- PVSM.RU - https://www.pvsm.ru -
Сегодня мы с вами цинично поговорим о старой-доброй задаче – защите сотрудников и их рабочих станций при доступе к Интернет-ресурсам. В статье мы рассмотрим распространённые мифы, современные угрозы и типовые требования организаций по защите веб-трафика.
Если из всей статьи вы запомните всего один факт, то знайте – на сайтах для взрослых шанс подцепить зловреда в десятки раз меньше, чем на обычных Интернет-ресурсах.
На сегодняшний день большинство российских компаний уже предоставляют сотрудникам доступ в Интернет с рабочих компьютеров. Отстают в этом плане обычно государственные организации, силовые ведомства и компании, обрабатывающие большой объём персональных данных. Но даже в таких организациях всегда есть отдельные сетевые сегменты или рабочие станции, подключенные к Интернет.
Не предоставлять сотрудникам доступ в Интернет давно считается дурным тоном. Около трети кандидатов просто не придут к вам работать, узнав, что у вас отсутствует или сильно ограничен доступ в Интернет, так как считают его такой же необходимостью как чистая вода и вентиляция. Особенно это актуально для сегодняшнего поколения 20-25 летних, которые со школьной скамьи привыкли что любую информацию можно оперативно найти в поисковике, а обновления в социальных сетях следует проверять никак не реже чем в полчаса.
Довольно вступлений, переходим к мифам.
Как бы не так. Согласно отчёту Symantec's Internet Security Threat Report [1]всего 2.4% сайтов для взрослых распространяют зловредов, что в разы меньше по сравнению с блогами, новостными порталами и интернет-магазинами.
Достаточно вспомнить примеры со взломом сайтов New York Times, NBC, РЖД, портала «Ведомости», сайтов грузинского правительства, TechCrunch Europe и других, со страниц которых распространялись вирусы и осуществлялись фишинговые атаки.
С другой стороны — вы как ответственный сотрудник можете принять волевое решение не посещать сайты скользкой тематики, но смогут ли устоять ваши коллеги? Совладают ли они с соблазном кликнуть по ссылке в «нигерийском письме» или нажать на баннер с сообщением о выигрыше 100500 тысяч долларов?
Шанс есть, но он очень мал. Перед выходом в свет создатели зловредов проверяют, что их творения не обнаруживаются текущими версиями антивирусов. После обнаружения первых версий зловреда у антивирусных аналитиков уходит от 6 до 24 часов на его исследование и разработку сигнатуры. Скорость распространения сигнатур и патчей для уязвимого ПО зависит исключительно от вашей инфраструктуры, но счёт как правило идёт на дни и недели. Всё это время пользователи уязвимы.
Обратите внимание что сами же антивирусные вендоры предлагают выделенные специализированные решения по защите веб-трафика. Хостовые решения возможно и обладают базовым функционалом по фильтрации веб-сайтов по категориям и рискам, но им не под силу хранить локально базу вредоносных сайтов и динамически обновлять её без ущерба производительности. Хостовый подход к решению задачи также не применим для компаний, в которых не все рабочие станции включены в домен и/или не управляются централизованно.
Современные зловреды действительно более гуманны по сравнению со своими собратьями из 90-х – чаще всего они стараются минимально влиять на жертву, планомерно получая команды от мастера, рассылая спам, атакуя веб-сайты и крадя ваши пароли от банк-клиентов. Кроме них есть и более агрессивные виды – криптолокеры, шифрующие всё содержимое жёсткого диска и требующие выкуп, «порнобаннеры», показывающие непотребства и требующие отправки очень дорогой СМС, сетевые черви, выводящие сеть из строя, не говоря уже про целенаправленные атаки.
Представьте, что всё это может произойти с любым компьютером или сервером вашей организации. Согласитесь, неприятно потерять или допустить утечку всех данных с компьютера юриста, главного бухгалтера или директора. Даже выход из строя отдельных узлов вашей инфраструктуры на время лечения или перезаливки рабочей станции может нанести ущерб бизнесу.
Надеюсь, что краски достаточно сгустились и самое время перейти к описанию типовых задач и требований к идеальному решению по защите веб-трафика. Пока я намеренно не употребляю названия продуктов или устройств так как задачу можно решить различными способами.
Решение должно предоставлять возможность блокировки доступа к заведомо вредоносным веб-сайтам или их отдельным разделам. При этом информация об уровне риска подтягивается из облачного центра аналитики и динамически обновляется раз в несколько минут. В случае если сайт недавно появился, то решение должно иметь возможность самостоятельно проанализировать контент и принять решение о степени опасности.
Администратору остаётся только определить допустимый уровень риска и, к примеру, блокировать все сайты с репутацией меньше шести по шкале от -10 до +10.
По категориям и репутации должны разбиваться не только сайты, но и их подразделы и отдельные элементы страниц. К примеру, на самом популярном сайте с прогнозами погоды есть ссылки на сомнительные ресурсы, предлагающие похудеть, перестав есть всего один продукт, или узнать, как Пугачёва родила двойню. В данном случае сотрудникам следует оставить доступ к основному сайту и блокировать отображение сомнительных частей веб-страницы.
Должна быть возможность заблокировать доступ к отдельным категориям сайтов, к примеру, к файлообменникам, онлайн-казино и хакерским форумам. Информация о категориях также должна подтягиваться из облачного центра аналитики. Чем больше категорий понимает устройство и чем достоверней они определены, тем лучше.
Также стоит обратить внимание на скорость реагирования центра аналитики на ваши запросы по изменению категорий веб-сайтов. Сайты, которые в рабочих целях используют ваши сотрудники, могут быть неправильно отнесены в заблокированную категорию. Возможна и обратная ситуация, когда сайт не отнесён в заблокированную категорию. Данные трудности можно решать и вручную, добавляя отдельные ресурсы в white list или black list, но такой подход неприменим если придётся делать это каждый день, да ещё и на нескольких устройствах.
Отдельного внимания заслуживает тема поддержки кириллицы и правильности классификации русскоязычных сайтов. Как правило западные вендоры не уделяют им должного внимания. К счастью подразделения компании Ironport, разрабатывавшей решения по защите веб-трафика и приобретенной компанией Cisco располагаются в/на Украине, так что озвученные выше проблемы отсутствуют.
Должна быть возможность сканировать потенциально опасные файлы антивирусными движками перед тем как отдавать их конечным пользователям. В случае если таких движков несколько, то это несколько повышает шансы обнаружения зловредов. Также вы реализуете принцип эшелонированной обороны и снижаете шансы заражения в случае если на конечном хосте антивирус отключен, не обновлён или попросту отсутствует.
Верхом совершенства по анализу потенциальных зловредов является использование движка Advanced Malware Protection (AMP) или аналогов для защиты от целенаправленных атак. В таких атаках вредоносные файлы разработаны специально для нескольких организаций, не распространены в Интернете и как правило ещё не попали в ловушки антивирусных вендоров. Центры аналитики VRT Sourcefire и SIO Cisco проверяют встречался ли ранее именно этот файл в ходе атаки в другой организации, и если нет, то тестирует его в песочнице, анализируя выполняемые действия. Ранее мы писали про AMP на Хабре [2]
Полезной также будет возможность фильтровать файлы по расширениям и заголовкам, запрещая исполняемые файлы, зашифрованные архивы, аудио и видеофайлы, файлы .torrent, magnet-ссылки и т.п.
Традиционные списки контроля доступа на межсетевых экранах уже практически не спасают. Десять и более лет можно было быть относительно уверенными что порты TCP 80 и 443 используются только для доступа в Интернет через веб-браузер, а TCP 25 для отправки электронной почты. Сегодня же по протоколу HTTP и 80 порту работают Skype, Dropbox, TeamViewer, torrent-клиенты и тысячи других приложений. Англоязычные коллеги называют эту ситуацию «HTTP is new TCP». Многие из этих приложений можно использовать для передачи конфиденциальных файлов, видеопотоков и даже удалённого управления рабочими станциями. Естественно это не те виды активности, которые мы рады видеть в корпоративной сети.
Здесь нам может помочь решение, ограничивающее использование приложений и их отдельных компонентов. К примеру, разрешить Skype и Facebook, но запретить пересылку файлов и видео-звонки. Также будет полезно запретить как класс все приложения для p2p обмена файлами, анонимайзеры и утилиты для удалённого управления.
Определение приложений осуществляется на основе «сигнатур приложений», которые автоматически обновляются с сайта производителя. Огромным плюсом является возможность создавать «сигнатуры приложений» самостоятельно или подгружать их в открытом виде с сайта community. Многие производители разрабатывают «сигнатуры приложений» только своими собственными силами и зачастую не успевают следить за обновлениями российских приложений или просто ими не занимаются. Само собой, они вряд ли возьмутся за разработку сигнатур для отраслевых приложений или приложений собственной разработки.
Как показывает практика многие компьютеры могут являться членами ботнетов на протяжении нескольких лет. Гонка вооружений вышла на такой уровень, что зловреды не только подтягивают обновления своих версий с центра управления, но и латают дыры в ОС и приложениях, через которые они попали на компьютер, чтобы предотвратить появление конкурентов. Далеко не все антивирусные решения способны установить факт заражения, учитывая, что такие зловреды работают на очень низком уровне, скрывают свои процессы, соединения и существования в целом от антивируса.
Здесь нам на помощь приходят решения, которые анализируют трафик от рабочих станций к центрам управления ботнетами в Интернете. Основным способом обнаружения является мониторинг подключений к серверам в «чёрных списках» — уже известным центрам управления ботнетами, «тёмным» зонам Интернета и т.п.
Если же это таргетированная атака или пока неизвестный ботнет, то обнаружение осуществляется с помощью поведенческого анализа. К примеру сессии «phone home» между зомби и мастером можно отличить по шифрованию содержимого, малому объёму переданных данных и длительному времени соединения.
Практически все современные средства защиты имеют возможность назначать политики не только на основании IP-адресов, но и на основе учётных записей пользователей в AD и их членства в группах AD. Рассмотрим пример простейшей политики:
Как показывает практика во многих компаниях возникают организационные трудности, не позволяющие сразу же начать ограничивать доступ к Интернет-ресурсам. Формализованная политика или отсутствует или на практике для неё слишком много исключений в виде привилегированных сотрудников и их друзей. В таких случаях стоит действовать по принципу 80/20 и начать с минимальных ограничений, к примеру, заблокировать сайты с самым высоким уровнем риска, отдельные категории и сайты, заведомо не относящиеся к рабочим обязанностям. Также помогает установка решения в режиме мониторинга и предоставление отчётов по использованию Интернет-ресурсов руководству компании.
Уже сегодня многие почтовые сервисы и социальные сети шифруют свой трафик по умолчанию, что не позволяет проанализировать передаваемую информацию. По данным исследований [3]зашифрованный SSL-трафик в 2013 году составлял 25-35% от общего объёма передаваемых данных, и доля его будет только увеличиваться.
К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать. Для этого мы подменяем сертификат сервера на сертификат устройства и терминируем соединение на нём. После того как запросы пользователя проанализированы и признаны легитимными – устройство устанавливает новое зашифрованное соединение с веб-сервером от своего имени.
Расшифровка трафика может осуществляться как на том же узле, что производит анализ и фильтрацию, так и на выделенном специализированном устройстве. При выполнении всех задач на одном узле производительность само собой снижается, иногда в разы.
Для того чтобы проект по защите веб-трафика состоялся крайне полезно показать руководству и преимущества, не относящиеся напрямую к безопасности:
Крайне важно также понять подходит ли рассматриваемое решение именно для вашей организации, здесь стоит обратить внимание на:
Естественно невозможно рассказать про всё в одной статье и вот некоторые темы которые не были затронуты:
В следующей статье планируется рассказать с помощью каких решений Cisco и как можно решить вышеперечисленные задачи.
Надеюсь, что статья была для вас полезна, буду рад услышать дополнения и пожелания по поводу новых тем в комментариях.
Stay tuned ;)
Автор: queraxle
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/65473
Ссылки в тексте:
[1] Symantec's Internet Security Threat Report : http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364.en-us.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
[2] AMP на Хабре: http://habrahabr.ru/company/cisco/blog/226699/
[3] исследований : http://www.sans.org/reading-room/whitepapers/analyst/finding-hidden-threats-decrypting-ssl-34840
[4] Источник: http://habrahabr.ru/post/230515/
Нажмите здесь для печати.