Как обеспечить прозрачность сетевой инфраструктуры?
Николай Спирихин, руководитель направления защиты инфраструктуры Softline
В условиях неуклонно растущего год от года объёма кибератак, слова о необходимости усиления информационной безопасности, казалось бы, набили оскомину. Однако многие компании сталкиваются с проблемой ограниченного финансового и человеческого ресурса киберзащиты, а отдельные инструменты не дают нужного результата. Рассказываем, как наладить прозрачность сетевой инфраструктуры даже в условиях скромного бюджета.
С учетом тенденций последних лет на использование облачных ресурсов, массового перехода на дистанционную работу, расширения филиалов и филиальных подразделений, особо остро стоит вопрос об обеспечении защиты сетевой инфраструктуры. Компании используют как различные веб-приложения, так и десктопные программы, позволяющие получать доступ к информационным ресурсам организации удаленно. Удобные и необходимые в современном мире технологии, несут в себе риски, связанные с безопасностью сети.
Паззл не складывается
Существует множество точек проникновения в инфраструктуру. Злоумышленники имеют возможность «прикрываться» различными точками доступа, двигаться по внутренним сетевым сегментам, долгое время оставаясь незамеченными.
Все дело в том, что у администраторов систем безопасности не всегда есть возможность получить четкую и ясную картину того, что происходит в информационной системе: какие потоки данных в ней обрабатываются, какая информация задействуется сотрудниками.
С точки зрения департамента ИТ, безусловным приоритетом при построении инфраструктуры является оперативная передача информации, доступность сервисов и производительность сетевого оборудования. Однако в информационной безопасности здесь возникают риски – трудно понять, насколько все-таки защищены эти системы. И даже в случае соблюдения лучших мировых практик при использовании инструментов защиты внутреннего и внешнего периметра, защиты рабочих станций, серверных платформ, почтовых сервисов, документооборота, в том числе при обеспечении безопасного взаимодействия пользователей с веб-ресурсами, – специалисты сталкиваются с целым паркингом различных устройств и систем, которыми сложно управлять.
Все это сводится к тому, что из многих деталей трудно сложить единый «паззл» и получить общую картину о том, какая информация и каким образом обрабатывается. Становится невозможным исключить появление в инфраструктуре нелегитимных соединений.
При этом злоумышленники очень чутко реагируют на мировую обстановку и адаптируются к новым условиям. Особенно выделяется вектор распространения фишинга и социальной инженерии. Это может быть обман пользователей, компрометация почтовых сервисов, перехват сообщений с последующим встраиванием в переписку между контрагентами. Нередки ситуации, когда в этой переписке преступник высылает неверные реквизиты для перевода средств.
Иногда используются нестандартные способы, например, вредоносное ПО, которое не детектируется классическими системами информационной безопасности, потому что не содержит «сигнатуры», которую эти средства анализа могут определить. Классические средства межсетевого экранирования для обеспечения межсетевой фрагментации дают возможность обнаружить присутствие в системе злоумышленника. Однако при этом они будут фильтровать трафик и предоставлять информацию только об отдельных сегментах и границах периметра этих сегментов. Для решения этой проблемы существует ряд средств централизованного управления.
Не SIEM единым
Частично эту задачу может закрывать SIEM-решение (Security information and event management). Программы SIEM собирают отчёты о событиях, связанных с информационной безопасностью, с серверов, контроллеров, сетевых журналов и проч., а также из других средств защиты информации. Это позволяет агрегировать информацию, представлять ее ИТ-персоналу в удобной форме и дает возможность настроить определенные правила, взаимодействующие между собой для выявления инцидентов.
Вместе с тем SIEM-система требует непрерывной работы специалиста по безопасности, постоянной адаптации системы в случае модернизации, расширения инфраструктуры и появления новых ИТ-активов. Поэтому, безусловно, решение позволяет получить определенную картину, но отдельные сетевые сегменты могут оставаться «слепой зоной» для специалистов.
Распространенным на рынке комплексным решением является привлечение сторонней организации или внедрение своего собственного центра обеспечения безопасности (SOC). В таком случае при организации SOC-центра повышается возможность детальнее следить за событиями информационной безопасности и обеспечивать более пристальное и более детальное реагирование. Однако SOC требует привлечения ресурсов как финансовых, так и человеческих. Это не всегда применимо в условиях сжатого бюджета компании.
Основным компонентом SOC, который позволяет выявить аномальные события, зловредное воздействие и связь с подозрительными ресурсами, определить «узкие места» и риски, является такой класс решений, как NTA.
Эффективная аналитика
NTA (Network Traffic Analysis) – это системы анализа трафика, которые исследуют трафик как на периметре, так и в инфраструктуре, выявляют атаки с помощью комбинации способов «детекта» и предоставляют информацию, необходимую для расследования инцидентов.
В случае, если присутствуют определённые критичные сегменты, есть возможность собирать трафик с коммутаторов ядра, маршрутизаторов, и в том числе со множества устройств, которые защищают периметр отдельных сегментов, и направлять на сенсоры, развертываемые в системе. Благодаря этому анализу можно получать явную картину того, что происходит в сетевой инфраструктуре.
При этом большой ценностью этого класса решений является сформированный пакет экспертизы самих производителей, и при развертывании таких систем, даже при первичном подключении, нет необходимости внесения изменений в архитектуру информационной системы.
Частный случай использования NTA – это подключение сенсора либо, в случае небольших объемов, основной центральной ноды на спан SPAN (Switch Port Analyzer) и получение копии зеркалированного трафика для анализа. При этом по итогам первичного набора, который может длиться несколько дней или неделю, можно получить достаточно значимый эффект и узнать о том, какие уязвимости есть в инфраструктуре и какие процессы в ней происходят.
Не стоит забывать, что класс систем NTA может выступать и в качестве источника событий для SIEM. Поэтому в условиях скромного бюджета есть возможность не создавать целый SOC, а получать ясную картину того, какой трафик внутри инфраструктуры обрабатывается и является ли он аномальным, при использовании только NTA-систем.
Этого будет достаточно для обеспечения прозрачности инфраструктуры. Благодаря этому администраторы безопасности могут оперировать собранными данными для оперативного реагирования на зафиксированные нелегитимные процессы или же использовать эти данные в качестве основной точки для построения планов по развитию информационной безопасности.