BIS Journal №1(36)/2020

16 марта, 2020

Проактивная кибербезопасность. Импортозамещение не требуется

Высокие темпы обновления инструментария для кибератак – одна из особенностей нынешней ситуации в сфере ИБ. В связи с этим ставшие традиционными средства реактивной защиты – антивирусы, системы IPS/IDS, межсетевые экраны, реагирующие на уже известные угрозы, необходимо дополнять системами проактивной киберзащиты.

Наиболее перспективной для проактивной киберзащиты ИТ-инфраструктур, в том числе и включающих оборудование IoT/IIoT, является технология Deception или технология обмана на основе т.н. «ловушек» (Honeypots). Они имитируют оборудование инфраструктуры, дезинформируя злоумышленников, и позволяют обнаруживать, замедлять и предотвращать атаки, не допуская нанесения значимого ущерба.

В основе проактивной обороны в киберпространстве лежит евангельский завет «По плодам их узнаёте их». Исследование поведения подозрительного объекта в специальной изолированной среде «песочнице» (Sandbox), позволяет идентифицировать вредоносное ПО и предотвратить его проникновение в ИТ-инфраструктуру организации.

Системы киберзащиты, использующие «песочницы» и «ловушки», не слишком широко представлены на мировом рынке в виде «коробочных» продуктов и ещё меньше таких систем предлагается отечественными вендорами. Возможно, не будет преувеличением сказать, что для их перечисления хватит пальцев на одной руке, да и то не всех.

Система выявления и анализа вредоносного программного обеспечения ATHENA (АФИНА) на основе технологии «песочниц» и «ловушек» – это разработка отечественной компании АВ Софт. Компания начала разработки средств киберзащиты ИТ-инфраструктуры на основе технологий динамического анализа в 2010 году, выполняя кастомизированные разработки для внешних заказчиков. К 2016 году накопленный опыт позволил предложить рынку «коробочное» решение, которое вошло в Реестр отечественного программного обеспечения РФ.

Более подробно рассказать об этом BIS Journal попросил генерального директора АВ Софт Антона Чухнова.

- Антон Павлович, возможно ли, что в некоторой перспективе в сфере ИБ технологии динамического анализа вытеснят технологии статического анализа для распознавания вредоносного ПО?

- Лучше не ставить вопрос выбора между статическим и динамическим методами анализа, а использовать их синергию. Комбинация этих подходов не только позволяет экономить ресурсы за счёт блокировки уже известных вирусов на этапе статического анализа, а на этапе динамической проверки выявлять неизвестные, но и повышает точность вердикта, что самое важное!

- То есть при построении системы киберзащиты на основе «коробочного» решения, использующего технологии динамического анализа, придётся приобретать ещё антивирус, например, и проводить самостоятельно или с помощью сторонней организации интеграционный проект?

- Если говорить о решении ATHENA, то оно уже сочетает в себе два вида анализа. «Классические» статические технологии ИБ – антиспам, IPS/IDS, антивирусы, парсинг файлов – это элементы первой линии обороны на её основе.

В рамках статического анализа осуществляется проверка 20 антивирусами (платными и бесплатными), детальный статический анализ структуры файлов (парсинг), проверка средствами ML. При желании пользователя система позволяет проверять подозрительные файлы внешними «облачными» аналитическими сервисами ИБ.

К решению об отнесении подозрительного объекта к группе риска подключается и аналитический блок, использующий технологию машинного обучения (нейросети).

И лишь после детального статического анализа объект передаётся в модуль для проведения многофакторного поведенческого анализа, в «песочницу».

- «Песочница» – это некая виртуальная среда?

- В том числе. Исследование поведения может проводиться как на виртуальной машине, так и на физическом оборудовании. Оба варианта реализации поддерживают в операционной системе «песочниц» имитацию работы пользователя, реальные информационные ресурсы и состав ПО организации.

В части систем на базе технологии «песочницы» мы пошли дальше и решили реализовать не просто имитацию отдельной ОС персонального компьютера пользователя, а воссоздать инфраструктуру целой организации, которая включает в себя и базы данных, и сервера, и IoT в виде «ловушек».

- А для чего нужны «ловушки»?

- «Ловушки» – это имитации оборудования в ИТ-инфраструктуре, в структуре АСУ/АСУТП.

Самой организацией это «оборудование», естественно, не используется, но со стороны киберпространства оно «выглядит» как настоящее и может стать объектом реальной кибератаки. И не только извне. «Ловушки» могут стать объектом атаки, исходно возникшей внутри защищаемого периметра организации. Развёртывание «ловушек» может проявить, например, активность вредоносного ПО, уже внедрённого в ИТ-пространство организации, перехватить атаку на любом этапе её развития.

- Вы контролируете Интернет-трафик, электронную почту, …?

- Вы угадали, выдержав паузу. Источников информации для «размышлений» АФИНЫ множество. Помимо названных Вами, это ещё мессенджеры, мобильные устройства, рабочие места пользователей и IoT-устройства. Подозрительные файлы можно загрузить в систему вручную. Ну и, в конце концов, API системы и ICAP-сервис позволяют «кастомизировать» набор источников поступления объектов проверки.

- При контроле почтового трафика письма, содержащие вредоносное ПО, идут в корзину?

- Система ATHENA поддерживает технологию удаления подозрительного ПО из писем и их мгновенную конвертацию в безопасный формат, чтобы не замедлять бизнес-процессы организации и как можно скорее предоставить пользователю возможность ознакомиться с поступившей информацией. Все файлы, прошедшие проверку, находятся в карантине и могут быть проверены повторно в рамках ретроспективного анализа.

- Даже просто из Вашего рассказа ясно, что ATHENA – это мощный инструмент, мощный не только по своим возможностям, но и ресурсоёмкий. Он может существенно затормозить работу организации?

- Если речь идёт о бизнес-процессах, то ATHENA может быть интегрирована в ИТ-инфраструктуру как в режиме «в разрыв», так и в режиме «зеркало», она может работать с реальным информационным трафиком или с его копией, в автоматическом режиме или в режиме исследовательской и/или экспертной системы в качестве криминалистической лаборатории.

Использование той или иной комбинации этих режимов – это вопрос реализации принятой в организации политики ИБ, оценки рисков и того набора задач, что вы хотите решать. Например, с помощью системы ATHENA решаются сугубо утилитарные задачи: можно в автоматическом режиме проверять, блокировать, обезвреживать файлы и уведомлять заинтересованные службы об угрозах и проблемах по разным каналам коммуникаций (e-mail, мессенджер, SIEM).

А возникнет потребность, и с помощью системы ATHENA можно сформировать и наращивать базу знаний по киберугрозам, решать задачи в сфере повышения квалификации и расширении компетенции персонала службы ИБ.

- Каковы минимальные требования к компетенции департамента ИБ в организации, решивший внедрить систему ATHENA?

- Наш программный комплекс может быть «поставлен» в виде «облачной» услуги по обеспечению защиты электронной почты, Интернет-трафика и иных источников информации. Как Вы понимаете, в этом случае требования минимальны.

Иные варианты – это поставка системы в виде законченного программно-аппаратного комплекса или развёртывание ПО на инфраструктуре заказчика.

Компания АВ Софт обучает персонал заказчика. Мы также активно развиваем партнёрскую сеть, обучаем специалистов партнёров. Можно работать, включая и получение услуг по поддержке, через наших партнёров.

- Обеспечивает ли использование системы ATHENA «чистоту» в контексте современных тенденций, в частности вопроса импортозамещения?

- Хорошо, что напомнили о современных тенденциях! Замечу, что в ходе динамического анализа система ATHENA позволяет выявлять ПО, расходующее ресурсы для майнинга.

Что же касается импортозамещения, то разработка полностью отечественная. Сторонний код – лишь тот, что используется в рамках процессов Open Source. Он используется, например, при создании модуля сети «ловушек» для имитации оборудования IoT/IIoT.

Среди поддерживаемых антивирусов – отечественные и те, что предоставляются бесплатно.

В портфолио компании есть интеграции системы ATHENA с отечественными межсетевыми экранами и другими системами первой линии защиты.

- Какие операционные системы поддерживает система ATHENA в «песочнице»?

- В динамическом анализе поддерживаются MS Windows, Windows Server, разнообразные варианты Linux: Astra Linux, Debian, openSUSE, CentOS, Ubuntu и другие, macOS, вся линейка версии Android.

- Резюмируя Ваши ответы, для системы ATHENA видится широкий круг задач, которые могут решить пользователи.

- Совершенно верно. От автоматического выявления вредоносного ПО и его обезвреживания без участия пользователей системы и до исследований поведения программного обеспечения в различных ИТ-средах. В последнем случае пользователь имеет широкие возможности для настроек эмулируемых сред по интересующим его направлениям исследований. А API-интерфейс системы ATHENA позволяет масштабировать возможности для решения практических задач построения линий киберзащиты, исследований в сфере ИБ, быть основой для построения комплексных систем безопасности, подготовки кадров или повышения квалификации персонала.

- Спасибо.

Беседовал Валерий Куликов

Смотрите также