Когда я только начинал в ИБ, я часами лазил по сайтам в попытках понять: а что вообще нужно знать новичку? Какими базовыми вещами должен владеть специалист по защите информации — будь то внутри контура организации или за его пределами.
Так я наткнулся на статьи про СЗИ — средства защиты информации. По сути, это тот самый инструментарий, с помощью которого специалист и строит защиту.
Думаю, выпущу несколько материалов, где своими словами разберу разные виды СЗИ. Для тех, кто только вникает в профессию, — чтобы было проще ориентироваться в этих штуках.
СПИСОК СЗИ ПРО КОТОРЫЕ Я РАССКАЗЫВАЮ В ЭТОЙ СТАТЬЕ:
Межсетевой экран (МЭ) — он же Firewall (англ.) или Brandmauer (нем.).
IDS/IPS — Intrusion Detection System / Intrusion Prevention System
DLP — Data Leak Prevention
SIEM — Security Information and Event Management
Sandbox — «песочница»
Межсетевой экран
Думаю, многие уже слышали о межсетевых экранах. Их называют по‑разному: Firewall — с английского «огненная стена», или Brandmauer — с немецкого тоже «огненная стена». В общем как ни назови, он делает одно и то же — не дает нежелательному трафику проникнуть в сеть.
Давайте лучше приведу пример, чтобы сразу стало понятно.
Допустим, есть корпоративная сеть, где работает несколько сотрудников. И они, скажем так, работают нехотя, смотрят YouTube, зависают на маркетплейсах — в общем, занимаются чем угодно, только не делом. Вдруг на работу берут нового специалиста по ИБ. Он устанавливает на выход в сеть межсетевой экран, настраивает правила фильтрации — добавляет блокировку YouTube и маркетплейсов. И вот уже производительность сотрудников резко растет, потому что отвлекаться больше не на чем.
Надеюсь, в общих чертах принцип работы МЭ стал понятен. Теперь расскажу чуть глубже.
Как я уже говорил, межсетевой экран нужен, чтобы не пускать нежелательный трафик в сеть. Но где он ставится? Чаще всего МЭ ставят сразу после маршрутизатора (или вообще вместо него) — так, чтобы весь трафик между локальной сетью и интернетом проходил через него затем настраиваются правила фильтрации. Например, запрещаем доступ к сайту с IP‑адресом 192.168.0.1 на порт 80 — и весь веб трафик туда отрезан.
Важный момент: межсетевые экраны с завода настроены по принципу «запрещено всё, что не разрешено явно». То есть если поставить ненастроенный МЭ в сеть, работать не будет вообще ничего.
Виды межсетевых экранов
Stateless (статический)
Это самый старый вид. Stateless МЭ смотрит на каждый пакет, который приходит или уходит из сети, отдельно. У него есть таблица правил (эти правила пишете вы), и он проверяет каждый пакет перед тем, как пустить данные в сеть. Обычно правила строятся по таким параметрам: source IP, source port, destination IP, destination port.
Но такой межсетевой экран не понимает контекст. Он не знает, является ли пакет частью уже установленного соединения или это кто‑то пытается подделать чужой трафик. Например, если пользователь внутри сети открыл сайт, то ответные пакеты от сайта должны вернуться. Stateless МЭ пропустит их только в том случае, если в правилах явно прописано «разрешить входящий трафик с этого IP на этот порт». А если не прописано — заблокирует.
Поэтому администраторам приходилось прописывать два правила на каждое соединение туда и обратно. Это неудобно, легко ошибиться, и таких правил быстро становится сотни. Вот и всё про stateless.
Stateful (динамический)
Этот вид уже ведет таблицу соединений. Благодаря этому пакеты с данными спокойно передаются туда и обратно без кучи лишних правил. По сути, от stateless он отличается только наличием этой таблицы.
Но такие МЭ, к сожалению, тоже не справляются с современными угрозами. Они работают в основном на транспортном уровне (L4), а атаки часто проводятся на более высоких уровнях. Простое устройство, которое смотрит только на IP и порты, такие атаки не видит и не может их остановить.
NGFW (Next Generation Firewall)
Это межсетевой экран нового поколения. Он уже не просто смотрит данные на транспортном уровне, а заглядывает прямо внутрь.
Объясню. Он умеет распознавать приложения, даже если они используют нестандартные порты. Например, он видит, что Telegram (или что‑то другое) идет на 443-й порт. Тем самым можно запрещать не просто по IP‑адресу Telegram, как мы делали раньше, а запретить трафик от него на уровне приложений. И даже если Telegram будет использовать другой порт или другой IP‑адрес, который мы не знали и не прописали заранее, он всё равно не получит доступ внутрь. Также NGFW умеет блокировать трафик по доменам.
Плюс у таких МЭ часто есть функции антивируса — он может проверять файлы на лету при скачивании (правда, это сильно замедляет работу, поэтому на практике пользуются не всегда). Или интеграция с песочницей (Sandbox), которая тоже может быть встроена в аппарат.
Еще в NGFW присутствуют функции IPS/IDS — системы обнаружения и предотвращения вторжений. Про них я расскажу позже, это как раз те самые СЗИ, которые мы сегодня разбираем.
В общем, межсетевые экраны — крутая штука, которая обязана стоять в каждой организации, которая хочет защитить свою информацию.
IDS/IPS
Начну с IPS — это система предотвращения вторжений. Она фильтрует трафик, который поступает в сеть организации, и сразу же его блокирует, если он не соответствует разрешенным параметрам. Объясню как это работает. IPS устанавливается чаще всего либо прямо в межсетевой экран, либо сразу после него. Дальше она начинает пропускать трафик через себя, сверяя его со своими базами. Если находит совпадение с известной угрозой сразу блокирует и предупреждает ИБ‑специалиста мол угроза поступила и уже заблокирована.
Теперь расскажу про принципы работы IPS — а точнее, как он обнаруживает и блокирует вредоносный трафик.
Первый способ — сигнатурный анализ. Это как раз те базы, про которые я говорил. IPS пропускает трафик, анализирует его, и если признаки совпадают с базами сигнатур — блокирует. Например, определенная последовательность байтов, хэш‑сумма, конкретная строка в пакете, похожая на SQL‑инъекцию. Тут важно понимать: прежде чем сравнивать с сигнатурами, IPS собирает фрагментированные пакеты обратно, приводит трафик к нормальному виду. Иначе атакующий может просто разбить вредоносную нагрузку на мелкие куски, и сигнатура не сработает.
Второй способ — аномальный анализ. IPS сначала учится. Она какое‑то время, например месяц, изучает поведение трафика и запоминает, что считается нормой. Скажем, с понедельника по пятницу рабочая сеть принимает и отдает примерно одинаковое количество трафика. IPS фиксирует это как норму, которую превышать не стоит. И вот в какой‑то момент обычный объем трафика резко выходит за пределы нормы. Например, на каком‑то устройстве начался резкий обмен пакетами с неизвестным сервером, и с него начинает утекать очень много данных. IPS видит это отклонение и блокирует передачу. В общем, IPS реагирует на любое аномальное поведение трафика. Но у этого метода есть недостаток, он слишком чувствительный и может заблокировать даже легальный трафик, если тот просто отличается от привычной картины.
Третий способ — эвристический анализ. Здесь IPS использует правила, которые описывают именно подозрительное поведение или последовательность действий. Эти правила пишут эксперты по безопасности на основе своего опыта. Например, если в сеть приходит большое количество запросов авторизации с одного устройства на разные аккаунты и с разными паролями — скорее всего, это попытка перебора, и система заблокирует это устройство. Или если с одного IP‑адреса приходит множество DNS‑запросов к разным доменам за короткое время это тоже выглядит подозрительно, и IPS заблокирует такие действия.
Подведу итог про IPS. Её обычно ставят в тех местах, где можно позволить себе ложное блокирование трафика, потому что ошибки у этой системы бывают.
А там, где критически важно, чтобы весь трафик доходил и не было случайных блокировок, ставят IDS — система обнаружения вторжений.
IDS делает всё то же самое. Она так же анализирует трафик, ищет сигнатуры, аномалии, применяет эвристику. Разница в одном, но ключевом моменте: IDS не пропускает трафик напрямую через себя. Она подключается к SPAN‑порту на коммутаторе — это порт, который получает копию всего трафика и уже там анализирует эту копию. Если находит что‑то подозрительное, то отправляет оповещение — ALERT специалисту по информационной безопасности для дальнейшего решения. Сама она ничего не блокирует.
DLP — Data Leak Prevention (система предотвращения утечек информации)
DLP блокирует попытки утечки данных. Неважно, украл сотрудник специально данные, случайно отправил не туда или вредонос начал красть данные, в общем без разницы кто и как пытается вытянуть данные, система мешает это сделать.
Теперь расскажу как это работает. В организации стоит движок DLP, через который проходит почти весь трафик. Этот движок обучен на шаблонах. В шаблонах прописано, как выглядят чувствительные данные: паспортные данные, номера кредиток, внутренние документы. Когда сотрудник пытается отправить или выгрузить файл, DLP сверяет содержимое с шаблонами. Если находит совпадение сразу блокирует передачу и шлет сигнал ИБ специалистам, но DLP умеет распознавать данные не только по шаблонам, давайте расскажу еще про несколько способов.
Первый — регулярные выражения. DLP знает, как выглядят номера паспортов, ИНН, СНИЛС. Если система обнаружила последовательность 2831 22 222 к примеру как серия номер паспорта сразу блокирует, но такой способ анализа можно обойти путем написания данных например не цифрами а буквами поэтому есть еще несколько способов защиты.
Второй — цифровые отпечатки. DLP берет эталонный секретный документ и вычисляет его уникальный отпечаток (хэш‑сумму). Дальше сканирует весь исходящий трафик и если находит документ с таким же отпечатком блокирует. Причем даже если сотрудник переименовал файл или поменял пару слов.
Третий — лингвистический анализ. DLP не ищет конкретные цифры, а понимает смысл. Обучаешь его, что слово «коммерческая тайна», это слово используется в файлах с чувствительной информацией и если что DLP находит такие слова при утечке и блокирует.
Четвертый — метки. Если в компании на секретных документах ставят грифы типа «ДСП» или «Коммерческая тайна», при обнаружении утечек с такими метками система тоже не дает выгрузить файл с данными.
Пятый — поведенческий. DLP смотрит на действия сотрудника. Если бухгалтер в час ночи копирует на флешку всю базу клиентов это подозрительно. DLP фиксирует аномалию и блокирует.
Еще важно понимать, что DLP контролирует не только трафик. Она следит за кучей мест, откуда может утечь информация например почта, веб (загрузка в облака и соцсети), мессенджеры, принтеры, USB‑флешки, буфер обмена, даже скриншоты.
Существует два типа DLP систем: программный и сетевой.
Программный DLP — ставится агент на каждый компьютер сотрудника. Агент видит всё, что делает пользователь какие файлы открыл, куда сохранил, что скопировал, что вставил. Он общается с сервером DLP и отправляет ему события. Плюс он видит флешки, принтеры, буфер обмена итд, в общем все что происходит на компьютере где стоит агент. Минус в том надо ставить на каждый ПК это чуть затрудняет работу, агент жрет ресурсы и может тормозить компьютер.
Сетевой DLP ставится на границе сети. Пропускает через себя весь исходящий трафик и анализирует его. Плюсы — не надо ставить агенты на каждый ПК, видит всех, кто выходит в сеть, даже с телефона. Минус в том что такой DLPне видит, что происходит на самом ПК, не видит зашифрованный трафик и может тормозить сеть.
Сейчас почти все нормальные DLP насколько я знаю гибридные. То есть это и агент на ПК, и сетевой сенсор, и контроль почты итд. Потому что по отдельности каждый вид слепой в своей области.
Что DLP делает при попытке утечки? Система не просто блокирует трафик, она может положить файл на карантин и отправить на проверку ИБ‑специалисту или может просто прислать уведомление, но ничего не блокировать, может записать всё в лог для разбора, может даже добавить водяной знак на документ. В общем рассказал все что сам знаю про DLP надеюсь для начала и базового понимания этого хватит.
SIEM
Теперь расскажу про SIEM систему. Это система сбора нормализации и агрегации информации со всех устройств сети. Она собирает все события которые создаются на устройствах в сети будь то пк, роутер, даже СЗИ которые у нас уже стоят, в общем со всего прям. Дальше система приводит это все в более читабельный формат разбивает на группы например события с DLP в одной папке события с роутера в другой и благодаря этому специалистам легче анализировать события в сети. Также SIEM можно настраивать правилами корреляции. Приведу самый примитивный пример который сам слушал на лекции. Сотрудник зашел в здание пикнул на турникете пропуском, через пять минут на его пк пришел лог успешной аутентификации — значит все нормально. А если пк включился а события что пользователь зашел в здание нет — это уже инцидент. Но не стоит исключать что он мог подключиться удаленно, это просто пример чтоб вы поняли что такое правила корреляции. Правила корреляции это когда SIEM связывает события из разных мест в одну цепочку, например сначала сканирование портов с одного IP, потом неудачная попытка входа, потом успешная и уже понятно что это атака. Еще важно знать как SIEM собирает логи обычно это происходит тремя способами: агенты ставятся на сервера и пк и сами шлют логи, syslog которым роутеры фаерволы и свитчи шлют логи, и SNMP для сбора информации о состоянии устройств. У SIEM есть удобный веб интерфейс чтоб мы анализировали события а не как раньше копались в конфигах с логами и ломали глаза. Вроде рассказал все что сам знаю про SIEM, работал с этой штукой очень интересно было.
Sandbox
В финале у нас осталась такая СЗИ как песочница или Sandbox. Это как правило закрытая среда изолированная от локальной сети, обычно в отдельном влане, чтоб она никак не касалась нашей основной сети. В нее мы помещаем например подозрительный файл на проверку и песочница начинает его запускать у себя в среде и полностью смотреть и записывать события от начала запуска файла до того какие процессы он запустил что сделал итд. Песочница эмулирует реальную операционную систему — винду, линукс. Она обманывает вредоносный файл заставляя его думать что он работает на настоящем пк пользователя, а сама в это время записывает каждое его действие например какие файлы создал, какие изменения в реестре сделал, какие сетевые запросы отправил, пытался ли выгрузить данные наружу. Результатом работы песочницы обычно выдается подробный отчет: опасный файл или нет, чем именно он занимался, какие команды выполнял, на какие ip адреса пытался стучаться.
Главный плюс песочницы — она находит zero day атаки, то есть те которые еще не попали в антивирусные базы. Антивирус не знает сигнатуру, а песочница смотрит на поведение. Если файл ведет себя как заразный — значит он опасный даже если раньше его никто не видел.
Чаще всего песочницу не покупают как отдельное устройство. Она уже встроена в современные NGFW о которых я рассказывал. Межсетевой экран нового поколения пропускает трафик через себя, находит подозрительный файл, отправляет копию в песочницу на анализ, ждет вердикт, и только потом решает пускать файл пользователю или блокировать, но такое решение может замедлить работу пользователей в сети и поэтому существуют еще и облачные песочники, там файл уходит на анализ где сотни песочниц крутятся на мощных серверах и быстро проверяют и выдают результаты проверок.
В общем и целом рассказал все что знал про данные СЗИ, пытался рассказать все своими словами и для начинающих специалистов которым нужно понять от чего отталкиваться в изучении, надеюсь, будет полезно, если где‑то что‑то упустил не судите строго.
