Система ИБ на объектах КИИ должна не только быстро адаптироваться к уже существующим и новым киберугрозам, но и соответствовать целому ряду требований. Ниже мы расскажем о ключевых преимуществах решений NGR Softlab при применении их для защиты объектов КИИ. Сделаем это сквозь призму уже реализованных нами проектов, подчеркивая особенности внедрения наших решений.
ИБ в сегменте КИИ имеет целый ряд особенностей, связанных с необходимостью обеспечения бесперебойной работы этих объектов и их защиты, ключевыми из которых являются статичность ландшафта и изолированность. Внедрённые решения и сам контур, в который они вписаны, функционируют в соответствии с принятыми сценариями и процессами, которым не свойственно быстро меняться. В такой системе, например, затруднены оперативный переход на обновлённую версию ПО или же полная переустановка операционной системы. Другие особенности заключаются в том, что такие объекты, как правило, не имеют доступа к облачным сервисам. Сегмент характеризуется высокой автономностью, и функционирующие в нём решения ИБ также должны соответствовать этому требованию.
Ещё одно отличие решений ИБ для сферы КИИ – строгий подход к сертификации используемого ПО. Софт должен быть отечественным, находиться в реестре отечественного ПО, а если речь идёт о средствах защиты, то они должны также обладать необходимыми сертификатами. С уверенностью можно сказать, что далеко не каждое решение, зарекомендовавшее себя в корпоративном сегменте, удовлетворяет нефункциональным требованиям, которые являются обязательными для КИИ.
Ещё одно отличие решений ИБ для сферы КИИ – строгий подход к сертификации используемого ПО. Софт должен быть отечественным, находиться в реестре отечественного ПО, а если речь идёт о средствах защиты, то они должны также обладать необходимыми сертификатами. С уверенностью можно сказать, что далеко не каждое решение, зарекомендовавшее себя в корпоративном сегменте, удовлетворяет нефункциональным требованиям, которые являются обязательными для КИИ.
Источник изображения: Freepik.com
Для работы в таких условиях решения ИБ, вне зависимости от сценариев использования, должны:
- оптимизироваться под предсказуемые рабочие процессы и стабильные параметры системы: такие средства ИБ легко интегрируются в уже существующую ИТ-инфраструктуру и беспрепятственно взаимодействуют со всеми её системами и сервисами;
- приспосабливаться под рост нагрузки и масштабирование, быть готовыми к новым интеграциям и подключению новых сервисов без переустановок и ограничений в сценариях применения;
- функционировать в изолированной сети без внешних подключений, чтобы не зависеть от облачных сервисов;
- локально управлять настройками, обновлениями и администрированием;
- собирать и хранить логи непосредственно в изолированной инфраструктуре;
- иметь возможность тестирования обновлений в лабораторных условиях перед их применением в рабочей среде;
- соответствовать госстандартам и нормативам;
- иметь механизмы аудита и комплексной защиты данных.
SIEM и PAM: на страже ИБ госкомпаний
В нашей практике мы неоднократно встречались с потребностью клиентов в решениях, разработанных специально под задачи критических инфраструктурных объектов. Расскажем о некоторых таких проектах, которые удалось реализовать с помощью наших продуктов.
Перед одной из производственных компаний с развитой сетью филиалов, работающих в том числе с КИИ, стояла задача организовать внутренний SOC-центр, который бы учитывал все особенности их ИТ-инфраструктуры. Эксперты NGR Softlab предложили внедрить SIEM Alertix. Она не имеет ограничений на размеры инсталляции и количество отдельных компонентов, позволяет настраивать сложные сценарии с предобработкой событий, их сжатием для работы на удаленных площадках с слабыми каналами связи. Все функции SIEM управляются через API, кроме того, предусмотрено множество сценариев внедрения, в том числе с выстраиваемой иерархией между инсталляциями. Результатом проекта стала распределённая, стабильно работающая инсталляция с настроенными централизованным учётом и уведомлениями регулятора. Для сегмента КИИ Alertix удобен тем, что интегрируется в уже существующую ИТ-инфраструктуру предприятия, легко масштабируется под растущую нагрузку без переустановки и приспособлен для работы в изолированном контуре. Также в системе реализован функционал выбора событий и передачи их в ГосСОПКу.
Перед одной из производственных компаний с развитой сетью филиалов, работающих в том числе с КИИ, стояла задача организовать внутренний SOC-центр, который бы учитывал все особенности их ИТ-инфраструктуры. Эксперты NGR Softlab предложили внедрить SIEM Alertix. Она не имеет ограничений на размеры инсталляции и количество отдельных компонентов, позволяет настраивать сложные сценарии с предобработкой событий, их сжатием для работы на удаленных площадках с слабыми каналами связи. Все функции SIEM управляются через API, кроме того, предусмотрено множество сценариев внедрения, в том числе с выстраиваемой иерархией между инсталляциями. Результатом проекта стала распределённая, стабильно работающая инсталляция с настроенными централизованным учётом и уведомлениями регулятора. Для сегмента КИИ Alertix удобен тем, что интегрируется в уже существующую ИТ-инфраструктуру предприятия, легко масштабируется под растущую нагрузку без переустановки и приспособлен для работы в изолированном контуре. Также в системе реализован функционал выбора событий и передачи их в ГосСОПКу.
В другом проекте, реализованном для компании телекоммуникационного сектора, необходимо было установить PAM-систему, которая могла бы адаптироваться к быстрому росту количества устройств – в ходе проекта их суммарное число достигло порядка 1 млн. Соответственно, вся внутренняя архитектура продукта – начиная от транзакционной модели в базе данных и заканчивая интерфейсом взаимодействия и сценариями управления – должна была бесперебойно функционировать при таких условиях. Внедрённое решение, PAM Infrascope от NGR Softlab, позволило заказчику подключаться к такому объему устройств через один инстанс, не выстраивая дополнительную сеть серверов, выносных баз, кластеров прокси серверов доступа и т.д. Информация обрабатывается на одной виртуальной машине, отказоустойчивость системы обеспечивается средой виртуализации. Кроме того, система предусматривает DRP-план на доступ к секретам – cценарий раскрытия паролей от оборудования, если вдруг PAM выключится, предусматривающий операции по восстановлению критически важных систем после потенциальных ЧП. Как показали киберучения, время восстановления при падении инстанса составляет не более 15 минут.
Dataplan: контролируем пользователей и выявляем инсайдеров
В другом кейсе нам удалось решить проблему, распространённую для компаний сегмента КИИ: профилирование и поиск аномалий внутри закрытого контура, отрезанного от внешних СЗИ, и выявление инсайдерской деятельности. Компания не имела информации о происходящем в изолированном контуре, в том числе, сведений о работе прикладных систем с базами данных. У неё также не было возможности установить средства контроля и анализа обращений к базам данных.
Для контроля действий пользователей и поиска потенциально опасных активностей мы внедрили аналитическую платформу Dataplan, которая анализирует поведение пользователей на основе телеметрии сетевого трафика и журналов событий прикладного ПО и выдаёт результаты в виде удобных дашбордов и соответствующих разделов пользовательского интерфейса. Система анализирует, какие пользователи и в каких объёмах выгружают информацию, насколько типичными являются эти действия, в какое время, с какими таблицами проводилось взаимодействие, какие запросы вводились. Далее проводится профилирование пользователей – как в индивидуальном порядке, так и в сравнении с группами, и в случае превышения уровня риска система сообщает об этом аналитикам. Надо отметить, что Dataplan (решение класса UEBA) показывает прекрасные результаты в КИИ. Низкая энтропия и статичный ландшафт позволяют достаточно быстро спрофилировать устройства, пользователей, системы и минимизировать количество ложноположительных срабатываний.
Для контроля действий пользователей и поиска потенциально опасных активностей мы внедрили аналитическую платформу Dataplan, которая анализирует поведение пользователей на основе телеметрии сетевого трафика и журналов событий прикладного ПО и выдаёт результаты в виде удобных дашбордов и соответствующих разделов пользовательского интерфейса. Система анализирует, какие пользователи и в каких объёмах выгружают информацию, насколько типичными являются эти действия, в какое время, с какими таблицами проводилось взаимодействие, какие запросы вводились. Далее проводится профилирование пользователей – как в индивидуальном порядке, так и в сравнении с группами, и в случае превышения уровня риска система сообщает об этом аналитикам. Надо отметить, что Dataplan (решение класса UEBA) показывает прекрасные результаты в КИИ. Низкая энтропия и статичный ландшафт позволяют достаточно быстро спрофилировать устройства, пользователей, системы и минимизировать количество ложноположительных срабатываний.
Источник изображения: Freepik.com
Суммарно было обработано более 100 баз данных и более 200 информационных систем. Отметим, что выполнение всех этих операций не требовало подключения к внешним ЦОДам. Все вычисления и обработка информации проводились на внутренних вычислительных ресурсах / мощностях и не задействовали больших мощностей.
Решение от NGR Softlab позволило повысить осведомлённость о работе прикладных систем и нагрузке на них, оптимизировать взаимодействие с устаревшими легаси-системами, выявить инсайдерскую деятельность по данным запросов в БД, а также обнаружить компрометацию учётных записей по работе с прикладными системами.
Решение от NGR Softlab позволило повысить осведомлённость о работе прикладных систем и нагрузке на них, оптимизировать взаимодействие с устаревшими легаси-системами, выявить инсайдерскую деятельность по данным запросов в БД, а также обнаружить компрометацию учётных записей по работе с прикладными системами.
Суммарно было обработано более 100 баз данных и более 200 информационных систем.
Dataplan позволяет выявлять подозрения на инциденты, связанные не только с инсайдерами. Например, в одном из кейсов мы столкнулись с ситуацией, когда инфраструктура клиента включала изолированный сегмент из легаси DMZ, без мониторинга сетевого трафика, поддержки коммутационного оборудования Netflow и связи с SIEM. В нём не было сведений о действиях и поведении служебных и административных учётных записей, никак не визуализировалась нагрузка, отсутствовал какой бы то ни было инструментарий для проведения расследований на инциденты. Решением стала установка Dataplan с модулем xBA и анализатором сетевого трафика. С их помощью удалось провести комплексный поведенческий анализ по количеству IP-адресов, IP-портов, активности хостов, объёму загруженных и отправленных данных и т.д. и выявить многочисленные отклонения: компрометацию учётных данных, нетипичный DNS-трафик на хосте, аномальные сетевые соединения и др. В результате клиент получил полное представление о сетевой инфраструктуре, удалось добиться прозрачности действий служебных учётных записей и работы сервисов для аналитиков и офицеров ИБ. Кроме того, повысился общий уровень безопасности в компании: любые отклонения в параметрах взаимодействия сетевых узлов теперь стали фиксироваться с присвоением соответствующего уровня риска, появилась дополнительная отчётность по активности сетевых узлов.
Клиент получил полное представление о сетевой инфраструктуре, удалось добиться прозрачности действий служебных учётных записей и работы сервисов для аналитиков и офицеров ИБ.
Последний проект, о котором расскажем, касается работы службы каталогов в замкнутой инфраструктуре. К нам обратилась компания из сегмента КИИ, которая на протяжении многих лет расширялась, включая в свою структуру другие организации. Проблема заключалась в том, что из-за постоянного объединения разнородных ИТ-инфраструктур компания не имела представления о текущем состоянии доменной системы разграничения доступа для десятков тысяч пользователей. При этом попытки оптимизации за счёт формирования модели RBAC не дали результата.
Благодаря решениям Dataplan и модуль Role Mining от NGR Softlab удалось, не покидая пределы инсталляции, локально, повысить осведомлённость о текущих привилегиях пользователей, взять под контроль состояние службы каталогов, выявить легаси-права доступа и ошибки при эксплуатации учётных записей. Всего было обработано больше 100 тысяч уникальных учётных записей, создано больше 90 тысяч групп безопасности.
Благодаря решениям Dataplan и модуль Role Mining от NGR Softlab удалось, не покидая пределы инсталляции, локально, повысить осведомлённость о текущих привилегиях пользователей, взять под контроль состояние службы каталогов, выявить легаси-права доступа и ошибки при эксплуатации учётных записей. Всего было обработано больше 100 тысяч уникальных учётных записей, создано больше 90 тысяч групп безопасности.
Источник изображения: Freepik.com
Для сегмента КИИ также будет полезно ещё одно решение – Система управления безопасностью файлов, которая автоматизирует процесс проверки файлов в песочницах, потоковых антивирусах, DLP-системах и других СЗИ. В систему также встроены инструменты для гарантированной очистки документов без применения СЗИ. Это единый центр для настройки процесса проверки входящих файлов, управления политиками проверки файлов, хранения журналов проверок файлов и формирования отётов, управления загрузкой и контроля состояния СЗИ.
Система позволяет организовать доверенный обмен файлами между закрытым и открытым сегментами с соблюдением всех необходимых политик безопасности, какими бы сложными и вариативными они не были. Так, если пользователь хочет убедиться в безопасности файлов, то с помощью системы Системы управления безопасностью файлов он может проверить по заранее сформированных политикам и цепочкам, вручную в интерфейсе, а также в общей папке или шлюзе. Система направит файлы в нужные СЗИ, при этом нагрузка на все СЗИ будет распределена равномерно, никаких задержек в проверках не произойдёт и ни один файл не потеряется. В случае положительного прохождения всех проверок файл может стать доступным в изолированном сегменте. Таким образом, возможно организовать передачу файлов между сегментами без риска нарушения конфиденциальности и соблюдая необходимые политики по проверке файлов.
Система позволяет организовать доверенный обмен файлами между закрытым и открытым сегментами с соблюдением всех необходимых политик безопасности, какими бы сложными и вариативными они не были. Так, если пользователь хочет убедиться в безопасности файлов, то с помощью системы Системы управления безопасностью файлов он может проверить по заранее сформированных политикам и цепочкам, вручную в интерфейсе, а также в общей папке или шлюзе. Система направит файлы в нужные СЗИ, при этом нагрузка на все СЗИ будет распределена равномерно, никаких задержек в проверках не произойдёт и ни один файл не потеряется. В случае положительного прохождения всех проверок файл может стать доступным в изолированном сегменте. Таким образом, возможно организовать передачу файлов между сегментами без риска нарушения конфиденциальности и соблюдая необходимые политики по проверке файлов.
Система позволяет организовать доверенный обмен файлами между закрытым и открытым сегментами с соблюдением всех необходимых политик безопасности, какими бы сложными и вариативными они не были.
Перечисленные примеры отражают подход, который использует наша компания при разработке средств защиты: интеллектуальные решения должны уметь подстраиваться под новые задачи, интегрироваться со всеми системами по стандартным протоколам, в том числе, при будущем росте сегментов. Кроме того, они должны показывать всю свою функциональность «из коробки», но при этом свободно интегрироваться с другими решениями. Все эти качества дают больше возможностей аналитикам и офицерам ИБ по предотвращению угроз и становятся стратегическим преимуществом для компаний, внедривших наши решения.
Автор: Алексей Исаев, руководитель направления технического сопровождения проектов NGR Softlab