Конец года – весьма подходящее время, чтобы отметить важные тенденции, которые наметились в деятельности киберпреступников и сфокусировать внимание на наиболее актуальных в отношении своей компании. Мегатрендами, по мнению исполнительного директора INTERPOL IGCI Нобору Накатани, остаются вирусы-вымогатели, атаки на финансовые учреждения и DDoS-атаки. Конечно, в фокусе злоумышленников остается получение денег. Не прекратятся и целенаправленные атаки, осложненные сокрытием следов. Компаниям потребуется надежно защищать критичные IT-активы.
Согласно отчету Group-IB – ведущей международной компании, которая занимается предотвращением и расследованием киберпреступлений и мошенничеств, в проходящем году наиболее ярко отметились и имеют предпосылки повториться события:
- Вирусы-вымогатели (шифровальщики) приводили к масштабным эпидемиям и также использовались для отвлечения внимания от основного инцидента и маскирования следов целенаправленных атак.
- Атаки на критическую инфраструктуру, включая банки, производились уже не только для получения денег, но еще и с целью шпионажа или диверсий.
- Новой целью атакующих стал процессинг производителей терминалов самообслуживания. Также атаковались банкоматы и карточный процессинг.
- Злоумышленники регулярно использовали вредоносные программы, которые работают только в оперативной памяти и исчезают после перезагрузки системы, что позволяет преступникам долго оставаться незамеченными.
- Весьма актуален был почтовый фишинг.
- Были атакованы оборудование клиентов банков и криптовалютные сервисы.
- Вредоносный код активно выкладывался в открытый доступ, инструментарий для взлома существенно развился.
Как выглядит критичный IT-актив для финансовой организации, ритейл, производственной, телеком компании или любой другой? Для каждой отрасли и организации он выглядит по-разному. Это может быть система, обрабатывающая важные данные в ЦОДе, автоматизированная/IoT-система, например, корпоративный транспорт с дистанционным мониторингом и контролем, подключенный к Интернету, это может быть точка продаж, банкомат или даже пользовательская рабочая станция. Все эти системы объединяет то, что стабильность их работы очень важна для жизнедеятельности компании и эти системы необходимо надежно защищать. Снижение производительности и простой business- или mission-critical систем конечно же должен сводиться к минимуму, а развитие вычислительных сред, позволяющих получать прибыль, требуется делать «со скоростью бизнеса».
Таким образом, подходящее средство защиты для наиболее критичных систем должно обеспечивать максимальную защиту от угроз, в том числе от новых уязвимостей и угроз нулевого дня. Оно должно быть гибким по архитектуре и покрывать потребности в защите для множества типов систем, легко развертываться и управляться. Безусловно, такое средство защиты должно оказывать минимальное влияние на производительность защищаемого объекта и должно давать возможность защищать как высоконагруженные кластеры, так и системы с ограниченными вычислительными ресурсами, с учетом, что зачастую такие системы не имеют подключения в общую сеть и тем более Интернет. И такое решение есть…
Symantec Data Center Security и Critical System Protection
В аспекте защиты критичных IT-активов, решения Symantec Data Center Security:Server Advanced (SDCS:SA) и Symantec Critical System Protection (SCSP) различаются между собой преимущественно набором защищаемых платформ: SDCS:SA фокусируется на типовых для ЦОДов системах, а SCSP – на критичных IoT-системах (таких, как транспорт) и отдельно стоящих устройствах.
Как это работает? Принцип защиты основан на микросегментации, деэскалации административных привилегий, снижения критичности уязвимостей и очень важный момент – обеспечивается защита от угроз нулевого дня. Для сохранения целостности системы выполняется контроль приложений, служб/процессов и сетевых подключений, обращений к оперативной памяти и важным пользовательским файлам, блокируется состояние настроек системы и приложений. Главное отличие продуктов SDCS:SA и SCSP от антивируса заключается в том, что контентная проверка на основе сигнатур не выполняется, вся защита происходит на основе детализированных политик доступа для каждого процесса, не нагружая сервер или embedded систему. Соответственно, регулярные апдейты сигнатурных баз не нужны, как и подключение к Интернету (рис. 1).
Рис. 1
На соревнованиях хакеров «Capture the Flag» на ежегодной конференции Black Hat в США Symantec уже более 6 лет демонстрирует надежность защиты непропатченных систем от взлома при помощи технологии Data Center Security и Critical System Protection. Каким же образом достигается успех? Разберем критичную систему на основные группы объектов защиты (рис. 2).
?
Рис. 2
Для защиты в SDCS:SA и SCSP применяется целый ряд технологий. Для упрощения восприятия при знакомстве с этими решениями, мы сведем основные технологии в три группы и рассмотрим их.
Изолированная среда исполнения для системных служб и прикладных программ, контроль доступа к процессам и к оперативной памяти
Большинство известных системных приложений и служб имеют профиль поведения, который определен в шаблоне политик защиты. Для пользовательских приложений и служб можно создать свой собственный пользовательский профиль поведения или использовать готовый из шаблона. Работает функционал создания пользовательского профиля по элементарному алгоритму:
- запускается профилирование поведения пользовательского приложения/службы;
- запускается пользовательское приложение/служба и производится сбор событий активности всех его процессов;
- завершается профилирование, создается пользовательский профиль поведения и используется в политике.
В будущем отклонения поведения пользовательского процесса/службы будут классифицироваться как вредоносная активность и блокироваться. Что немаловажно – все процессы получают лишь необходимые привилегии. Эта технология является ключевой, позволяет наиболее эффективно защищать любые системы и не требует регулярных обновлений и подключения к сети Интернет. Она позволяет защитить критичную систему от новых угроз и снижает критичность установки патчей. Поскольку принцип работы изолированной среды и контроля доступа не подразумевает анализ контента, то потребность в ресурсах значительно ниже, чем для антивируса, что позволяет защищать высоконагруженные и ограниченные в системных ресурсах системы. Именно благодаря этой технологии решения SDSC:SA или SCSP стабильно демонстрируют свою эффективность уже много лет.
Блокировка настроек и файлов конфигурации
Настраивается запрет на изменение файлов и реестра, а также подключение устройств. Даже если злоумышленник получит доступ к системе – изменить настройки он не сможет.
Хостовой файерволл и IPS
Очистка сетевого трафика эффективно отсекает вредоносный код. Для сред Windows доступны готовые политики IDS и IPS «из коробки», которые отслеживают и предотвращают подозрительную активность в системе.
Для виртуальных сред Windows при интеграции с VMware NSX, новые виртуальные машины становятся защищены уже сразу после создания, что существенно повышает скорость обеспечения безопасности систем.
С помощью SDSC:SA и SCSP вы сможете защитить подавляющее большинство платформ: физические и виртуальные сервера Windows, Linux, Unix-подобные системы, QNX RTOS, контейнеры Docker и embedded-системы.
Пример использования Symantec CSP для банкоматов
Банкоматы являются важнейшим оборудованием и лакомым кусочком для киберпреступников. Эти системы предназначены для одной задачи, поэтому установка ПО и изменение настроек происходит редко, набор приложений заранее известен, системные ресурсы ограничены, а также необходимо обеспечивать требования стандарта PCI DSS. Представим в виде таблицы потребности в IT-защите для банкоматов и методы защиты.
Угрозы и потребности в защите для банкомата
|
Метод защиты с помощью Symantec CSP |
Заражение вредоносным кодом через сетевой трафик |
Определение сетевой активности для приложений, запущенных в системе и защита от вредоносного трафика
|
Несанкционированная эскалация привилегий
|
Реализация принципа наименьших привилегий и блокировка внешних интерфейсов |
Запуск вредоносного ПО |
Блокировка запуска несанкционированных программ и разрешение исполнения только необходимых действий в системе
|
Заражение системы через память, хищение чувствительных данных через память
|
Защита от вредоносного кода, который вставляется в память или выполняется из памяти, защита от несанкционированного доступа к памяти
|
Реализация вредоносных сценариев путем переконфигурирования системы
|
Непрерывный мониторинг файлов настроек и реестра |
Подделка файлов и системных компонентов
|
Мониторинг и контроль поведения приложений, блокировка настроек, белые и черные списки возможных действий |
Несанкционированное копирование данных на подключаемые внешние устройства
|
Ограничение возможности подключения нежелательного оборудования (USB, DVD, SD) |
Поддержка различных платформ, включая устаревшие версии ОС
|
Широчайший список поддерживаемых платформ: Windows, Linux, QNX, Unix-подобные, интеграция с VMware NSX для безагентской защиты |
Централизованное управление профилем безопасности
|
Централизованное развертывание агентов и применение политик |
Защита должна быть надежной, даже в условиях отсутствия периодических обновлений для системы защиты
|
В отличие от традиционного антивируса, базы сигнатур отсутствуют, система защиты не требует периодических обновлений
|
Ограниченные вычислительные ресурсы |
В основе защиты не анализ контента, как в случае традиционных антивирусов, поэтому не создается повышенная нагрузка на систему; эффективная защита без применения сигнатурного анализа может применяться даже на ограниченных в ресурсах embedded системах
|
Успехи в защите систем от взлома, которые демонстрирует ПО Symantec Data Center Security:Server Advanced и Symantec Critical System Protection на хакерских соревнованиях, вселяют оптимизм – эту группу решений уверенно можно назвать качественным звеном в экосистеме защиты, существенно поднимающим стоимость атак киберпреступников. На российском рынке это ПО успешно прижилось, однако, пока не имеет широкой известности. Эту несправедливость исправляет компания Web Control.