апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2015 / Выпуск №10 (53) / Безопасность-2015

Рубрика: Безопасность

Андрей Бирюков, системный архитектор

Безопасность-2015

Что появилось нового на российском рынке информационной безопасности в этом году?

Очень многие организации, причем не только государственные, взяли в этом году курс на импортозамещение. И хотя российскому рынку всегда было что предложить в качестве отечественных альтернатив импортным решениям ИБ, тем не менее стали выявляться определенные трудности в различных направлениях.

Примерами таких трудностей можно назвать невысокую относительно западных аналогов производительность сетевого оборудования, и в особенности средств криптографической защиты трафика. В предыдущие годы эта проблема не стояла так остро из-за медленного увеличения пропускной способности каналов связи. Однако сейчас многие компании арендуют десятигигабитные каналы связи, и для их защиты требуется соответствующее высокопроизводительное оборудование. Так что многие проблемы с импортозамещением, обозначившиеся в 2014 году, оставались актуальными и в 2015-м.

Быстрые криптокоммутаторы

Однако произошли и положительные подвижки на рынке информационной безопасности в области замены импортных аналогов отечественными продуктами.

Так, в части создания средств криптозащиты компания «Код Безопасности» представила свое новое решение – криптографический коммутатор «Континент» 3.7. Это устройство предназначено для криптозащищенной связи L2VPN территориально распределенных локальных сетей. Данный коммутатор может обеспечить пропускную способность до 3 Гбит/с [1].

Но если это решение от «Кода Безопасности» является логичным продолжением уже имеющихся криптографических решений, то те продукты, о которых речь пойдет далее, являются абсолютно новыми на российском рынке ИБ.

MaxРatrol SIEM

Прежде всего хотелось бы отметить решения компании Positive Technologies [1]. Например, решение по управлению уязвимостями (SIEM).

Из-за активного роста информационной инфраструктуры государственных организаций и частных компаний, а также развития технологии скрытых атак существенно повысились требования к мониторингу событий информационной безопасности.

Сейчас в корпоративной сети даже средних компаний имеется множество различных устройств и средств защиты, регистрирующих и предотвращающих различные инциденты ИБ. Однако злоумышленники используют достаточно сложные механизмы атак, вследствие чего специалистам по безопасности для обнаружения и предотвращения вредоносных активностей необходимо получать информацию из всех этих источников и обрабатывать ее в автоматическом режиме.

Решение данной проблемы призваны обеспечить системы класса SIEM (Security Information and Event Management), функционал которых предполагает не только сбор данных от различных устройств и приложений, но и автоматическое выявление инцидентов. Однако на практике эффективность большинства SIEM остается низкой из-за следующих факторов [2]:

• Слабое покрытие источников данных, разрозненность и низкое качество передаваемых в SIEM данных;
• Отсутствие у разработчика SIEM представлений о значимых признаках атак и, как следствие, неэффективные правила корреляции;
• Концентрация только на событиях безопасности и отсутствие возможности комплексной стратегической оценки ситуации.

В этом году Positive Technologies выпустила свое решение MaxPatrol SIEM. Как можно понять из названия, данный продукт построен на базе компонентов сканера уязвимостей MaxPatrol, являющегося широко известным решением мирового уровня.

Использование компонентов MaxPatrol позволило разработать не просто систему мониторинга событий ИБ, но и совместить его функционал со средствами сканирования уязвимостей. В результате чего стало возможным не только обнаруживать инциденты, но и своевременно реагировать на них. К примеру, можно находить в сети машины, на которых не установлены критические обновления безопасности, и создавать соответствующие инциденты в SIEM-системе.

При этом в системе используются все элементы, входящие в состав классических SIEM-решений. Например, использование как агентского, так и безагентского способов сбора событий с источников. Также процессы нормализации и агрегация, то есть обработка исходных событий, могут выполняться на удаленных агентах системы, уменьшая нагрузку на каналы. Автоматическая генерация инцидентов по результатам выявления критически значимых событий значительно повышает эффективность работы оператора системы.

Для сбора событий используется весь спектр транспортов удаленного сбора: SysLog, NetFlow, SNMP, WMI, RPC, SSH, Telnet, MSSQL и т.д. Все модули MaxPatrol SIEM разрабатываются в рамках единой экосистемы, что дает возможность для перекрестного обмена информацией: событие журнала может дополнить информацию об активе или даже создать новый актив, а изменение конфигурации актива может породить событие в системе.

Отдельно стоит отметить дополнительные плюсы для специалистов, такие как гибкий конструктор отчетности. Используя механизмы, заложенные в MaxPatrol SIEM, можно получить отчет любой сложности, наглядно представляющий данные и отвечающий требованиям руководства. Уникальный набор практических метрик позволяет оценить реальное состояние безопасности.

Также решение сохраняет только ту информацию, которая важна для анализа безопасности, и записывает ее в специальном структурированном виде, что позволяет существенно сократить объемы хранимых данных и сделать работу с ними намного эффективнее.

Рассказывая о MaxPatrol SIEM, хотелось бы отметить, что это единая платформа, которая позволяет объединить в себе большое количество различных средств безопасности, уменьшая затраты на поддержку продуктов различных вендоров и снимая проблемы интеграции между ними.

С учетом того, что Positive Technologies планирует в ближайшее время получить сертификаты российских регуляторов на данное решение, я полагаю, что у MaxPatrol SIEM большое будущее как в государственных, так и в частных компаниях.

Однако, помимо SIEM-решения, у компании есть также два интересных продукта, получивших в этом году свое дальнейшее развитие. Это PT Application Inspector и PT Application Firewall. Начнем с межсетевого экрана Application Firewall.

Анализируем уровень приложений

Как показывает практика, основной мишенью киберпреступников сегодня являются прикладные сервисы, ставшие неотъемлемой частью ИТ-систем крупного и среднего бизнеса. Все активнее используются веб-технологии: интернет-банкинг, мобильные сервисы для клиентов, портальные ERP-решения для взаимодействия с поставщиками, онлайновые сервисы операторов связи, удаленные терминалы АСУ ТП. Однако они не только повышают эффективность бизнес-процессов, но и дают новые возможности злоумышленникам. Хакеры успешно обходят классические сигнатурные методы защиты, используя уязвимости нулевого дня. Исправление обнаруженных ошибок и уязвимостей в бизнес-приложениях и установка обновлений в системах ERP, АСУ ТП, ДБО могут занимать месяцы, а иногда и более года, и все это время уязвимость остается незакрытой.

Межсетевой экран уровня приложений PT Application Firewall способен устранять угрозы без обновления ПО защищаемого приложения. Механизм виртуальных патчей блокирует атаки через известные уязвимости до того, как будет исправлен небезопасный код. Вместе с системой анализа исходного кода PT AI данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей. При этом вместо применения классического сигнатурного метода PT AF анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы. В сочетании с другими защитными механизмами это позволяет блокировать 80% атак нулевого дня «из коробки» без специальной настройки и адаптации под защищаемую прикладную систему.

В качестве одного из самых значимых примеров можно привести внедрение PT Application Firewall для обеспечения бесперебойности трансляций самого знакового для России события прошлого года – Олимпийских игр «Сочи-2014». Несмотря на огромное количество попыток атаковать ресурсы ВГТРК, трансляцию удалось обеспечить на высочайшем уровне.

Инспектируем код

Как известно, с ростом количества программ растет и количество уязвимостей. При этом большинство из них можно выявить задолго до атаки, а исследование исходного кода приложений позволяет обнаружить в десять раз больше критических уязвимостей, чем тестирование систем без анализа кодов.

Существует два метода анализа приложений: статический и динамический.

Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.

Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.

Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30% кода.

Решение Application Inspector использует для проверки оба метода, что позволяет анализировать код на самых ранних стадиях разработки. Команды контроля качества оповещаются о небезопасном коде до того, как его начнут эксплуатировать, что снижает риски атак и стоимость проверки соответствия стандартам безопасности.

Application Inspector работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE. При этом в состав продукта входит функция генерации эксплойтов, которая демонстрирует риски уязвимостей на практических примерах, позволяя ставить четкие задачи для исправления кода.

Системы PT Application Firewall и PT Application Inspector эффективно взаимодействуют друг с другом и могут использоваться на оборудовании различных производителей. Например, по заявлениям разработчиков, межсетевой экран PT AF полностью совместим с платформой Cisco Unified Computing System Express.

При совместном использовании систем межсетевой экран PT AF может получать информацию о наличии уязвимостей в приложении непосредственно из системы анализа исходного кода и выявления уязвимостей Application Inspector.

Оба продукта являются достаточно интересными, динамично развивающимися решениями. При этом их вполне можно назвать реальными примерами импортозамещения, так как они способны составить конкуренцию импортным аналогам.

Infowatch Mobile Traffic Monitor

Еще один российский разработчик, показавший в этом году свое интересное решение, – группа компаний InfoWatch. Компания широко известна своим решением по предотвращению утечек информации (DLP) – Infowatch Traffic Monitor. Эта система производит контроль практически всех каналов утечки информации с компьютера – от электронной почты и веб до портов ввода-вывода и печати. Однако осенью этого года InfoWatch представила свой новый продукт Mobile Traffic Monitor, предназначенный для контроля GSM-каналов связи.

Решение представляет собой аппаратный модуль, который маскируется под базовую станцию оператора сотовой связи. За счет этого мобильные устройства в зоне действия комплекса автоматически переключатся на работу с ним. Важным преимуществом перед аналогичными решениями является то, что работа с Mobile Traffic Monitor не требует лицензий, связанных с оборотом специальных технических средств (СТС). Добиться этого разработчикам удалось за счет агрегации перехватываемой информации. То есть оператор данного устройства не получает доступа к исходным записям разговоров. Вместо этого система сама обрабатывает собранные голосовые данные, преобразовывая их в текстовый вид. Затем данный текст передается ядру DLP-системы для последующей проверки на наличие конфиденциальной информации.

Конечно, на рынке уже есть множество аналогичных средств, но все они являются спецсредствами и требуют соответствующего лицензирования. Кроме того, интеграция с мощным функционалом DLP позволяет автоматизировать перехват информации.

Infowatch Appercut

Помимо средства для мониторинга GSM, InfoWatch выпустила еще один интересный продукт, частично перекликающийся по функционалу с уже упомянутым в статье решением Application Inspector от Positive Technologies.

InfoWatch Appercut – это система автоматизированного контроля исходного кода бизнес-приложений на соответствие требованиям регуляторов, рекомендациям производителей языков программирования и платформ, наличию уязвимостей, документированию кода, соглашениям об именовании переменных, переносимости кода и специфическим для конкретных бизнес-процессов требованиям. Как видно, функционал этого решения несколько отличается от продукта, предлагаемого Positive Technologies.

По заявлениям разработчиков, InfoWatch Appercut создан для заказчиков программного обеспечения, его использование не требует специальных знаний в области программирования или аудита кода. Код приложения сканируется на соответствие требованиям, автоматически создается описание различий, а также выдаются рекомендации для их устранения.

Система анализирует исходный код бизнес-приложений, созданный на следующих, наиболее распространенных языках программирования: 1C, ABAP/4, Java, JavaScript, PeopleScript, PL/ SQL, T-SQL, С, С++, C#, ASP, Delphi, Python, Visual Basic, Lotus Script, PHP, Ruby, X++, Perl и т.д. При этом объектом исследования может быть как произвольный фрагмент кода: отдельный модуль, обновление – вплоть до одной строки, так и бизнес-приложение целиком.

В своей статье описаны наиболее значимые, на мой взгляд, новинки российского рынка информационной безопасности. Конечно, этих решений пока не так много, но будем надеяться, что в следующем году мы увидим больше новых разработок от российских компаний. 

1. Описание криптокоммутатора «Континент» – http://www.securitycode.ru/products/kriptograficheskiy-kommutator-kontinent/abilities.
2. Описание MaxPatrol SIEM – http://www.ptsecurity.ru/download/MaxPatrol_SIEM.PDF.
3. Статья, посвященная Application Firewall – http://www.ptsecurity.ru/appsecurity/application-firewall.
4. Материалы по Application Inspector – http://www.ptsecurity.ru/appsecurity/application-inspector.
5. Материалы по Infowatch Appercut – http://www.infowatch.ru/sites/default/files/products/appercut/
   Appercut_Company_Brochure_Rus.pdf

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи