Высокие темпы обновления инструментария для кибератак – одна из особенностей нынешней ситуации в сфере ИБ. В связи с этим ставшие традиционными средства реактивной защиты – антивирусы, системы IPS/IDS, межсетевые экраны, реагирующие на уже известные угрозы, необходимо дополнять системами проактивной киберзащиты.
Наиболее перспективной для проактивной киберзащиты ИТ-инфраструктур, в том числе и включающих оборудование IoT/IIoT, является технология Deception или технология обмана на основе т.н. «ловушек» (Honeypots). Они имитируют оборудование инфраструктуры, дезинформируя злоумышленников, и позволяют обнаруживать, замедлять и предотвращать атаки, не допуская нанесения значимого ущерба.
В основе проактивной обороны в киберпространстве лежит евангельский завет «По плодам их узнаёте их». Исследование поведения подозрительного объекта в специальной изолированной среде «песочнице» (Sandbox), позволяет идентифицировать вредоносное ПО и предотвратить его проникновение в ИТ-инфраструктуру организации.
Системы киберзащиты, использующие «песочницы» и «ловушки», не слишком широко представлены на мировом рынке в виде «коробочных» продуктов и ещё меньше таких систем предлагается отечественными вендорами. Возможно, не будет преувеличением сказать, что для их перечисления хватит пальцев на одной руке, да и то не всех.
Система выявления и анализа вредоносного программного обеспечения ATHENA (АФИНА) на основе технологии «песочниц» и «ловушек» – это разработка отечественной компании АВ Софт. Компания начала разработки средств киберзащиты ИТ-инфраструктуры на основе технологий динамического анализа в 2010 году, выполняя кастомизированные разработки для внешних заказчиков. К 2016 году накопленный опыт позволил предложить рынку «коробочное» решение, которое вошло в Реестр отечественного программного обеспечения РФ.
Более подробно рассказать об этом BIS Journal попросил генерального директора АВ Софт Антона Чухнова.
- Антон Павлович, возможно ли, что в некоторой перспективе в сфере ИБ технологии динамического анализа вытеснят технологии статического анализа для распознавания вредоносного ПО?
- Лучше не ставить вопрос выбора между статическим и динамическим методами анализа, а использовать их синергию. Комбинация этих подходов не только позволяет экономить ресурсы за счёт блокировки уже известных вирусов на этапе статического анализа, а на этапе динамической проверки выявлять неизвестные, но и повышает точность вердикта, что самое важное!
- То есть при построении системы киберзащиты на основе «коробочного» решения, использующего технологии динамического анализа, придётся приобретать ещё антивирус, например, и проводить самостоятельно или с помощью сторонней организации интеграционный проект?
- Если говорить о решении ATHENA, то оно уже сочетает в себе два вида анализа. «Классические» статические технологии ИБ – антиспам, IPS/IDS, антивирусы, парсинг файлов – это элементы первой линии обороны на её основе.
В рамках статического анализа осуществляется проверка 20 антивирусами (платными и бесплатными), детальный статический анализ структуры файлов (парсинг), проверка средствами ML. При желании пользователя система позволяет проверять подозрительные файлы внешними «облачными» аналитическими сервисами ИБ.
К решению об отнесении подозрительного объекта к группе риска подключается и аналитический блок, использующий технологию машинного обучения (нейросети).
И лишь после детального статического анализа объект передаётся в модуль для проведения многофакторного поведенческого анализа, в «песочницу».
- «Песочница» – это некая виртуальная среда?
- В том числе. Исследование поведения может проводиться как на виртуальной машине, так и на физическом оборудовании. Оба варианта реализации поддерживают в операционной системе «песочниц» имитацию работы пользователя, реальные информационные ресурсы и состав ПО организации.
В части систем на базе технологии «песочницы» мы пошли дальше и решили реализовать не просто имитацию отдельной ОС персонального компьютера пользователя, а воссоздать инфраструктуру целой организации, которая включает в себя и базы данных, и сервера, и IoT в виде «ловушек».
- А для чего нужны «ловушки»?
- «Ловушки» – это имитации оборудования в ИТ-инфраструктуре, в структуре АСУ/АСУТП.
Самой организацией это «оборудование», естественно, не используется, но со стороны киберпространства оно «выглядит» как настоящее и может стать объектом реальной кибератаки. И не только извне. «Ловушки» могут стать объектом атаки, исходно возникшей внутри защищаемого периметра организации. Развёртывание «ловушек» может проявить, например, активность вредоносного ПО, уже внедрённого в ИТ-пространство организации, перехватить атаку на любом этапе её развития.
- Вы контролируете Интернет-трафик, электронную почту, …?
- Вы угадали, выдержав паузу. Источников информации для «размышлений» АФИНЫ множество. Помимо названных Вами, это ещё мессенджеры, мобильные устройства, рабочие места пользователей и IoT-устройства. Подозрительные файлы можно загрузить в систему вручную. Ну и, в конце концов, API системы и ICAP-сервис позволяют «кастомизировать» набор источников поступления объектов проверки.
- При контроле почтового трафика письма, содержащие вредоносное ПО, идут в корзину?
- Система ATHENA поддерживает технологию удаления подозрительного ПО из писем и их мгновенную конвертацию в безопасный формат, чтобы не замедлять бизнес-процессы организации и как можно скорее предоставить пользователю возможность ознакомиться с поступившей информацией. Все файлы, прошедшие проверку, находятся в карантине и могут быть проверены повторно в рамках ретроспективного анализа.
- Даже просто из Вашего рассказа ясно, что ATHENA – это мощный инструмент, мощный не только по своим возможностям, но и ресурсоёмкий. Он может существенно затормозить работу организации?
- Если речь идёт о бизнес-процессах, то ATHENA может быть интегрирована в ИТ-инфраструктуру как в режиме «в разрыв», так и в режиме «зеркало», она может работать с реальным информационным трафиком или с его копией, в автоматическом режиме или в режиме исследовательской и/или экспертной системы в качестве криминалистической лаборатории.
Использование той или иной комбинации этих режимов – это вопрос реализации принятой в организации политики ИБ, оценки рисков и того набора задач, что вы хотите решать. Например, с помощью системы ATHENA решаются сугубо утилитарные задачи: можно в автоматическом режиме проверять, блокировать, обезвреживать файлы и уведомлять заинтересованные службы об угрозах и проблемах по разным каналам коммуникаций (e-mail, мессенджер, SIEM).
А возникнет потребность, и с помощью системы ATHENA можно сформировать и наращивать базу знаний по киберугрозам, решать задачи в сфере повышения квалификации и расширении компетенции персонала службы ИБ.
- Каковы минимальные требования к компетенции департамента ИБ в организации, решивший внедрить систему ATHENA?
- Наш программный комплекс может быть «поставлен» в виде «облачной» услуги по обеспечению защиты электронной почты, Интернет-трафика и иных источников информации. Как Вы понимаете, в этом случае требования минимальны.
Иные варианты – это поставка системы в виде законченного программно-аппаратного комплекса или развёртывание ПО на инфраструктуре заказчика.
Компания АВ Софт обучает персонал заказчика. Мы также активно развиваем партнёрскую сеть, обучаем специалистов партнёров. Можно работать, включая и получение услуг по поддержке, через наших партнёров.
- Обеспечивает ли использование системы ATHENA «чистоту» в контексте современных тенденций, в частности вопроса импортозамещения?
- Хорошо, что напомнили о современных тенденциях! Замечу, что в ходе динамического анализа система ATHENA позволяет выявлять ПО, расходующее ресурсы для майнинга.
Что же касается импортозамещения, то разработка полностью отечественная. Сторонний код – лишь тот, что используется в рамках процессов Open Source. Он используется, например, при создании модуля сети «ловушек» для имитации оборудования IoT/IIoT.
Среди поддерживаемых антивирусов – отечественные и те, что предоставляются бесплатно.
В портфолио компании есть интеграции системы ATHENA с отечественными межсетевыми экранами и другими системами первой линии защиты.
- Какие операционные системы поддерживает система ATHENA в «песочнице»?
- В динамическом анализе поддерживаются MS Windows, Windows Server, разнообразные варианты Linux: Astra Linux, Debian, openSUSE, CentOS, Ubuntu и другие, macOS, вся линейка версии Android.
- Резюмируя Ваши ответы, для системы ATHENA видится широкий круг задач, которые могут решить пользователи.
- Совершенно верно. От автоматического выявления вредоносного ПО и его обезвреживания без участия пользователей системы и до исследований поведения программного обеспечения в различных ИТ-средах. В последнем случае пользователь имеет широкие возможности для настроек эмулируемых сред по интересующим его направлениям исследований. А API-интерфейс системы ATHENA позволяет масштабировать возможности для решения практических задач построения линий киберзащиты, исследований в сфере ИБ, быть основой для построения комплексных систем безопасности, подготовки кадров или повышения квалификации персонала.
- Спасибо.
Беседовал Валерий Куликов
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных