Сетевая инфраструктура современных организаций состоит из множества подсетей и сегментов разного уровня доверия и требований к обеспечению их защиты (контуры безопасности). Среди всех сетевых сегментов особо выделяются те, в которых размещены наиболее критичные информационные системы: промышленное оборудование, АСУ ТП, ПЛК, автоматизированные банковские и иные транзакционные системы, ИСПДн и другие.
Высокая значимость данных систем требует внедрения более строгих средств контроля за взаимодействием с этими системами, как в рамках бизнес- и технологических процессов, так и при их обслуживании.
Одним из важных обеспечивающих процессов является обновление информационных систем, при котором файлы обновлений поступают из менее доверенного сетевого сегмента. Наибольшую сложность в таком процессе с точки зрения информационной безопасности представляет необходимость обеспечить периодическую доставку дистрибутивов или файлов обновлений программного обеспечения до целевых систем, не подвергнув их потенциальным угрозам. Давайте рассмотрим на примере, какой путь от ручных до полностью автоматизированных шагов прошёл процесс обновления программного обеспечения в более доверенном сетевом сегменте при условии, что источник файлов обновлений находится в менее доверенном сегменте. Также определим, какие решения доступны сейчас для обеспечения высочайшего уровня защиты критических или более доверенных сегментов.
«ВОЗДУШНЫЙ ЗАЗОР»
Изначально для защиты наиболее критичных сегментов и информационных систем использовался «воздушный зазор», то есть полная их изоляция от менее доверенных сегментов. Основным каналом передачи информации и дистрибутивов ПО являлись внешние накопители, на которых переносилась вся необходимая информация. Такой подход в ряде случаев используется до сих пор. Он, хотя и является эффективным методом защиты, создаёт массу неудобств: ведение учёта накопителей, обеспечение контроля за подключением устройств, возможность переноса вместе с дистрибутивами вирусного ПО, необходимость перемещения персонала и носителей, особенно в случае, когда информационная система находится на удалённом объекте. Кроме того, в некоторых ситуациях такой подход невозможно применить организационно и технически (рис. 1).
Рисунок 1. Полная изоляция технологических систем
МЕЖСЕТЕВОЙ ЭКРАН
Наиболее простым решением проблемы передачи информации на удалённые объекты стала организация двунаправленной сетевой связности между сегментами и контроль сетевых потоков с помощью межсетевого экрана (МСЭ). Такой подход к защите ключевых систем решил проблему удобства передачи, но породил новые угрозы безопасности. Постоянный двунаправленный канал позволяет осуществлять НСД к информационной системе с помощью множества различных векторов атак: прямым подключением через служебные инструменты, используя туннелирование и шифрование трафика, эксплуатируя ошибки конфигурации и уязвимости МСЭ, запуская с помощью социальной инженерии трояны удалённого доступа. Количество потенциальных рисков для наиболее критичных информационных систем при использовании такого способа передачи данных сегодня превышает плюсы от удобства обмена информацией (рис. 2).
Рисунок 2. Программная защита технологического сегмента
NGFW
Развитие классических МСЭ до многофункциональных межсетевых экранов уровня сети (NGFW), которые содержат в себе широкий спектр возможностей по «глубокому» анализу передаваемого трафика и его блокировки в случае выявления паттернов атаки, а также способность к интеграции с другими профильными СЗИ, значительно сократило возможности злоумышленников, но не устранило все проблемы. Ключевой слабостью NGFW является программная реализация политик ограничений передачи сетевого трафика, а значит, некорректная конфигурация, компрометация учётных данных администратора или уязвимость в NGFW всё также позволяют злоумышленникам получать доступ к защищаемым системам за счёт постоянного двунаправленного канала взаимодействия.
«ДИОДЫ ДАННЫХ»
Следующим этапом эволюции, который позволил решить вышеуказанные проблемы, стало использование однонаправленных шлюзов или «диодов данных». Физически однонаправленный канал «внутрь» защищаемого сегмента позволяет обеспечить передачу необходимых данных и при этом ограничивает возможности реализации ряда угроз, таких как сканирование сетей и их узлов, поиск уязвимостей в информационных системах, осуществление удалённого НСД, вовлечение систем в бот-сеть, то есть всех угроз, основанных на эксплуатации двунаправленных сетевых протоколов. При этом аппаратная реализация гарантирует, что никакое внешнее воздействие на СЗИ не позволит передать сетевой трафик в обратном направлении (рис. 3).
Рисунок 3. Аппаратная защита технологического сегмента с помощью «диодов данных»
МЕЖДОМЕННЫЕ РЕШЕНИЯ
Но использование только однонаправленных шлюзов или «диодов данных» для защиты ключевых систем также не даёт предельно возможную на сегодня защищённость от существующих угроз, реализуемых с использованием удалённого вектора атаки и фишинга. Наличие жёстких ограничений заставило злоумышленников действовать изощрённее, что нередко приводит к не менее критическим последствиям. Примерами реализации таких угроз могут быть фишинговые атаки на работников организации, в процессе которых злоумышленники убеждают запустить вирусное программное обеспечение в защищаемом сегменте, или атаки на цепочки поставок, при которых организация получает заражённый дистрибутив используемого в критической информационной системе программного обеспечения из «доверенного» источника. В таких сценариях однонаправленный шлюз не имеет возможности ограничить атаку, так все действия с его точки зрения остаются легитимными.
Для решения задачи контроля за передаваемыми данными между сетевыми сегментами разного уровня доверия наиболее эффективным стало СЗИ класса междоменные решения (МДР), основой которых является однонаправленный шлюз. Такие СЗИ позволяют обеспечить контроль и своевременную приостановку передачи данных при нарушении заданных политик безопасности и обмена данными, зафиксировать факты нарушений в передаче данных и оперативно информировать специалистов ИБ о фактах таких нарушений. Частным случаем таких политик является контроль за утечками данных из защищаемого сегмента или защита критических сетей от проникновения зловредного программного обеспечения, например, вместе с дистрибутивами или обновлениями программного обеспечения.
При этом стоит отметить, что МДР — это комплексное решение. Как было показано выше, однонаправленный шлюз не способен отличить оригинальный дистрибутив программного обеспечения от заражённого вирусом, поэтому необходима совместная работа нескольких СЗИ. Ключевыми компонентами современного МДР являются:
Существует два основных подхода к интеграции МДР и профильных СЗИ. Первый из них заключается в размещении профильных СЗИ как «принимающей» и «передающей» компоненты МДР. Для описываемого выше сценария передачи дистрибутива ПО в защищаемый сегмент последовательность действий будет выглядеть так: администратор выкладывает дистрибутив ПО на ресурс «песочницы», которая проводит анализ этого файла, и блокирует его передачу, если файл является заражённым, или передаёт в однонаправленный шлюз, если файл успешно проходит проверки, после чего ядро МДР осуществляет проверку соблюдения политик передачи и в случае соответствия им передаёт файл в защищаемый сегмент, где размещается вторая «песочница», которая также проверяет файл и передаёт его в целевую систему, только если он является безопасным.
Использование двух профильных СЗИ и в более, и в менее доверенном сегментах обусловлено несколькими причинами. Первая — нормативные акты в области ИБ всё чаще устанавливают требование об использовании двух СЗИ одного класса разных производителей, чтобы минимизировать риск успешного применения техник обхода СЗИ в случае целевой атаки на организацию. Вторая причина — необходимость повышения уровня защищённости: использование однонаправленных шлюзов гарантирует, что никакой внешний злоумышленник не сможет изменить конфигурацию СЗИ, размещённого в защищаемом сегменте, даже в случае компрометации менее доверенного сегмента (рис. 4).
Рисунок 4. МДР с внешними «принимающей» и «передающей» компонентами
ДРУГОЙ ПОДХОД
Другим подходом к организации взаимодействия МДР и «песочницы» является их интеграция по протоколу ICAP (Internet Content Adaptation Protocol). Что позволяет использовать МДР как точку принятия решения на основе как внутренних политик передачи данных, так и получая ответ о возможности дальнейшей передачи от внешних СЗИ: антивирусов, «песочниц», систем предотвращения утечек и других. Общий процесс передачи данных при использовании МДР совместно с «песочницей» теперь выглядит так: МДР получает файл от пользователя, осуществляет контроль за соблюдением внутренних политик передачи данных, а также направляет файл в «песочницу» для его анализа, после чего принимает решение о возможности передачи файла в защищаемый сегмент на основании как внутреннего анализа, так и полученного от «песочницы» ответа или направляет его в карантин.
Наиболее значимым плюсом такого подхода является создание единой точки принятия решений по всем политикам передачи данных, что упрощает их настройку и дальнейшее расследование инцидентов. Наличие возможности работы по протоколу ICAP уже становится хорошей практикой при разработке современных СЗИ.
Рисунок 5. МДР с единой точкой принятия решений
СИНЕРГИЯ ДВУХ КЛАССОВ СЗИ
Использование МДР совместно с «песочницами» является ярким примером синергии двух классов СЗИ, в котором за счёт нейтрализации угроз различных классов надёжность защиты более доверенного сетевого сегмента растёт нелинейно, в разы уменьшая вероятность компрометации информационных систем защищаемого сегмента. Следует отметить, что все факты блокирования данных также направляются в ещё одну профильную систему SIEM для реагирования и анализа офицерами ИБ.
Такой набор СЗИ может применяться и во множестве других сценариев со схожей проблематикой защиты более доверенного сегмента при необходимости передачи в него данных из менее доверенного: передача конфигураций промышленного оборудования из корпоративной сети в технологическую; передача почтовых сообщений, полученных от внешних отправителей, из интернет-сегмента в корпоративную сеть; передача резервных копий данных, конфигураций, виртуальных машин в защищённое хранилище данных или резервных копий (хранилище «чёрного дня») и многие другие.
Примером МДР, имеющим интеграции с «песочницами», является МДР InfoDiode от АМТ-ГРУП. В его основе используется однонаправленный шлюз АПК InfoDiode PRO, который гарантирует отделение сетей на физическом уровне за счёт гальванической и оптической развязки сетевых сегментов. В МДР InfoDiode реализованы как внутренние политики контроля передачи данных, так и возможность интеграции с другими классами СЗИ, что позволяет обеспечить гибкую настройку ограничений передачи данных между сегментами. В качестве СЗИ, имеющих подтверждённую совместимость с МДР InfoDiode, могут выступать широко распространённые «песочницы» ATHENA от AVSOFT и PT Sandbox от Positive Technologies, а также СЗИ других классов.
Реклама. АО «АМТ-ГРУП», ИНН: 7703025499, Erid: 2VfnxwzktVw
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
