30 ноября — Международный день защиты информации: Российские системы мониторинга ИТ-безопасности
И в этот знаменательный день мы поздравляем всех, кто имеет отношение к информационной безопасности и желаем им понимающего начальства, дисциплинированных пользователей и удобных инструментов для работы. Предлагаем Вашему вниманию фрагмент статьи о системах для независимого аудита и мониторинга, опубликованную в журнале «Системный администратор». Данный материал публикуется с разрешения автора — Алексея Бережного. Полный текст статьи доступен на сайте журнала «Системный администратор».
Российские системы мониторинга ИТ-безопасности: есть хорошие новости
В статье пойдёт речь о проблемах безопасности и системах мониторинга как эффективном методе поддержания высокого уровня защиты.
Вместо предисловия. Эра милосердия ещё не наступила.
Какую бы отрасль человеческого знания мы бы ни выбрали, всегда найдутся те, кто захочет воспользоваться ею для мошенничества.
Это характерно для любой отрасли: финансов, торговли, медицины, космонавтики и… для информационных технологий.
На смену таким преступлениям, как вооружённый грабёж банков и инкассаторов, приходит взлом информационных сетей. Просто и элегантно, без риска быть убитым.
Порой на бесчисленные рекомендации «безопасников» хочется махнуть рукой: «Да кому мы нужны». Ответ тут простой: нужны не мы, нужны возможности и средства, которые можно легко отобрать при помощи все тех же информационных технологий.
Запугивание потребителей угрозами в сфере информационной безопасности.
Несмотря на серьёзность таких угроз, информирование о них часто выглядит как запугивание в целях вымогательства.
Врачи хорошо знают, как легко можно запугать пациента, особенно если он обладает небольшой долей мнительности. Это позволяет безбедно существовать огромному количеству шарлатанов от медицины. Но порой этим же грешат и многие платные клиники, которые предлагают реальное, но очень уж дорогое лечение. Примерно так же обстоит дело и в сфере информационной безопасности.
Некоторые производители систем, направленных на защиту информации, пытаются давить авторитетом и пугать потребителя. Этот лейтмотив подхватывает служба ИТ-безопасности (если она вообще присутствует в организации). Давайте разберёмся, что есть на самом деле.
Как же отличить запугивание от честного предоставления услуг? В первую очередь стоит посмотреть, от чего предлагается получить защиту. Если эта опасность существует по большей части в представлении самого «защитника», здесь стоит задуматься.
К сожалению, далеко не всегда можно сразу вычислить подобную схему. Особенно при злоупотреблении авторитетом или служебным положением.
Немаловажную роль при оценке угроз играет стоимость подобных услуг. Если цена достаточно высока, то стоит задуматься о реальной необходимости подобных «предложений защиты».
С точки зрения здравого смысла навязчивое предложение купить подобную «крутую систему безопасности» и навязчивое предложение от крепких нагловатых парней нанять их для защиты палатки на рынке в чем-то очень похожи.
Стоит также отметить ещё один непоправимый вред, который наносится при такой «рекламе». Описание даже реальных опасностей преподносится настолько навязчиво, что вызывает аллергию у большого числа ИТ-специалистов и руководителей на слова «безопасность», «угрозы», «уязвимости» и так далее.
Очень важно сохранять спокойствие и следовать простым принципам: .
• полную защиту на 100% не может гарантировать никто;
• одна компания и тем более один продукт или программа, система и так далее не гарантируют защиты;
• для того чтобы поддерживать приемлемый уровень безопасности, необходимо осуществлять постоянный контроль как защищаемых объектов, так и самой системы защиты.
А какие реальные неприятности возникают из-за проблем в ИТ-безопасности?
В первую очередь стоит отметить риск потери репутации надёжного партнёра. Дело в том, что участник деловых отношений и связанного с ними информационного обмена отвечает за сохранность конфиденциальности не только своих данных, но и данных своих партнёров. Если руководство организации и ИТ-служба относятся к этому вопросу «спустя рукава», вести с ними дела попросту небезопасно.
Организация несёт ответственность не только за свою бизнес-информацию, но и персональные данные сотрудников, которые доверили ей заботу о своей безопасности. Если компания допустила утечку данных о сотрудниках, в ней мало кто захочет работать.
Чем, помимо репутации, рискует бизнес?
• Прямая потеря денег – как банальные кражи денег со счётов, так и всевозможные схемы с использованием чужих ресурсов, например, добыча криптовалюты в пользу злоумышленника.
• Повреждение информации – как непосредственная диверсия, так и распространение вредоносных программ. В качестве примера можно вспомнить «шифровальщиков» или широко известный в своё время вирус One Half.
• Кража секретов – не только секретных документов или технологий, но и персональных данных сотрудников.
Как это делают злоумышленники?
Описать в одной статье все методы взлома просто нереально. Однако существуют некоторые «лёгкие» пути, которые можно отыскать в ИТ-инфраструктуре.
В любом ПО есть скрытые уязвимости. Они общеизвестны, поэтому ими без особого труда могут воспользоваться «плохие парни».
Облегчают задачу злоумышленникам следующие факторы:
• наличие разнообразного ПО, в том числе уже не актуального для решения полезных задач;
• большое количество открытых портов с широким доступом к ним;
• отсутствие актуальных обновлений программного обеспечения, которые нужны для ликвидации уязвимостей;
К низкой культуре можно отнести не только слабые пароли, но и общее отношение к проблемам безопасности. Например, публикация важных документов на незащищённых ресурсах, сопротивление мероприятиям ИТ-службы по усилению защитных мер и так далее.
Очень сильно осложняется ситуация, когда «тёмная сторона» использует всевозможные методы автоматизации взлома. Например, распространяется вирус или рассылается письмо с опасным вложением. Вероятность повреждения в этом случае резко возрастает.
Как противостоять возможным угрозам?
• Избавляться от неактуального программного обеспечения.
• Регулярно устанавливать обновления на используемое программное обеспечение. Также следует регулярно читать security notes и оперативно ставить security обновления. (Это вообще очень редко кто делает.)
• Тщательно контролировать ИТ-инфраструктуру на предмет открытых портов, наличия мер защиты, таких как firewall, антивирусное ПО и так далее.
• Регулярно менять пароли, а также контролировать полномочия пользователей.
Построение эффективной системы безопасности.
В итоге и руководители, и рядовые сотрудники, работающие в сфере ИТ, всегда находятся в довольно сложной ситуации.
С одной стороны, они должны максимально обезопасить вверенную им систему, с другой – обеспечить полное её функционирование без проблем для пользователей.
И при этом не стать жертвой нагнетания паники.
Многие проблемы возникают не из-за страшных злых хакеров, а просто из-за халатности пользователей. Для борьбы с такими нарушителями применяются методы административного воздействия, но для этого нужны аргументы, которые необходимо собрать заранее.
При наличии системы мониторинга ИТ-безопасности повысить уровень защиты становится гораздо проще.
Разумеется, в первую очередь необходимо решить кадровый вопрос в ИТ-подразделении. Проще говоря, нанять толковых специалистов.
Но следует учесть, что одному, даже самому классному, специалисту справиться с таким набором задач весьма непросто. Группе людей – немного проще, но тоже нелегко. Нужна серьёзная поддержка в плане независимой экспертизы. Некий инструмент, ресурс и так далее, который взял бы на себя функции арбитра.
Разумеется, время от времени можно заказывать аудит безопасности у независимой организации. И это правильная политика. Но каждый день и тем более каждый час заказывать аудит не получится.
А какое реально положение дел между аудитами – тут мало кто может дать подробную информацию.
Нужен какой-то автоматический инструмент, который будет опираться на экспертные оценки и помогать администраторам следить за безопасностью серверов и сетевого оборудования. При этом он должен стоить дёшево, чтобы его могла позволить себе компания любого размера – и с 10 серверами, и со 100 тысячами устройств.
Эффективная система для независимого аудита и мониторинга: что в неё входит?
Как сделать хороший продукт для внешнего аудита?
Хорошая новость: существуют уже готовые списки уязвимостей, которые публикуют известные производители, такие как Cisco, Oracle, Red Hat, Microsoft и так далее.
Ещё есть такой важный аспект, как проверка на соответствие стандартам безопасной конфигурации ПО (в англоязычной литературе – Compliance). Независимые общепризнанные организации, такие как Center for Internet Security (CIS) [1], выпускают свои наборы рекомендованных стандартов, остаётся только проверить соответствие системы данным параметрам.
Из дополнительных функций стоит отметить инвентаризацию установленного ПО.
Во-первых, всегда имеет место человеческий фактор, когда ИТ-специалисты теряют из виду, что где-то установлена программа, запущен сервис, открыт порт для доступа и так далее.
Второй момент – лицензионная чистота. Чтобы не скатиться в «пиратство», необходимо точно знать количество установленных копий того или иного программного обеспечения. Например, сколько и каких экземпляров MS SQL Server установлено и для чего они используются.
Помимо экономии средств на оплату лицензий, это позволяет сберечь и другие ресурсы. Например, если избавиться от малонагруженных экземпляров MS SQL Server, можно высвободить эти серверы или ресурсы виртуальной системы для других целей.
Разумеется, все вышеперечисленное было бы бессмысленно без системы контроля изменений. Если в системе что-то меняется, неплохо бы знать, что и по какой причине. Например, установилось какое-то незапланированное обновление. В таких ситуациях полезно знать: это кто-то из своих сотрудников проявил инициативу, сработала система автообновления или в системе «прижился» вредоносный код?
То же можно сказать про изменение конфигурации ПО, оборудования, настроек систем безопасности и так далее.
Надо отдавать себе отчёт, что подобные системы не являются каким-то волшебным средством из серии «поставил, настроил и забыл», но они могут упростить жизнь администраторов. От ИТ-персонала по-прежнему требуется читать отчёты и закрывать бреши в системе. Только теперь гораздо проще понять, что именно надо делать, чтобы не допустить обнаруженной угрозы…
COMPLAUD
Краткая информация о разработчике
RCNTEC (ООО «АРСИЭНТЕК») – российская компания, где работают эксперты с 20-летним опытом в сфере безопасности. Самой компании пять лет. Штаб-квартира в Москве.
Помимо COMPLAUD, данная компания разрабатывает и другие продукты, среди них: распределённая СХД «ПОЛИБАЙТ» (Resilient Cloud Storage), система управления электропитанием RPCM (Resilient Power Control Module) и ещё много интересных разработок.
Система мониторинга безопасности COMPLAUD интегрируется и с другими продуктами RCNTEC, в том числе СХД «ПОЛИБАЙТ» (Resilient Cloud Storage).
COMPLAUD – горизонтально масштабируемая отказоустойчивая система аудита информационной безопасности и соответствия стандартам и настройкам.
Основные направления применения COMPLAUD:
• поиск и обнаружение уязвимостей и несоответствия стандартам безопасности;
• избавление от человеческого фактора при обеспечении ИБ;
• единый инструмент мониторинга безопасности и взаимодействия между различными подразделениями и специалистами ИТ-отрасли;
• непрерывный аудит установленного ПО;
• подготовка для успешного прохождения внешних аудитов по стандартам безопасности.
Некоторые технические детали реализации COMPLAUD:
• доступный и документированный набор функций API (REST API) позволяет автоматизировать процесс работы;
• эскалация событий, генерируемых системой, через syslog позволяет интегрировать COMPLAUD с другими продуктами для мониторинга;
• интеграция с поисковой системой Elasticsearch обеспечивает хранение и поиск информации по всем выявленным уязвимостям или несоответствиям требованиям, а также журналам регистрации действий пользователей системы;
• интеграция с мессенджером Slack;
• установка внешних модулей (plugins) из веб-интерфейса системы даёт возможность гибко изменять параметры контроля на сканируемых объектах, также есть возможность написать свои модули для проверки;
• разделение полномочий на основе ролевой схемы позволяет организовать взаимодействие между сотрудниками подразделений, например службы информационной безопасности, технической поддержки, с помощью системы заявок (Ticketing).
Последний пункт мне показался весьма интересным. Ticketing – это возможность создания заявки (тикета) на устранение уязвимости, несоответствия стандарту с вложением уязвимости или/и несоответствия, отслеживание статуса выполнения заявок. Такой вот Service Desk в миниатюре.
Такие заявки помогают упростить взаимодействие службы информационной безопасности и администраторов ИТ в процессе устранения обнаруженных уязвимостей и несоответствий стандартам. Можно согласовать исключение из стандарта или пометить уязвимость как «ложное срабатывание».
Рисунок 1. Схема взаимодействия компонентов при использовании облачной версии COMPLAUD. (Изображение получено с официальной страницы продукта)
Создатели COMPLAUD немало сил потратили для обеспечения горизонтальной масштабируемости и отказоустойчивости. За этими грозными словами кроется вполне понятный набор функций:
• использование кластера Docker позволяет балансировать нагрузку и легко масштабировать систему под инфраструктуру любого размера, просто добавляя новые узлы в кластер и увеличивая количество контейнеров-сервисов;
• для хранения метаданных (а их может быть довольно много) требуется децентрализованная noSQL СУБД – такой подход обеспечивает линейную масштабируемость и репликацию между любым количеством кластерных узлов, размещаемых в нескольких дата-центрах;
• для дополнительной балансировки используется механизм DNS round-robin, чтобы распределить нагрузку между узлами кластера Docker, обрабатывающими запросы к API от агентов и пользователей веб-консоли;
• асинхронный веб-сервер обрабатывает запросы агентов к API, количество которых также может увеличиваться практически без ограничений.
Примечание. В данном обзоре можно встретить термин «пользователи». Дело в том, что при описании облачных систем, в том числе COMPLAUD, пользователем называют потребителя ресурса. В реальной жизни термин «пользователь» может обозначать целую международную корпорацию.
Возможности для контроля:
• поиск уязвимостей (Audit) на основе публикаций безопасности от ведущих производителей ПО (Red Hat Enterprise Linux, CentOS, Ubuntu, Suse Linux Enterprise Server и других);
• проверки на соответствие требованиям безопасной конфигурации (Compliance) серверов Linux и MS Windows, СУБД SAP HANA, гипервизора VMware ESXi, а также оборудования от Cisco, Huawei, MikroTik;
• инвентаризация ПО.
Особенности работы:
• взаимодействие пользователей и агентов с интерфейсами системы осуществляется по протоколу HTTPS, обеспечивающему шифрование;
• для каждого агента существуют приватный и публичный ключи;
• все учётные данные (пароли, ключи) шифруются публичным ключом и могут быть расшифрованы только приватным ключом агента, который работает в инфраструктуре пользователя;
• все операции по шифрованию и дешифрованию производятся только внутри защищённого периметра сети клиента, каждый агент имеет сертификат, выданный ему удостоверяющим центром клиента;
• интеграция со службой каталогов MS Active Directory по протоколу LDAP обеспечивает стандартизированный в корпоративных средах подход к аутентификации и авторизации.
Архитектура и варианты использования
• Минимальный (облачный), когда внутри периметра сети устанавливается агент на выделенный сервер. Агент сканирует сеть, собирает данные и отправляет их на анализ в облако. Этот вариант предназначен для внедрения и в крупных, и в совсем небольших организациях, в том числе в сфере малого и среднего бизнеса.
• Автономный. Данный элемент подходит для закрытых организаций с повышенным уровнем секретности, например, для госструктур. Этот вариант подходит для тех организаций, для которых использование облачного сервиса неприемлемо.
При оценке облачных систем порой возникает вопрос: как осуществляется защита данных пользователя?
Все операции по шифрованию и дешифрованию учётных данных COMPLAUD осуществляются только внутри защищённого периметра пользователя.
Для шифрования используются криптостойкие алгоритмы шифрования (AES-256-CBC, RSA-4096). Кроме того, что каждый агент-сканер имеет для аутентификации и шифрования пару ключей, ему выдаётся подписанный удостоверяющим центром пользователя сертификат.
Таким образом, администратор облачной системы технически не в состоянии получить доступ к учётным данным сканируемых серверов пользователя.
Алгоритм работы достаточно простой:
• Агент получает от ядра задания на проверку хоста.
• Ядро COMPLAUD получает в ответ от агента результаты проверок, информацию об установленном ПО и отмечает результаты в базе данных.
• На основе этих данных, в свою очередь, уже строятся отчёты.
• Избавляться от неактуального программного обеспечения.
• Проверки выполняются регулярно, чтобы информация о состоянии была максимально близка к реальному времени (realtime).
Агент COMPLAUD и встроенные модули для проверки на соответствие стандартам (плагины) распространяются под свободной лицензией Apache License 2.0. Ядро системы имеет закрытый код, но при необходимости исходные коды могут быть предоставлены для проверки компетентными органами на отсутствие закладок в рамках соответствующего интеграционного проекта.
Хочется отметить ориентированность RCNTEC на поддержку малого и среднего бизнеса. Схема работы достаточно простая, не перегруженная архитектурой, которую при этом можно масштабировать для контроля сотен тысяч устройств (все крупные корпорации были когда-то маленькими фирмами). Есть бесплатный облачный вариант на ограниченное количество хостов для малого бизнеса.
При общении с представителями ООО «АРСИЭНТЕК» у меня сложилось хорошее впечатление. Создатели COMPLAUD очень охотно рассказывают о своей системе, дают возможность протестировать, с удовольствием отвечают на дополнительные вопросы. В этом плане можно быть уверенным, что пользователь не останется один на один со своими проблемами и всегда сможет получить поддержку.
Есть возможность сразу протестировать продукт, а также ознакомиться с документацией. В случае возникновения каких-либо вопросов техническая поддержка RCNTEC всегда готова на них ответить вне зависимости от статуса обратившегося.
Что не может COMPLAUD?
Надо понимать, что подобные системы не будут самостоятельно заделывать бреши в безопасности. Основная их задача – быстрое обнаружение и информирование с возможностью построить подробный отчёт. В то же время, имея подробную информацию, гораздо проще выполнить комплекс мер по ликвидации уязвимостей.
Что точно нельзя выполнить с помощью COMPLAUD – нельзя перехватить управление ИТ-инфраструктурой. Система изначально основана на принципах «не навреди». Так что злоумышленникам придётся поискать другой путь для вторжения.
Пресс-служба ООО «АРСИЭНТЕК»
