пользователям вредоносный код Petya, а программа мониторинга Solar Winds внезапно предоставила удаленный доступ к сетям 300000 компаний неизвестным хакерам. Всё случилось после взлома самих серверов поставщиков программного обеспечения, где злоумышленники внедрили нужный им функционал, который уже разошелся по ничего не ведающим клиентам этих компаний.

На сегодня в России не так много компаний, у которых есть собственный экспертный опыт, чтобы проверить сторонний файл на наличие вредоносного кода или самим найти уязвимость в программном обеспечении. Наличие такой исследовательской лаборатории – это база для создания любого продукта по безопасности. В России мало компаний, которые сами создают сигнатуры для решений классов IPS, IDS и антивирусных средств, баз URL и Threat Intelligence (TI). Продукты по безопасности требуют круглосуточной работы команды специалистов, которые разрабатывают сигнатуры для вредоносного кода, систем обнаружения атак, определения контента приложений и также поставляют клиентам индикаторы компрометации. В итоге даже в российских продуктах «под капотом» часто работает иностранный или бесплатно распространяемый движок. Обязательно спрашивайте поставщика, откуда он берет сигнатуры и индикаторы компрометации. Типовым способом создания «своего» продукта является использование сигнатур и кода Snort и Suricata, что скорее удивляет клиентов, чем мотивирует платить деньги.

Необходимость наличия собственной исследовательской лаборатории в компании-разработчике подчеркивает то, что злоумышленники постоянно разрабатывают методики обхода защиты. К примеру, популярная технология URL-фильтрации столкнулась с техникой cloaking, когда вредоносный сайт возвращает «хорошую» страницу серверам анализа, но вредоносную страницу браузеру жертвы. Поэтому сейчас активно развиваются технологи Machine Learning для обнаружения таких вредоносных сайтов, подключений и файлов в режиме реального временив самом средстве защиты внутри компании.

Часть компаний смотрит в сторону решений с открытым исходным кодом, но опасность заключается в том, что множество open-source проектов уже получило новые вредоносные куски кода. Множество активистов занялось «исправлением» публичных проектов и добавляет не только лозунги и ругательства, но и реальный код, который может вывести вашу ИТ-систему из строя. К примеру, node-ipc удаляет файлы, если видит IP-адрес в заданном списке. Поэтому open-source сегодня – это катастрофический риск. Будьте осторожнее со скачиванием стороннего кода.
 

Что у вас должно быть и что предлагают производители в России

Если говорить о классах продуктов, то первоочередная задача — обновить периметровую защиту. Это первый рубеж защиты, который видит и входящие соединения (например, электронную почту), и, что более важно, исходящие соединения от всех приложений сотрудников. Исходящие соединения нужно контролировать, потому что именно через них происходят утечки, подключения к системам управления бот-сетями и закачка вредоносного кода.

Типовая ошибка — защитить только входящую почту и только исходящие соединения браузера. Для защиты периметра требуется множество функций, например контроль туннелей внутри DNS и ICMP.

Вашим фокусом должны стать два класса продуктов: сетевая и хостовая защита. Они всегда дополняют друг друга. Атаки, которые не увидели в зашифрованном трафике, можно увидеть на рабочей станции, а атаки, которые нельзя посмотреть на принтере или веб-камере – видно по сети.

Большинство функций защиты реализовано в таком типе защиты как устройства всё-в-одном – UTM или NGFW и также NTA или NDR. Внутри UTM чаще всего используется VPN для удалённого доступа и затем уже трафик фильтруется различными технологиями: URL фильтрация, обнаружение атак, антивирус. DNS и IP-адреса, URL ссылки проверяются по базе известных индикаторов компрометации, которые в потоке идут из исследовательских лабораторий.

Когда вы выбираете замену, то исходите из функций, которые вам нужны, а не из названий продуктов. Одну функцию может делать несколько продуктов, или наоборот — одно решение делает несколько функций. Например, возможно, VPN внутри российского NGFW вам не подойдёт и его нужно будет купить отдельно. Система предотвращения атак в потоковом режиме блокировки может не справиться с вашим трафиком, и стоит поставить её в режим мониторинга. Тогда у вас будет больше вариантов: продуктов класса IDS продаётся больше, чем IPS. В основном это связано с ложными срабатываниями, поэтому финансовые организации чаще всего работают с продуктами безопасности именно в режиме обнаружения и последующим анализом найденного сотрудниками SOC.

Также в российских компаниях активно используется DLP, и тут отечественные производители уже практически полностью заняли рынок.

Следующим классом защиты важным являются песочницы. Именно они рассматриваются как ядро обнаружения неизвестного вредоносного кода по поведению. И такие продукты есть у пяти российских производителей. Здесь важно найти правильного архитектора, который закроет максимальное количество каналов доставки файлов: HTTP, SMTP, POP3, IMAP, FTP, SMB, NFS и также их SSL версии. Важно, что вы должны как-то забрать из сетевого трафика или с хостов сотрудника или серверов файлы и отдать в песочницу и ещё как-то получить обратно сигнатуры или хеши для блокировки или оповещения о новой угрозе. Здесь очень подходят продукты, в которых есть парсеры протоколов с движком Deep Packe tInspection. И также в продуктах класса EDR/XDR есть интеграция с песочницей.

Продукты хостовой защиты класса XDR/EDR не только контролируют реестр, порты, проверяют файлы по сигнатурам и пускают сотрудников в сеть по правилам, но и контролируют аномальное поведение приложений и сотрудника на рабочей станции и сервере. Существует угроза, что злоумышленники просто украдут пароль сотрудника или будут атаковать легитимными утилитами, которые уже есть в различных операционных системах. Для защиты от этого класса угроз хорошо подходит функциональность, встроенная в XDR или EDR. XDR — это решения, в которых проверяется не только хостовая активность, как в EDR, а ещё и сетевая.

Для анализа трафика и обнаружения атак по его поведению в трафике, рекомендуются продукты класса NTA или NDR.

Важным компонентом защиты в современных сетях является инвентаризация для выявления Shadow IT, сканирование уязвимостей и их устранение. Такие решения также присутствуют на российском рынке.

 

Какие первоочередные меры сегодня у руководителя компании

  • Протестировать работу компании без интернета. Работает ли ваш бизнес и процессы в случае отключения страны от интернета?
  • Проанализировать, в чьей юрисдикции находится каждый поставщик программного и аппаратного обеспечения, и подготовить меры по переходу к локальному поставщику в случае отказа от поддержки. Сюда входит проверка TLS сертификатов для веб-приложений и хостинга на предмет действий в случае отказа от их поддержки.
  • Перейти из иностранных облачных сервисов HaaS, PaaS, SaaS, FaaSв их российские аналоги.
  • Сделать резервное копирование систем и проверить, что ваши сотрудники умеют делать восстановление из архива. Проведите тест на восстановление систем. Реализуйте полностью процесс периодического архивирования критичных систем и проверок того, что архивы в рабочем состоянии.
  • Проинструктировать сотрудников или провести киберучения по действиям после атаки криптолокера, DDoS-атак, кражи конфиденциальных данных, остановки производства. В случае реального инцидента учиться будет уже некогда.
  • Проконтролировать доступные снаружи ресурсы компании и удостовериться, что они под защитой и не содержат известных уязвимостей. Любые выставленные в интернет ресурсы ― веб-сервера, VPN-шлюзы, почтовые сервера, DNS-сервера, каналы связи—сейчас под атакой. Используйте сканеры безопасности для того, чтобы проактивно выявлять и закрывать уязвимости в них. Также стоит обратить внимание на новый класс продуктов External Attack Surface Management. Необходимо прописать у каждого ресурса, кто за него отвечает, чтобы в случае инцидента знать, к кому обращаться.
  • Подготовиться к DDoS-атакам на сервисы компании – установить нужное оборудование у себя, у провайдера или подключить сервисы защиты от DDoS. Если у вас веб-сервер, то от DDoS-атак на уровне веб-приложений часто используют решения класса WAF.
  • Провести инвентаризацию учетных записей и провести смену паролей, чтобы быть уверенным, что сотрудники (в том числе бывшие) не скомпрометировали пароли. Одновременно реализовать двухфакторную аутентификацию как минимум на VPNи, желательно, на другие сервисы компании.
  • Проконтролировать, что процесс собственной разработки не использует публичные библиотеки исходного кода, которые могут быть исправлены злоумышленником. Стоит посмотреть, какие продукты класса SAST/DAST вам помогут в этом.
  • Контролировать любой входящий и исходящий контент. Это нужно делать в двух точках – непосредственно в сетевом трафике и на каждом хосте компании по возможности. Здесь потребуются решения класса Network DLP и Host DLP, песочницы и TIP.
  • Проверить, есть ли планы реагирования на основные типы инцидентов, и доведены ли они до всех сотрудников: DDoS, шифрование данных компании, взлом сайта, кража логинов и паролей сотрудников и клиентов, отказ оборудования и возможности по его замене.
  • Начать контролировать исходящие из сети соединения на предмет перемещения вредоносного контента и подключения к известным вредоносным адресам в интернете. Опять же тут работают как общеизвестные базы URL-категорий, так и базы Threat Intelligence, специальные блокировщики DGA-доменов, песочницы и другие техники, которые есть в NGFW, UTM и также NTA-решениях.
  • Проверить, что компания в данный момент уже не заражена и на компьютерах или сетевых устройствах не установлены известные виды вредоносного программного обеспечения. Для этого рекомендуется заказать аудит у Positive Technologies, Лаборатории Касперского, Bi Zone и других поставщиков услуг.

 

Статья также опубликована на портале НКЦКИ: safe-surf.ru/specialists/article/5297/677434/

Смотрите также

24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть
22.09.2022
В Турции обсудят перспективы платёжной системы «Мир»
22.09.2022
«Чтобы обеспечивать киберустойчивость государства и бизнеса, необходимо больше специалистов по ИБ»