close

Вход

Забыли?

вход по аккаунту

?

InfoSecur 2 2016

код для вставки
Cover_END 4/22/16 4:17 PM Page Cov1
www.itsec.ru
№ 2, май 2016
Издание компании
Спецраздел
XIII Международная выставка
IoT & IS
20–22 сентября 2016
Спецпроект
Безопасность
виртуальной
среды
ЭффеКтивная защита
ит-инфраструКтуры
иБ КаК Бизнес-процесс
анатомия
тарГетированной атаКи
можно Ли Доверять
интернету вещей?
Стандарты
на Страже кибермира
Леонид Левин,
председатель Комитета Государственной Думы
по информационной политике,
информационным технологиям и связи
InfoSec_2016 4/22/16 4:19 PM Page cov2
ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ
InfoSecurity Russia
.
.
20–22
6015 профессиональных посетителей
2016
4155 участников деловой программы
более 15 000 предварительно назначенных встреч
более 300 продуктов и решений, представленных в экспозиции
163 мероприятия на стендах экспонентов и в конференц-залах
146 спикеров из числа ведущих мировых и российских
экспертов, выступающих в четырех параллельных
конференционных потоках.
Выставка обеспечивает максимальную полезность
визита для заказчика и наивысший в России ROI
для экспонента
Прием заявок на участие открыт:
www.infosecurityrussia.ru
Preview 4/22/16 4:17 PM Page 1
PREVIEW
Спецпроектами данного номера журнала стали две темы – "Безопасность виртуальной
среды" и "Интернет вещей".
Виртуализацией сейчас никого не удивишь. Она плотно вошла как в повседневную
жизнь, так и в бизнес. Глядя сегодня на средства и технологии виртуализации, мы
можем увидеть там все, начиная от операционных систем и заканчивая средствами создания сетевой инфраструктуры. И, конечно, разнообразные средства обеспечения безопасности, как сетевого, так и прикладного уровня. Их использование для оказания сервисов безопасности сторонним организациям, а также уровень доверия к ним, по сравнению с отдельными программно-аппаратными комплексами, является одной из наиболее
динамично развивающихся областей. Вырос и рынок средств защиты для этой технологии:
все больше производителей предлагают свои решения, адаптированные под виртуальные
среды.
А вот вторая тема – Интернет вещей – еще только набирает популярность, однако,
согласно оценкам J’son & Partners Consulting, пока не слишком активно. Массовое
развитие IoT-сервисы получат в таких областях, как коммунальное хозяйство, транспорт,
ритейл, финансовые услуги и промышленность. Несмотря на прогнозируемый к 2018 г.
рост в 32 млн подключенных устройств, из-за более высоких темпов роста мирового
рынка IoT доля России в общемировом количестве подключенных устройств снизится до
0,1%. При оптимистичном прогнозе – достигнет 1%.
В популярности и распространении Интернета вещей многое зависит от бизнеса: пойдет
ли он в кризисный период на дополнительные инвестиции в IoT-решения и трансформацию
бизнеса? Не будет ли проще инвестировать в традиционные и знакомые ИТ-решения?
Сегодня сказать трудно.
Немаловажным вопросом остается защита конфиденциальных данных. Мало кто сегодня
готов довериться "машине" и полностью исключить человеческий фактор. Это и неудивительно, ведь использование беспроводной технологии для связи между отдельными
устройствами способно открыть злоумышленникам поистине бесконечные перспективы:
потенциально любой человек может получить доступ к устройствам – и тогда они из
ваших помощников превращаются во вредителей, хранящих при этом массу информации
о своем владельце. А если IoT все же внедрен на производстве, то может пострадать уже
не один человек, а несколько сотен.
Да, сейчас по Интернету вещей больше вопросов, чем ответов. Но на наиболее острые
их них постарались ответить эксперты в круглом столе "Можно ли доверять Интернету
вещей?" (стр. 24).
Свои вопросы по новой для России технологии IoT вы сможете задать экспертам, а
также обсудить насущные темы по безопасности виртуальной среды и ознакомиться с
новинками на XIII Международной выставке InfoSecurity Russia 2016. Ждем вас в "Крокус
Экспо" 20–22 сентября.
www.itsec.ru
Екатерина
Данилина,
выпускающий
редактор журнала
“Информационная
безопасность/
Information
Security"
До встречи на страницах журнала "Информационная безопасность/Information Security"!
XIII Международная выставка InfoSecurity Russia'2016
27–29 сентября
Москва
www.infosecurityrussia.ru
Бронируйте участие
в InfoSecurity
Russia'2016
на лучших условиях
• 1
Contents 4/26/16 11:57 AM Page 2
СОДЕРЖАНИЕ
В ФОКУСЕ
ПЕРСОНЫ
Леонид Левин
Российская ИТ-индустрия способна решить задачу
любого масштаба . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
стр.
4
СПЕЦПРОЕКТ Безопасность виртуальной среды
Михаил Кадер
Развитие виртуализации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Светлана Конявская, Дмитрий Угаров, Дмитрий Постоев
Инструмент контроля доступа
к средствам управления виртуальной инфраструктурой . . . . . . . .9
Виртуализация в помощь бизнесу . . . . . . . . . . . . . . . . . . . . . . . . . . .10
стр.
Обзор гипервизоров . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
42
Алексей Андрияшин
Информационная безопасность как бизнес-процесс . . . . . . . . . . .14
Юрий Черкас
Востребованные решения по защите ИТ-инфраструктуры . . . . . .16
Обзор межсетевых экранов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
СПЕЦРАЗДЕЛ Internet of Things & Information
Security
стр.
47
Можно ли доверять Интернету вещей? . . . . . . . . . . . . . . . . . . . . . . .24
Марина Колганова
Безопасность M2M-коммуникаций . . . . . . . . . . . . . . . . . . . . . . . . . . .31
ПРАВО И НОРМАТИВЫ
Павел Манык
Правовые основы безопасности виртуальной среды . . . . . . . . . . .32
ТЕХНОЛОГИИ
стр.
Владимир Кремер
Защитить данные компании: 100 и 1 проблема . . . . . . . . . . . . . . . .34
2 •
50
Contents 4/25/16 1:38 PM Page 3
СОДЕРЖАНИЕ
Андрей Масалович
Строим систему противодействия угрозам
из киберпространства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Вениамин Левцов, Николай Демидов
Анатомия таргетированной атаки . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Виктор Достов, Павел Шуст
Платежная индустрия: куда двигаться дальше? . . . . . . . . . . . . . . .40
Алексей Плешков
Баллада о дропах, или Эволюция от торпеды
Журнал "Information
Security/Информационная
безопасность" № 2, 2016
Издание зарегистрировано
в Минпечати России
Свидетельство о регистрации
ПИ № 77-17607 от 9 марта 2004 г.
Учредитель и издатель
компания "Гротек"
Генеральный директор ООО "Гротек"
Андрей Мирошкин
Издатель
Владимир Вараксин
Руководитель проекта
Наталья Рохмистрова,
rohmistrova@groteck.ru
Выпускающий редактор
Екатерина Данилина, danilina@groteck.ru
Корректор
Ольга Михайлова
до дроповода за 6 лет. Часть 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Дизайнеры-верстальщики
Анастасия Иванова, Ольга Пирадова
ЗАЩИТА СЕТЕЙ
Александр Леонов
Сканеры уязвимостей.
Взгляд со стороны вендора и со стороны пользователя . . . . . . .47
Конфиденциальные данные – под надежный контроль!
Использование современной DLP-системы
для предотвращения утечек информации . . . . . . . . . . . . . . . . . . . .49
Группа управления заказами
Татьяна Мягкова
Юрисконсульт
Кирилл Сухов, lawyer@groteck.ru
Департамент продажи рекламы
Наталья Рохмистрова
Рекламная служба
Тел.: (495) 647-0442,
rohmistrova@groteck.ru
Отпечатано в типографии
Линтекст
Тираж 10 000. Цена свободная
Оформление подписки
Тел.: (495) 647-0442, www.itsec.ru
КОНТРОЛЬ ДОСТУПА
Анатолий Скородумов
Безопасный доступ к информационным ресурсам компании . . .50
Светлана Конявская
Интегрированные системы комплексной защиты
периметра предприятия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ
Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Департамент по распространению
Тел.: (495) 647-0442,
факс: (495) 221-0864
Для почты 123007, Москва, а/я 82
E-mail groteck@groteck.ru
Web www.groteck.ru, www.itsec.ru
Перепечатка допускается только по
согласованию с редакцией
и со ссылкой на издание
За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет
Мнения авторов не всегда отражают
точку зрения редакции
© "Гротек", 2016
• 3
levin 4/22/16 4:19 PM Page 4
В ФОКУСЕ
Российская ИТ-индустрия способна
решить задачу любого масштаба
Леонид Левин, председатель Комитета Государственной Думы
по информационной политике, информационным технологиям и связи
– Леонид Леонидович,
расскажите,
пожалуйста, о
структуре и работе
Комитета Государственной Думы
по информационной
политике, информационным технологиям и связи.
– Комитет Государственной Думы по информационной политике,
информационным технологиям и связи воссоздан в сентябре 2012 года
для осуществления законодательного регулирования в
сфере информационных технологий и массовых коммуникаций. Он призван заниматься
совершенствованием законодательства в отраслях связи и
масс-медиа, включая информационно-коммуникационные
сети. В настоящее время в
Ключевая задача государства в сфере повышения
медиаграмотности – создание инфраструктуры доступа в сеть, а также обеспечение законодательной
базы.
Комитете состоят 13 депутатов,
аппарат Комитета включает
шесть штатных сотрудников.
Важную роль в работе Комитета
играет и Экспертный совет из
более чем девяноста представителей отрасли и профильных
органов власти, который значительно облегчает нашу работу
по рассмотрению поступающих
инициатив.
Главные цели
Комитета ГД по
информационной
политике, информационным технологиям и связи
в этом году по
вопросам ИБ: усиление поддерживающей, а не
охранительнозапретительной
тенденции в портфеле подаваемых
депутатами инициатив.
4 •
– Какие главные цели
стоят перед Комитетом в
этом году? Каких законодательных
инициатив
стоит ожидать?
– По итогам работы медиафорума ОНФ мы на прошлой
неделе внесли законопроект,
устанавливающий место одного регионального канала сразу
за каналами мультиплексов в
региональной сетке вещания.
Что касается вопросов информационной безопасности, то в
целом мы рассчитываем на
усиление поддерживающей, а
не охранительно-запретительной тенденции в портфеле
подаваемых депутатами инициатив. В то же время, учитывая, что в этом году предстоят
выборы, нельзя исключать
появление и популистских проектов, в том числе и запретительного толка.
– Каких основных принципов придерживаются
законодатели в работе по
обеспечению информационной безопасности и в
отношении развития
Интернета?
– Если говорить о возглавляемом мной Комитете, то считаю,
что наш основной принцип –
государство должно вмешиваться только там, где отрасль не
может решить вопрос самостоятельно, путем саморегулирования.
– Бизнес, каких бы размеров он ни был, подвержен кибератакам, что влечет за собой как коммерческий, так и репутационный ущерб. А в случае с
критически важными объектами – последствия
могут быть катастрофическими. В одном из своих
выступлений в 2015 году
вы говорили о необходимости поддержки бизнеса
в части защиты от киберугроз. В чем должна
заключаться данная поддержка? Реализуются ли
уже государством какието инициативы по данному
вопросу?
– Реализуемый правительством закон "О реестре отечественного программного обеспечения", а также другие преференции и меры поддержки в
рамках поручений президента
по итогам форума "Интернет +
Экономика 2015" заложили
основы такой поддержки. Дальнейшие меры мы рассчитываем
получить в рамках дорожных
карт, которые будут утверждены
на форуме "Интернет + Экономика 2016".
– Что, на ваш взгляд,
может сдержать распространение киберугроз?
– Как и во всем мире, это
должны быть стандарты информационной безопасности в виде
публичных рекомендаций, разработанные при активном участии всех заинтересованных
сторон, при использовании
таких площадок, как Институт
развития Интернета (ИРИ).
Соответственно, следование
таким стандартам должно быть
"правилом хорошего тона" и
неформальным условием присутствия на рынке. В настоящее
время можно говорить о том,
что могут возникать ситуации
разработки стандартов без
обсуждения или согласования
с достаточно широким кругом
квалифицированных экспертовпрактиков, притом что выполнение стандартов в дальнейшем
предполагается как носящее
строго обязательный характер.
Это в ряде случаев может приводить к их практической невыполнимости и фактическому
игнорированию существования
угроз.
– Изменился ли характер
угроз в связи с курсом
импортозамещения?
– Естественно, в будущем
угрозы под влиянием политики
импортозамещения
будут
меняться – сократятся возможности проникновения за счет
использования западного программного обеспечения. Например, по оценкам экспертов,
через центр обновления Windows, который уязвим хотя бы
в силу своей практически
тотальной распространенности,
теоретически можно нарушить
работу критической инфраструктуры, имеющую соприкосновение с делопроизводством,
осуществляемым на основе
этой системы. В кругах специалистов по информационной безопасности широко обсуждалась
история, когда представители
западного поставщика целенаправленно выводили из строя
некую систему одной из круп-
dialog_r 4/22/16 4:19 PM Page 5
levin 4/22/16 4:19 PM Page 6
В ФОКУСЕ
ных инфраструктурных компаний, а потом брали оплату за
ремонт. Такие истории должны
будут сойти на нет, хотя бы в
силу того, что отечественные
компании намного больше
дорожат долей отечественного
рынка как в силу ее значительВ будущем угрозы под влиянием политики импортозамещения будут меняться – сократятся возможности
проникновения за счет использования западного программного обеспечения.
ного размера в их портфеле
заказов, так и в силу важности
присутствия на отечественном
рынке для международной репутации.
Главным сдерживающим фактором распространения киберугроз
в России, как и
во всем мире,
должны быть
стандарты
информационной
безопасности в
виде публичных
рекомендаций,
разработанные
при активном участии всех заинтересованных сторон, при использовании таких
площадок, как
Институт развития Интернета
(ИРИ). Соответственно, следование таким стандартам должно
быть "правилом
хорошего тона" и
неформальным
условием присутствия на рынке.
6 •
– Как, на ваш взгляд,
готов ли рынок информационной
безопасности
отказаться от импортных
товаров? В каких сегментах рынка ИБ переход на
отечественные продукты
еще невозможно осуществить?
– Российская ИТ-индустрия
способна решить задачу любого
масштаба. Но, говоря о работающей системе, готовой к
функционированию на долгосрочной основе, не во всех компонентах мы еще можем оперативно решать современные
задачи.
В то же время на нашем
рынке отсутствует сопоставимое с иностранными предложение со стороны отечественных систем комплексного мониторинга информационной безопасности. Также, насколько
можно об этом судить, по некоторым высказываниям специалистов по ИБ, следует серьезно
рассматривать угрозу закладок
на уровне программного обеспечения.
– Какие меры могли бы
помочь рынку в этом
вопросе?
– Исходя из мирового опыта,
это должна быть комбинация
усиления контроля и наращивания вложения ресурсов в процессы сертификации аппаратных и программных комплексов.
Традиционно у нас эти вопросы
решаются на уровне ведомственных актов, но если ситуация дойдет до критического
состояния, как это было с
импортозамещением в сфере
госзакупок программного обеспечения, мы будем вынуждены
вмешаться и принять соответствующие законы.
– Кроме Комитета ГД по
информационной политике, информационным технологиям и связи вы
также возглавляете
Региональную общественную организацию "Центр
Интернет-технологий"
(РОЦИТ), одной из задач
которой является повышение медиаграмотности.
Сотрудничает ли РОЦИТ
для реализации данной
инициативы с другими
общественными организациями или учебными заведениями?
– РОЦИТ сотрудничает с различными общественными организациями, коммерческими, а
также учебными заведениями.
В своей работе мы предпочитаем использовать термин "цифровая грамотность", потому что
термин
"медиаграмотность"
исторически в большей степени
акцентирует способности критически оценивать информацию
СМИ. Стержневым проектом
РОЦИТ по цифровой грамотности является "Индекс цифровой
грамотности Рунета" позволяющий посубъектно оценить уровень цифровой грамотности в
Российской Федерации. Опубликованный индекс вызвал
живую реакцию в регионах.
Некоторые согласились с нашими оценками, некоторые посчитали их спорными. Но главное,
что это привело к позитивным
шагам в практике региональных
властей по решению поднятых
проблем.
Для реализации проекта
"Индекс цифровой грамотности"
мы привлекли ВЦИОМ как
ключевую организацию, занимающуюся исследованиями в
России.
В вопросах исследования и
совершенствования цифровой
грамотности РОЦИТ по различным аспектам сотрудничает с
Фондом развития Интернета,
Фондом "Разумный Интернет",
РАЭК, ИРИ, АКИТ и рядом других общественных организаций,
а также с ВШЭ, МГУ, МТУСИ и
другими вузами.
– Какие программы по
повышению медиаграмотности уже реализованы
центром?
– В конце 2015 года был
завершен первый этап проекта
"Индекс цифровой грамотности", а уже в 2016 году разработаны методические материалы по внедрению программ и
повышению уровня грамотности.
13 апреля было подписано
соглашение с Республикой
Дагестан по повышению цифровой грамотности в регионе.
РОЦИТ ведет активную работу
в масштабном проекте города
Москвы "Школа новых технологий" по повышению цифровой
грамотности школьников.
В 2016 году при проведении
региональных мероприятий в
различных субъектах федерации и в первую очередь в Республике Крым (где индекс цифровой грамотности составил
1,34) также будут использоваться методики РОЦИТ. В работе
уже сейчас несколько проектов,
но публично презентовать их
еще рано.
– Какие меры в сфере
повышения медиаграмотности планируются государством к реализации в
ближайшие
несколько
лет?
– Что касается государства,
то здесь ключевая задача – это
создание
инфраструктуры
доступа в сеть, а также обеспечение законодательной базы.
Как мы видим, сегодня законодательная и исполнительная
власти активно работают над
созданием беспрепятственного
доступа в сеть. Текущая политика регулирования и вложений
в инфраструктуру обеспечивает
у нас один из самых дешевых
(если не самый дешевый) для
пользователя широкополосный
доступ в Европе. Думаю, что
следующим логическим шагом
станет бесплатный или условно
бесплатный доступ ко всем
социально значимым сервисам.
В настоящее время РОЦИТ принимает активное участие в разработке различных образовательных аспектов в рамках
выполнения поручений президента по итогам форума "Интернет + Экономика 2015", дальнейшая работа по этому направлению, в том числе проведение
специализированного форума
общественности и профильных
органов государственной власти
в этом году, должно привести к
реализации комплекса мер, в
результате которых мы придем
к ускоренному стабильному
росту цифровой грамотности в
нашей стране. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
fortinet 4/22/16 4:19 PM Page 7
kader 4/25/16 1:38 PM Page 8
СПЕЦПРОЕКТ
Развитие виртуализации
Михаил Кадер, заслуженный системный инженер, Cisco
Лично мне виртуализация очень помогает в работе. Надо организовать
какое-либо тестирование
продуктов и решений – вот
вам, пожалуйста, виртуальные устройства. И нет никаких проблем с предоставлением дорогостоящего оборудования, актами передачи и
тому подобной бухгалтерии.
Виртуализация активно
проникает и внутрь самих
устройств – и сетевых,
и устройств безопасности.
Если раньше, на заре развития, компании писали монолитный код, потом перешли
на модульное ПО, то теперь
ситуация выглядит гораздо
интереснее. Непосредственно внутри устройств живет
гипервизор, на котором
запускаются нужные сервисы самой компании – производителя данного оборудования, а также, если это
поддерживается, то и сервисы сторонних компаний.
8 •
Итак, в очередной раз
пришло время замолвить несколько слов
о
виртуализации.
Вообще каждый раз
я воспринимаю информацию о новых технологических трендах с
некоторым скепсисом.
И пытаюсь понять – это
опять попытка продать
что-то уже существующее под новым соусом
или действительно технологический прорыв.
Обычно время легко
отвечает на этот вопрос.
Так же произошло и с виртуализацией. Из состояния
"давайте поговорим о виртуализации, облаках и т.п." это
дошло до состояния, когда виртуализация является неотъемлемой частью нашей ИT-жизни.
Многие, особенно крупные, компании уже несколько лет рассматривают виртуализацию в
качестве основной стратегии
развития ИT и строят на ней
инфраструктуру для приложений и сервисов.
Операторы связи и услуг не
остаются в стороне, с одной
стороны, они активно предлагают широкий спектр облачных
услуг, включая инфраструктуру, платформы и сами приложения. Именно виртуализация
разрешила спор о том, как
лучше операторам оказывать
управляемые услуги безопасности. Раньше между собой
боролось два подхода: или
ставить управляемое устройство на территории клиента,
или тащить от него канал к
устройству безопасности, стоящему на территории оператора
услуг и в лучшем случае разделяемому между несколькими клиентами. Сейчас же
ситуация гораздо проще – оператор дает клиенту канал к
своему облачному ЦОДу и
запускает там те сервисы безопасности, да и не только безопасности, которые нужны
именно этому клиенту.
Поэтому типичный вопрос
сейчас от операторов связи и
услуг
к
производителям
средств безопасности уже не о
возможности разделения железа на несколько виртуальных
коробок, а о том, какие виртуализированные сервисы безопасности могут быть предоставлены.
Куда же двигается
развитие виртуализации
сегодня?
Я бы хотел отметить несколько аспектов. Конечно, активно
развиваются и сами гипервизоры. Это неизбежный процесс,
учитывая то, что они являются
платформой функционирования
ИT-инфраструктуры современного предприятия. Современные гипервизоры позволяют
эффективно
управлять
и
использовать
аппаратные
ресурсы, и поддерживают широкий набор функций по интеграции сетевых функций – коммутации, сегментации, управления
качеством обслуживания. Могут
быть и встроенные функции
безопасности, включая защиту
и на канальном уровне, и на
сетевом уровне, вплоть до базовых функций межсетевого экранирования.
Также много внимания уделяется управляемости, стабильности, доступности и надежности функционирования инфраструктуры виртуализации. Для
этого существует и широкий
набор продуктов для создания
шаблонов и образов виртуальных машин, их клонирования,
резервного копирования, кластеризации и т.п. Очень важным
вопросом для операторов связи
и услуг является наличие
эффективных
механизмов
управления сервисными цепочками услуг для конкретных клиентов. Этот вопрос распадается
на несколько. Первым его куском является наличие системы
удобного выстраивания цепочки
сетевых сервисов и сервисов
безопасности под потребности
конкретных клиентов.
Второй кусок – это возможность создать портал самообслуживания для клиентов,
который будет позволять им
самим оперативно выбирать
именно нужные услуги и сервисы на необходимый промежуток
времени. И третий – это интеграция системы лицензирования
продуктов непосредственно с
системой предоставления услуг.
Т.е. дать возможность и заказчику платить только за время
реального использования услуги, и оператору связи и услуг
оплачивать производителю виртуализированных функций безопасности только их реальное
предоставление клиентам.
Что же мы будем
наблюдать в течение
ближайших лет?
Можно выделить несколько
моментов. Активное развитие
виртуализированных продуктов
и сервисов. Разделение рынка
гипервизоров минимум на три.
Первый – это гипервизоры с
большим количеством сервисных функций, реализованных
непосредственно производителем гипервизора. Это и функции управления корпоративного
уровня, и сетевые функции, и
функции безопасности. Количество и качество этих функций
будет непрерывно развиваться.
Пользователями данного класса
гипервизоров являются и будут
в дальнейшем крупные предприятия и корпорации. Второй
тип гипервизоров – доступные
в виде открытого ПО. Их активными потребителями будут операторы связи и услуг, а также
разработчики современных программно-аппаратных комплексов. А вот третий класс – немного скрыт от нас и очень интересен. Это компактные специализированные гипервизоры, предназначенные для встраивания
в специализированное оборудование. Именно эти гипервизоры и будут применяться в
широчайшем классе оборудования и устройств для рынка
Интернета вещей, включая и
рынок автоматизации технологических процессов и производства, и рынок устройств домашнего применения.
Таким образом, уже сейчас
применение
гипервизоров,
явное или скрытое, – современная реальность. И виртуализация – хороший пример технологии, полностью подтвердившей свою дееспособность и
нужность. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
sapr_2 4/22/16 4:18 PM Page 9
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
Инструмент контроля доступа к средствам управления
виртуальной инфраструктурой
Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
Дмитрий Угаров, руководитель группы разработки СЗИ для систем виртуализации, ЗАО “ОКБ САПР"
Дмитрий Постоев, программист группы разработки СЗИ для систем виртуализации, ЗАО “ОКБ САПР"
К
азалось бы, нам следовало закрыть вопрос защиты виртуальных
инфраструктур (далее ВИ) на базе VMware, создав Аккорд-В., но мы
испытывали смутную неудовлетворенность тем, как решили в нем
задачу разграничения доступа к средствам управления ВИ: разграничение на уровне предоставления или запрета доступа к средствам
управления казалось нам слишком уже недетализированным.
А необходимость контролировать организационными мерами, наличие
средств разграничения доступа на АРМ Администратора ВИ (далее
АРМ АВИ) – слишком уж зависимой от человеческого фактора.
Из этого неудовольствия и желания расширить (детализировать)
функционал разграничения и
перейти от организационного подхода ("следите, чтобы на всех АРМ
было СПО Аккорд-Winхх") к техническому ("с любого АРМ запрос
пройдет через наш модуль")
и вырос наш новый продукт "Сегмент-В.". Он также предназначен
для VMware vSphere.
С точки зрения Сегмента-В.,
vCenter является внутренним элементом по отношению к ВИ,
а администратор ВИ – внешним.
Применение продукта требует
дополнительной настройки ВИ так,
чтобы все запросы к vCenter и
ESXi проходили через Сегмент-В.
(см. рис.). Аргументом в пользу
того, что данная реорганизация
сети не является обременяющей,
может служить требование к усилению ЗСВ.4: в информационной
системе, построенной с применением технологии виртуализации,
должна быть обеспечена единая
точка подключения к виртуальной
инфраструктуре (при необходимости резервирования каналов связи
точка подключения должна рассматриваться как комплексное
решение, включающее в себя средства взаимодействия с основным
и резервными каналами связи).
Что контролируем
Контролировать все возможные
действия пользователей не имеет
смысла. Более того, избыточность
функционала усложняет работу
с ПО. Интерес представляют в первую очередь действия, выделяемые регулятором, + специфичные
функции конкретных платформ,
которые им не учтены (например:
lockdown mode). По результатам
анализа 17/21 приказов и всех
функций в API vClient мы выделили
23 операции:
1. Вход.
1.1. Вход в систему (вход
в систему по паролю или с учетными данными текущей сессии).
2. ВМ.
2.1. Доступ к файлам ВМ (просмотр хранилища и файлов виртуальных машин на нем).
2.2. Удаление ВМ (удаление ВМ
и ее файлов с диска).
2.3. Создание ВМ (создание,
импорт, а также добавление
в инфраструктуру ВМ).
2.4. Запуск ВМ/vApp (запуск
виртуальной машины/vApp).
2.5. Останов ВМ/vApp (выключение, Suspend, перезапуск ВМ/vApp).
2.6. Создание копий ВМ (клонирование в ВМ/шаблон, разворачивание ВМ из шаблона).
2.7. Изменение конфигурации
ВМ/vApp (изменение конфигурации оборудования ВМ/vApp).
2.8. Доступ к консоли ВМ (доступ
к консоли – экрану ВМ по VNC).
2.9. Контроль подключаемых
к ВМ устройств (контроль подключаемых к ВМ USB, CD, FDD).
2.10. Экспорт ВМ (экспорт ВМ
в OVF-формат).
2.11.
Миграция
ВМ
(миграция/перемещение ВМ со
сменой хоста и/или хранилища).
3. Сетевые устройства.
3.1. Работа с сетью (изменение
настроек сети хоста и сетевых
устройств: свитчей, групп портов
и их распределенных вариантов).
4. Хосты.
4.1. Базовые операции с
хостом (запуск, остановка, перезапуск, подключение, отключение, Maintenance Mode хоста).
4.2. Работа со службами хоста
(запуск, остановка, перезапуск
сервисов хоста).
4.3. Изменение настроек сетевого экрана (открытие, закрытие портов, ограничение диапазона IP).
Настройка маршрутизации
4.4. Работа с Lockdown Mode
(включение, отключение Lockdown
Mode).
4.5. Конфигурация автостарта
(включение, отключение автостарта, изменение порядка запуска ВМ).
4.6. Настройка DNS и маршрутизации хоста (настройка DNS
и маршрутизации хоста).
4.7. Настройка домена на хосте
(ввод сервера в домен и вывод из
него).
4.8. Настройка времени на хосте
(ручное изменение времени,
добавление NTP-сервера, включение и отключение NTP-сервиса).
5. Снапшоты.
5.1. Работа со снапшотами (создание, откат – к предыдущему
состоянию и удаление снапшотов).
6. Роли.
6.1. Управление правами (управление ролями, назначение и удаление прав).
Также есть ряд действий, которые по ряду причин приходится
всегда запрещать:
l полное [delete] удаление
папок/vApp (включая ВМ внутри);
l экспорт vApp;
l клонирование vApp. l
Важно, что Сегмент-В. –
это не часть Аккорда-В.,
и их можно использовать
по отдельности. Если
по какой-то причине получилось так, что в системе уже
установлено другое средство контроля запуска виртуальных машин, установить
и использовать в ней Сегмент-В. все равно возможно
и правильно: это позволит
закрыть ЗСВ.1, ЗСВ.2,
ЗСВ.3, ЗСВ.6, ЗСВ.10.
NM
АДРЕСА И ТЕЛЕФОНЫ
ЗАО "ОКБ САПР"
см. стр. 56
• 9
zks_hup 4/26/16 12:05 PM Page 10
СПЕЦПРОЕКТ
Виртуализация
в помощь бизнесу
Б
изнес тесно связан с виртуальной средой. Многие компании используют эту технологию
в качестве главной стратегии развития ИТ-инфраструктуры своего предприятия. В чем
удобство использования виртуализированных средств, редакция узнала у экспертов,
задав им следующие вопросы:
1. Назовите три основные причины перехода на виртуализацию для вас?
2. Что вы думаете о механизмах обеспечения информационной безопасности для
виртуализированных сред?
2. Принципиально новых
решений в области защиты
виртуальных сред в последнее
время не появляется: по-прежнему можно выделить средства, обеспечивающие защиту
самого гипервизора, и средства, направленные на обеспечение безопасности виртуальных машин.
Разработчики решений по
виртуализации продолжают
улучшать ядро гипервизоров в
части возможностей контроля
интерфейсов взаимодействия
"гипервизор–виртуальная
машина" и "виртуальная машиЮрий Сергеев,
заместитель начальника на–виртуальная машина". Но
при этом специалисты все же
отдела проектирования
периодически находят уязвимозащищенных систем
сти, позволяющие выходить за
компании “Инфосистемы пределы ВМ и получать права
Джет"
на всю систему виртуализации.
Понятно, что абсолютную
изоляцию обеспечить невозможно, поэтому планируя архитектуру виртуальной среды, следует задумываться о том, стоит
ли размещать сервисы, обрабатывающие данные разных категорий безопасности, на единой аппаратной платформе.
Павел Арбузов,
технический директор
хостинга REG.RU
10 •
1. Во-первых, управляемость – аварийное обслуживание аппаратных серверов
часто требует физического
доступа к ним. Виртуальные
машины решают эту проблему.
Во-вторых, прозрачность – ВМ
позволяют строить инфраструктуру исходя из логики
ее работы, а не характеристик
имеющихся серверов.
И третья причина – изоляция.
Виртуализация позволяет изолировать каждое приложение
в его собственной среде
выполнения, а значит, с каждым приложением можно
работать, не опасаясь, что
каждое обновление может
неразрешимо конфликтовать
Практически у всех средств виртуализации улучшаются
возможности по журналированию событий ИБ, разграничению доступа, а также по интеграции с сервисами двухфакторной аутентификации. Это в значительной степени повышает доверие к гипервизорам с точки зрения защиты интерфейсов управления, атаки на которые могут осуществляться
по сети.
Специализированные продукты, адаптированные для обеспечения безопасности виртуальных машин, предлагают на
рынке и российские производители средств защиты. l
с одним из выполняемых на сервере приложений. В целом же
невозможно представить процесс администрирования без виртуализации.
2. Виртуализация сама по себе является средством повышения уровня информационной безопасности. Ее применяют,
например, для безопасного выполнения потенциально уязвимого кода, а также для уменьшения объема утечки информации
в случае успешной атаки злоумышленника. Контейнеризация
может быть еще более удобным решением, которое позволяет
не размещать весь набор стандартного ПО Linux на каждый
запущенный контейнер. Однако какой бы совершенной ни
была система, достаточно одной ошибки, чтобы сделать ее
абсолютно небезопасной. Согласно известной теореме, каждая
программа содержит хотя бы одну ошибку. А значит, виртуальные среды небезопасны, как и все остальное ПО, и ничего с
этим не поделать. l
zks_hup 4/26/16 12:05 PM Page 11
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
Дмитрий Соловьёв,
технический директор
Stack Group
1. Три основные причины
перехода на виртуализацию:
l Эффективное использование современных высокопроизводительных серверов и систем
хранения данных и, как следствие, эффективное использование финансовых средств.
l Более высокая степень отказоустойчивости и малое время
восстановления работоспособности сервера (бизнес-критичных процессов/приложений
для компании), чем при
использовании классической
архитектуры построения ИТ.
l Большие гибкость, масштабирование и скорость запуска
новых проектов по сравнению
с традиционным подходом.
2. Уже сейчас ряд известных компаний в области защиты
информации предлагают программные продукты, позволяющие
разграничивать доступ в среде виртуализации таким образом,
чтобы информационная система в целом могла соответствовать
требованиям российского законодательства в части обработки
1. С нашей точки зрения,
можно выделить следующие
основные
преимущества,
которые дает переход на виртуализацию:
l удобство и минимизация
расходов на управление виртуальной инфраструктурой;
l возможность использования всего имеющегося парка
аппаратного обеспечения для
размещения
виртуальных
ресурсов;
l наличие широких возможностей по обеспечению отказоустойчивости инфраструктуры.
Сергей Корольков,
технический директор
ЗАО “ДиалогНаука"
2. Любая новая технология,
а точнее, ее применение в
сложных инфраструктурах,
www.itsec.ru
персональных данных. По сути, данное ПО дополняет уже существующие механизмы, предусмотренные еще на этапе разработки
гипервизоров, программ предоставления сервисов и оркестрации.
Открытым до сих пор остается вопрос с защитой и разграничением доступа к данным на общих системах хранения. Этот компонент среды виртуализации, как правило, является одним из
самых дорогостоящих и трудно поддается гарантированному
(сертифицированному) разграничению доступа. Одновременно
с безопасностью к системам хранения предъявляются жесткие
требования по надежности и быстродействию. В настоящее
время с появлением более емких и дешевых носителей SSD
(MLC, TLC), а также с развитием такого направления, как программно-определяемые системы хранения (SDS), перед администраторами информационных систем и разработчиками специализированного ПО в области ИБ открываются новые возможности по защите информации на системах хранения в
средах виртуализации без существенного влияния на быстродействие. Как правило, если речь не идет об обязательном
выполнении требований российского законодательства в части
защиты ПДн или данных, представляющих государственную
тайну, встроенных механизмов защиты достаточно для надежного
разграничения доступа в средах виртуализации. Важно понимать,
что на данный момент в сфере ИБ наиболее уязвимым местом
является человеческий фактор. Утечка конфиденциальной
информации может произойти по причине отсутствия регламентов
и политик ИБ и контроля за их выполнением. l
несет в себе как позитивные, так и негативные моменты с
точки зрения обеспечения безопасности. В этой связи проблема
обеспечения информационной безопасности виртуализированных сред, безусловно, является крайне актуальной. Вместе
с тем, необходимо отметить, что на сегодняшний день существует широкий спектр дополнительных средств защиты информации, которые позволяют обеспечить безопасное использование виртуализированных сред. В частности, такие решения
есть и у отечественных разработчиков. l
Хотите подписаться?
Заканчивается подписка?
Изменился адрес?
Заполните анкету на нашем интернет-сайте:
http://www.itsec.ru
Теперь, заполнив одну анкету, Вы можете стать подписчиком
журналов и тематических каталогов издательства «Гротек»
ПРИМЕЧАНИЯ:
1. Заполненная анкета дает право на бесплатную квалифицированную подписку на территории России.
2. Издательство оставляет за собой право присвоения квалификации подписчика на издания.
Анкета действительна при условии заполнения всех полей.
• 11
Hypervisor 4/22/16 4:17 PM Page 12
СПЕЦПРОЕКТ
Обзор гипервизоров
Название гипервизора
XenServer 6.5 SP1
(в мае 2016 года выходит
Citrix XenServer 7)
FusionSphere 3.1
Red Hat Enterprise
Virtualization 3.6
Компания-производитель
Citrix Systems
Huawei
Red Hat
Логические ЦП
160
320
288
Физическая память (ОЗУ)
1 Tбайт
4 Тбайт
12 Тбайт
Виртуальные ЦП на хосте
Гипервизор поддерживает
до 1000 ВМ. Соотношение
1 CPU vs x vCPU больше
зависит от характера
нагрузки
512
-
Виртуальные ЦП на ВМ
32 Linux/16 Windows
64
240
ОЗУ на ВМ
192 Гбайт
1 Тбайт
4 Тбайт
Активные ВМ на хосте
1000
-
-
Гостевой NUMA
+
н/д
+
Виртуальные ЦП на ВМ
32 Linux/16 Windows
н/д
-
ОЗУ на ВМ
192 Гбайт
н/д
-
Виртуальный Fiber Channel
-
н/д
-
Сторонний MPIO
+
н/д
-
Нативная поддержка 4-КВ дисков
+
н/д
+
Максимальный размер диска
2 Тбайт
н/д
8 Тбайт
Максимальный размер прямого LUN,
подключенного к ВМ
15 Гбайт при подключении
LUN по iSCSI
н/д
-
Разгрузка передачи данных
+
н/д
Наличие (TOE)
Динамическая память
+
н/д
+
Изменение ресурсов
+
н/д
+
Качество обслуживания (QoS)
+
н/д
+
Поддержка конвергентных сетевых адаптеров
+
н/д
-
Dynamic Virtual Machine Queue
-
н/д
-
IPsec Offload
-
н/д
-
SR-IOV
+
н/д
+
Шифрование дисков
-
н/д
+
Расширяемый коммутатор
Distributed vSwitch и Open
vSwitch
н/д
+
Количество расширений
16
н/д
-
Частные VLAN
Private VLAN не
поддерживается, но можно
сделать другие варианты
Private Network
н/д
+
Масштабируемость и производительность
Хост
Виртуальная машина
Кластер
Возможности
Безопасность и сети
12 •
Hypervisor 4/22/16 4:17 PM Page 13
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
Название гипервизора
XenServer 6.5 SP1
(в мае 2016 года выходит
Citrix XenServer 7)
FusionSphere 3.1
Red Hat Enterprise
Virtualization 3.6
Защита от ARP/ND-спуффинга
-
н/д
+
Защита от DHCP-спуффинга
-
н/д
+
ACL для виртуальных портов
Для пула, ВМ, виртуальных
интерфейсов
н/д
+
Режим транка к ВМ
http://support.citrix.com/
article/CTX123489
н/д
+
Мониторинг портов
+
н/д
+
Зеркалирование портов
+
н/д
+
Живая миграция ВМ
+
даже в бесплатной версии
н/д
+
Живая миграция диска
+
н/д
+
Миграция без ничего
+
н/д
-
н/д
+
Гибкость инфраструктуры
Расширение виртуальной сети
Отказоустойчивость и непрерывность бизнеспроцессов
+
н/д
+
Встроенный бекап
+
н/д
-
Репликация ВМ
н/д
н/д
+
Агрегация сети
+
н/д
+
Отказоустойчивость
+
н/д
+
Мониторинг гостевых приложений
н/д
н/д
+
Приоритизация при сбое
+
н/д
-
Правила распространения ВМ
Технически администратор
или пользователь
с соответствующими
правами может сделать
экспорт/импорт ВМ. Можно
на базе ВМ создать
шаблон, из которого
в дальнейшем будут
создаваться другие ВМ
н/д
-
Обновление кластерных систем
Можно обновлять пул,
не прерывая работу
пользователей
н/д
+
Компания, предоставившая информацию
Citrix Systems
CTI
CTI
ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ
20–22
2016
Деловая программа
Информационная безопасность критически важных объектов
Защита от современных угроз и целенаправленных атак
Противодействие мошенничеству
Карты: Платежи. Идентификация. Мобильность
Информационная безопасность на предприятиях ритейла
Современные подходы к обеспечению ИБ в банковской сфере
Интернет вещей и информационная безопасность
Импортозамещение на практике
Безопасность виртуальной среды
Экономическая безопасность
www.infosecurityrussia.ru
• 13
andriyashin 4/22/16 4:18 PM Page 14
СПЕЦПРОЕКТ
Информационная безопасность
как бизнес-процесс
Алексей Андрияшин, руководитель системных инженеров компании Fortinet
– Алексей, расскажите, как на сегодняшний день эволюционировал мир
киберпреступности?
– Сегодня все, что связано с кибербезопасностью,
приобретает
сугубо прагматичный
характер. Ради собственного интереса или
самоутверждения уже
никто не станет генерировать атаки или осуществлять взлом – все
заточено на получение
выгоды: финансовой, конкурентной и т.д. И в основном
самые яркие атаки/угрозы формируются после тщательного
планирования: анализа возможности жертвы, рисков, которым
в данный момент она подвержена, уязвимостей и использования этих уязвимостей для
достижения конечной цели.
Импортозамещение – это
искусственно созданный
тренд, который не влияет на
модель угроз. В теории
импортозамещение должно
благоприятно влиять на развитие отечественного рынка
информационных технологий и информационной безопасности в частности, но
на практике искусственно
созданные ограничения тормозят развитие, т.к. отсутствует конкуренция.
На практике наши заказчики не испытывают проблем с приобретением
наших решений, т.к. аналогичные по функционалу отечественные решения отсутствуют на нашем рынке.
14 •
– Какие новые уязвимости, возникшие за последние пару лет, вы можете
выделить?
– В прессе часто встречаются
различные статьи и исследования на тему новой найденной
уязвимости. Даже в тех решениях, которые в первую очередь
направлены на обеспечение ИБ.
На практике, если копнуть глубже, выясняется, что все эти
риски и угрозы связаны в первую
очередь с планированием сетей
и систем – организационные
недостатки их ведения. Если в
компании эти недостатки не
исключили, то ни одно из решений, даже пусть оно будет кристально чистым с точки зрения
отсутствия каких-либо уязвимостей, не сможет помочь решить
текущие проблемы. Поэтому я
не считаю, что модель угроз в
данный момент времени сильно
изменилась, она по-прежнему
является традиционной, как это
было год-два-три назад, но, тем
не менее, интерес к западным
решениям, несмотря на текущую
ситуацию, не ослабевает.
Но, конечно, сейчас к ним
более настороженно относятся.
Это даже хорошо, потому что
заставляет администраторов безопасности, специалистов, управленцев строить свои сети более
грамотно, тщательно, для того
чтобы не быть подверженными
потенциальным рискам, которые
могут оказаться в любом из
решений, связанных с ИБ.
– Каковы, на ваш взгляд,
наиболее серьезные угрозы по безопасности, подстерегающие корпоративных пользователей и корпоративные сети?
– Учитывая темпы развития
технологий, большинство угроз
связаны с активным использованием сотрудниками мобильных сценариев. Работники сегодня не привязаны строго к
рабочему месту, а имеют возможность работать из дома, в
командировках, из самолетов
и иметь полноценный доступ к
корпоративным ресурсам. Сейчас можно много рассуждать,
что из себя представляет периметр безопасности, насколько
он размыт или отсутствует. Но,
на мой взгляд, он сейчас проходит непосредственно через
рабочее место и мобильное
устройство каждого из сотрудников. Поэтому все тенденции
и тренды, связанные с ИБ, сегодня движутся в сторону безопасности периметра и интеграции его с политикой BYOD. А
риски связаны именно с уязвимостью конкретных рабочих
мест отдельных сотрудников и
степенью их интеграции с корпоративными ресурсами.
– Какие еще уязвимости,
кроме безопасности периметра предприятия, могут
возникнуть у компании,
сотрудники которой активно используют мобильные
технологии для работы?
– BYOD – это концепция обеспечения мобильных сетей
сотрудников или возможности
их работы с собственными
мобильными устройствами. Как
мы уже говорили, это действительно тренд развития рисков
ИБ: мобильность, прослушивание мобильных устройств и т.д.
Например, раньше использование мобильных устройств в ряде
компаний было ограничено или
вовсе запрещено. Но, как показала практика, ограничение в
использовании ни к чему хорошему не ведет, потому что всегда находится сотрудник, который разными способами либо
проносит мобильное устройство, либо подключает его к
корпоративному
рабочему
месту. Этим процессом необходимо грамотно управлять.
Существует большое количество решений, которые позволяют сделать это эффективно
и с точки зрения обеспечения
ИБ мобильных устройств, их
использования внутри корпоративной сети, и с точки зрения
управления, анализа сети и рисков, которые с этим связаны.
– Что должна в себя
включать эффективная
система сетевой безопасности?
– Она должна строиться по
комплексному принципу, который часто называют принципом
построения многоэшелонированной обороны. Часто при преследовании этого принципа
упускают очень важный момент:
недостаточно просто поставить
огромное количество различных
решений или решений, позволяющих решать разные задачи,
а необходимо ими грамотно
управлять. И очень часто в организациях возникает "зоопарк"
устройств, из-за чего ресурсы
компании используются
неэффективно. И даже если в
компании применяются решения разных вендоров, а это наиболее популярная модель
использования решений по безопасности, необходимо стремиться к тому, чтобы на одних
и тех же уровнях построения
эшелонированной системы безопасности использовались сходные решения по степени и возможности управления. В идеале
это все-таки должны быть решения одного вендора, для того
andriyashin 4/22/16 4:18 PM Page 15
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
чтобы иметь возможность
управлять ими эффективно и
без перерасхода человеческих
ресурсов. На разных уровнях
эшелонированного оборудования могут быть использованы
совершенно разные решения,
но, тем не менее, в рамках
одного уровня хотя бы должна
использоваться централизованная система управления, позволяющая эффективно контролировать степень защиты каждого из уровней.
– Какие категории компаний могут позволить себе
комплексную защиту?
– Этот вопрос нужно перефразировать как утверждение
или призыв к индустрии и
отдельным компаниям о том,
что любое предприятие должно
строить свои системы информационной безопасности,
используя именно комплексный
подход к данному процессу.
Иначе это будут либо выброшенные на ветер деньги, либо
неграмотное и неэффективное
использование людских ресурсов. Потому что если не учитывать какой-либо фактор, который может быть в дальнейшем
использован злоумышленниками для взлома компании, проникновения или хищения данных, то все усилия, потраченные
на построение ИБ, будут сведены к нулю и совершенно
неэффективны.
– Какие наиболее важные требования следует
предъявлять к программному обеспечению для
защиты корпоративной
сети?
– Я бы сказал, что не только
ПО, но и программно-аппаратный комплекс и аппаратные
решения должны обеспечиваться постоянным высококвалифицированным уровнем технической поддержки как со стороны
производителя, так и со стороны
поставщика данного решения.
Как правило, компания, занимающаяся внедрением подобных
решений, должна иметь возможность не только поставить данное
оборудование, но и предоставить
постоянный непрерывный уровень технической поддержки. Ее
непрерывность зависит от контракта и уровня критичности тех
ресурсов, которые компания
защищает. Это может быть поддержка в режиме 24/7, 8/5 или
постоянно выделенный специалист, который обеспечивает
соответствующую техническую
поддержку, но в любом случае
он должен иметься и сотрудники
компании должны знать, что в
любой момент времени при возникновении каких-либо сложностей им будет обеспечен соответствующий грамотный уровень
технической поддержки.
– В каких продуктах,
решениях или сервисах в
области ИБ сейчас нуждается отрасль, но они пока
еще отсутствуют на рынке?
– В данный момент можно
говорить не о тех решениях,
которые отсутствуют, а о тех,
которые сейчас начинают развиваться и выходят, например,
на более развитые рынки.
Я говорю о решениях, связанных с противостоянием целенаправленным угрозам или таргетированным атакам. Эта тема
последний год очень активно
обсуждается на каждой конференции, посвященной ИБ. И анализируя данные решения, многие компании находятся в растерянности, потому что они не
понимают, что из себя представляет этот тренд.
Кроме этого, существует
вопрос, связанный с управлением решениями ИБ, но это
более интересно крупным компаниям или операторам связи:
развитие технологии SDN (Software Defined Network). Эта технология позволяет управлять с
одной точки не только решениями ИБ, но и сетевой инфоструктурой в целом. Много говорить об этой технологии не
буду, так как ей можно посвятить отдельное интервью, скажу
лишь, что она сейчас очень
востребована и активно развивается. Именно за ней будущее.
Сегодня во всем мире огромный
интерес к технологии SDN проявляют, как я уже говорил,
в первую очередь операторы
связи, а в дальнейшем она уже
будет выходить на корпоративный уровень. Уже есть примеры
реализации данной технологии.
– То есть SDN можно
назвать системой нового
поколения?
– Да, сетевые устройства
нового поколения – это, прежде
всего, гибкие устройства, которые легко внедряются в существующую
инфраструктуру.
И общая суть данного тренда –
вне зависимости от того, что он
из себя представляет: сетевое
устройство, система ИБ, ком-
мутатор, маршрутизатор
и т.д., – управляется наравне
со всеми в рамках данной технологии.
Сетевые устройства
нового поколения – это,
прежде всего, гибкие
устройства, которые легко
внедряются в существую-
– На что в первую очередь следует обратить
внимание при реализации
сетевой безопасности на
своем предприятии? Какие
рекомендации вы могли
бы дать нашим читателям?
– В первую очередь, перед тем
как внедрять какое-либо решение,
необходимо провести тщательный
анализ, для чего это решение
нужно. Также необходимо сформировать корпоративную политику безопасности, если этого
еще не было сделано. Корпоративная политика безопасности –
это управляющий документ гене-
щую инфраструктуру.
И общая суть данного тренда – вне зависимости от
того, что он из себя представляет: сетевое устройство, система ИБ, коммутатор, маршрутизатор и т.д., –
управляется наравне со
всеми в рамках данной технологии.
рального уровня, который преследует цель реализации основной миссии компании. И в данном
документе описываются те критерии, требования и методы, которые предъявляются к процессам
информационной безопасности.
Процесс ИБ – это, по сути, такой
же бизнес-процесс, как и все
остальные, и он должен быть
тесно интегрирован с основной
деятельностью компании. Только
в этом случае у вас есть возможность строить грамотный процесс
управления, внедрять те или иные
технические решения внутри компании, для того чтобы реализовать основную ее цель. И в любом
случае, система информационной
безопасности и конкретные решения – все направлено на обеспечение непрерывной деятельности предприятия. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 15
cherkas 4/22/16 4:18 PM Page 16
СПЕЦПРОЕКТ
Востребованные решения
по защите ИТ-инфраструктуры
Юрий Черкас, руководитель направления инфраструктурных ИБ-решений
Центра информационной безопасности компании “Инфосистемы Джет"
С
егодня на рынке почти не существует компаний, ИТ-инфраструктура которых не имела бы средств периметральной
защиты. Это обязательный элемент системы информационной
безопасности организации, сводящий к минимуму внешние
угрозы. Но нынешнее понятие периметра сети существенно
отличается от реалий четырех-пятилетней давности.
Защита ИТ-инфраструктуры должна осуществляться на различных уровнях, начиная с
защиты от DDoS-атак и
заканчивая
защитой
конечных точек, т.е. компьютеров пользователей. Мы не будем останавливаться подробно на всех из них,
расскажем лишь о наиболее
востребованных классах подсистем, их плюсах и минусах,
вариантах использования для
обеспечения наиболее эффективной защиты периметра.
"Нет" DDoS-атакам
В случае DDoS компания
сама определяет, насколько это
критично для бизнеса. Бывают
заказчики, которые не видят
критичности в недоступности их
сайта в течение часа или даже
дня. Для других, наоборот,
доступность крайне важна.
Рассматривая данную защиту
с технологической точки зрения,
отмечают три базовых варианта, на основе которых можно
создавать гибридное эшелонирование.
Первый – использование
защищенных от DDoS каналов
провайдера. В этом случае
функцию защиты полностью
берет на себя провайдер.
Рис. 1. Методология DevSec
16 •
Плюсы данной схемы очевидны – только на этом уровне
могут быть качественно нивелированы объемные атаки и
атаки, направленные на заполнение каналов. Из минусов –
стоимость и SLA на данный
вид услуг диктует сам провайдер, исходя из стандартных
показателей.
Второй – использование оборудования для защиты от DDoS
на своей площадке. Здесь плюсом является полная видимость
трафика, возможность отслеживать, откуда идет атака, как
она развивается, какие сервисы
атакуются, и т.д., т.е. возможность гранулярно подстраивать
фильтры, противомеры и т.д.
Из минусов – как бы вы ни
защищались, атаки, направленные на исчерпание канала, все
равно будут проходить, а канал
будет забиваться.
Третий – использование специализированных сервисов.
Компаний, предоставляющих
эти сервисы, становится все
больше, есть из чего выбрать.
Но существует нюанс, который
следует учитывать: есть те, кто
на постоянной основе пропускает через себя трафик, а есть
те, кто переключается только
тогда, когда начинается атака
на инфраструктуру заказчика.
Вполне возможен и гибридный вариант защиты: использование специализированного
оборудования на своей площадке с одновременным задействованием сервисов провайдера.
Иными словами: пока компания
может отбивать атаку своими
силами, она делает это самостоятельно с помощью специализированных средств; как
только видит, что утилизация
канала превышает пороговое
значение, например 80%, то в
автоматическом режиме сигна-
лизирует об этом своему провайдеру, чтобы в работу включался его центр фильтрации. И
дальнейшее отражение происходит уже совместно. В этом
случае организация может
эффективно противодействовать атакам на приложения,
поскольку знает свои приложения лучше и может оперативно
подстраивать противомеры. Но
при этом на уровне провайдера
имеет возможность отбивать те
элементы
атаки,
которые
настроены на исчерпание каналов.
Скажите WAF
Защита Web-приложений с
помощью Web Application Firewall (WAF) – для определенного
рода компаний вещь необходимая. Часто заказчики задают
вопрос: "Зачем нам WAF, у нас
же есть IPS?". И здесь ответ
один – IPS никак не решает
задачу WAF. Да, это необходимый элемент защиты, но WAF –
это специализированное решение, которое направлено именно на защиту Web-приложений.
Оно стоит ПЕРЕД Web-приложением, знает его структуру,
все типы запросов и ответов,
которые разрешены или запрещены. И с IPS его роднит только
то, что в обоих есть встроенный
"движок", который по сигнатурам выявляет определенный
класс атак на приложение.
Если говорить об использовании WAF, то на сегодняшний
день существует возможность
как приобрести это решение и
эксплуатировать самостоятельно, так и использовать его по
сервисной модели. Но при выборе одного из двух вариантов
организации защиты WAF стоит
учесть такой момент. Если оборудование стоит непосредственно у вас в виде виртуального
cherkas 4/22/16 4:18 PM Page 17
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
или аппаратного решения, то
трафик в зашифрованном виде
доходит до вашего сайта и дальше вами же и расшифровывается. В случае же использования облачной услуги расшифровкой трафика занимается
третья компания или же не расшифровывает его совсем, тем
самым пропуская атаки внутри
SSL.
WAF требует постоянного присутствия. Этот класс решений
должен существовать в непрерывном цикле разработки и защиты приложений. То есть в то
время, как разработчики выпускают новый патч, тестируют его,
выпускают релиз, вы должны
быть к нему уже готовы – у вас
должны быть изменены политики безопасности, чтобы пробел
между выпуском и началом
защиты новой версии был минимальным. Здесь хорошо зарекомендовало себя использование так называемой отдельной
лабораторной инсталляции WAF,
которая применяется в тестовой
среде. Это позволяет уже на
этапе тестирования нового релиза формировать новые политики
безопасности, тем самым сводя
время переобучения WAF практически к нулю. Такой непрерывный цикл защиты позволяет
говорить о методологии DevSec
(Development & Security) по аналогии с DevOps (Development &
Operations) (рис. 1).
Песочница не для игр
В браузере и почте мы проводим 90% рабочего времени.
Поэтому это самые распространенные каналы атак на компанию.
Достаточно долго традиционные антивирусы, установленные
на Web- и E-mail-шлюзах, рабочих станциях, могли эффективно противодействовать вирусам. Но в связи с изменением
технологий атак их уже недостаточно. Вместе с ними единственным эффективным решением, способным защитить
от проникновения вирусов, а
в ряде случаев даже предотвратить атаки, являются так называемые песочницы. Файлы, скачанные через Интернет или
полученные по почте, анализируются в песочнице путем амуляции их запуска на рабочих
станциях сотрудников с целью
выявления вредоносной составляющей (рис. 2).
Многие производители в свою
линейку продуктов уже добавили эти продукты. Есть даже
Рис. 2. Принцип работы песочницы
платформонезависимые решения, работающие с любыми сторонними шлюзами. А заказчики
все активнее смотрят в сторону
приобретения подобного рода
решений. Некоторые даже
имеют четкое указание от владельцев бизнеса о выборе и
реализации их в компании.
Комфортно и безопасно
В крупных компаниях, где
число сетевых устройств может
равняться сотням (межсетевые
экраны, коммутаторы и маршрутизаторы), защищать периметр становится все сложнее.
При этом зачастую встает
вопрос, как контролировать то,
насколько корректно предоставлен доступ и какие правила и
политики настроены для сетевого доступа?
Приведу яркий пример: администратор получает заявку на
предоставление доступа, открывает консоль и, недолго думая,
пишет новое правило. В 9 случаях из 10 он не будет анализировать, не противоречит ли это
правило какому-то другому или
не был ли дан доступ ранее.
Разбираться в сотнях и тысячах
правил – неблагодарный труд.
Чтобы облегчить себе жизнь,
рекомендую присмотреться к
решениям класса Firewall Management. Из названия может сложиться впечатление, что это
лишь универсальная система
управления, но это не так. Это
средство мониторинга, управления и администрирования,
причем полезное как ИТ-, так и
ИБ-службам. ИТ-службе оно
позволяет осуществлять сбор
информации о всех активных
сетевых устройствах, понимать,
Рис. 3. Функциональность системы Firewall Management
как они сконфигурированы,
строить интерактивную карту
сети. Помимо этого, оно дает
возможность автоматизированной
оптимизации
правил
и поиска затененных правил.
А учитывая, что то, как должны
быть настроены политики с
точки зрения безопасности,
определяет ИБ-служба, Firewall
Management становится для ИБ
инструментом контроля над ИТслужбой, т.е., другими словами,
Firewall Management ИБ-службе
позволяет видеть, как выполняются политики, а ИТ-службе
предоставляет инструмент для
понимания, какие доступы
открыты и какие надо или не
надо открывать (рис. 3).
Подводя итог вышесказанному, отметим, что при выборе
средств защиты периметра всегда стоит отталкиваться от специфики бизнеса, принимать во
внимание особенности инфраструктуры и общую направленность ИТ-политики компании,
а при рассмотрении вариантов
построения защиты – ориентироваться на актуальный сценарий. l
Неоднократно доказано
на практике, что Firewall
Management позволяет
существенно оптимизировать затраты на обслуживание средств сетевой безопасности, сократить время
на обработку и аналитику
информации, минимизировать ошибки, связанные с
человеческим фактором.
Если необходим доступ от
одного узла к другому, то
это возможно сделать двумя
кликами мышки. Решение
автоматически выдает
информацию о том, какие
правила на каких узлах
необходимо написать, не
были ли они написаны
ранее, а какой доступ предоставлять нельзя, потому
что это противоречит политике. В среднем окупаемость такого решения
составляет от 9 до 14 месяцев с начала эксплуатации.
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 17
tehoboz_firew 4/26/16 12:05 PM Page 18
СПЕЦПРОЕКТ
Обзор межсетевых экранов
Название продукта
"ИнтерКонтроль
Сервер"
ПК Интер-шлюз
Ideco ICS 6
ФСТЭК
ALTELL NEO
"ИВК
КОЛЬЧУГА"
Компания-разработчик
"А-Реал
Консалтинг"
"Айдеко"
"АльтЭль"
Тип межсетевого экрана
МЭ с пакетной
фильтрацией +
часть функций
прикладного
уровня, т.е.
является также
прокси-сервером
Шлюз
прикладного
уровня
Аппаратный
Межсетевой
межсетевой экран экран
нового поколения с расширенной
функциональностью, коммуникационный центр
Сертификаты ФСТЭК (номер)
2623
3425
2634; 2726
2410; 1094/1
Тип сертификации ФСТЭК
н/д
МЭ3, НДВ4
МЭ2/НДВ2;
МЭ3/НДВ3
Серия по 4 классу
РД МЭ и 4 уровню
контроля РД НДВ;
по 2 классу РД
МЭ и по 2 уровню
контроля РД НДВ
Сертификаты ФСБ (номер)
н/д
-
СФ/СЗИ-0074
-
Класс устройства по сертификату ФСБ
н/д
-
МЭ4
-
Другие сертификаты
№ 2011615762
н/д
н/д
2409; 2135
RAM, Гбайт
-
16
Flash
-
-
HDD/SSD
-
1 Тбайт
Контроллер удаленного управления IPMI
-
-
+
н/д
Резервный блок питания
-
+
+
н/д
LCD-дисплей
-
-
+
н/д
Модули расширения
-
-
+
н/д
Выделенный консольный порт
-
+
+
Среднее время наработки на отказ, тыс. ч.
н/д
40
40
н/д
Без ограничений
Без ограничения
"Информационная
Внедренческая
Компания"
Аппаратная спецификация
128
+
н/д
4 Тбайт
н/д
Производительность
Рекомендуемое количество пользователей
Зависит
от модели
Количество одновременных соединений, млн
Зависит от модели 1,2
9,6
Без ограничения
Производительность межсетевого экрана, Мбит/с
Зависит
от модели
18 Гбит/с
871 Мбит/с
18 •
5000
1 Гбит/с
tehoboz_firew 4/26/16 12:05 PM Page 19
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
"Континент"
"С-Терра Шлюз
7000 HP"
Traffic Inspector
VPN/FW
"ЗАСТАВА",
версия 6
Шлюз безопасности 13500
Next Generation
Firewall
Cisco
FortiGate
FG-1000C
"Код
Безопасности"
"С-Терра
СиЭсПи"
"Смарт-Софт"
"ЭЛВИС-ПЛЮС"
Check Point
Software
Technologies
Cisco
Fortinet
Аппаратнопрограммный
комплекс
шифрования
"Континент"
Stateful
Контекстный МЭ
Функционально
распределенный
программный
комплекс
межсетевого
экранирования
с централизованным
управлением
и функцией
шифрования
трафика
NGFW
Обычный МЭ, а
также МЭ
следующего
поколения
UTM, NGFW
3008; 3007
3370
2407
3214
3457и др.
Более 50
сертификатов
3171
СОВ3, МЭ2, НДВ2 МЭ 3 класс, НДВ
3 уровень, ОУД4
(усиленный). АС
1В, ГИС 1 класс,
1–4 уровни защ.
ПДн
н/д
МЭ 2 класс, НДВ
3 класс
Производство
Серийное
производство
3 класс МЭ,
4 класс НДВ
СФ/525-1895;
СФ/124-1880;
СФ/124-1881;
СФ/124-2265
н/д
н/д
СФ/114-2854;
СФ/114-2855;
СФ/114-2856;
СФ/114-2857;
СФ/114-2858;
СФ/114-2859
Подписанное ТЗ
-
-
МЭ4, СКЗИ КС2,
СКЗИ КС3
МЭ 4 класса
н/д
КС1, КС2
(сертификаты
получены); КС3,
МЭ 4 (второй
квартал 2016)
-
Не применимо
-
Сертификат
н/д
Минкомсвязи:
№ ОС-2-СПД-1346
н/д
№ 1167
н/д
н/д
н/д
4
16
4
Не ограничено
16/64
+
+
+
-
-
+
н/д
+
-
RAID 0/1/5/10
500 Гбайт
+
120 Гбайт
SATA SSD-модуль 2x HDD SATA
не менее 30 Гбайт 500 Гбайт (RAID)
1 Гбайт
-
+
-
+
+
н/д
-
+
+
-
+
+
+
+
-
-
-
-
+
н/д
-
+
+
-
+
+
+
-
+
+
-
-
+
+
+
-
н/д
13,2–17,2 лет
Зависит от
модели
н/д
40
80
1000
Без ограничений
-
Без ограничений
Без ограничений
10 тыс. на одно
устройство
Без ограничений
3
н/д
-
1,2–15
7–28
10
7
3,5 Гбит/с
н/д
600 Мбит/c
50 Мбит/с –
8 Гбит/с
77 Гбит/с
120 Гбит/с
20 Гбит/с
• 19
tehoboz_firew 4/26/16 12:05 PM Page 20
СПЕЦПРОЕКТ
Название продукта
"ИнтерКонтроль
Сервер"
ПК Интер-шлюз
Ideco ICS 6
ФСТЭК
ALTELL NEO
"ИВК
КОЛЬЧУГА"
Скорость шифрования (ГОСТ/AES128)
Зависит
от модели
-
18/25–2400/3500
-
NAT (Network Address Translation)
+
+
+
+
PAT (Port Address Translation)
+
+
+
+
Прозрачный режим
+
+
+
+
Режим анализа SPAN
-
-
+
-
Возможность совмещения нескольких режимов работы
на одном устройстве
+
+
+
+
Stateful Inspection
+
+
+
+
Защита от DoS/DDoS-атак
+
+
+
+
Туннелирование IP-пакетов с использованием
механизмов GRE, IP-IP, SIT
+
-
+
-
Фильтрации трафика IPv6
-
-
+
-
Клонирование трафика на удаленный шлюз
-
-
+
-
VRRP (Virtual Router Redundancy Protocol)
-
-
+
-
Фильтрация IP-пакетов в соответствии с заданными
правилами
+
+
+
+
Настройка политики модификации трафика
-
-
+
+
Поддержка VLAN по стандарту IEEE 802.1q
+
+
+
+
Агрегация каналов
-
+
+
+
Поддержка параметров качества обслуживания пакетов (QoS) -
+
+
+
Поддержка функции шейпинга трафика в QoS
+
+
+
+
Поддержка QoS для Real-Time-трафика
н/д
+
+
+
Работа с сертификатами X.509
+
-
+
-
Работа с каталогами пользователей
+
+
+
-
Фильтрация одноранговых приложений
+
+
+
-
Поддержка динамических групп адресов
+
-
+
+
Фильтрация пакетов на прикладном уровне (L7-Filtering).
+
-
+
-
Статическая
+
+
+
+
Динамическая (BGP/RIP/OSPF)
-
-
+
+
Маршрутизация многоадресного (Multicast) трафика
-
-
+
+
Virtual IP
-
-
-
-
Поддержка зон безопасности
-
-
-
-
NAT на основе политик
+
-
+
+
Фильтрация пакетов в туннелях VPN
+
-
+
-
Маршрутизация, Мбит/с
1000
1024
18 500
871
Маршрутизация, пакетов/с
н/д
1,2 млн
4,2 млн
н/д
Зависит
от конфигурации
оборудования
1024
Работа в режиме межсетевого экрана
Режим маршрутизации
VPN
Кол-во выделенных туннелей
20 •
255
-
tehoboz_firew 4/26/16 12:05 PM Page 21
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
"Континент"
"С-Терра Шлюз
7000 HP"
Traffic Inspector
VPN/FW
"ЗАСТАВА",
версия 6
Шлюз безопасCisco
ности 13500 Next
Generation
Firewall
2,7 Гбит/с, ГОСТ
28147–89, режим
гаммирования с
обратной связью,
длина ключа
256 бит
7 Гбит/с
-
50 Мбит/с –
4 Гбит/с на одном
ПАК (в зависимости
от аппаратной
платформы)
3,8 (1452 бит)
Гбит/с /17 Гбит/с
(платформа
SG21700)
120 Гбит/с
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
-
-
+
+
+
+
+
-
-
+
+
+
+
+
-
-
+
+
-
-
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
-
-
+
+
+
+
+
+
+
+
+
+
-
+
-
+
+
+
+
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
-
-
-
-
+
+
+
+
+
+
+
+
+
+
-
-
-
+
+
н/д
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
-
-
+
+
+
+
+
+
-
+
+
+
+
+
+
-
-
+
Не применимо
+
3 Гбит/с
10 000
FortiGate
FG-1000C
8 Гбит/с
(AES-256+SHA1)
600
+
н/д
Не применимо
20 Гбит/с
н/д
н/д
-
+
н/д
н/д
30 млн
5 тыс.
Без ограничений
-
-
Без ограничений
10 000 туннелей
(до 100 000
в кластере)
10 000
• 21
tehoboz_firew 4/26/16 12:05 PM Page 22
СПЕЦПРОЕКТ
Название продукта
"ИнтерКонтроль
Сервер"
ПК Интер-шлюз
Ideco ICS 6
ФСТЭК
ALTELL NEO
"ИВК
КОЛЬЧУГА"
IPSec ГОСТ, Мбит/с
-
-
2400
-
IPSec AES128, Мбит/с
+
250
3500
-
OpenVPN ГОСТ, Мбит/с
-
-
1400
-
OpenVPN AES128, Мбит/с
+
150
2400
93,127
Фильтрация на основе правил
+
-
+
+
Фильтрация содержимого в туннелях VPN
+
-
+
-
Встроенный журнал
+
+
+
+
Уведомление по E-mail
+
+
-
+
Syslog
+
+
+
+
Поддержка Syslog по TCP и SSL
-
-
+
+
Графическое отображение статистики (Integrate 3-Party)
+
+
+
+
Фильтрация (журнал отфильтрованных подключений)
+
+
+
+
Журнал обращений клиентов к web
+
+
+
+
Таблица DHCP клиент/сервер
+
+
+
+
Централизованный мониторинг и управление
несколькими устройствами
-
+
+
+
High Availability (HA)
+
-
+
+
Защита сессий в Firewall и VPN
-
-
+
-
Кластер Active-Active и распределение нагрузки
+
-
-
-
Кластер Active-Standby
-
-
+
+
Определение неисправности устройства
+
-
+
+
Синхронизация состояния
+
-
+
+
Уведомление по сети в случае неисправности
+
-
+
+
Web-фильтр, запросов/с
-
6000
7400
1131,86
Почтовый фильтр, писем/мин
-
1000
800
+
IDS/IPS, Мбит/с
-
1024
3200
-
Антивирусная защита
+
+
+
+
Потоковый антивирус
+
+
+
-
Возможность обнаружения вирусов "нулевого дня"
-
+
+
+
Наличие локальной “песочницы” для использования на
площадке заказчика
-
-
-
-
Список поддерживаемых для поведенческого анализа
типов файлов
-
-
-
-
DLP
+
-
-
-
Фильтры содержания
Журналы/Мониторинг
Кластеризация
Возможности UTM (Unified Threat Management)
22 •
tehoboz_firew 4/26/16 12:05 PM Page 23
www.itsec.ru
БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ СРЕДЫ
"Континент"
"С-Терра Шлюз
7000 HP"
Traffic Inspector
VPN/FW
"ЗАСТАВА",
версия 6
Шлюз безопасCisco
ности 13500 Next
Generation
Firewall
FortiGate
FG-1000C
2,7 Гбит/с
(собственный
протокол)
7 Гбит/с при
использовании
JumboFrame
-
4 Гбит/с на одном 3 814
ПАК
Не применимо
-
-
н/д
-
-
17 000
Не применимо
8000
2,7 Гбит/с
н/д
-
-
-
Не применимо
-
-
н/д
-
-
-
Не применимо
8000
+
+
+
-
+
+
+
+
+
-
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
-
-
+
+
+
+
+
+
-
-
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
+
-
-
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
+
-
-
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
+
+
-
-
+
+
+
+
+
+
-
-
+
н/д
+
н/д
-
+
-
75 000
Зависит
от модели
н/д
н/д
-
+
-
90 000
1 млн писем/час
н/д
IDS, 600
Отдельный
продукт
-
-
IPS, 7800
60 Гбит/с
6 Гбит/с
н/д
-
+
-
+
+
+
н/д
-
+
-
+
+
+
н/д
-
+
-
+
+
+
н/д
-
-
-
+
+
+
н/д
-
-
-
40 типов файлов
40 типов файлов
Без ограничений
н/д
-
-
-
+
+
+
Полный вариант таблицы читайте в разделе "Материалы" на сайте:
http://www.itsec.ru/articles2/firewall/review-2016
• 23
krugly_stol 4/22/16 4:18 PM Page 24
СПЕЦРАЗДЕЛ
Можно ли доверять Интернету вещей?
“И
нтернет вещей", или Internet of Things (IoT), – новый этап развития Интернета.
Но немаловажным вопросом остается защита конфиденциальных данных. Использование беспроводной технологии для связи между отдельными устройствами способно открыть злоумышленникам поистине бесконечные перспективы. Как не
допустить утечку информации и повысить уровень доверия и популярности концепции IoT, с редакцией журнала “Информационная безопасность/Information
Security" поделились эксперты:
Валерий Андреев, заместитель директора по науке и развитию ЗАО ИВК, к.ф.-м.н.
Максим Андреев, директор по бизнес-приложениям компании КРОК
Олеся Генне, частное образовательное учреждение дополнительного профессионального образования
“Центр предпринимательских рисков"
Александр Гуляев, начальник отдела сетевых проектов Центра сетевых решений компании
“Инфосистемы Джет"
Сергей Дядиченко, генеральный директор интернет-сервиса Wowworks
Анастасия Конькова, руководитель отдела анализа и управления бизнес-процессами Программы
МАЛИНА
Владимир Резин, руководитель департамента ИT-разработок компании СДЭК
Григорий Сизов, руководитель службы продаж телематических сервисов, ПАО “ВымпелКом"
Лев Толстиков, руководитель по развитию бизнеса KNX и SmartStruxure Lite компании Schneider Electric
Антон Шкарута, инженер компании “Андэк"
– Как вы оцениваете текущее
состояние и перспективы рынка
М2М/IoT-решений в России?
Олеся Генне
– Пожалуй, самый бурный рост мировой рынок
IoT-решений показал в
2014 и 2015 гг. По разным оценкам, он составил не менее 20%. Россия в этом плане отстает от мировых лидеров, таких как
США, однако также показывает непло-
24 •
хие результаты: по данным J’son &
Partners Consulting, на конец 2015 г.
общее число IoT-устройств в России
составило более 16 млн шт., а к 2018
г., согласно прогнозам, их будет уж
более 32 млн. Локомотивами роста
рынка выступят крупные государственные проекты, подтянутся и разработки для различных отраслей промышленности. Однако темпы роста,
скорее всего, замедлятся. В первую
очередь, скажется общее замедление
экономического развития и снижение
потребительской активности в секторе
B2C.
Александр Гуляев
– Области для применения M2M/IoT в России (как и в большей
части нашей планеты)
практически неисчерпаемы. А перспективы
определяются, прежде
всего, экономической целесообразностью. Если оценивать сегодняшнее
состояние рынка M2M/IoT, то здесь
есть три сегмента:
l энтузиастов, которые двигают эту
тему из некоторых практических
соображений;
l бюджетных организаций (муниципалитетов), которые будут, скорее
всего, сокращать бюджеты в условиях
кризиса;
l бизнеса, который внедряет подобные вещи только в случае, если это
начинает приносить деньги.
В российских условиях реальный рост
может быть только в бизнес-сегменте.
Например, те же электросбытовые
компании имеют пока еще небольшой
процент охваченных потребителей,
среди которых можно обеспечить рост
собираемости средств за электроэнергию за счет интеллектуальных
счетчиков и систем АИИСКУЭ, подключенных к сотовым сетям.
Для информации: по данным J’son &
Partners Consulting, на конец 2015 г.
общее число IoT-устройств в России
составило более 16 млн шт., включая
krugly_stol 4/22/16 4:18 PM Page 25
Internet of Things & Information Security
устройства, соединенные посредством
сотовых, фиксированных, Wi-Fi-сетей
и др. технологий ближнего действия
(Short Range Communications). Это
составляет 0,35% от общего числа
подключенных устройств в мире –
4,6 млрд единиц (оценки компании
Ericsson). По данным других аналитиков, к 2020 г. к сети будет подключено
более 50 млрд устройств M2M. И трафик от этих устройств будет превосходить трафик от людей в несколько
раз.
Анастасия Конькова
– Последние несколько
лет рынок IoT в России
начинает активно развиваться. Однако по
сравнению с общемировым уровнем наши
масштабы минимальны. Согласно исследованиям J’son &
Partners Consulting, на конец 2015 г.
общее число IoT-устройств в России
составило более 16 млн шт. Это
составляет 0,35% от общего числа
подключенных устройств в мире.
Несмотря на достаточно активные
темпы роста, доля российских
устройств вряд ли сильно изменится
в ближайшее время – России будет
трудно достигнуть высоких темпов
роста мирового рынка Интернета
вещей. На текущий момент мы сильно
отстаем в развитии данной сферы, и
это вряд ли изменится в ближайшие
годы.
Однако возрастающий интерес правительства к данному вопросу может
повлиять на ситуацию – 29 октября
2015 г. стало известно о разработке
Минпромторгом дорожной карты по
развитию Интернета вещей в России.
Одним из ключевых сторонников правительства в этом проекте станет
"Ростех". Грамотное финансирование
может помочь ускорить темпы.
Владимир Резин
– На текущий момент
это направление для
России
достаточно
новое. Исторически мы
немного отстаем от
зарубежных тенденций. Нужно четко осознавать, что существует разное понимание, что такое Интернет вещей.
Когда мы, с одной стороны, говорим
о том, что это некое решение для
конечного потребителя, – это одно, а
когда мы говорим об Интернете вещей
для бизнеса – это совсем другой
вопрос. Первое пока не готов оценить,
а по второму моменту скажу: по большей части сейчас российский рынок
находится в ожидании готовых решений, которые бы позволили бизнесу
стартануть вперед. Хотя сейчас уже
существует масса решений для компаний, которые позволяют автоматизировать и интегрировать разные
конечные устройства и агентов в
некую единую и интеллектуальную
сеть. Эта сеть позволит бизнесу не
столько вырасти, сколько совершить
эволюционный скачок. В общем, текущее состояние рынка М2М/IoT-решений оцениваю как слаборазвитое, но
перспективы в этом отношении для
бизнеса очень широки, скорее всего,
дальнейшее развитие как раз и будет
идти в этом векторе.
Григорий Сизов
– Рынок IoT в России
уже нельзя назвать
зарождающимся, но и
до состояния развитого нам еще очень далеко. Наверное, самый
подходящая характеристика – на грани бурного роста. Мы
видим несколько направлений, в которых в ближайшие годы будет достаточно бурный рост, и самое важное,
что кризисные явления стимулируют
применять M2M/IoT-технологии.
– В каких отраслях Интернет вещей
будет развиваться в первую
очередь?
Максим Андреев
– Интернет вещей
может способствовать
развитию тех направлений ИТ-рынка, где
используется большое
количество однотипных операций, удаленное управление множеством объектов
или мониторинг за ними.
В электроэнергетике сейчас одной из
первоочередных задач является энергоэффективность. С помощью умных
электросетей можно передавать и
потреблять ресурсы как можно выгоднее. А в городской среде – производить точный учет жилищно-коммунальных услуг, управлять транспортом, контролировать освещение улиц
и пр. В России состав технологий и
решений умного города постепенно
складывается, и вскоре мы сможем
наблюдать развитие интеллектуальных транспортных систем, комплексов
обеспечения безопасности, энергообеспечения и пр. Так, в Москве
информация с камер городского
видеонаблюдения уже передается в
Единый центр хранения данных на
обработку.
Интернет вещей также может способствовать развитию системы налогообложения и страхования. Напри-
www.itsec.ru
мер, уплату налогов на автомобиль
можно производить по факту использования, если контролировать этот
момент специальными датчиками.
Кроме того, известны эксперименты
по передаче результатов отслеживания физической активности с умных
браслетов страховым компаниям для
формирования индивидуальных тарифов или скидок при медицинском
страховании.
В сельском хозяйстве с помощью
Интернета вещей можно следить за
состоянием лесов и почвы, например
распыляя специальные сенсоры. А в
розничной торговле за счет использования технологии RFID-меток есть
возможность сократить участие персонала в обслуживании клиентов.
Александр Гуляев
На мой взгляд, активное развитие этой технологии будет там, где
есть понимание схемы
монетизации или есть
приоритетная задача.
Энергетика, транспорт,
безопасность.
По мнению того же J’son & Partners
Consulting, самый быстрорастущий в
России рынок M2M/IoT – это транспортный. Доля этого сегмента по итогам 2015 г. приблизилась к 50%. А в
ближайшие 5 лет, по данным аналитиков, количество подключенных
устройств на транспорте вырастет в
четыре раза.
Сергей Дядиченко
– Везде, где быстрая
обработка данных и их
аналитика помогут увеличить эффективность
бизнес-процессов.
Ритейл – безусловно.
Логистика,
сфера
обслуживания, коммунальное хозяйство – думаю, эти области сильно
изменятся уже в ближайшее время.
Анастасия Конькова
– Учитывая общую
идею – полную автоматизацию процессов
и исключение из них
человека для повышения эффективности, –
внедрение Интернета
вещей может принести пользу в различных отраслях, начиная от торговли
и заканчивая медициной.
Одним из основных направлений развития стоит выделить промышленность. Применение технологий IoT
позволит более тщательно контролировать и оптимизировать процесс производства, сократить издержки, обес-
• 25
krugly_stol 4/22/16 4:18 PM Page 26
СПЕЦРАЗДЕЛ
печить удаленную диагностику и т.д.
В нефтегазовом секторе, например,
используется удаленный мониторинг
трубопроводов. Кроме этого, сейчас
много проектов касается развития
умного дома – удаленный мониторинг
и управление всеми устройствами
(свет,
отопление,
музыкальные
устройства и т.д.), а также контроль
безопасности
(противопожарные
системы, датчики движения и т.п.).
Еще одной важной сферой является
торговля. Введение радиометок (RFIDметок) на товарах позволяет осуществлять удаленный мониторинг и
учет товара, оперативно проводить
инвентаризации, ускорение работы
кассы и т.д. Не сильно отстает автомобильная сфера – отслеживание
передвижений машины и мониторинг
грузоперевозок, контроль расхода
топлива, умное страхование, когда
страховка рассчитывается исходя из
данных мониторинга по вождению
клиента.
Владимир Резин
– С одной стороны –
развитие будет идти в
сторону конечных
устройств, потребителей, домашних
хозяйств, в направлении облегчения и оптимизации быта и жизни людей. Есть
тенденции, например, о наполнении
дорожных сетей датчиками, которые
позволят снизить загрузку нашего
дорожного хозяйства.
Второе направление – это, как уже
говорилось выше, развитие комплексных решений для бизнеса. Даже не
автоматизация, а, скорее, интеллектуализация. В последнее время очень
много ИТ-специалистов было направлено на продвижение идеи роботизации бизнес-процессов. С моей точки
зрения, развитие именно Интернета
вещей для бизнеса будет идти в сторону все более глубокого погружения
в интеллектуализацию бизнес-процессов по построению тех или иных
услуг и в производстве товаров.
Григорий Сизов
– В первую очередь,
это все, что связано с
автомобилями. В сегменте B2B-технологии
представлены
уже
достаточно широко, а
вот в сегменте частных
пользователей есть огромный потенциал. Также мы ожидаем бурный рост
в сегменте B2C-технологий для потребительской электроники и безопасности. От персональных систем мониторинга до комплексных решений в
сфере умного дома.
26 •
Антон Шкарута
– Первое широкое распространение концепция IoT получила в
промышленности
и
продолжает
развиваться в этом сегменте, т.к. плюсы в виде
оптимизации производства, повышения качества и эффективности
наглядны и очевидны. Однако достаточно перспективным IoT выглядит и
в сфере городской инфраструктуры.
Уже сейчас повсеместно внедряются
камеры автоматической фотофиксации, информационные табло, показывающие полезную и актуальную
информацию (пробки, ожидаемое
время прибытия следующего автобуса). К этому же относится и сфера
коммунальных услуг, самый яркий
пример – Италия, где было внедрено
самое большое количество интеллектуальных счетчиков электроэнергии,
что значительно повысило экономию
и упростило жизнь обычных граждан.
– Какие вызовы сейчас стоят перед
IoT?
Валерий Андреев
– Первый вызов –
найти реально востребованные ниши.
Второй – освободить
реализацию инфраструктуры IoT от какихлибо привязок к определенным сетям (4G, 5G и т.п.). Есть
только один надежный способ решения этой задачи – выбрать в качестве
инфраструктуры IoT инфраструктурное ПО, ориентированное на передачу
сообщений (MOM).
Олеся Генне
– В настоящее время
одной из основных
проблем IoT-решений
является обеспечение
безопасности. Так, уже
8 лет назад в отчете
Национального разведывательного совета США Интернет
вещей назывался потенциально опасной технологией. Действительно, производители решений IoT изначально
не задумывались (и пока еще не задумываются массово) о безопасности:
большинство приборов или вовсе не
имеют защиты, или она минимальна,
и они могут стать открытыми шлюзами
для атаки на информационные сети
или прямыми источниками угроз
своим владельцам. Хотя это в основном касается сектора бытовой техники, тем не менее, и в промышленном
секторе дела обстоят неважно. В погоне за модным направлением и желанием быть первыми разработчики IoTрешений, к сожалению, не всегда
уделяют должное внимание обеспечению безопасности систем.
Александр Гуляев
– Наверное, самый
важный вызов – это
болезнь роста. Аналитики постоянно предрекают десятки миллиардов подключенных
устройств к 20хх г. В
результате в этом сегменте рынка
появляется и исчезает множество компаний, но единообразных стандартов
(единых протоколов взаимодействия
устройств разных производителей
между собой, с внешней средой,
настроек безопасности) все еще нет.
И поэтому даже если все эти устройства захотят "захватить мир", без единых стандартов они друг с другом
эффективно взаимодействовать не
смогут.
Анастасия Конькова
– На текущий момент
все проекты, касающиеся IoT, разрознены
– фирмы пользуются
своими стандартами и
протоколами. Сама же
концепция Интернета
вещей подразумевает, что каждое
устройство сможет взаимодействовать с любым другим. Поэтому
неизбежно встает вопрос разработки
универсальных спецификаций взаимодействия с датчиками и другими
устройствами. Вопрос очень важен,
т.к. затрагивает саму идею Интернета
вещей, однако данная универсализация может привести к тому, что текущие лидирующие компании могут
потерять часть рынка, т.к. это позволит людям более гибко пользоваться
IoT, с легкостью объединяя устройства
разных фирм.
Еще одной проблемой является питание датчиков – растущее количество
устройств подразумевает огромное
количество датчиков, которые должны
работать автономно. Разработка
новых способов питания является важным вопросом в развитии всего IoT.
Григорий Сизов
– Основной вызов, на
мой взгляд, – это изменение сознания потребителей, как частных,
так и корпоративных,
что IoT – это в первую
очередь сервис, а не
оборудование или приложение. Дан-
krugly_stol 4/22/16 4:18 PM Page 27
Internet of Things & Information Security
ная концепция подразумевает предоставление удобного, востребованного
и качественного сервиса, за который
готов платить клиент. Сегодня большой набор таких услуг предоставляется бесплатно и зачастую с таким
же бесплатным сервисом, за качество
которого даже не у кого и спросить.
Лев Толстиков
–
Самый
главный
вызов, стоящий перед
Интернетом вещей, –
это вопрос передачи
данных. В первую очередь нужно решить
проблему коммуникации между клиентом и сервером, а
именно обеспечить ее безопасность,
неуязвимость перед внешними воздействиями и злоумышенниками. Сейчас основные проекты Интернета
вещей реализуются на основе односторонней связи: мы отправляем данные, и они передаются на определенный сервер. Дальнейшее исправление
процессов на объекте выполняется
специалистами "на местах". Односторонняя связь не совсем соответствует
идее Интернета вещей.
Второй вызов – проблема коммерциализации Интернета вещей. В качестве примера рассмотрим рынок
систем
автоматизации
зданий.
Системные интеграторы зачастую
привыкли работать по схеме: они приходят на объект, оценивают его
согласно техническому заданию клиента, выполняют инсталляцию, пусконаладку и уходят с проекта с последующим его сервисным обслуживанием. Максимум – после его завершения производится гарантийный сервис. Никто сейчас не продает услуги
так называемой продленной пусконаладки, или энергосервисные контракты. Наши интеграторы должны
научиться рассчитывать полную стоимость внедрения, обслуживания и эксплуатации объекта на определенный
период, потом ввести n-ную плату
для своего конечного клиента по предоставлению услуг эксплуатации здания с определенными показателями
энергопотребления.
Немаловажен и вопрос юридической
составляющей – правильно оформленных договоров в данной сфере
пока просто не существует.
– Готов ли бизнес полностью
довериться данным от удаленных
устройств, исключив целиком
человеческий фактор?
Сергей Дядиченко
– Человеческий фактор
никуда не денется. Воспринимать-то данные,
анализировать их и принимать решение все
равно будет человек.
Изменится только точка
принятия этих решений. В том, что касается бизнес-аналитики и других критически важных данных, последнее слово
все равно останется за человеком.
Анастасия Конькова
– Учитывая текущий
уровень развития IoT,
пока о полном отказе
от участия человека
говорить рано. Но тенденции показывают,
что в некоторых сферах это будет вполне возможно.
www.itsec.ru
– А вы доверите принятие решения
"машине"?
Александр Гуляев
– На мой взгляд, не
совсем
корректный
вопрос. Дело в том, что
IoT/M2M – это, прежде
всего, сбор, обмен данными и передача управляющих
воздействий.
Принятие решений "машиной" – это совсем
другое. Все решения, которые сейчас принимают интеллектуальные устройства, –
безопасные, на уровне простейших алгоритмов. И здесь все более-менее понятно:
никто не задается вопросом – доверяете
ли вы холодильнику в вопросе поддержания
температуры?
На базе IoT/M2M появляется возможность
получать и обрабатывать большие объемы
распределенно собираемых данных. А процесс принятия решений на базе обработки
этих данных – на мой взгляд, это уже тема
искусственного интеллекта, какого-то "Скайнета", отдельная область знаний с иными
подходами.
Анастасия Конькова
Владимир Резин
– На текущий момент
мы не готовы к тому,
чтобы полностью отказаться от человеческого фактора. Другое
дело, что Интернет
вещей и в принципе
работа удаленных устройств позволяет снизить зависимость от рутинных
операций и перевести работу людей
к контролирующим и интеллектуальным функциям. В будущем удаленные
устройства займут нишу, где требуется автоматизация всех процессов,
а человек, в свою очередь, займется
контролем и интеллектуальным наполнением рабочего процесса.
– Я считаю, что вся концепция должна помочь
людям получить больше
управляемости за устройствами, процессами, но
финальный контроль все
равно должен быть за
человеком – в той или иной степени.
Владимир Резин
– Я как ИT-специалист,
больше доверяю компьютеру и любым гаджетам, поэтому абсолютно готов. Опять же,
не в ключевых решениях.
Григорий Сизов
Григорий Сизов
– Это важный фактор
сознания. Однозначно
да. Сенсор или датчик
не будут врать, если
исправны. Но важнее
тот факт, что они не
умеют и не хотят
оправдываться. Скажут все как было.
– Однозначно да, пусть
даже оно будет ошибочным. Важно
научить "машину"
делать правильные
выводы на основе полученной информации,
только так мы научим и запрограммируем ее поступать правильно. Ведь
компьютеру уже нет равных в шахматах, а, например, навигатор частенько
приводит нас в глухую пробку. Хотя
шахматы намного сложнее оценки
моментальной ситуации на дорогах и
построения маршрута согласно накопленным статистическим данным. Навигатор тоже скоро научится, это нормальный процесс трансформации
нашего сознания и прогресса.
• 27
krugly_stol 4/22/16 4:18 PM Page 28
СПЕЦРАЗДЕЛ
Олеся Генне, частное образовательное учреждение дополнительного профессионального образования
“Центр предпринимательских рисков"
Александр Гуляев, начальник отдела сетевых проектов Центра сетевых решений компании
“Инфосистемы Джет"
Сергей Денисюк, CEO и основатель студии разработки мобильных приложений MobileUp
Сергей Кондаков, руководитель направления платформ дополнительных операторских сервисов
компании CTI
Анастасия Конькова, руководитель отдела анализа и управления бизнес-процессами Программы
МАЛИНА
Алексей Оськин, руководитель отдела технического маркетинга ESET Russia
Михаил Пиняев, аналитик компании “МФИ Софт"
Владимир Резин, руководитель департамента ИT-разработок компании СДЭК
Григорий Сизов, руководитель службы продаж телематических сервисов, ПАО “ВымпелКом"
Юлия Федькина, директор по развитию Smart House Tangus
Константин Черноусов, заместитель генерального директора VESOLV
– Что, на ваш взгляд, важнее для
бизнеса в кризисный период:
инвестиции в решения IoT и
трансформацию бизнеса или
инвестиции в традиционное ИТрешение?
Александр Гуляев
– Все зависит от бизнеса. Трансформация
бизнеса – всегда интересная и востребованная тема, но это
вопрос не к IоT, а к
самому бизнесу. Если
бизнесу для роста и зарабатывания
денег нужна трансформация, а для
ее проведения нужен IоT – почему бы
его не применить?
Анастасия Конькова
– Я считаю, здесь
нужно исходить из
сферы и потребностей
бизнеса на текущий
момент, а также из
выгоды, которую бизнес может получить за
счет внедрения. Рынок IoT-решений,
по сути, находится еще в зачаточном
состоянии, поэтому любые разработки
стоят дорого. Крупным компаниям
имеет смысл инвестировать в IoT, если
они понимают, каким образом это
использовать в дальнейшем, и готовы
перестраивать бизнес-процессы компании под абсолютно новый формат.
Маленьким консервативным компаниям, по большей части, имеет смысл
подождать, когда будет достигнута
определенная унификация в протоколах доступа и управления устройствами, что неизбежно повысит конкуренцию, а следовательно, и снизит цену
на сами решения IoT.
28 •
Владимир Резин
– На текущий момент
разделять Интернет
вещей и традиционные
ИT-решения достаточно сложно. Наша компания, скорее, идет по
первому пути, инвестируя в решения IoT, трансформируя
наш бизнес. Традиционные ИT-решения постепенно остаются за пределами нашего интереса.
Григорий Сизов
– На мой взгляд, сейчас есть 2 варианта
развития любого ИТпроекта: или ничего не
делать и сохранить
деньги, или рисковать.
– Какое главное препятствие для
внедрения технологий на базе IoT?
Олеся Генне
– Одним из препятствий для внедрения
технологий IoT (это
касается в основном
потребительского сектора) является некий
"психологический
барьер": не каждый из нас готов полностью довериться холодильнику или
утюгу. А так как системы пока несовершенны, то неудивительно, что
потребитель опасается за свою безопасность, за свою privacy. Можно
вспомнить бунты против ткацких станков и других технологических новинок.
Однако это не остановило технологическую революцию. Интернет вещей
krugly_stol 4/22/16 4:18 PM Page 29
Internet of Things & Information Security
тоже потихоньку пробьет психологические барьеры и станет неотъемлемой частью нашей повседневной
жизни.
С другой стороны, технологии IoT
находятся еще на стадии развития, и
в настоящее время отсутствуют единые стандарты и протоколы. Каждая
ассоциация, каждый производитель
разрабатывает свои стандарты и протоколы передачи данных, что в значительной степени затрудняет интеграцию и обуславливает несовместимость устройств различных производителей.
Анастасия Конькова
– Основным препятствием
является
вопрос информационной безопасности. С
учетом курса на унификацию потенциально любой человек
может получить доступ к устройствам
– и тогда они из ваших помощников
превращаются во вредителей, хранящих при этом массу информации о
вас. И это может стать действительно
опасным.
Что же касается промышленности, то
здесь, по большей части, проблемы
могут возникнуть в процессе интеграции с текущей инфраструктурой предприятия. Производство может оказаться не готово кардинально и оперативно менять свои бизнес-процессы,
устоявшиеся за много десятков лет.
Михаил Пиняев
– M2M в промышленном производстве –
значимый канал коммуникаций и требует
той же защиты, что и
межличностное общение. При использовании M2M образуется большое количество данных, и несанкционированный доступ к ним влечет негативные
последствия для предприятий.
IoT – это "гражданское АСУ ТП",
управляющее климатом помещений,
освещением и др. аспектами жизни.
Сбой их работы – это риск распространения личных данных владельца
о платежах, медицинских записях, а
подчас и необратимые разрушительные действия системы.
Защита данных M2M и IoT ложится
как на производителя устройств, так
и на пользователя. Решение – дополнительные контуры контроля в самих
системах и внешние средства, регулирующие
параметры
работы
устройств, процессы передачи доступа
и модификации информации.
Подобные разработки уже применяются в бизнесе и промышленности, и их
производителям стоит обратить внимание на тренды M2M/IoT и адаптироваться к ним.
Владимир Резин
– Ключевая проблема
для развития данного
направления – это
отсутствие стандартов
в индустрии. Наличие
большого количества
разнообразных агентов на конечных устройствах, отсутствие стандартизации и правил взаимодействия между ними, интеграции
в одну интеллектуальную систему –
вот что я имею в виду. Это огромная
и сложная, во многом техническая
задача. Но она не позволяет двигаться
дальше в хорошем темпе.
www.itsec.ru
мость встраивания в инфраструктуру
IoT чрезмерна.
Выбор конечных потребителей определяется ценностью новых функций в
устройствах и WOW-эффектом. Большинству людей не нужно то, что предлагают производители. Так, с 2008 по
2009 г. из Mercedes Benz убрали
более 600 функций, не востребованных водителями. IoT спокойнее воспринимается тогда, когда не принимает решение за человека, а предоставляет полезную информацию. При
этом стоимость устройства, использующего Интернет вещей, должна
быть конкурентной.
– Что должно произойти в сфере
технологий, чтобы Интернет вещей
стал обыденным делом? И когда это
может случиться?
Григорий Сизов
Александр Гуляев
– Неизвестность. До
момента
внедрения
системы мониторинга
корпоративного транспорта, например, многие руководители не
могут даже представить какие будут итоги. Предположения, даже самые плохие, зачастую
даже и близко не описывают происходящее на самом деле. Время простоя, перепробеги и использование
транспорта не по назначению зачастую удивляют видавших виды. Или,
в этой же отрасли, находчивость водителей в борьбе с системами мониторинга. С другой стороны, часть проектов в сферах энергетики, например,
могут не окупаться. И заранее предсказать результат не всегда возможно. Наверное, поэтому внедрение
новых технологий не всегда приоритетно в компаниях с устоявшимся бизнесом. Многие думают, что знают про
бизнес все, и действительно, хоть и
очень редко, так и оказывается. Во
всех остальных случаях технологии
IoT открывают новые горизонты для
решений и оптимизации рутинных операций.
Константин Черноусов
Главным препятствием
на пути внедрения технологий на базе IoT
является их ценность
для конечных пользователей и компаний по
сравнению с привносимой пользой. Выбирая технологию,
компании сравнивают затраты на ее
внедрение и выгоду. Компании, определившие источник выгоды от IoT,
уже давно пользуются и планируют
дальнейшее развитие. Для большинства же профит сомнительный, а стои-
– В общем, он уже стал
обыденным
делом.
Каждый может в том
или ином виде стать
пользователем этой
технологии,
купив,
например, себе готовый интеллектуальный датчик и подключив его к Интернету. Либо собрав
подобное устройство путем интеграции одной из популярных DIY-платформ (Raspberry Pi, Arduino и т.д.) и
запрограммировав самостоятельно.
Вопрос желания и возможностей.
Сергей Денисюк
–
Должно
пройти
время. Сейчас идет
этап первых внедрений
и накопления опыта
использования
IoT.
Следующим
шагом
будет более массовое
внедрение Интернета вещей в тех
областях, где польза наиболее ощутима. Все технологии уже есть, изменения должны случиться в сфере коммерциализации и законодательства,
а это активно происходит уже сейчас.
Этот год может стать переходным.
Сергей Кондаков
– Интернет вещей на
данный момент существует скорее на уровне концепции, а применение IoT ограничивается
точечными
внедрениями. Интернет вещей сильно шагнет вперед и
станет повседневной реальностью,
когда появятся компактные миниатюрные компьютеры, созданные на
базе одного чипа с беспроводным
• 29
krugly_stol 4/22/16 4:18 PM Page 30
СПЕЦРАЗДЕЛ
интерфейсом и хорошими показателями энергопотребления; появятся
платформы для быстрой разработки
действительно интеллектуальных приложений; а стоимость ключевых элементов, необходимых для интегрирования в различные электронные приборы, станет очень низкой. Только
при соблюдении перечисленных условий станут возможны масштабные
внедрения с ощутимыми пользой и
бизнес-выгодой.
нется всего один решающий фактор
– психология людей, которые в основной массе еще не совсем готовы
довериться в принятии важных решений машине. Это даже ключевой сдерживающий момент в развитии индустрии на ближайшие несколько лет.
Тем не менее, со временем мы преодолеем эти проблемы, и Интернет
вещей станет доступным и привычным
для нас. Надеюсь, в ближайшие 5–10
лет.
Анастасия Конькова
Григорий Сизов
–
Основная
точка
роста – это унификация стандартов и протоколов взаимодействия устройств. Это
позволит более оперативно развивать проекты по Интернету вещей (каждому
отдельному проекту не придется с
нуля разрабатывать свои стандарты),
а также потенциально сможет снизить
цену тех или иных умных решений.
Уже сейчас образуются объединения,
работающие над созданием и развитием открытой структуры, позволяющей различным устройствам взаимодействовать друг с другом – такие
как AllSeen и Thread. Так что в ближайшие лет 5, вероятнее всего, нас
ждут глобальные изменения.
– В сфере IoT сейчас
происходит почти технологическая революция. За последние 10
лет мы уже привыкли
ко многим технологиям
IoT. Но в следующие
10 лет они станут неотъемлемой
частью нашей жизни. Это будет уже
базис для развития новых поколений
приложений, устройств и сервисов.
Мы ожидаем, конечно, дальнейшее
развитие стандартов и технологий
связи, удешевления аккумуляторов
при одновременном увеличении емкости и многих других технологий.
Думаю, через 5 лет для нас уже не
будет чудом автомобиль с автопилотом, и мы их будем встречать на улицах наших городов. И вот тогда можно
будет сказать с уверенностью, что
IoT-технологии распространены как
сейчас телевизоры и холодильники,
например. О них будут знать все!
Владимир Резин
– С моей точки зрения,
здесь влияют два фактора. Первое, как уже
говорил, отсутствие
стандартов. Если все
же те движения, что
сейчас происходят в
мире, придут к своему логическому
завершению, т.е. стандарты для индустрии будут разработаны, опубликованы и начнут внедряться, то оста-
Юлия Федькина
– Сейчас основным
препятствием является непонимание и
огромное количество
мифов об Интернете
вещей. В сфере технологий многое уже
случилось – только самый ленивый
производитель не представил умную
продукцию. Пока приборов много, а
единое управление ими в отдельно
взятом пространстве реализуется с
трудом. Технологии умного дома во
многом решают эту задачу, но каждый раз создание единого интерфейса управления – задача трудоемкая.
Прогнозируется, что к 2019 г. в каждом доме будет как минимум 24 типичных представителя IoT.
– Какие вызовы сейчас стоят перед
Интернетом вещей?
Алексей Оськин
– Один из вызовов для
Интернета вещей –
заложить
безопасность в основу новых
технологий. Многие
производители гаджетов и разработчики
сервисов работают в этом направлении, например поощряют и оплачивают исследования ИБ-специалистов
и тесты на предмет взлома. На уровне отраслей и государства разрабатываются новые стандарты безопасности. Важна разработка безопасных
технологий и для массового рынка, и
для бизнеса, производства и государства.
Владимир Резин
– Сейчас все бредят и
зачастую спекулируют
идеей умного дома.
Думаю, это первый и
реальный пример, на
основе
которого
можно
продвигать
идеи IoT в массы. Здесь не столько
технология, сколько идеология умного дома найдет применение не только
на страницах фантастических книг
или футуристических обзоров, но и в
реальной жизни. Когда с мобильного
телефона мы сможем управлять,
автоматизировать, программировать
поведение нашего жилища, используя только свой мозг без использования каких-то внешних помощников.
Знать все, что происходит при нас,
без нас. Во многом Интернет вещей,
может быть, подстегнет еще и мировая борьба за экологию. Использование таких идей позволит минимизировать затраты на энергию, например, да и в целом всего на свете, что
дает нам комфорт. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
30 •
kolganova 4/22/16 4:19 PM Page 31
www.itsec.ru
Internet of Things & Information Security
Безопасность M2M-коммуникаций
Марина Колганова, руководитель подразделения Applications & Analytics, регион
Восточная Европа, Nokia
Т
ехнологии Интернета устройств (IoT) стремительно меняют
нашу повседневную жизнь во всех ее сферах, от профессиональной до социальной. Появляются новые решения в самых
разных областях – от автомобилей и домов с сетевыми возможностями до подключенных к сети “интеллектуальных
городов" и промышленных предприятий, и все они разрабатываются благодаря достижениям в сфере межмашинных (M2M)
коммуникаций.
Ко всем подключенным объектам, которых уже на сегодняшний день насчитываются миллиарды, предъявляются те же требования безопасности, что и к
мобильным телефонам, компьютерам и другим электронным
устройствам. Однако в связи с
автономностью функционирования устройств M2M требуются
дополнительные меры безопасности, исходя из особенностей
межмашинных коммуникаций.
Согласно недавнему прогнозу
аналитиков Gartner, к концу
2020 г. IoT будет объединять почти
25 млрд (по три на каждого жителя планеты). Соответственно,
появляется необходимость защиты от потенциальных угроз. К
устройствам, объединенным сетями M2M, предъявляется ряд требований: подключения устройств
к сети должны быть безопасными;
следует обеспечить защиту данных; необходимо соблюдать конфиденциальность, чтобы устройства не подвергались атакам
хакеров, злонамеренному воздействию и другим сетевым угрозам.
Особенности управления
Устройства M2M после развертывания требуют удаленного
управления. Подавляющее большинство датчиков, камер, приборов учета, мониторов, приводных
механизмов и контроллеров, из
которых состоят сети M2M, не
имеют имен, а некоторые – и традиционного интерфейса пользователя. Многие из них предназначены для работы без обслуживания на протяжении длительного времени и не предусматривают физического вмешательства
человека.
Уведомления или отказы
устройств, которые применяются в критически важных системах (таких как трубопроводы,
медицинские системы мониторинга или системы безопасности
зданий), необходимо обрабатывать в реальном времени, чтобы
обеспечить
бесперебойное
обслуживание. Что не менее
важно, корректирующие действия должны выполняться автоматически либо самими устройствами M2M, в зависимости от
политик безопасности. И, наконец, данные, получаемые и
передаваемые устройствами
M2M, должны быть контролируемыми, что позволит обеспечить их точность, управляемость
и нормативно-правовое соответствие.
Безопасность М2Мустройств
Архитектуры управления безопасностью для устройств M2M
должны содержать три ключевых
компонента. Во-первых, каждое
устройство должно обладать
"неизменной идентифицируемостью". Управление идентификацией – аутентификация, или
подтверждение
подлинности
устройства, его авторизация или
регистрация для доступа, а также
управление специальными привилегиями и сервисами, доступными данному устройству, – первый необходимый шаг в обеспечении безопасности устройств,
используемых в данном виде коммуникаций.
Дополнительная
сложность заключается в том,
что подавляющее большинство
устройств M2M не будут использовать прямые подключения. Вместо этого они будут объединены
в локальные конфигурации
PAN/LAN, агрегированные с помощью общего шлюза, который
обеспечивает точку входа в сеть
мобильной связи провайдера. И
идентификацией каждого устройства, в том числе и самого шлюза,
необходимо управлять. Также
необходима возможность безопасного управления группами
устройств, подключенными через
один шлюз.
Второй ключевой компонент
безопасности
устройств M2M – установление надежного канала
коммуникации для управления устройством. Такой
канал должен предоставлять
средства проверки подлинности
устройства, обеспечивать конфиденциальность данных, передаваемых и принимаемых устройством, защищать целостность
этих данных и обеспечивать
доступность устройства.
И, наконец, чтобы обеспечить
постоянную безопасность приложений M2M, которые используют
данное устройство, управляют им
или работают на нем, необходима
доверенная программная среда.
Надежное
микропрограммное
обеспечение, подписанное
неизменным идентификатором
устройства и передаваемое на
него по безопасному каналу коммуникации, обеспечивает наиболее
безопасную доверенную программную среду для устройств M2М.
Мы кратко рассмотрели основные аспекты обеспечения безопасности
М2М-соединений.
Согласно прогнозам, к 2025 г.
Интернет устройств должен охватить порядка 50 млрд подключенных элементов. Эти многочисленные и обширные подключения серьезно отразятся на сетях
мобильной связи и при этом
откроют отличные возможности
для абсолютно новых сценариев
использования, значительно отличающихся от обычных подключений для смартфонов. При использовании правильных технологий
мобильной связи и мощных функций обеспечения безопасности
операторы смогут занять ведущие
позиции, реализуя потрясающие
возможности, которые открывает
Интернет вещей. l
Международная организация по стандартизации
"Открытый альянс мобильной связи" (Open Mobile Alliance™, OMA) предложила
ряд функциональных возможностей для безопасного
стандартизованного управления устройствами M2M на
всех этапах взаимодействия. Спецификация OMA
Device Management (DM)
V1.3 и сопутствующие средства обеспечивают протоколы для создания безопасного канала связи, предназначенного для управления
устройствами M2M. Для
управления упрощенными
устройствами с ограниченной функциональностью,
такими как датчики, приводные механизмы и контроллеры, Nokia использует протокол OMA DM Lightweight
M2M.
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 31
manyk 4/25/16 12:53 PM Page 32
ПРАВО И НОРМАТИВЫ
Правовые основы безопасности виртуальной среды
Павел Манык, ведущий юрист, ООО “Юридическая компания “БЕЛЫЙ КВАДРАТ"
Н
а страницах данного издания не раз поднимались вопросы
взаимодействия права и технологий, но сегодня мы поговорим
не только о праве, но и о вполне определенных вещах –
Интернете вещей (IoT). Само по себе понятие не новое,
введено в обиход еще в 1999 г., но понимаем ли мы до конца
всю суть данного термина с точки зрения рассматриваемых
нами алгоритмов взаимодействия вещей и права?
Сразу хочу сказать, что
в современном мире
высоких
технологий
много сил и средств тратится на автоматизацию
и упрощение любых алгоритмов, будь то взаимодействие человека и различных
устройств или взаимодействие
самих устройств между собой.
Принимая во внимание нарастающие тенденции, становится
понятно, что именно взаимодействию самих IoT уделяется особое внимание, и именно на этом
вопросе очень хочется остановиться подробнее, чтобы понять,
а остается ли для нас, людей,
место в этом взаимодействии?
Управляем ли мы всеми процессами рассматриваемого алгоритма, кто и в какой момент
принимает решения?
частную личную жизнь граждан.
Все объекты, к которым применимо понятие IoT, оснащены
интерфейсами подключения к
сетям передачи данных, что
крайне необходимо для идентификации
этих
объектов
("вещей"). В качестве таких технологий могут использоваться
все средства, применяемые для
автоматической идентификации:
оптически
распознаваемые
идентификаторы
(QR-коды,
штрих-коды, Data Matrix), номера
мобильных телефонов, IP-адреса, средства определения местонахождения в режиме реального
времени. При всеобъемлющем
распространении IoT принципиально обеспечить уникальность
идентификаторов объектов, что,
в свою очередь, требует стандартизации.
IoT-наша защита
или угроза?
Много написано о том, как в
будущем все IoT будут функционировать самостоятельно, принимая решения и прорабатывая
собственные алгоритмы, направленные на выполнение наших
ежедневных потребностей, тем
самым улучшая быт. Попробуем
посмотреть на это с точки зрения
рукотворного и неотъемлемого
элемента человеческого общества – права. По моему мнению,
именно право является и определяющим аспектом построения
всего современного мира, и
сдерживающим элементом контроля, устанавливающим барьер
невмешательства, в том числе в
32 •
Еще недавно мы подробно
разбирали вопрос о том, что
именно необходимо учесть компании для соблюдения требований 152-ФЗ "О персональных
данных". Так, например, в соответствии с п. 1, ч. 1, ст. 6 152-ФЗ
"О персональных данных" обработка персональных данных осуществляется с согласия субъекта
ПДн на обработку его персональных данных. Таким образом,
именно этот аспект является
своего рода рубежом на пути
получения персональных данных,
в том числе при использовании
автоматических средств передачи данных.
Отдельный вопрос, хотим ли
мы переходить к такому уровню
автоматизации и готовы ли мы к
этому. Но пройдет еще немного
времени, и эти технологии прочно войдут в нашу жизнь. И тут
прежде всего задаешься вопросом, присущим каждому живому
существу, – вопросом безопасности, а именно: IoT – наша
защита или угроза? Насколько
разумно поручать устройствам
выполнять ту или иную работу,
перекладывая на них, в том
числе, и ответственность за возможные последствия в случае
чего. Так, например, возникает
ряд вопросов относительно того,
кому предъявлять претензии в
случае, если беспилотный автомобиль, не дай бог, собьет человека? Вариантов несколько, и
только досконально проработав
каждый, разграничив зоны ответственности элементов или компаний, задействованных в движении беспилотного автомобиля,
можно определить правильный
алгоритм и прийти к нужному
результату. Помимо правовых
аспектов, подобные вопросы
рождают непримиримую дискуссию сторонников и противников
популяризации IoT.
Принимая во внимание все
перечисленные аспекты, приходишь к выводу, что наиболее
правильно доверять только проверенным устройствам, но даже
на этом этапе есть риски, связанные с возможностью взлома
любого устройства.
Говоря о концепции IoT как о
неотъемлемом элементе общества и простирая взор научнотехнического прогресса в будущее, по обычаю проводишь аналогии с нашим настоящим, думая
о том, а как будет работать
закон тогда. Но уже сейчас,
используя, например, приложение для смартфона, которое осуществляет мониторинг ряда
показателей во время твоей пробежки в парке, необходимо дать
приложению согласие на обработку персональных данных.
Конечно, далее все происходит
автоматически, и все опции,
доступные этому приложению, в
полном объеме собирают информацию о нас и отправляют на
некие серверы. И вот тут, невольно задумываясь об объеме полученной информации, понимаешь,
что этот объем растет, потому
как совокупность полученной
информации – это уже не те
отдельные элементы данных о
человеке, а целостная картина,
manyk 4/22/16 4:19 PM Page 33
www.itsec.ru
ПРАВО И НОРМАТИВЫ
позволяющая, например, определить возможные отклонения
в здоровье, а это уже категория
данных о человеке, которую
можно смело отнести к врачебной тайне. Совокупный объем
данных, представляющий собой
информацию о состоянии здоровья человека, – это и есть та
часть, которая должна охраняться врачебной тайной и не должна
никому быть известной.
Стоит отметить, что ответственность за разглашение таких
сведений вполне реальна. Так,
например, в соответствии с
частью 1, 2, ст. 13 Федерального
закона (№ 323-ФЗ "Об основах
охраны здоровья граждан в Российской Федерации") к сведениям, составляющим врачебную
тайну, разглашение которых не
допускается, в том числе после
смерти гражданина, относятся:
l сведения о факте обращения
гражданина за оказанием
медицинской помощи;
l сведения о состоянии здоровья и диагнозе гражданина;
l иные сведения, полученные
при медицинском обследовании и лечении гражданина.
Разглашение и наказание
Таким образом, медицинская
организация обязана соблюдать
врачебную тайну во всех случаях,
пока гражданин или его законный
представитель не дали письменное согласие1 на передачу этих
сведений другим лицам (п. 4 ч. 1
ст. 792, ч. 3 ст. 133 Закона от
21.11.2011 № 323-ФЗ). Но можно
сказать, что эти требования
относятся только к медицинским учреждениям. Так ли это
на самом деле?
В соответствии со ст. 13.144
КоАП РФ (ч. 1 ст. 28.45 КоАП
РФ) гражданин вправе обратиться к прокурору с заявлением о возбуждении дела об административном правонарушении.
В примечании к указанной
статье говорится, что КоАП РФ
предусматривает административную ответственность за разглашение информации, доступ
к которой ограничен федеральным законом (в том числе врачебной тайны), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных
обязанностей.
Исключение
составляют случаи, если разглашение такой информации
влечет уголовную ответственность. Также стоит отметить,
что гражданин вправе обратиться в Следственный комитет
РФ с заявлением о возбуждении уголовного дела по признакам преступления, предусмотренного ст. 1376 УК РФ
(п. "а" ч. 2 ст. 1517 УПК РФ).
В примечании к указанной
статье говорится, что ст. 1378
УК РФ предусматривает уголовную ответственность за
незаконное собирание или распространение сведений о частной жизни лица, составляющих
его личную или семейную тайну,
без его согласия, либо распространение этих сведений в пуб-
личном выступлении, публично
демонстрируемом произведении или СМИ, а также за те же
деяния, совершенные лицом с
использованием своего служебного положения. Из приведенных статей ясно, что к ответственности может быть привлечено любое лицо, нарушающее ФЗ. Вот и получается, что
ради комфорта мы неизбежно
жертвуем неприкосновенностью
личной жизни, сведениями о
состоянии здоровья, наших
интересах и пр. Выходит, что
пока приложения и IoT не
выполняют никаких действий
без их подтверждения, требования закона соблюдаются, но
внимательность при подтверждении тех или иных прав на
доступ к конфиденциальной
информации явно не будет лишней. Не исключено, что в какойто момент многие принципы
построения взаимодействия
между правом и технологиями
сильно поменяются под влиянием последних. Эта тенденция
прослеживается уже сегодня на
фоне того, как предприятия различного уровня воспринимают
ИТ-безопасность, изменяя стандарты защиты корпоративных
данных. Вполне возможно, что
возрастет и наша безопасность,
что позволит сделать жизнь
еще более комфортной без
ущерба для общества. l
Как верно отмечают международные аналитические
ИT-компании, особую роль в
Интернете вещей играют
средства измерения, обеспечивающие преобразование сведений о внешней
среде в машиночитаемые
данные. Так, на принципах
взаимодействия средств,
преобразовывающих сведения, поступающие из внешней среды, в машиночитаемые данные, в том числе
базируются основы построения среды для взаимодействия IoT. Область возможных средств и технологий
передачи данных охватывает все возможные комбинации беспроводных и проводных сетей.
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
1
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=PAP;n=68083.
http://www.consultant.ru/document/cons_doc_LAW_121895/256d3c9ccb172b31210f5f1728fd5a3f538a3cce/.
3
http://www.consultant.ru/document/cons_doc_LAW_121895/9f906d460f9454a8a0d290738d9fc2798c1e865a/.
4
http://www.consultant.ru/document/cons_doc_LAW_34661/835dca84f369ce440288da07465dbbf24791784a/.
5
http://www.consultant.ru/document/cons_doc_LAW_34661/b9fb8c3fad2f54dffe1d1c7ac7336c82f5e0b6d3/.
6
http://www.consultant.ru/document/cons_doc_LAW_10699/4234a27af714cc608ea71b7bae9400f3613c8f60/.
7
http://www.consultant.ru/document/cons_doc_LAW_34481/a8ce863fe783cf2bec75f4f1de3e5ffb7b4cc043/.
8
http://www.consultant.ru/document/cons_doc_LAW_10699/4234a27af714cc608ea71b7bae9400f3613c8f60/.
2
• 33
kremer 4/22/16 4:19 PM Page 34
ТЕХНОЛОГИИ
Защитить данные компании: 100 и 1 проблема
Владимир Кремер, руководитель отдела страхования финансовых рисков,
AIG Россия
Р
ост вычислительных мощностей и Интернет в сочетании
с растущей популярностью социальных сетей, разработкой
новых технологий производства и Интернета вещей создали
уникальные возможности для развития бизнеса, особенно
в последнее десятилетие. Несмотря на все положительные
моменты, эти изменения также принесли некоторые негативные последствия и проблемы. Крупные и средние предприятия должны стать достаточно гибкими, чтобы справиться
с некоторыми из этих новшеств.
Когда хакерство
становится
материальным
Программы-вымогатели –
это новая распространенная
угроза, используя которую,
хакеры и преступники
завладевают данными путем
шифрования и угрожают
сделать их доступными для
общественности или уничтожить, если их требования не
будут выполнены. Возникло
это явление в 1980-х гг.
и с 2012 г. набирает
обороты.
История прошлых лет
изобилует примерами корпоративных титанов, которые пострадали от кибератак. Если соединенные устройства подвергаются
нападению или происходит поломка, могут пострадать не только
данные, но и люди и предприятия.
Например, в декабре 2014 г. хакеры получили доступ к сети немецкого сталеплавильного завода.
Им удалось нарушить функции
управления так, что доменную
печь невозможно было выключить. Это привело к значительным
повреждениям. Подобный тип
атаки впервые попал в заголовки
в 2010 г., когда червь Stuxnet,
который, как полагают многие,
был разработан США и Израилем,
нарушил работу иранских ядерных
объектов.
Человеческий фактор
Страховые компании
сегодня сотрудничают
с ведущими экспертами
в области кибербезопасности, через своих партнеров
они предлагают услуги по
предотвращению и урегулированию рисков, восстановлению репутации и возмещению материального
ущерба, нанесенного компании в ходе инцидента.
34 •
Технология предотвращения
атак может являться очень
эффективной, но человеческий
фактор – одна из наиболее существенных проблем. Использование именно этой слабости
является ключом к успешной
атаке.
Например, хакеры используют
изощренные уловки, чтобы вынудить сотрудников предоставить
важную информацию: это может
быть сделано путем убеждения
скачать вредоносные программы
или при переходе по вредоносной URL-ссылке и т.д.
Существует неблагоприятная
тенденция среди специалистов
по безопасности, которые считают, что люди сами виноваты в
том, что они не тратят все свое
время на изучение вопросов безопасности. Однако у среднестатистического сотрудника компании нет времени и возможности
заниматься этими вопросами.
Проблема со многими корпоративными политиками кибербезопасности заключается в том,
что они забывают, что компании
существуют, в первую очередь,
для получения прибыли.
Программы-вымогатели:
плати, или мы парализуем
твой бизнес
После того, как злоумышленники продали все, что им удалось
скопировать и украсть, они шифруют данные или закрывают к
ним доступ. Таким образом, они
лишают компании доступа к
собственным данным, если,
конечно, правление компании не
решит заплатить. Ключ к постоянному успеху таких атак заключается в том, что когда выкуп
выплачен, преступники держат
свое слово: данные становятся
снова доступными, а компания
может продолжать нормальную
работу. И если у компании нет
суперкомпьютера и кадров с
соответствующими навыками и
квалификацией, у нее мало шансов самостоятельно взломать
шифр.
В конечном итоге, сегодня
многие компании до сих пор не
осознают, в каком трудном положении они могут оказаться в
результате кибератак или ошибки собственных сотрудников.
Когда хакеры берут под контроль
данные, на которые компании
полагаются изо дня в день, это
парализует их. А ущерб, который
они способны нанести в результате атаки, может достигать миллионов долларов.
Кибербезопасность –
общая задача всей
компании
По данным PricewaterhouseCoopers (PwC), в 2015 г. средний
ущерб от инцидента информационной безопасности составил
$3,6 млн в 2014 г., а в 2015 – уже
$5,3 млн. Ошибкой было бы
думать, что жертвами становятся
только крупные компании. Напротив, чаще всего страдает малый и
средний бизнес, поскольку его
системы защиты слабее, и он
имеет меньше возможностей
по розыску преступников. В среднем киберинцидент обходится в
893 000 руб.
Ситуация частично осложняется
новыми трендами в менеджменте.
Долгое время кибербезопасность
была прерогативой ИТ-департамента, но в последние годы эта
ответственность сместилась в сторону всего предприятия, поскольку
зачастую после восстановления
работы системы обнаруживаются
последствия нематериального
характера: репутации компании
нанесен серьезный ущерб, возможности развития упущены, а
теперь и недоступны вовсе. При
этом 51% европейских компаний
не имеет PR-стратегии на случай
кибератаки.
Согласно отчету компании-провайдера сервисов ИБ Solutionary
о глобальных угрозах расходы на
смягчение и восстановление после
атак вредоносных программ могут
составлять от $3000 в день и занимать до 30 дней. И это только расходы на консультантов, PR-службы, команды реагирования на
инциденты, специальное ПО и др.
непосредственные расходы. В эту
сумму не входит потеря доходов
вследствие простоя систем или
снижения производительности.
Стоит отметить, что за последний год в мире наблюдается смещение прерогативы обеспечения
кибербезопасности в сторону страховых компаний, которые уже
давно осознали комплексный
характер проблемы. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
dialog_S 4/22/16 4:18 PM Page 35
www.itsec.ru
ТЕХНОЛОГИИ
Строим систему противодействия угрозам из киберпространства
Андрей Масалович, советник генерального директора по конкурентной разведке, АО “ДиалогНаука"
l Хакеры похитили пароли
ключевых сотрудников компании и опубликовали фрагменты
весьма чувствительной внутренней переписки.
l Злоумышленник организовал
в социальных сетях "ссылочный
взрыв", и буквально весь Интернет сейчас обсуждает, как на
этаже вашей клиники среди
бела дня бегает крыса.
l Конкуренты сумели подключиться к внешним серверам
обслуживания вашей системы
видеонаблюдения – и теперь
контролируют каждый ваш шаг.
l Бывший сотрудник уволился
нелояльным – и прихватил с
собой вашу клиентскую базу.
Что роднит приведенные выше
примеры (кстати, взятые из практики)? Во всех случаях места
возникновения, развития и преодоления проблем расположены
во внешнем киберпространстве,
за пределами контролируемой
зоны вашей организации. И второе важное отличие – во всех
перечисленных случаях служба
информационной безопасности,
даже если она своевременно
обнаружит угрозу (ну, вдруг), не
способна ей противостоять –
нужны личные усилия руководителей или мобильных штабов
корпоративного уровня.
Оборона и разведка
Как обеспечить руководителя
современными эффективными
средствами раннего предупреждения и противодействия угрозам из киберпространства?
Основу таких инструментов (по
сути – оборонительного и разведывательного корпоративного кибероружия) составляют
системы контроля оперативной
обстановки. Пришедшие на
смену традиционным службам
интернет-мониторинга, такие
системы должны обеспечивать
руководителю
возможность
обнаруживать и нейтрализовать
различные виды атак из киберпространства.
Современная система
контроля
Перечислим основные требования, определяющие облик
современной системы контроля
оперативной обстановки:
1. Контроль оперативной
обстановки в Интернете и социальных сетях.
Система автоматически собирает наиболее важные новости
по тематике, определенной
руководителем, в том числе
факты подготовки и проведения
кибератак, уровень собственной
защищенности, угрозы бизнесу,
репутации и устойчивому развитию компании.
2. Удобный интерфейс руководителя для презентационных
экранов, а также планшетов
и смартфонов.
Руководитель входит в систему по защищенному каналу из
любого места – офиса, автомобиля, в командировке и др.
Каждая новость представлена
в удобном интерфейсе, с фотографией, заголовком, кратким
содержанием, датой и временем появления, ссылкой на первоисточник и текущим количеством дублей в СМИ.
3. Автоматическое определение уровня угроз.
Каждый тематический блок
снабжен индикаторами уровня
угроз – т.н. "светофорами":
l серый – ничего важного;
l зеленый – были интересные
новости, стоит посмотреть;
l желтый – важные новости,
их надо прочесть обязательно;
l красный – активная угроза,
нужна немедленная реакция.
4. Автоматическое ведение
досье на объекты интереса.
Система автоматически ведет
досье на различные объекты интереса – людей и компании, а также
накапливает данные об аккаунтах
в соцсетях, адресах и телефонах,
банковских счетах, офисах, автомобилях и т.д. – всего более
сорока видов объектов.
5. Выявление связей объектов
и первоисточников новостных
вбросов.
Система позволяет выявлять
разнообразные связи объектов
интереса – родственные, деловые, дружеские, активности в
соцсетях и другие, в том числе
скрытые.
6. "Тепловая карта" враждебной
активности в социальных сетях.
Система отслеживает ход распространения информации и
строит т.н. "тепловые карты" позитивной и негативной активности
обсуждения ключевых новостей.
7. Выявление резонансных
тем в социальных сетях и СМИ.
Система позволяет проводить
сравнительный анализ упоми-
наний различных персон
и компаний, активности
обсуждения
целевых
новостей в СМИ и социальных группах.
8. Управление работой
мобильных штабов.
Система
позволяет
в самые сжатые сроки
организовывать работу
мобильных оперативных
штабов (в том числе совещаний удаленных подразделений, межведомственных групп и т.д.).
9. Работа с большими
данными (Big Data).
Система позволяет проводить
сложную аналитическую обработку больших объемов данных
и отображать итоговые результаты в удобном графическом виде.
10. Автоматическая генерация дайджестов и отчетов.
Справки, дайджесты и отчеты
по заданным темам и активности объектов интереса формируются автоматически.
В мире множатся системы с
перечисленными характеристиками, основанные на программах
класса Palantir, IBM i2, Watson
Analytics и других. В России "первой ласточкой" в новом классе
Смартфон руководителя крупной компании,
оснащенный системой "Лавина Пульс"
мобильных центров руководителя
можно назвать отечественную
систему интернет-мониторинга
"Лавина Пульс". Возможности
системы по раннему обнаружению и пресечению информационных атак уже оценили более
80 заказчиков. l
NM
АДРЕСА И ТЕЛЕФОНЫ
АО "ДИАЛОГНАУКА"
см. стр. 56
• 35
Levtsov 4/22/16 4:18 PM Page 36
ТЕХНОЛОГИИ
Анатомия таргетированной атаки
Вениамин Левцов, вице-президент, глава корпоративного дивизиона
“Лаборатории Касперского"
Николай Демидов, технический консультант по информационной безопасности
“Лаборатории Касперского"
С
каждым годом организации совершенствуют инструменты
ведения бизнеса, внедряя все новые решения, одновременно
усложняя ИT-инфраструктуру. Теперь в ситуации, когда в
компании зависает почтовый сервер, с конечных рабочих мест
стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, – бизнес-процессы просто останавливаются.
Осознавая растущую
зависимость от автоматизированных систем,
бизнес также готов все
больше заботиться об
обеспечении информационной безопасности.
Причем путь создания
системы ИБ зависит от
ситуации в данной конкретной организации –
от имевших место инцидентов, убеждений конкретных сотрудников –
и зачастую формируется
"снизу", от отдельных
подсистем ИБ к общей
картине. В результате
создается многоступенчатая единственная в
своем роде система,
состоящая из различных
продуктов и сервисных
работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты
могут:
l проверять файлы при помощи
систем безопасности конечных
точек;
l фильтровать почтовый и webтрафик при помощи шлюзовых
решений;
l отслеживать целостность и
неизменность файлов и системных настроек;
l контролировать поведение
пользователей и реагировать
на отклонения от обычной модели трафика;
l сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
l внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
l инвестировать в SOC для
сбора и корреляции логов и
событий от упомянутых выше
подсистем;
36 •
l заказывать тесты на проникновение и иные сервисы для
оценки уровня защищенности;
l приводить систему в соответствие с требованиями стандартов и проводить сертификации;
l учить персонал основам компьютерной гигиены и решать
еще бесконечное множество
подобных задач.
Но несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИTинфраструктуры не уменьшается, а ущерб от них растет. За
счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как
правило, уникальные по своему
составу и структуре?
Ответ довольно краток: за
счет подготовки и проведения
сложных атак, учитывающих
особенности целевой системы.
Понятие целевой атаки
Самое время дать определение, точно отражающее понятие
целевой, или таргетированной
атаки. Целевая атака – это
непрерывный процесс несанкционированной активности в
инфраструктуре
атакуемой
системы, удаленно управляемый вручную в реальном времени.
Во-первых, это именно процесс – деятельность во времени,
некая операция, а не просто
разовое техническое действие.
Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные
механизмы безопасности, определенные продукты, вовлечь во
взаимодействие конкретных
сотрудников. Следует отметить
существенную разницу в подходе массовых рассылок стандартного вредоносного ПО,
когда злоумышленники преследуют совсем другие цели – по
сути получение контроля над
отдельной конечной точкой. В
случае целевой атаки – она
строится под жертву.
В-третьих, эта операция обычно
управляется организованной группой профессионалов, порой международной, вооруженной изощренными техническим инструментарием, по сути своей – бандой.
Их деятельность действительно
бывает очень похожа на многоходовую войсковую операцию.
Например, злоумышленниками
составляется список сотрудников, которые потенциально могут
стать "входными воротами" в
компанию, с ними устанавливается связь в социальных сетях,
изучаются их профили. После
этого решается задача получения
контроля над рабочим компьютером жертвы. В результате его
компьютер заражен, и злоумышленники переходят к захвату
контроля над сетью и непосредственно преступным действиям.
В ситуации целевой атаки не
компьютерные системы бьются
друг с другом, а люди – одни
нападают, другие – отражают
хорошо подготовленное нападение, учитывающее слабые
стороны и особенности систем
противодействия.
В настоящее время все большее распространение получает
термин APT – Advanced Persistent
Threat. Давайте разберемся и с
его определением. APT – это
комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня,
других компонентов, специально
разработанных для реализации
данной атаки. Практика показывает, что APT используются
повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий век-
Levtsov 4/22/16 4:18 PM Page 37
www.itsec.ru
ТЕХНОЛОГИИ
тор, против уже других организаций. Целевая, или таргетированная, атака – это процесс,
деятельность. APT – техническое
средство, позволяющее реализовать атаку.
Можно смело утверждать, что
активное распространение целевых атак обусловлено в том
числе и сильным сокращением
стоимости и трудозатрат в реализации самой атаки. Большое
количество ранее разработанных
инструментов доступно хакерским группировкам, порой отсутствует острая необходимость
создавать экзотические вредоносные программы с нуля. В
большинстве своем современные целевые атаки построены
на ранее созданных эксплойтах
и вредоносном ПО, лишь малая
часть использует совершенно
новые техники, которые преимущественно относятся к угрозам
класса APT. Порой в рамках
атаки используются и совершенно легальные, созданные для
"мирных" целей утилиты – ниже
мы вернемся к этому вопросу.
Стадии целевой атаки
В этом материале будут озвучены основные этапы таргетированной атаки, показан скелет
общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление
о том, что целевая атака, как
правило, в своем развитии проходит через 4 фазы (рис. 1).
На рис. 1 отображены 4 фазы
целевой атаки, демонстрирующие ее жизненный цикл. Кратко
сформулируем основное
назначение каждой из них:
1. Подготовка – основная
задача первой фазы найти
цель, собрать о ней достаточно
детальной приватной информации, опираясь на которую,
выявить слабые места в инфраструктуре. Выстроить стратегию
атаки, подобрать ранее созданные инструменты, доступные на
черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые
шаги проникновения будут тщательно протестированы, в том
числе на необнаружение стандартными средствами защиты
информации.
2. Проникновение – активная
фаза целевой атаки, использующая различные техники
социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и
проведения внутренней разведки. По окончании разведки и
определении принадлежности
инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через
центр управления может загружаться дополнительный вредоносный код.
3. Распространение – фаза
закрепления внутри инфраструктуры преимущественно на
ключевые машины жертвы.
Максимально распространяя
свой контроль, при необходимости корректируя версии вредоносного кода через центры
управления.
4. Достижение цели – ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:
l хищение закрытой информации;
l умышленное изменение
закрытой информации;
l манипуляции с бизнес-процессами компании.
На всех этапах выполняется
обязательное условие по сокрытию следов активности целевой
атаки. При завершении атаки
часто бывает, что киберпреступники создают для себя
"Точку возврата", позволяющую
им вернуться в будущем.
Первая фаза целевой
атаки – Подготовка
Выявление цели
Целью для атаки может стать
любая организация. А начинается все с заказа, или общей
разведки, или, точнее, мониторинга. В ходе продолжительного
мониторинга мирового бизнесландшафта хакерские группы
используют общедоступные
инструменты, такие как RSSрассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы
группы переходят к этапу активной разведки.
Количество успешных,
т.е. достигающих своей цели
атак на ИT-инфраструктуры
не уменьшается, а ущерб от
них растет. За счет чего же
удается злоумышленникам
преодолевать сложные
системы безопасности, как
правило, уникальные по
своему составу и структуре?
Сбор информации
По понятным причинам ни одна
компания не предоставляет сведения о том, какие технические
средства она использует, в том
числе для защиты информации,
внутренний регламент и так
далее. Поэтому процесс сбора
информации о жертве называется разведкой. Основная задача
разведки – сбор целевой при-
Ответ довольно краток:
за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.
Рис. 1. Жизненный цикл целевой атаки
• 37
Levtsov 4/22/16 4:18 PM Page 38
ТЕХНОЛОГИИ
Целевая атака – это
непрерывный процесс
несанкционированной
активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.
В ситуации целевой
атаки не компьютерные
системы бьются друг с другом, а люди: одни нападают,
Рис. 2. Основные цели таргетированных атак
другие – отражают хорошо
подготовленное нападение,
учитывающее слабые стороны и особенности систем
противодействия.
38 •
ватной информации о жертве.
Тут важны все мелочи, которые
помогут выявить потенциальные
слабые места. В работе могут
быть использованы самые нетривиальные подходы для получения
закрытых первичных данных,
например социальная инженерия. Мы приведем несколько техник социальной инженерии и
иных механизмов разведки, применяемых на практике.
Способы проведения разведки:
1. Инсайд.
Существует подход с поиском
недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую
позицию. Мы знаем, что опытный психолог-рекрут в состоянии разговорить почти любого
сотрудника, который борется
за позицию. От таких людей
получают достаточно большой
объем информации для подготовки и выбора вектора атаки:
от топологии сети и используемых средствах защиты до
информации о частной жизни
других сотрудников.
Бывает, что киберпреступники
прибегают к подкупу нужных им
людей в компании владеющих
информацией либо входят в круг
доверия путем дружеского общения в общественных местах.
2. Открытые источники.
В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые
выбрасывают на помойку без
правильного уничтожения, среди
мусора могут быть найдены отчеты и внутренняя информация
или, например, сайты компании,
которые содержат реальные
имена сотрудников в общем
доступе. Полученные данные
можно будет комбинировать с
другими техниками социальной
инженерии.
В результате этой работы организаторы атаки могут иметь
достаточно полную информацию
о жертве, включая:
l имена сотрудников, e-mail, телефон;
l график работы подразделений
компании;
l внутреннюю информацию о
процессах в компании;
l информацию о бизнес-партнерах.
Государственные порталы закупок также являются хорошим
источником получения информации о решениях, которые внедрены у заказчика, в том числе о
системах защиты информации.
На первый взгляд, приведенный
пример может показаться несущественным, но на самом деле
это не так. Перечисленная информация с успехом применяется в
методах социальной инженерии,
позволяя хакеру легко получать
доверие, оперируя полученной
информацией.
3. Социальная инженерия.
l Телефонные звонки от имени
внутренних сотрудников.
l Социальные сети.
Используя социальную инженерию, можно добиться значительного успеха в получении
закрытой информации компании:
например в случае телефонного
звонка злоумышленник может
представиться от имени работника информационной службы,
задать правильные вопросы или
попросить выполнить нужную
команду на компьютере. Социальные сети хорошо помогают
определить круг друзей и интересы нужного человека, такая
информация может помочь киберпреступникам выработать правильную стратегию общения с
будущей жертвой.
Разработка стратегии
Стратегия является обязательной в реализации успешной
целевой атаки, она учитывает
весь план действий на всех стадиях атаки:
l описание этапов атаки: проникновение, развитие, достижение целей;
l методы социальной инженерии, используемые уязвимости,
обход стандартных средств безопасности;
l этапы развития атаки с учетом возможных внештатных
ситуаций;
l закрепление внутри, повышение привилегий, контроль
над ключевыми ресурсами;
l извлечение данных, удаление
следов, деструктивные действия.
Создание стенда
Опираясь на собранную
информацию, группа злоумышленников приступает к созда-
Levtsov 4/22/16 4:18 PM Page 39
www.itsec.ru
ТЕХНОЛОГИИ
нию стенда c идентичными версиями эксплуатируемого ПО.
Полигон, дающий возможность
опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и
обхода стандартных средств
защиты информации. По сути,
стенд служит главным мостом
между пассивной и активной
фазами
проникновения
в
инфраструктуру жертвы. Важно
отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на
выполнение успешной целевой
атаки возрастают с каждым этапом.
Разработка набора
инструментов
Перед киберпреступниками
встает непростой выбор: им
важно определиться между
финансовыми затратами на
покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для
создания собственных. Теневой
рынок предлагает достаточно
широкий выбор различных
инструментов, что значительно
сокращает время, за исключением уникальных случаев. Это
второй шаг, который значительно выделяет целевую атаку как
одну из самых ресурсоемких
среди кибератак.
Рассмотрим набор инструментов в деталях: как правило,
Toolset состоит из трех основных компонентов:
1. Командный центр, или
Command and Control Center
(C&C).
Основой инфраструктуры
атакующих являются командно-контрольные центры C&C,
обеспечивающие
передачу
команд подконтрольным вредоносным модулям, с которых
они собирают результаты работы. Центром атаки являются
люди, проводящие атаку. Чаще
всего центры располагаются в
Интернете у провайдеров, предоставляющих услуги хостинга,
колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с "хозяевами",
могут меняться динамически
вместе с вредоносными модулями.
1
2
2. Инструменты проникновения, решающие задачу "открытия двери" атакуемого удаленного хоста:
l эксплойт (Exploit) – вредоносный код, использующий
уязвимости в программном
обеспечении;
l валидатор – вредоносный
код, который применяется в
случаях первичного инфицирования, способен собрать информацию о хосте, передать ее
С&C для дальнейшего принятия
решения о развитии атаки либо
полной ее отмене на конкретной
машине;
l загрузчик (Downloader) –
модуль доставки Dropper;
загрузчик крайне часто используется в атаках, построенных
на методах социальной инженерии, отправляется вложением
в почтовых сообщениях;
l модуль доставки Dropper –
вредоносная программа (как
правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:
- закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки
машины;
- Inject в легитимный процесс
для закачки и активации вируса
Payload по шифрованному каналу либо извлечения и запуска
зашифрованной копии вируса
Payload с диска.
Исполнение кода протекает
в инжектированном легитимном
процессе с системными правами, такая активность крайне
сложно детектируется стандартными средствами безопасности.
3. Тело вируса Payload.
Основной
вредоносный
модуль в целевой атаке, загружаемый на инфицированный
хост Dropper’ом, может состоять
из нескольких функциональных
доп. модулей, каждый из которых будет выполнять свою
функцию:
l клавиатурный шпион;
l запись экрана;
l удаленный доступ;
l модуль распространения
внутри инфраструктуры;
l взаимодействие с C&C и
обновление;
По статистике “Лаборатории Касперского".
Данные исследования “Информационная безопасность бизнеса",
проведенного “Лабораторией Касперского" и B2B International в
2015 г. В исследовании приняли участие более 5500 ИTспециалистов из 26 стран мира, включая Россию.
l шифрование;
l очистка следов активности,
самоуничтожение;
l чтение локальной почты;
l поиск информации на
диске.
Как мы видим, потенциал рассмотренного набора инструментов
впечатляет, а функционал модулей и используемых техник может
сильно отличаться в зависимости
от планов целевой атаки. Данный
факт подчеркивает уникальность
такого рода атак.
Подводя итог
Важно отметить рост целевых
атак, направленных против компаний самых различных секторов
рынка (другие риски – на рис. 2),
высокую сложность их обнаружения и колоссальный урон от
их действий, который не гарантированно может быть обнаружен спустя длительный срок. В
среднем обнаружение целевой
атаки происходит спустя 200 дней
с момента ее активности1, это
означает, что хакеры не только
достигли своих целей, но и контролировали ситуацию на протяжении более чем половины года.
Также организации, выявившие
факт присутствия APT в своей
инфраструктуре, не способны
правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто
не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну
неделю приостанавливает свою
деятельность в попытках вернуть
контроль над собственной
инфраструктурой, затем сталкиваясь со сложным процессом
расследования инцидентов.
Потери в результате крупного
инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят
упущенные для бизнеса возможности и время простоя
систем, а также расходы на
профессиональные сервисы для
ликвидации последствий2.
О том, как развивается атака,
методах обхода стандартных
средств защиты и эксплуатации
угроз нулевого дня, социальной
инженерии, распространении и
сокрытии следов при хищении
ключевой информации и о многом другом – в следующих
статьях цикла "Анатомия таргетированной атаки". l
APT (Advanced Persistent
Threat) – это комбинация
утилит, вредоносного ПО,
механизмов использования
уязвимостей нулевого дня,
других компонентов, специально разработанных для
реализации данной атаки.
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 39
dostov 4/22/16 4:19 PM Page 40
ТЕХНОЛОГИИ
Платежная индустрия:
куда двигаться дальше?
Виктор Достов, председатель Ассоциации “Электронные деньги"
Павел Шуст, аналитик Ассоциации “Электронные деньги"
А
налитики регулярно сообщают о приближающейся революции
в платежах, например, благодаря как бесконтактным картам,
так и мобильным переводам. Однако на практике отрасль
меняется очень медленно, и в некоторых аспектах ее можно
назвать даже архаичной. Возьмем пластиковую карту – она
пришла к нам из середины XX в. и за это время сильно
устарела. На ней зачем-то указан “секретный" онлайн-PIN,
имя держателя (которое никто не проверяет) и до сих пор –
небезопасная магнитная полоса.
Так происходит потому, что безналичный
платеж состоит из трех
следующих элементов,
и не все из них развиваются с одинаковой
скоростью.
Перевод денежных
средств
от плательщика
к получателю
В некоторых странах
пилотируются проекты рас-
Было бы неверно
думать, что платеж за
сотовую связь мгновенно попадает на банковский счет мобильного
оператора.
Обычно
деньги поступают единым переводом в конце
отчетного периода. За
последнее время эта часть платежа нисколько не изменилась:
межбанковский платеж сегодня
совершается примерно так же,
как десять лет назад, и, откровенно говоря, радикально улучшать здесь нечего.
познавания лица покупателя. Когда клиент заходит в
магазин, система видеонаблюдения на входе автоматически его узнает. На кассе
не требуется предъявлять
карты или что-то еще –
достаточно посмотреть в
камеру.
Передача информации
о платеже
В магазине отдают товар
покупателю сразу же после списания денег с его карты, потому
что информация о платеже,
в отличие от денежных средств,
поступает на кассу мгновенно.
По той же причине абонент
получает SMS о пополнении
баланса почти сразу после внесения купюры в платежный терминал. Платежная отрасль сильно зависит от информационной
инфраструктуры. Доступность
безналичного платежа, как правило, прямо пропорциональна
доступности средств связи. Это
хорошо видно на примере таких
стран, как Кения: там, по существу, нет никакой инфраструктуры, кроме мобильной связи,
но при этом объем мобильных
платежей составляет 43% ВВП.
От банков здесь почти ничего
не зависит: как и интернет-мессенджеры, они лишь ждут, когда
сотовые операторы доберутся
до отдаленных регионов.
Связка аутентификации
и авторизации*
Банк просит подтвердить
свою личность и убеждается,
что у плательщика есть право
распоряжаться деньгами. Аутентификация – уникальная характеристика безналичного платежа. В расчете наличными такой
проблемы нет: купюра в руках
безусловно подтверждает право
заплатить.
Если понимать под инновациями изменение пользовательского опыта, то основные инновации будут происходить именно на стадии аутентификации.
Здесь в платежах действительно есть огромное поле для улучшений.
Процедура платежа – это всегда компромисс между удобством и безопасностью. Наличные выбора не оставляют: они
очень удобны, но чрезвычайно
небезопасны. Безналичные расчеты более вариативны. Например, в США операции по картам
до сих пор подтверждаются под-
* Для простоты мы будем называть ее просто аутентификацией.
40 •
писью, которую, конечно, никто
не проверяет. В России некоторые банки требуют вводить PINкод по всем операциям, вне
зависимости от суммы.
В большинстве случаев мы
заставляем клиента постоянно
что-то доказывать и делать:
хранить в тайне PIN-коды,
обновлять антивирусы и т.д.
В наличных, напротив, работает
презумпция невиновности плательщика: никто никогда не
спрашивает, откуда у вас деньги
и заработали ли вы их честно.
Перспективы
аутентификации
Перекладывание
бремени
аутентификации на клиента –
проблема довольно универсальная. Возьмем программы лояльности. Чтобы получить скидку,
необходимо показать продавцу
свою карту постоянного покупателя. Если карта осталась дома,
потребитель в глазах магазина
перестает быть постоянным и
лояльным, что довольно нелогично. Постоянного покупателя
следует узнавать в лицо, но
этого не делает почти никто.
В центр ставится физический
объект, а не сам клиент. Без паспорта, карты или токена он не
может платить, получать скидки
и т.д. Как решить эту проблему?
Один из вариантов – чтобы
сам потребитель стал аутентификационным
механизмом.
Последние десятилетия футуристы обсуждали перспективы
вживления каждому человеку
идентификационного
чипа.
dostov 4/22/16 4:19 PM Page 41
www.itsec.ru
ТЕХНОЛОГИИ
Надо сказать, что решение не
очень революционно. Чип ничем
не отличается от карты или паспорта – возможно, даже удобнее, ведь его не забудешь дома.
Но на практике более перспективной кажется пассивная
аутентификация – когда человека узнают без дополнительных или специальных идентификаторов.
В некоторых странах пилотируются проекты распознавания
лица покупателя. Когда клиент
заходит в магазин, система
видеонаблюдения автоматически узнает его на входе. На
кассе не требуется предъявлять
карты или что-то еще – достаточно посмотреть в камеру.
В базе данных магазина уже
хранятся сведения о платежном
инструменте, который вы предпочитаете использовать, а также
данные скидочной карты. Поэтому для оплаты товара достаточно нажать кнопку "Заплатить".
При этом в качестве источника
фондирования теоретически
можно установить все, что угодно: банковский счет, электронный кошелек или карту. В идеале процессинговый центр должен сам принимать решение,
откуда списывать деньги, например, если на электронный кошелек начисляется больший кешбек, чем на карту. В отличие от
наличных, безналичные деньги
хранятся на стороне банка.
Поэтому узнать вас – это проблема банка, а не клиента.
Проблемы перехода
Существует две основных
проблемы, которые обычно упоминают при анализе таких
моделей пассивной аутентификации.
Во-первых, это соображения
защиты ПДн. Одно дело, когда
магазин видит только карту, и
совсем другое – когда речь
идет о внешности владельца.
Поскольку системы видеонаблюдения, в том числе в магазинах, стали почти повсеместными, эти опасения во многом
запоздали. С другой стороны,
биометрические данные можно
(и нужно) хранить не в открытом
виде, а в виде хешей, чтобы из
них нельзя было реконструировать
исходные
сведения.
Несмотря на очевидную актуальность проблемы, стоит помнить, что общество и экономика
удивительно адаптивны: еще
20 лет назад мы не могли представить себе такой уровень публичности, как в Facebook,
"Одноклассниках" и "ВКонтакте", но справились и с ним.
Вторая проблема – вероятность ошибки. Что произойдет, если камера неверно распознала клиента? По существу,
ситуация ничем не отличается
от обычной карточной транзакции. Если произошла ошибка,
ее кто-то должен компенсировать. И в пассивной модели эти
риски переносятся на магазин.
Готов ли он эти риски нести?
Если они помогают повысить
скорость обслуживания и снизить издержки на зарплату кассиров – вероятно, да. Особенно
если учесть, что потери от порчи
товара или краж несопоставимо
выше. Для потребителя риски
еще меньше, потому что потеря
карты больше не грозит серьезными убытками.
Схема с распознаванием лиц
довольно показательная, но не
единственная. Аналогично работает распознавание отпечатков
пальца или радужной оболочки
глаза. Именно на таком принципе построена индийская национальная система идентификации. Во время выдачи ID-карты
операторы снимают отпечатки
пальцев и фотографируют
радужку глаза. Эта биометрическая информация вместе
с личными данными попадает
в единую базу. В дальнейшем –
например, при открытии банковского счета – клиенту не
нужно предъявлять пакет бумажных документов. Достаточно
получить биометрию, и личные
данные будут подгружены из
единого хранилища. Хотя индийская система идентификации
считается одной из наиболее
современных, там, как видно,
обошлись без вживления чипов.
Как преодолять инерцию?
Почему в мире можно посчитать по пальцам проекты,
в которых клиентам не нужно
показывать паспорт, предъявлять карты или вводить PINкоды? Проблема в том, что технические инновации, как ни
странно, внедряются в основном
только на стороне потребителя.
Сначала потребители подписывали чеки, потом предъявляли
картонные, позже – пластиковые карты с магнитной полосой,
контактным и бесконтактным
чипом, в конце концов – мобильный телефон. Что изменилось
за это время на стороне магазина? Практически ничего.
В магазинах происходит очень
медленная смена POS-терми-
налов, что хорошо видно на
примере бесконтактных платежей:
бесконтактных
карт
у потребителей довольно много,
но заплатить ими можно в считанном числе торговых точек.
Это тем более удивительно,
учитывая, что число магазинов
явно уступает числу потребителей. Тем временем большинство банков по-прежнему сводит отношения с торговыми точками к обсуждению эквайринговых комиссий. Вероятно,
именно здесь возникает основное препятствие для перехода
к качественно новым платежным инструментам.
Участники рынка часто говорят
о том, что в центре любой бизнес-модели должен быть клиент.
Однако не всем удается реализовать это на практике. Большинство платежных моделей до
сих пор остаются инструментцентричными. Отчасти это закономерное следствие того направления развития платежных технологий, которое мы наблюдали
в последние десятилетия. Продолжающийся и во многом бесплодный поиск принципиально
новых платежных решений подтверждает, что мы столкнулись
со "стеклянным потолком".
Потребители продолжают предъявлять на кассе карты, вводить
PIN-коды, а любое упрощение
процедур аутентификации оборачивается снижением безопасности (а на практике – переносом
бремени ответственности за
несанкционированные операции). Наибольший потенциал для
модернизации лежит именно
в подтверждении личности клиента. В первую очередь, в переходе от активной аутентификации к пассивной – узнаванию
потребителя. Постепенно этот
процесс уже происходит на практике: например, платежный
шлюз Сбербанка при онлайнплатеже узнает вас по аккаунту
"Одноклассников" и предложит
привязанную карту. Однако прорыв в этом направлении приведет к довольно необычным
последствиям: если сегодня
у банков еще есть возможность
демонстрировать свой логотип
хотя бы на карте, то со временем
они потеряют и ее. То, насколько
они к этому готовы, – вопрос
скорее маркетинговый, нежели
технологический. l
На рынке часто говорят о
том, что нужно сделать платеж минимально заметным
для потребителя. Частично
это достигается путем внедрения запрограммированных, или рекуррентных,
переводов. Но по-настоящему невидимыми они станут
только, когда клиенту не
потребуется предъявлять
пластик на кассе. Для программ лояльности этот
вопрос назрел еще больше:
пожалуй, эту сферу инновации вовсе обошли стороной.
Еще несколько лет назад на
рынке существовало много
стартапов, обещавших перевести карты лояльности в
электронный вид. То, почему у них это не получилось,
требует пристального изучения.
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 41
pleshkov 4/22/16 4:17 PM Page 42
ТЕХНОЛОГИИ
Баллада о дропах,
или Эволюция от торпеды до дроповода за 6 лет
Часть 1
Алексей Плешков, независимый эксперт по информационной безопасности
Т
ема противодействия мошенничеству в системах ДБО для
большинства читателей не нова. Представители профильных
сообществ в России и по всему миру регулярно обсуждают
различные его варианты, подробно описывают примененные
в отношении жертв схемы, обмениваются данными о суммах
реальных и потенциальных потерь, ищут причины и
минимизируют риски и последствия целевых атак. Экспертыаналитики коммерческих организаций в РФ ежегодно
публикуют отчеты по результатам проведенных ими
расследований фактов несанкционированных операций
в ДБО. Некоторые цифры действительно интересные,
но львиная доля приведенных оценок, по мнению офицеров
ИБ ряда банков, является несколько завышенной (рис. 1).
Но, как водится, за миллиардными потерями и сложными
высокотехнологическими схемами и алгоритмами атак
теряются простые, но при этом
не менее интересные нюансы и
детали мошенничества. Именно
об этих деталях пойдет речь в
данной статье.
Кардинг, фишинг, фарминг,
спуфинг, хакеры, кодеры, криптеры, спамеры – в обиход отечественных специалистов по
информационной безопасности
с каждым годом входят все
новые специфические термины.
Одним из таких слов, пришедших
в русский язык из английского
словаря, является термин "дроппер", или, сокращенно, "дроп".
Кто же такие дропперы?
Глагол drop с разговорного
английского дословно переводится, как "бросать, сливать,
спускать". Этот глагол как нельзя лучше соответствует характеру действий и роли, которая
отведена дропперам в запутанных мошеннических схемах.
Рис. 1. Оценка экспертов компании Group-IB рынка высокотехнологических
преступлений (млн. руб.)
42 •
По своей сути дроппер – промежуточное звено в мошеннической цепи, позволяющее
с допустимым уровнем риска
вывести безналичные денежные средства из банка или
товар со склада магазина
в доступную для дальнейших
манипуляций (обналичивание,
перепродажа,
разделение
и дальнейший перевод на подконтрольные счета и пр.) внешнюю зону.
"Да это же простой отмыв!
Нальные схемы, 115-ФЗ, противодействие финансированию
терроризма и прочее!" – воскликнут коллеги из экономической безопасности и будут
правы. Дропперы могут быть
использованы и для "обнала"
тоже. Организаторы мошеннических схем давно поняли, что
одними выводами криминальных денег со счетов ограбленных клиентов сыт не будешь
(взломы ДБО происходят не так
часто, как этого бы хотелось
участникам схемы), поэтому
в остальное время дропперов
используют в том числе для
обналичивания безналичных
денежных средств, природа
поступления которых на счет
дропперов может быть самой
экзотической.
С точки зрения злоумышленников, дроппер – подконтрольный человек (в настоящее
время это может быть и юридическое лицо/ИП, но это сути
термина не меняет), на которого
"сливаются"
безналичные
pleshkov 4/22/16 4:17 PM Page 43
www.itsec.ru
ТЕХНОЛОГИИ
денежные средства с "подломленных" счетов в банках или
товары, заказанные в магазине
от имени держателей платежных карт, которые он потом
передает лично, отправляет по
почте или переводит своему
сообщнику. Различаются разводные и неразводные дропперы. Ведь дроппер часто не догадывается о том, что поступившее (слитое) к нему получено
не совсем честным способом.
Разводные дропперы – это
те, кого втянули в криминальную авантюру обманным путем.
Люди, которые соглашаются
участвовать в мошеннической
схеме, заранее зная и понимая
риски своей новой профессии,
получили название неразводных дропперов. Чаще всего они
соглашаются заниматься этим
на регулярной профессиональной основе, образуя небольшие
сообщества (дропперские сети).
Именно они впоследствии становятся дроповодами, но об
этом чуть позже.
В том и в другом случае организаторы мошеннических схем
предлагают дропперам взять на
себя риски, связанные с транзитом и обналичиванием денежных средств или товара в обмен
на часть прибыли.
В среде злоумышленников
дропперы (физические лица)
считаются самой низшей
кастой. Зачастую ими становятся: новички, которые только
начинают вникать в суть компьютерных преступлений и
хотят быстро получить сомнительный опыт; лица низкого
социального статуса (алкоголики, наркоманы, бездомные),
готовые пожертвовать собственными здоровьем и свободой ради единовременного
дохода от продажи личных данных или совершения какойлибо не совсем законной операции; студенты и молодежь
в возрасте от 18 до 25 лет,
нуждающиеся в постоянном
притоке денежных средств.
Дропперами-юриками (юридические лица) становятся предприятия и индивидуальные предприниматели, попавшие в сложную жизненную ситуацию (разорившиеся, банкроты, владельцы
"невзлетевшего" бизнеса и пр.),
выставившие свои организации
на продажу в надежде получить
минимальные деньги до окончательного закрытия своего бизнеса. В Интернете сейчас много
различных сайтов, предлагающих за небольшие деньги ока-
зать юридическую помощь и
выкупить документы на проблемные организации на особых
условиях.
Различают доверенных и
недоверенных дропперов. Доверенные – прошедшие необходимые проверки организаторов,
неоднократно участвовавшие в
схемах и заслужившие криминальный авторитет. Они могут
выполнять в схемах злоумышленников помимо обнала и другие мелкие поручения в пределах своей небольшой компетенции: играть роль прикрытия
для торпеды, стать связными с
другими
дропперами
или
посыльными при доставке реквизита (оформленных на других
лиц платежных карт, PIN-конвертов, инструкций и пр.). Недоверенные дропперы – все
остальные, которыми в нужный
момент всегда можно пожертвовать, отвлекая при этом внимание правоохранительных
органов от других, более важных участников схемы. Часто
злоумышленники пользуются
доверием дропперов, которые
не до конца понимают, что они
рискуют и чем, соглашаясь на
условия дроповодов.
В 2007–2009 гг. под термином
"дроппер" понимались люди,
предоставившие свою (полученную в банке на официальных
основаниях) пластиковую банковскую карту и PIN-код от нее
злоумышленникам за определенное вознаграждение. Чаще
всего это требовалось для многократного совершения операций снятия переведенных извне
безналичных денежных средств
в нужном банкомате нужного
банка в нужное время.
Исторически в 2005–2007 гг.,
когда на рынке электронных
розничных услуг в России
появились пластиковые банковские карты с возможностью
совершать операции покупки
товара через Интернет в магазинах на территории США
и Европы, продвинутые держатели карт массово начали заказывать импортный товар на
адреса в регионы РФ. Опасаясь
повышения уровня мошенничества, владельцы крупнейших
иностранных интернет-магазинов ограничили на программном уровне возможность заказа
товара с указанием адреса
доставки за пределами своих
стран. Но граждане Российской
Федерации стали массово налаживать связи через Интернет с
жителями того региона, к кото-
рому отнесен магазин (чаще
всего – гражданами США), и
заказывать товар через них как
через посредников с последующей отправкой заказа в Россию. Эта схема, придуманная
"во благо" для обхода искусственно созданных препятствий, и стала "мамой" современных дропперов.
Подобная схема и сейчас
довольно часто практикуется
злоумышленниками в регионах
России, но гарантированно
работает только для тех банков,
процессинговые центры которых не смогли или не захотели
своевременно автоматизировать процессы противодействия
(фильтрации, выявления и блокировки) легализации (отмыванию) доходов, полученных
преступным путем (в соответствии с базовыми требованиями Федерального закона от
07.08.2001 № 115-ФЗ) – по аналогии с владельцами иностранных интернет-магазинов. Число
таких банков в настоящее
время стремительно сокращается, в т.ч. благодаря успехам
представителей надзорных подразделений ЦБ РФ. Большинство банков уже научились в
бесконечном потоке транзакций
выявлять подозрительные операции и блокировать/лимитировать снятия по пластиковым
банковских картам в банкоматах, что сильно сказалось на
объемах обнального бизнеса в
последнее время, но сама
схема продолжает работать на
небольших оборотах.
С точки зрения офицеров
ИБ финансовых организаций, дроппер – это физическое или юридическое лицо,
клиент финансовой организации с действующим счетом (лицевым или расчетным) и системой удаленного
доступа к счету (ДБО, платежная карта), житель определенной местности (в России или за ее пределами),
владелец учетных данных,
нужных для совершения
мошеннических операций
(номера мобильного телефона, адреса электронной
почты, электронного
кошелька и пр.), на реквизиты которого злоумышленники направляют целевой
поток несанкционированно
переведенных со счетов
(приобретенных) с использованием ранее украденных
реквизитов клиентов-жертв
безналичных денежных
средств, товаров или услуг.
Мышеловки
для потенциальных
дропперов
Злоумышленники своевременно отреагировали на появление в ряде крупных банков черных списков и автоматических
систем выявления подозрительных транзакций (предшественников современных комплексных решений класса Antifraud).
• 43
pleshkov 4/22/16 4:17 PM Page 44
ТЕХНОЛОГИИ
С помощью социальных
сетей, тематических форумов, объявлений на столбах
и автобусных остановках
злоумышленникам удавалось и удается постоянно
пополнять свои ряды и не
зависеть от степени удачливости или личных качеств
того или иного участника
распределенной сети дропперов.
44 •
Это досадное обстоятельство
заставило их скорректировать
схему использования дропперов
и отказаться от многократного
использования ценного реквизита. Недолго думая, мошенники решили брать банки числом:
в качестве дропперов стали
использоваться реквизиты не
только физических, но и юридических лиц и индивидуальных
предпринимателей. Добытые на
возмездной основе у коллег по
черному рынку (полуофициальных скупщиков разорившихся
организаций) реквизиты дропперов – юридических лиц –
стали использоваться злоумышленниками (после предварительной проверки наличия в
банке систем фильтрации)
точечно и с высокой осторожностью, преимущественно для
гарантированных переводов,
существенно реже, чем данные
дропперов – физических лиц.
Поначалу в среде злоумышленников даже сложились свои
стереотипы, например, о том,
что дроппер-физик – дешевый
товар массового потребления.
Он "хорош" тем, что не привязан
к региону, может перемещаться
и открывать счета на свой пока
чистый паспорт в разных банках, в разных регионах. В этом
смысле дроппер-юрик – это
сравнительно "дорогой товар",
а чистый и не засвеченный –
фактически штучный.
Но затем, в 2010–2011 гг.,
принципиально поменялся глобальный подход к поиску дропперов и реквизита на черном
рынке: появились алгоритмы
привлечения и стимуляции дропперов. Те, кто раньше сам
выполнял роль рядового дроппера, в свете активных действий
со стороны МВД стал больше
задумываться о собственной
безопасности и о построении
региональных сетей и пирамид
(по аналогии с сетевым маркетингом). В обиход злоумышленников вошел термин "дроповод",
или лицо, ответственное за развитие сети дропперов в нужном
регионе РФ или в любом иностранном государстве. Функцию
по управлению дропперами,
которую ранее выполняли
воодушевленные своими успехами и размерами неожиданной
прибыли молодые хакеры, стали
выполнять люди, не имеющие к
компьютерной безопасности или
программированию никакого
отношения, но при этом достаточно опытные в криминальном
бизнесе и желающие получить
такие же деньги. В работу
пошли совершенно типичные
для этой категории людей методы: манипуляция, обман, шантаж, угрозы и пр.
Некоторых дропперов злоумышленникам удавалось находить по старым связям в регионах и использовать в открытую.
Но чаще всего (так меньше
рисков для дроповода и организатора преступной схемы)
дропперов привлекали без раскрытия всех планов и нюансов
теневого бизнеса, общими словами, но при этом регулярно
стимулировали по четко отработанной коммерческой схеме.
В Интернете, в том числе и в
социальных
сетях,
стали
появляться заманчивые объявления, сулящие всем желающим быстрые деньги за, казалось бы, простые и безопасные
действия. Суть одного из таких
объявлений следующая: крупной российской "строительной
компании" (точное название не
указано по понятным причинам)
требуются сотрудники на "договор подряда", имеющие свои
собственные/способные получить пластиковые банковские
карты и готовые их передать
для регулярного перечисления
заработной платы нелегально
трудоустроенным в "строительную организацию" иностранным
рабочим из постсоветского пространства. Предлагалось официально оформлять банковские
карты на сотрудников этой
самой "строительной компании"
(т.е., в терминах данной статьи,
– на дропперов). Обязанности
дроппера в этой схеме: дроппер
должен заранее подготовить
необходимые для открытия
счета документы (количество
документов зависит от требований выбранного банка), приехать в нужное время в нужный
банк, открыть на себя счет,
написать заявление на выпуск
обычной дебетовой платежной
карты к этому счету, при наличии – подписаться на систему
SMS-информирования на номер
мобильного телефона "строительной компании". После получения карты, передает ее и PINконверт в установленном "договором подряда" порядке (по
почте, при личной встрече,
через посредника и пр.) представителю "строительной компании". За каждый выезд в нужный банк дроппер получал определенный гонорар – от 500 до
5000 руб., – чем больше
выездов (минимум – 2), тем
выгоднее для дроппера сотрудничество с этой "компанией".
В других похожих схемах
дроппер выполнял все те же
действия, только не передавал
пластиковую банковскую карту
"представителю строительной
компании", а регулярно (не
чаще двух раз в месяц) или по
звонку бухгалтера-дроповода
самостоятельно снимал определенную сумму в ближайшем
банкомате. Тут появляется следующий термин – "торпеда" (в
английской тематической литературе – "мул"), или лицо, совершающее снятие наличных
денежных средств в банкомате
по пластиковой банковской
карте (картам), зачастую выпущенной на третьих лиц, и
отправляющее 80–90% от
суммы по системе WesternUnion
на дополнительно указанные
реквизиты дроповода. Оставшиеся 10–20% являлись премией торпеде (в контексте
статьи – подвид дроппера) за
хорошо выполненную работу.
С помощью социальных
сетей, тематических форумов,
объявлений на столбах и автобусных остановках злоумышленникам удавалось и удается
постоянно пополнять свои ряды
и не зависеть от степени удачливости или личных качеств
того или иного участника распределенной сети дропперов.
Поскольку организаторы таких
схем рискуют не своими день-
pleshkov 4/22/16 4:17 PM Page 45
www.itsec.ru
ТЕХНОЛОГИИ
гами, а средствами, похищенными у жертв мошенничества,
они могут себе позволить
достаточно спокойно относиться к постоянной ротации внутри
сети дропперов. Они защищены
от правоохранительных органов, поскольку никто из дропперов не знает организатора
схемы, а с дроповодом чаще
всего общение происходит
только через Интернет (Jabber).
Если кто-либо из действующих
дропперов решит покинуть
теневую схему и прихватить с
собой все деньги, переведенные ему в соответствии с планом по обналичиванию, функция по восполнению рядов
и решение о применении санкций (репрессии, рэкет, травля
в Интернете, привлечение
к ответственности родственников и пр.) в отношении нерадивого
сотрудника-дроппера
ложатся на дроповода.
Другим примером создания
дропперских сетей является
появление в регионах РФ микрофинансовых организаций,
название которых меняется
с периодичностью в 2–3 месяца.
Эти организации привлекают по
объявлениям в Интернете и фиктивно устраивают в штат молодых и амбициозных финансовых
директоров и менеджеров, единственной задачей которых
является транзит: открытие в
нужных банках лицевых и расчетных счетов и совершение
операций перевода поступающих денежных средств на указанные счета в российские и
иностранные банки. После того,
как микрофинансовая организация попадает в поле зрения
правоохранительных органов,
она таинственным образом пропадает (банкротится, перепродается, ликвидируется и т.д.),
а на ее месте появляется другая,
с обновленными реквизитами,
но теми же сотрудниками и схемой работы.
Таким образом в настоящее
время организованы и отлажены схемы обналичивания
денежных средств, в которых
жаждущие быстрых денег дропперы используются злоумышленниками практически вслепую, без четкого представления
о возможных последствиях.
В чем подвох?
Объявления о работе дроппером, массово размещенные в
Интернете, рассчитаны в первую
очередь на людей в сложных
жизненных обстоятельствах. Зло-
умышленникам, по сути, неважно, какая у данного человека
конкретная ситуация, неважны
возраст или вероисповедание
кандидата,
важно
только,
насколько кандидат соответствует базовым требованиям, предъявляемым в данной сети к дропперу. Типовой профиль дроппера
в РФ и в других странах примерно совпадает. Индикаторами для
потенциального
кандидата
(физического лица) на работу в
таких случаях должны стать
уклончивые ответы со стороны
работодателя-дроповода на задаваемые простейшие вопросы.
При подготовке материалов
для данной статьи ко мне в
руки попала инструкция, заботливо подготовленная дроповодом для потенциальных дропперов и заточенная под один из
сибирских банков. Эта инструкция, по заверению организаторов мошеннических схем, должна была стать гарантией успешной реализации задуманного.
Далее приведу пример диалога (см. таблицу) новоявленного
кандидата в дропперы с опытным дроповодом, представителем одной из обнальных сетей,
взятый из интернет-переписки,
с дополнительными комментариями, раскрывающими суть.
Из примера диалога со злоумышленником видно, что
основная цель дроповода – это
искусственно сформировать у
дроппера ощущение спокой-
ствия и нормальности ситуации
с передачей пластиковой банковской карты третьему лицу
после ее оформления в банке.
Действительно, с точки зрения законодательства РФ ничего криминального здесь нет, во
всяком случае, ответственность
за передачу держателем своей
пластиковой банковской карты
третьему лицу по собственному
желанию (пусть даже при наличии мотивации) не предусмотрена. На момент передачи
карты и PIN-конверта владелец
(потенциальный дроппер) нарушает исключительно пункты
договора с банком: требования
по информационной безопасности в части обеспечения конфиденциальности реквизитов
и сохранности инструмента
доступа к счету. Но это не нарушение закона, за это не штрафуют и не сажают в тюрьму.
Никто не сообщает дроппперу, что привлечение его к гражданско-правовой, имущественной, а в некоторых случаях –
куголовной ответственности,
возможно после совершения
организаторами схемы несанкционированных операций по
переводу со счета жертвы и
зачисления денежных средств
на счет пластиковой карты этого
дроппера в "нужном" банке,
в процессе обналичивания им
(торпедой) денежных средств
в банкомате с использованием
пластиковой карты, при пере-
В настоящее время организованы и отлажены схемы
обналичивания денежных
средств, в которых жаждущие быстрых денег дропперы используются злоумышленниками практически
вслепую, без четкого представления о возможных
последствиях
Текст инструкции по подготовке дроппера
ПРЕЖДЕ ЧЕМ ПОДАТЬ ЗАЯВКУ В БАНК, ЗАПОМНИТЕ
Вы являетесь сотрудником строительной компании "С****ия" (ООО "С****ия"). Это
предприятие было создано в марте 2009 г. и занимается строительством жилых и
нежилых зданий.
Здания до трех этажей, гаражи, склады, офисные помещения. Ранее фирма называлась
"**** строительное ателье".
Вы официально трудоустроены. Трудовая книжка находится не у Вас на руках, а на
работе – в отделе кадров предприятия. Зарплату Вы получаете наличными в
бухгалтерии. ИНН Вашей компании 2****1940; компания обслуживается в банке "****"
и ОАО ****банк.
Юридический и фактический адрес ООО "С****ия" (общество с ограниченной
ответственностью): ****061, г. ****, ул. ****, 53А. Складская база находится там же.
Режим работы ООО "С****ия": 10:00–18:00 (понедельник–пятница). В штате ООО "С****ия
" работает около 60 человек.
E-mail компании: ****@****.ru. Сайт: ****.ru
Учредитель компании (владелец): Х****ов Николай Алексеевич.
Специалист ОК (отдела кадров): К****лев Анатолий Сергеевич.
Банк потребует у Вас контактные телефоны директора (или отдела кадров) и бухгалтера
компании, поэтому Вы должны заранее выучить их имена и сохранить в своем сотовом
телефоне номера:
8(****) 205-25-** – этот номер запишите как "Директор С****ков Дмитрий Анатольевич";
8(****) 205-25-** – этот номер запишите как "Бухгалтер С****ова Валентина Николаевна".
Карту местонахождения офиса нашей компании прилагаем.
Обращайтесь только в один банк – в тот, который мы с вами выбрали, иначе
подтверждения не будет!!!
• 45
pleshkov 4/22/16 4:17 PM Page 46
ТЕХНОЛОГИИ
Таблица. Пример диалога кандидата и опытного дроппера
№
Вопрос кандидата
Ответ мошенника-дроповода
Комментарий
1
Что это за вакансия?
Как к вам можно
попасть на работу?
Это не вакансия, а дополнительный заработок для самых
перспективных на неопределенное время
Манипуляция. Игра слов. Никакой конкретики
2
В чем подвох?
Подвоха нет: вы хорошо делаете свою работу, мы это ценим
и платим вам деньги именно за это. Сразу хотелось бы отметить, что нам не интересно иметь сложности с налоговой,
компания известная, крупная, и налоговые претензии нам ни
к чему
Манипуляция. Упор на мнимую надежность виртуальной крупной компании
3
И все-таки зачем вам
такие банковские
карты?
Пример: есть стройка, на которой работают неофициальные
рабочие, без разрешения, соответственно, официально зарплату им платить невозможно, но очень нужно, при этом
деньги нужно выдавать на руки. Для этого в большинстве
случаев и нужны такие зарплатные карты. Это нормальная
практика в РФ
Манипуляция. Акцент на нормальность
ситуации. Но в примере нет ничего нормального. Это явное нарушение действующего закона, на что крупная компания не пойдет
4
Как это все
происходит?
Представитель нашей компании встречается с вами, и если
вы устраиваете его при первой встрече, то сразу едете в
банк. Деньги на все затраты по оформлению даем мы. Вы
получаете
Очередная манипуляция, расчет в которой на быстрое прохождение процедуры
и скорое получение денег
5
Как происходит
оплата?
Оплата происходит из расчета X рублей за банк, после получения карт (банк 5–10 дней оформляет карты) и Y за каждый
выезд в банк после получения карты, в среднем за месяц мы
попросим вас подъехать дважды – трижды
6
Когда мне можно
будет закрыть карты?
В любой день, по вашему желанию, предварительно нас уведомив
Формирование у дроппера мнимого
ощущения безопасности и владения
ситуацией.
7
Нарушаю ли я какиелибо действующие
законы?
Нет, закона ни вы, ни мы не нарушаем. Нарушаются отдельные пункты договора между банком и вами, о запрете передачи пластиковой банковской карты третьему лицу. Налоги
с зарплаты, которая переводится на карты, платятся, это
выгодно самому же строительному предприятию
Мошенники не сообщают о том, что
в случае совершения противоправных
действий с использованием пластиковой
банковской карты ответственность по
закону целиком лежит на держателе
8
Какие условия для
этого заработка?
Требования стандартные, как у всех: отсутствие судимости,
Манипуляция. Акцент на нормальность
приличный внешний вид, постоянная прописка, если есть
ситуации
дебетовые карты (более 5) – сообщить о них заранее. Возраст от 18 лет. Обязательность и заинтересованность в работе приветствуются
9
Могу ли привести
друга? И заработать
денег?
Да, можете! В таком случае деньги мы даем вам лично, а вы
сами расплачиваетесь с другом
Классическая схема сетевого маркетинга в действии
10
Я согласен,
что делать?
Сообщите, пожалуйста, ваше имя, возраст и контактный
телефон. Если есть карты в большом количестве (более 5),
сообщите об этом, чтобы не было трудностей с оформлением
наших зарплатных карт. Вам позвонят в ближайшее время.
На данный момент требуется только 10 человек, не более
Минимальные требования для начала
работы. Искусственное введение
ограничений – не дают времени подумать. Появление ранее не указанных
условий
Это не вакансия,
а дополнительный
заработок для самых
перспективных на
неопределенное
время
Что это за вакансия?
Как к вам можно
попасть на работу?
воде снятых в банкомате наличных денежных средств через
систему WesternUnion в адрес
дроповода, а также в любое
время после составления жертвой мошенничества заявления
в правоохранительные органы
по установленной форме с указанием точных реквизитов дроппера, полученных из банка.
О том, как выявить дроппера
и какое наказание его ожидает,
мы расскажем в части 2 данной
статьи, которая будет опубликована в журнале «Information
Security/Информационная безопасность» №3/2016. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
46 •
leonov 4/22/16 4:18 PM Page 47
www.itsec.ru
ЗАЩИТА СЕТЕЙ
Сканеры уязвимостей
Взгляд со стороны вендора и со стороны пользователя
Александр Леонов, аналитик по информационной безопасности, Mail.Ru Group
С
канеры уязвимостей – это программные или аппаратные
средства, предназначенные для выявления проблем
безопасности на узлах вычислительной сети. Такие проблемы
могут быть связаны с тем, что администраторы сети не
установили критические обновления ПО или настроили
небезопасным образом. На практике такое не редкость.
Проверять вручную трудоемко: требуются специфическая
экспертиза и аккуратность. Поэтому сканеры уязвимостей,
автоматизирующие рутинные задачи сетевого аудита, стали
стандартными инструментами в арсенале специалистов по ИБ.
Любой сканер уязвимостей
содержит формализованные
знания об уязвимостях ПО и
методах их определения.
Детальная информация об
уязвимостях, как правило, распространяется публично вендорами ПО в виде бюллетеней
безопасности. Методы определения уязвимостей также
несложны: сканер по каким-то
признакам определяет версии
ПО, установленные на сканируемом узле сети. Если установленная версия ПО меньше
безопасной, известной из бюллетеня, значит, ПО необходимо
обновить, если больше или
равна, значит, все в порядке.
Как правило, сканер угадывает
версии установленного ПО по
открытым портам и баннерам
сервисов или, что предпочтительнее, получает доступ к удаленному хосту и выполняет на
нем необходимые команды.
Встречаются и пассивные
сканеры, которые определяют
версии ПО, анализируя сетевой
трафик, так же как системы
обнаружения вторжений определяют атаки. Как правило,
сканеры уязвимостей не требуют установки локальных
агентов на узлы сети. Однако
за последние полтора года
некоторые разработчики сканеров уязвимостей реализовали в своих продуктах поддержку агентного сканирования.
Агентным способом сканируют
мобильные устройства, которые появляются в сети периодически, или узлы сети, для
которых невозможно получить
учетную запись для сканирования.
Если сделать сканер
так просто, почему все
не пишут сканеры?
Сделать сканер для одной
системы несложно. Особенно
если требуется сканировать
только один популярный дистрибутив Linux, где все ПО устанавливается из одного репозитария.
В этом случае достаточно отслеживать только бюллетени безопасности, распространяемые
разработчиком дистрибутива
Linux. Но чем больше различных
систем необходимо сканировать,
тем сложнее становится разрабатывать сканер. Потребуется
держать штат экспертов по разным системам, писать множество парсеров сайтов с описаниями уязвимостей, разбираться
в рекомендациях компаний-разработчиков и в тонкостях простейших операций, таких как
сравнение двух версий одной
программы. Отсюда возникает
потребность в вендорах сканеров уязвимостей, которые берут
эту работу на себя.
Основной частью сканера
уязвимостей является база знаний. Поддерживать ее в актуальном состоянии – непростая
задача. Актуальность можно рассматривать с нескольких сторон.
Рынок ИT-систем непрерывно
развивается и усложняется.
Появляются новые технологии и
продукты, в которых обнаруживаются уязвимости. Разработчик
сканера уязвимостей должен
постоянно следить за тем, какие
системы используются у клиентов, и реализовывать поддержку
этих систем в своих продуктах с
минимальной задержкой. А пользователю, в свою очередь, сле-
дует учитывать при выборе разработчика сканера
уязвимостей его компетентность в тех технологиях и
системах, которые используются
у пользователя.
Если разработчик декларирует поддержку ОС или сетевого оборудования, это еще не
значит, что база уязвимостей
по данной системе или оборудованию будет полной. Уязвимости, о которых сканер не
знает, он не найдет. Тем самым
у пользователя может возникнуть чувство ложной уверенности, что в его сети все хорошо.
Неполнота базы может касаться как новых уязвимостей, так и
старых. В случае появления
новых громких, "именных" уязвимостей, таких как Heartbleed,
Shellshock или Ghost, ведущие
разработчики сканеров зачастую устраивают негласные
соревнования – кто быстрее
выпустит описание и правила
обнаружения этой уязвимости в
продукте. Но на уязвимостях,
которые не так известны, нельзя
сделать себе имя и использовать
в маркетинге, и поэтому правила
обнаружения таких уязвимостей
могут реализовываться в продукте с большими задержками.
То же касается и старых
уязвимостей. Недобросовестный разработчик сканера может
добавлять правила их обнаружения, только начиная с определенной даты, игнорируя
уязвимости, сообщения о которых публиковались ранее.
Однако то, что уязвимости игнорирует разработчик, не означает, что их будут игнорировать
злоумышленники.
Сканеры уязвимостей –
это программные или аппаратные средства, предназначенные для выявления
проблем безопасности на
узлах вычислительной сети.
Основной частью сканера уязвимостей является
база знаний. Поддерживать
ее в актуальном состоянии –
непростая задача. Актуальность можно рассматривать
с нескольких сторон. Рынок
ИT-систем непрерывно развивается и усложняется.
Появляются новые технологии и продукты, в которых
обнаруживаются уязвимости. Разработчик сканера
уязвимостей должен постоянно следить за тем, какие
системы используются у
клиентов, и реализовывать
поддержку этих систем в
своих продуктах с минимальной задержкой. А пользователю, в свою очередь,
следует учитывать при
выборе разработчика сканера уязвимостей его компетентность в тех технологиях
и системах, которые используются у пользователя.
• 47
leonov 4/22/16 4:18 PM Page 48
ТЕХНОЛОГИИ
Определение уязвимостей
Большинство разработчиков сканеров уязвимостей
создают свои продукты,
исходя из ложного убеждения, что инфраструктура
клиента состоит целиком из
нового программного и
аппаратного обеспечения,
что пользователи готовы
ставить на узлы сети по
несколько локальных агентов, а инженеры готовы
использовать дешевые Lintel-апплайнсы в критичных
местах сети.
Пользователю, как правило,
непросто установить факт, что
база знаний сканера уязвимостей для данной системы не
полна. Задача усложняется,
если разработчик сканера не
разглашает перечень поддерживаемых правил обнаружения
уязвимостей (плагинов).
Достойная позиция со стороны вендора – открыто сообщать
пользователю, какие системы
из инфраструктуры пользователя сканер уязвимостей в
состоянии адекватно оценить,
а какие нет. Но допустим, что
вендор поддерживает требуемую пользователю систему полностью, и в продукте есть плагины для обнаружения всех публичных уязвимостей для данной
системы. Остается вопрос, а
корректно ли реализованы проверки на наличие уязвимостей?
На самом деле совсем не
факт, что разработчик сканера
уязвимостей въедливо следит
за качеством обнаружения и
проводит все необходимые
тестирования перед выпуском
продукта. Так как механизм
обнаружения уязвимостей, как
правило, находится "под капотом" сканера, пользователь
не может оценить его корректность. Если вендор скрывает логику определения
уязвимостей, то это повод
задуматься, насколько эта
логика адекватна.
Дело выбора
Если при выборе сканера
уязвимостей
проводится
сравнение нескольких продуктов, то полезно в рамках пилотного проекта просканировать
набор разнотипных сетевых
узлов различными сканерами
48 •
уязвимостей и попросить участвующих вендоров объяснить
расхождения в результатах.
Опыт сопоставления результатов работы различных сканеров
уязвимостей позволяет развеять одно из устойчивых заблуждений, что популярные сканеры
уязвимостей работают примерно одинаково и дают примерно
одинаковые результаты.
Полное сканирование инфраструктуры также бывает сопряжено с определенными трудностями. Если сканер лицензируется по количеству узлов,
покрытие всей сети может
потребовать
внушительных
средств. Но даже если стоимость сканера не зависит от
количества сканируемых узлов,
выбрать оптимальное расположение сканеров – непростая
задача. Время полного сканирования одного узла составляет
около 5–10 мин. При больших
размерах сети сканирование с
помощью одного сканера может
занять неприемлемо большое
время. Но если располагать
несколькими сканерами, это
может сильно нагрузить сеть.
Кроме того, чем больше сканеров, тем больше издержек на
управление ими. В каждом
отдельном случае необходимо
искать правильный баланс.
Разработчики
сканеров
уязвимостей создают свои продукты, ориентируясь на пожелания своих потенциальных
пользователей. А пользователи,
которые до этого не имели дело
со сканерами уязвимостей,
могут не до конца понимать,
что им нужно на самом деле.
По моему мнению, в этом
заключается причина недопонимания между разработчиками
сканеров уязвимостей и конечными пользователями, на которой хотелось бы остановиться
подробнее.
Складывается впечатление,
что большинство разработчиков
сканеров уязвимостей создают
свои продукты, исходя из ложного убеждения, что инфраструктура клиента состоит целиком из нового программного и
аппаратного обеспечения, что
пользователи готовы ставить
на узлы сети по несколько
локальных агентов, а инженеры
готовы использовать дешевые
Lintel-апплайнсы в критичных
местах сети. Каждый разработчик сканеров старается включить в свое решение собственные дашборды, систему управления задачами, отчетами и
систему управления сканерами.
Эта функциональность зачастую плохо интегрируется с
имеющимися в компании продуктами и процессами и поэтому остается невостребованной.
Хранение данных
Отдельная проблема связана
с хранением учетных записей,
используемых при сканировании. Вендоры сканеров уязвимостей часто предлагают хранить учетные записи, как и
информацию о критичных
уязвимостях инфраструктуры
пользователя, в облачных продуктах. Это порождает дополнительные риски и зачастую
неприемлемо. Но даже если
учетные записи хранятся в сканере внутри сети пользователя,
это уже порождает проблемы:
их использование требует
дополнительного контроля. Как
правило, для сканера требуются
учетные записи с правами
администратора, а если права
учетной записи будут ограничены, то результаты могут быть
некорректны, и выявить это не
всегда просто.
Функциональность
В завершение статьи хотелось бы сформулировать свое
видение критичной функциональности сканера уязвимостей,
исходя из личного опыта разработки, сравнения и использования решений данного типа.
На мой взгляд, при использовании сканера уязвимостей критически важно:
l гарантировать, что база знаний сканера актуальна и
полна;
l эффективно управлять учетными данными для сканирования;
l обосновывать, подтверждать,
приоритизировать найденные
уязвимости и формировать
на их основе рекомендации
по исправлению;
l интегрировать результаты
работы сканера в существующую инфраструктуру и процессы.
Причем, как мне видится,
последние 2 пункта невозможно
эффективно реализовать силами вендора в рамках коробочного решения, а значит, у продукта должно быть развитое
API, позволяющее сделать это
самим пользователям. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
smart 4/22/16 4:18 PM Page 49
www.itsec.ru
ЗАЩИТА СЕТЕЙ
Конфиденциальные данные –
под надежный контроль!
Использование современной DLP-системы для предотвращения утечек информации
Н
евероятный прогресс в развитии персональных устройств широкого потребления,
компьютерных и телекоммуникационных технологий кардинально изменил подходы
к предоставлению доступа к используемым в бизнес-процессах данным, способам
и средствам их хранения и передачи.
Удобство
использования
современных устройств и Webсервисов, равно как и повышение эффективности производственных процессов как следствие, очевидно. Однако же
наряду с массой пользовательских удобств технологический
прогресс и консьюмеризация
корпоративных ИТ способствовали созданию благодатной
питательной среды для целого
класса новых угроз и рисков
ИБ невиданных доселе опасности и масштабов. Эти угрозы
стали результатом сближения
ряда основных факторов:
l Легкодоступность и простота
использования съемных накопителей и других подключаемых
устройств хранения данных.
l Большинство сервисов социальных сетей, приложения
облачных хранилищ, мессенджеры (в особенности Skype)
попросту игнорируют корпоративные средства защиты и границы инфраструктуры. Модель
информационной безопасности
потребительских приложений
основывается на том, что все
решения о способах и уровне
авторизации, аутентификации
и уровне доступа к данным принимает конечный пользователь,
который далеко не всегда
является владельцем данных,
будучи также сотрудником
какой-либо организации. Ярким
примером является использование облачных файловых хранилищ, когда сам работник
решает, какие файлы хранить
в облаке – и кому уже потом,
после размещения данных
в облаке, – предоставить к ним
доступ.
l Активно развивающаяся виртуализация
корпоративных
ресурсов и использования арендуемых корпоративных облачных сервисов.
Защита корпоративных
данных
На рынке DLP-решений, предназначенных для предотвращения утечек данных из корпора-
тивных
ИС,
заслуженной
популярностью пользуется программный комплекс российской
разработки DeviceLock DLP 8,
обеспечивающий избирательный контроль пользователей,
предотвращение утечек и
регистрацию фактов передачи
данных через локальные порты
и устройства, сетевые сервисы
и протоколы, а также автоматическое сканирование компьютеров и корпоративных сетевых
ресурсов в целях выявления
нарушений политик безопасного
хранения документов и данных.
Важно отметить, что DeviceLock DLP реализует перехват
и инспекцию содержимого передаваемых данных в каналах
утечки непосредственно на
контролируемом компьютере,
а не на уровне сервера или
шлюза, что позволяет также
обеспечить эффективный контроль мобильных сотрудников,
не использующих корпоративную сеть офиса.
С помощью комплекса DeviceLock DLP служба ИБ может реализовать разнообразные сценарии противодействия утечкам
корпоративных данных через
сетевые коммуникации и локальные каналы – от тотального
запрета использования отдельных каналов до пассивного
режима наблюдения, когда
ведется только мониторинг передаваемых данных с последующим выявлением инцидентов.
Между этими крайностями
лежат любые сочетания блокировки и мониторинга, включающие выборочное разрешение
или блокировку передачи файлов по контролируемым службой
ИБ каналам для отдельных пользователей и групп; ограничения,
основанные на анализе содержимого передаваемых документов и данных, в том числе с применением технологии автоматического распознавания текста
в рисунках (например, сканах
документов); теневое копирование только представляющих
интерес для службы ИБ файлов
и данных; тревожные оповещения по ключевым инцидентам
и многое другое.
В дополнение к контролю
рабочих станций DeviceLock DLP
позволяет обеспечить защиту
от утечек данных для виртуальных сред и модели BYOD, основанной на виртуализации рабочих сред и приложений. Реализованная в DeviceLock технология Virtual DLP является универсальной и работает на всех
видах личных устройств, а также
в инфраструктурах, построенных на использовании тонких
клиентов.
Самостоятельно лицензируемый компонент комплекса
DeviceLock Discovery автоматически сканирует рабочие станции
и сетевые хранилища и обнаруживает на них документы
и файлы, содержимое которых
нарушает политику безопасного
хранения корпоративных данных,
после чего осуществляет с ними
заданные опциональные превентивно-защитные действия.
Предоставляемая DeviceLock
DLP возможность обеспечить
избирательный контроль различных каналов утечки в сочетании с контролем хранимых
на рабочих станциях конфиденциальных документов открывает организациям безопасный
путь для разрешения своим
сотрудникам контролируемо
использовать различные
устройства и сетевые сервисы
в целях повышения эффективности работы без угрозы утечки
данных, вне зависимости от
места работы сотрудников –
в офисе, в пути или дома, с корпоративного компьютера или
ноутбука либо планшета. l
DeviceLock DLP реализует перехват и инспекцию
содержимого передаваемых
данных в каналах утечки
непосредственно на контролируемом компьютере, а не
на уровне сервера или
шлюза, что позволяет также
обеспечить эффективный
контроль мобильных сотрудников, не использующих
корпоративную сеть офиса.
* На правах рекламы
NM
АДРЕСА И ТЕЛЕФОНЫ
АО "СМАРТ ЛАЙН ИНК"
см. стр. 56
• 49
skorodumov 4/22/16 4:17 PM Page 50
ТЕХНОЛОГИИ
Безопасный доступ к информационным
ресурсам компании
Анатолий Скородумов, заместитель директора, начальник управления по
обеспечению информационной безопасности, ПАО “Банк Санкт-Петербург"
К
Работодателю выгодно,
огда речь заходит об организации безопасного доступа к
информационным ресурсам, на ум обычно приходит принцип
трех “A" (Autentification, Authorization, Access control). Но
если вы начнете перебирать все связанные с данной задачей
проблемы, то быстро придете к выводу, что для организации
безопасного доступа к информационным ресурсам компании
необходимо построить эффективную систему информационной
безопасности.
Это вопрос не одной статьи и даже не одной книги.
Поэтому в данной
статье я предлагаю обсудить ряд моментов, связанных с организацией
безопасного удаленного доступа к ресурсам организации.
Тема эта достаточно актуальна
в последние годы. Бизнес становится все более мобильным,
офис компании не является
таким уж обязательным атрибутом, широкое распространение мобильных устройств только "усугубляет" ситуацию.
когда сотрудник выполняет
какие-то задачи в нерабочее
время. Но если смотреть
шире, использование удаленного доступа меняет
парадигму организации
наемного труда. Сотрудник
не просто 8 часов находится
в офисе, делая вид, что все
8 часов активно занимается
выполнением своих должностных обязанностей.
Сотрудник работает в удобном для него месте, в удобное для него время. И если
он справляется с поставленным объемом задач за
4 часа, а не за 8, значит,
у него останется больше
времени на творчество, на
обучение, на профессиональное общение, на личную жизнь, в конце концов.
Работник заинтересован в
повышении производительности труда.
50 •
Можно ли обойтись
без удаленного доступа?
Можно, но это неудобно,
нетехнологично, невыгодно.
Страдает оперативность решения задач, производительность
работников, эффективность
процессов, а в итоге – организация зарабатывает меньше
денег. Естественно, не для всех
отраслей это одинаково актуально, но таких сфер, где это
вообще не актуально, становится все меньше и меньше.
Приведу небольшой пример
работы в организациях без удаленного доступа к информационным ресурсам. Многим из
вас приходилось сталкиваться с
ситуацией "сотрудник что-то не
успел, взял работу на дом". А
что работник с собой взял? Явно
не токарный станок с металлическими болванками. Он взял с
собой информацию. Причем, т.к.
он не всегда точно знает, что
ему может понадобиться (например, для подготовки какого-то
отчета), он старается взять все,
что может пригодиться. К чему
может привести такая работа
на дому, специалисту по информационной безопасности объяснять не надо.
Следует отметить, что в большинстве организаций доступ
к серверам даже внутри корпоративной сети тоже является удаленным, т.к. серверы размещаются в территориально удаленных
от основного места размещения
работников организации ЦОДах.
Другое дело, что доступ к ним
осуществляется по выделенным
каналам, доступ осуществляется
с компьютеров, размещенных
внутри защищаемого периметра
и соответствующих единым политикам безопасности.
Все становится значительно
сложнее, когда необходимо
обеспечить защиту удаленного
доступа к ресурсам организации
через сеть Интернет, да еще,
в ряде случаев, с личных
мобильных устройств.
Кому же нужен
удаленный доступ
к информационным
ресурсам организации?
Многим:
l руководителям различного
уровня при их нахождении вне
офиса – требуется доступ к
электронной почте, к системе
внутриофисного электронного
документооборота, к бизнесприложениям для принятия
управленческих решений;
l различного уровня администраторам информационных
систем – требуется доступ
к администрируемым системам
для обеспечения удаленного
мониторинга и оперативного
восстановления их работоспособности;
l представителям контрагентов, с которыми сотрудничает
компания, – требуется доступ к
внедряемым данными контрагентами системам для прове-
дения необходимых настроек,
к тестовым системам для проверки обновлений, воспроизведения и устранения выявленных
на боевых системах ошибок; в
случае передачи каких-то функций на аутсорсинг удаленный
доступ может понадобиться для
работников этих компаний;
l мобильным работникам для
выполнения своих должностных
обязанностей;
l обычным работникам компании (например, если они решили "взять работу на дом").
Выгоды удаленного доступа
сотрудников к информационным ресурсам организации
достаточно очевидны, но есть и
существенные риски.
Чего же мы боимся при
организации удаленного
доступа?
1. Утечка конфиденциальных
данных, которая может произойти по многим причинам:
l утрата (потеря, кража)
мобильного устройства или
средства вычислительной техники, с которого осуществляется доступ;
l заражение устройств вредоносным ПО;
l передача этой техники
в ремонт;
l доступ к этой технике родных
и знакомых.
2. Заражение корпоративной
системы вредоносным ПО.
Может произойти в случае заражения вредоносным ПО устройства, с которого осуществляется
удаленный доступ к корпоративным информационным
ресурсам, с дальнейшим заражением информационных
средств и систем внутри организации.
skorodumov 4/22/16 4:17 PM Page 51
www.itsec.ru
КОНТРОЛЬ ДОСТУПА
3.
Несанкционированный
доступ в корпоративную вычислительную сеть. Может осуществиться в случае утечки (перехвата) аутентификационных
данных либо получения несанкционированного доступа
к устройству, с которого осуществляется удаленный доступ.
Угроза реализуется прежде
всего при заражении устройства, с которого осуществляется
удаленный доступ, вредоносным ПО.
Рассмотрим
небольшой пример
Практически стандартом дефакто стал удаленный доступ к
своему корпоративному почтовому ящику. Немного найдется
организаций, в которых никто
из работников не имеет удаленного доступа к своей корпоративной электронной почте.
Но даже такой, казалось бы,
обычный
информационный
обмен не так просто защитить.
Основная проблема в том, что
в классической реализации почтовый клиент закачивает почтовые сообщения на устройство
пользователя. Поэтому, если у
вас есть возможность ограничить доступ к электронной почте
только Web-протоколом без возможности сохранения вложений
на конечном устройстве, это
решит многие проблемы. Если
же нет, придется организовывать шифрование почтовых
сообщений и защищенное хранение ключа для расшифровки
на конечном устройстве пользователя. Если это технически
нереализуемо, в качестве компенсационной меры можно
посоветовать ограничить
период синхронизации электронной почты несколькими
днями. Т.е. на устройстве пользователя будет находиться электронная почта только за последние 3–5 дней, что, согласитесь,
значительно лучше, чем вся
переписка за последние, как
минимум, полгода. Еще один
аспект, который необходимо
решить, – это контроль за тем,
что же пользователь делает с
этой электронной почтой. В случае использования корпоративных устройств для удаленного
доступа можно установить на
эти устройства агента DLPсистемы. В случае использования личных устройств это будет
сложно реализовать как технически – с учетом "зоопарка"
имеющихся у пользователей
устройств, – так и по этическим
соображениям – с точки зрения
невмешательства в личную
жизнь человека.
В значительной степени безопасность удаленного доступа
зависит от разрешенных протоколов взаимодействия. На
практике
наиболее
часто
используются следующие методы организации безопасного
доступа:
l организация VPN в корпоративную сеть;
l организация удаленного
доступа с использованием терминального соединения;
l Web-публикация приложения
и предоставление доступа по
протоколу HTTPS.
Организация VPN в корпоративную сеть – это один из наиболее старых и широко используемых способов организации
доступа в корпоративную сеть
с корпоративных устройств. Технология позволяет включить
удаленное устройство в корпоративную вычислительную сеть
аналогично компьютеру, установленному в офисе организации. Вот только делать этого не
следует ввиду высокого риска
реализации всех трех из описанных выше угроз. Целесообразно "приземлить" VPN в демилитаризованную зону корпоративной вычислительной сети
или в специализированный
VLAN и строго ограничить
доступы и протоколы взаимодействия этой подсети с основной корпоративной вычислительной сетью. В настоящее
время на рынке имеется достаточно широкий набор устройств
для организации защищенных
соединений (VPN), позволяющих накладывать на такое взаимодействие дополнительные
ограничения.
Терминальное взаимодействие оконечного устройства с
сервером появилось практически с появлением первых компьютеров. Изначально такое
взаимодействие более безопасное, чем организация VPN, т.к.
предполагает обработку информации на сервере с передачей
на оконечное устройство только
символьного или графического
интерфейса с отображением
результата выполнения обработки информации на сервере.
Современные оконечные устройства значительно более функциональны, да и сами протоколы
терминального взаимодействия
стали обладать значительно
большими возможностями. Так,
большинство современных тер-
минальных протоколов взаимодействия имеют возможность
шифрования передаваемого
трафика. Но в то же время практически все из них позволяют
файловую передачу данных, что
с точки зрения безопасности
несет в себе существенные
риски. Поэтому применение
современных протоколов терминального взаимодействия для
организации удаленного доступа
требует наложения дополнительных ограничений как минимум
на файловую передачу данных
и копирование информации
через буфер обмена.
Web-публикация приложения
и организация к нему доступа
с использованием протокола
HTTPS является наиболее
современным способом организации безопасного удаленного доступа к информационным ресурсам. Многие современные системы (та же электронная почта) имеют встроенный функционал по организации такого доступа. Но даже
если изначально у приложения
нет встроенного Web-интерфейса, существует достаточное
количество
программных
инструментов для его организации.
Многое зависит от того,
к какого рода информации планируется предоставлять доступ.
Для удаленного доступа к критичным системам и серверам
целесообразно использовать
корпоративные устройства, на
которых установлены жесткие
политики по безопасности:
отсутствие свободного доступа
в Интернет, доступ возможен
только для соединения с корпоративной сетью; организация
функционально
замкнутой
среды – отсутствие прав на
установку и запуск любого программного обеспечения, кроме
разрешенного; шифрование
Для удаленного доступа
к критичным системам
и серверам целесообразно
использовать корпоративные устройства, на которых
установлены жесткие политики по безопасности: отсутствие свободного доступа
в Интернет, доступ возможен только для соединения
с корпоративной сетью;
организация функционально
замкнутой среды – отсутствие прав на установку
и запуск любого программного обеспечения, кроме
разрешенного; шифрование
жесткого диска устройства;
запрет на подключение
внешних накопителей и т.д.
• 51
skorodumov 4/22/16 4:17 PM Page 52
ТЕХНОЛОГИИ
Если говорить о личных
мобильных устройствах, то
подходы, используемые для
корпоративных устройств,
тут не всегда подходят.
У вас есть желание управлять тем "зоопарком"
мобильных устройств, которые используются вашими
работниками? Ваш работник
вряд ли обрадуется, если вы
запретите ему установку
приложений из Apple Store
или Google Play Market.
Также пользователь не
будет рад, если после его
увольнения из организации
вы полностью очистите ему
планшет или мобильник,
удалив с него все имеющиеся данные.
52 •
жесткого диска устройства;
запрет на подключение внешних накопителей и т.д.
Для менее критичных корпоративных систем можно разрешить доступ и с личных
устройств при следующих условиях:
1) использование строгой
системы аутентификации пользователей при удаленном доступе; необходимо использовать
многофакторную аутентификацию;
2) у пользователя не должно
быть возможности сохранить
корпоративные данные на
своем личном устройстве, либо
на устройстве должна быть создана защищенная среда для
работы с корпоративной информацией (отдельная загрузка ОС,
отдельная виртуальная машина,
для мобильных устройств – специальный криптоконтейнер);
3) протокол взаимодействия
должен обеспечивать защиту
(шифрование) передаваемых
данных;
4) устройство пользователя
должно соответствовать определенным требованиям безопасности;
5) должен быть настроен
аудит событий удаленных подключений.
Какие же системы безопасности могут помочь при организации удаленного доступа?
На вопросах использования
антивирусного ПО, межсетевых
экранах и системах обнаружения атак я даже останавливаться не буду. Посмотрим на более
специализированные продукты.
1. Специализированные серверы (шлюзы) доступа.
Обычно объединяют в себе
функциональность
сервера
аутентификации, VPN-шлюза,
межсетевого экрана, системы
обнаружения атак. Ряд из них
может обеспечивать проверку
пользовательских устройств на
соответствие установленным
политикам безопасности. Такие
решения также могут иметь
специализированный
программный компонент для установки на пользовательском
оборудовании.
2. Системы строгой аутентификации.
При использовании технологии BYOD достаточно сложно
обеспечить единую для всех
пользователей двухфакторную
аутентификацию, в достаточной
мере защищенную от перехвата
аутентификационных данных
при заражении пользовательского устройства вредоносным
ПО. На практике хорошо себя
зарекомендовали в этом смысле системы одноразовых паролей (ОТР).
3. Для обеспечения высокого
уровня защищенности удаленного доступа к критичным
информационным ресурсам
целесообразно использовать
специализированные компьютеры либо мобильные устройства, изначально имеющие
защищенную конфигурацию и
поддерживающие все необходимые функции безопасности.
4. Системы управления привилегированными учетными
записями. Обычно применяются
для снижения рисков при
использовании удаленного подключения для администрирования систем. Основной функционал этих систем заключается в
сокрытии реальных паролей
доступа к критичным информационным системам организации, фиксации сессии удаленного управления вплоть до
видеозаписи сессии целиком и
возможность активного реагирования на определенные событии в сессии удаленного управления.
5. Системы MDM – Mobile
Device Management (MAM –
Mobile Application Management).
Это класс специализированных систем, заточенных под
централизованное управление
мобильными устройствами.
Исторически MDM-решения
создавались для управления
корпоративными мобильными
устройствами. Когда речь шла
исключительно о корпоративных ноутбуках, ни у кого не
возникало сомнения, нужно
ли ими управлять. Основная
задача была так "закрутить
гайки", чтобы пользователь не
мог на нем сделать ничего
критичного.
Если говорить о личных
мобильных устройствах, то
подходы, используемые для
корпоративных устройств, тут
не всегда подходят. У вас есть
желание управлять тем "зоопарком" мобильных устройств,
которые используются вашими
работниками? Ваш работник
вряд ли обрадуется, если вы
запретите ему установку приложений из Apple Store или
Google Play Market. Также пользователь не будет рад, если
после его увольнения из организации вы полностью очистите ему планшет или мобильник,
удалив с него все имеющиеся
данные.
В большинстве современных
MDM-решений решен вопрос
разделения пользовательской
среды и среды работы с корпоративными данными (обычно
для этого используется технология криптоконтейнера). Соответственно, появилась возможность сконцентрироваться на
управлении именно криптоконтейнером, применяя к устройству в целом минимум требований и ограничений.
Наш опыт использования
MDM-системы для реализации
технологии BYOD (Bring Your
Own Device) показал достаточно
высокую эффективность этих
систем при защите удаленного
доступа к корпоративным данным. Помимо непосредственно
защиты удаленного доступа
такие системы позволяют организовать защищенное хранение
и обработку корпоративной
информации прямо на пользовательском устройстве. Гибкая
система настроек дает широкие
возможности по реализации
выбранных политик безопасности как для личных, так и для
корпоративных
мобильных
устройств.
Принцип трех "О"
Я начал статью с упоминания
принципа трех "А", а закончить
хочу принципом трех "О".
Про организацию удаленного
доступа к информационным
ресурсам компании:
1. Оцените риски.
2. Определите методы и средства защиты.
3. Обеспечьте приемлемый
уровень безопасности (либо
Откажитесь от этой затеи). l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
sapr_1 4/22/16 4:18 PM Page 53
www.itsec.ru
КОНТРОЛЬ ДОСТУПА
Интегрированные системы комплексной защиты
периметра предприятия
Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
C
пециалист подобен флюсу, поэтому так сложно создать на
предприятии действительно интегрированную систему безопасности. Даже подсистемы защиты информации не всегда могут
договориться между собой (даже если удалось договориться
их разработчикам, что тоже маловероятно), что уж говорить
о таких, казалось бы, разных явлениях, как доступ к прикладной задаче на автоматизированном рабочем месте (АРМ)
и доступ на территорию организации. За это даже отвечают разные подразделения, и этот факт сам по себе в свое время был
прорывом – осознание того, что защита информации – это
целая отдельная область знаний и умений, пришло не сразу.
Теперь пришло время обратного процесса – осознания того, что
никаких причин, препятствующих
созданию единой интегрированной системы контроля доступа –
от входа в ворота до входа в
учетную запись пользователя, –
нет. Кроме того, что за них отвечают разные подразделения. Это
серьезный контраргумент, но,
думается, владельцу системы
решать, насколько он перевешивает плюсы интеграции.
Интеграция систем защиты
информации и контроля доступа
позволит достичь ощутимых
преимуществ.
1. Объединение персональных идентификаторов сотрудников, применяемых ими в СЗИ
НСД и в СКУД, даст возможность сократить количество
инцидентов, связанных с забыванием идентификаторов, передачей другому лицу или оставлением их без присмотра в
момент отсутствия пользователя на рабочем месте, а также
практически исключить воздействие человеческого фактора
на выполнение правила блокировки рабочего места пользователя в момент отсутствия
последнего.
2. Объединение систем управления СКУД и СЗИ НСД путем
создания третьей управляющей
системы позволит сформировать
правила доступа во взаимосвязанности результатов выполнения действий доступа к информационным ресурсам и помещениям. Например, СКУД будет
позволять покинуть комнату,
заблокировав рабочее место, но
не будет позволять покинуть территорию предприятия, если рабочее место не выключено надлежащим образом или не завершен сеанс работы того пользо-
вателя, который хочет покинуть
территорию. А СЗИ НСД, в свою
очередь, не будет позволять
пользователю доступ в информационную систему, если нет
информации от СКУД, что он
вошел на территорию предприятия, и так далее. При этом все
факты таких нестандартных
ситуаций будут зарегистрированы и могут быть (и должны быть!)
проанализированы ответственным за безопасность лицом.
Взаимоувязывание событий
СКУД и СЗИ НСД в общие правила может исключить обход
правил безопасности, который
возможен из-за разорванности
этих систем.
Рассмотрим пример
С точки зрения СЗИ НСД разблокировка сессии и включение
СВТ являются разными событиями, и в отношении этих событий весьма вероятна настройка
разных ограничений. Например,
разблокировка сессии зачастую
возможна не только тем пользователем, чья это сессия, но и
администратором или другим
пользователем с аналогичной
ролью (или входящим в коллективную учетную запись), при
этом разблокируется та же
самая сессия. Иначе в случае
включения АРМ – если АРМ
будет включаться, то под тем
профилем, кто его включает, а
не под тем, кто его выключил.
Для разблокировки сессии могут
быть установлены совершенно
другие ограничения по времени,
в которое допустима разблокировка, в отличие от времени, в
которое разрешено включение
АРМа. Соответственно, если
перед уходом пользователь
(случайно или умышленно) не
выключил АРМ, а только заблокировал сессию, то он открыва-
ет злоумышленнику возможность осуществить
те или иные манипуляции с его
рабочим местом, которые тот
не смог бы осуществить, будь
АРМ корректно выключен. Если
же интегрированная система
безопасности не выпустит пользователя за пределы организации, пока тот не выключит компьютер надлежащим образом,
то атака такого рода будет
невозможна. Таких примеров
может быть масса.
Разумеется, не может
быть коробочного решения,
интегрирующего любую
систему защиты информации с любой СКУД сразу,
как только его достали из
упаковки. Интеграция
вообще не может быть коробочным решением. Однако
это не должно становиться
препятствием к ее осуществлению там, где она
"Рассвет-СВМиКД"
Для создания такой интегрированной системы видеомониторинга и контроля доступа
(СВМиКД) мы предлагаем
решение, состоящее из Сервера
интеграции комплексов "Рассвет-СВМиКД". Сервер обеспечивает взаимодействие серверов управления СЗИ НСД
"Аккорд" и СКУД, что дает возможность формирования новых,
более сложных и комплексных
правил доступа. А комплексы
"Рассвет-СВМиКД",
помимо
взаимодействия с Сервером
интеграции, выполняют функцию передачи видеоизображения с экрана монитора подконтрольного АРМ на заданный сервер, видеоизображения с IPвидеокамеры (входит в состав
комплекса), снимающей оператора, на заданный сервер
видеонаблюдения, а также при
необходимости может усилить
подсистему аутентификации,
например считывателем биометрических данных. l
возможна и уместна. "Рассвет-СВМиКД" дорабатывается для каждой конкретной
системы не только в части
процедур взаимодействия
с каждой новой СКУД, но
и в части правил доступа,
которые формируются
согласно потребностям
и представлениям эксплуатирующей организации,
а не нашим собственным.
NM
АДРЕСА И ТЕЛЕФОНЫ
ЗАО "ОКБ САПР"
см. стр. 56
• 53
NEW_PROD 2 4/22/16 4:18 PM Page 54
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
НОВЫЕ ПРОДУКТЫ
Платформа для предотвращения
целенаправленных атак
FireEye NX
Производитель: FireEye, Inc.
Назначение: защита рабочих станций
от целенаправленных атак
Особенности:
l предотвращает целенаправленные атаки,
с которыми не справляются традиционные средства защиты информации
l в основе лежит механизм поведенческого анализа потенциально опасных
объектов в так называемой "песочнице"
Возможности:
l варианты развертывания: активный
(в разрыв) и пассивный (режим мониторинга)
l анализ всех подозрительных Webобъектов, включая PDF-файлы, Flash,
мультимедийные файлы и архивы
ZIP/RAR/TNEF
l оптимизация процесса назначения
приоритетов для реакции на инциденты благодаря интеграции с AV-Suite
l интеграция с продуктами серии FireEye
EX для предотвращения комбинированного целевого фишинга
l локальное распространение данных
об угрозах в рамках всей развернутой
системы FireEye, а также глобальное
распространение для клиентов FireEye
с помощью облачного решения FireEye
Dynamic Threat Intelligence™ (DTI)
l поддержка удаленного доступа к сетевым сервисам ААА сторонних поставщиков в дополнение к локальной
аутентификации
Характеристики: см. на http://fireeyerussia.ru/fireeye-solution/fireeye-nx/
Ориентировочная цена: зависит от
конфигурации
Время появления на российском
рынке: март 2016 г. (обновление линейки)
Подробная информация: http://fireeye-russia.ru/fireeye-solution/fireeye-nx/
Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО
См. стр. 5, 35
Платформа для обнаружения
целевых кибератак
Kaspersky Anti Targeted
Attack Platform
Производитель: "Лаборатория Касперского"
Назначение: обнаружение целевых
атак
Особенности: соединяет в себе новейшие технологии и глобальную аналитику,
что позволяет своевременно реагировать на целенаправленные действия
злоумышленников и противодействовать
атакам на всех этапах их реализации;
54 •
является частью комплексного стратегического подхода для создания адаптивной модели защиты от новых угроз и
реагирования на инциденты информационной безопасности
Возможности:
l снижение риска целенаправленных
атак
l быстрое обнаружение атак
l помощь экспертов на всех этапах
борьбы с целевыми атаками
Характеристики:
l противодействие: укрепление системы
безопасности с помощью решений
"Лаборатории Касперского"; повышение
осведомленности сотрудников об актуальных киберугрозах; тренинги для специалистов, которые помогают эффективнее бороться с целевыми атаками
l обнаружение: постоянный мониторинг
активностей, которые сигнализируют
о начале атаки; выявление уязвимостей
в системе безопасности и попыток
проникновения в сеть; обнаружение
инцидентов, оценка ущерба и приоритизация дальнейших действий
l реагирование: понимание природы
каждой атаки и механизма вредоносных действий; немедленная реакция
на атаку и уменьшение связанного с
ней ущерба; проведение расследований, в том числе на уровне глубокой
цифровой криминалистики
l прогнозирование: оценка потенциальных рисков для безопасности в текущей инфраструктуре; рекомендации
по укреплению мер защиты и устранению уязвимостей; проактивная
защита, которая адаптируется к новым
и неизвестным угрозам
Время появления на российском
рынке: февраль 2016 г.
Подробная информация:
http://www.kaspersky.ru/enterprise-security/anti-targeted-attacks
Фирма, предоставившая информацию: ЛАБОРАТОРИЯ КАСПЕРСКОГО
См. 4-ю обл.
Платформа для защиты
критически важных
инфраструктур и промышленных
объектов
Kaspersky Industrial CyberSecurity
Производитель: "Лаборатория Касперского"
Назначение: защита критически важных
инфраструктур и промышленных объектов
Особенности: разрабатывалась с учетом ключевых особенностей промышленных объектов; особое внимание уделялось
обеспечению непрерывности производственных процессов; предназначена для
защиты индустриальных сетей, построенных на базе технологии Ethernet
Возможности:
l защита производственных предприятий от киберугроз
l обеспечение безопасности индустриальных сетей и непрерывность производственных процессов
l минимизация времени простоев и
задержки технологических процессов
l включает набор сервисов для максимально эффективной защиты предприятия
Характеристики:
l функциональные компоненты: централизованное управление; защита от
вредоносного ПО; мониторинг уязвимостей; контроль целостности; система предотвращения вторжений; система расследования инцидентов; интеграция с другими решениями
l экспертные сервисы: обучение; оценка
безопасности системы; тесты на проникновение; анализ архитектуры; разработка политик и процедур, адаптация решения
Время появления на российском
рынке: декабрь 2015 г.
Подробная информация:
ht tp://www.kaspersky.ru/enterprisesecurity/industrial
Фирма, предоставившая информацию: ЛАБОРАТОРИЯ КАСПЕРСКОГО
См. 4-ю обл.
Программно-аппаратный
комплекс защищенного хранения
файлов журналов
"Программно-аппаратный
неперезаписываемый журнал"
(ПАЖ)
Производитель: ООО "ОКБ САПР"
Сертификат: не подлежит обязательной сертификации
Назначение: сбор и хранение на USBносителе журналов приложений, защищенных от неавторизованной модификации и удаления
Особенности:
l работа только на заранее разрешенных СВТ
l архивирование журналов приложений
в памяти ПАЖ с последующей очисткой журналов на СВТ
Возможности:
l экспорт файлов журналов событий
различных приложений с диска СВТ
на диск ПАЖ
l задание правил доступа к содержимому аппаратного журнала посредством
настройки соответствующих политик
l фиксация всех случаев подключения к
СВТ в собственном журнале устройства
Характеристики:
l работа под управлением ОС семейства Windows
l поддержка ролей пользователя, администратора, аудитора
Ориентировочная цена: 7,5 тыс. руб.
Время появления на российском
рынке: второе полугодие 2015 г.
Фирма, предоставившая информацию: ОКБ САПР, ЗАО
См. стр. 9, 53
NEW_PROD 2 4/22/16 4:18 PM Page 55
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
Программно-аппаратный
комплекс
"Ноутбук Руководителя"
Производитель: ООО "ОКБ САПР"
Сертификат: не подлежит сертификации
Назначение: защищенная работа
пользователей с сервисами доверенной
распределенной информационной системы в рамках доверенного сеанса связи
Особенности:
l защищенный и незащищенный режимы работы
l предоставление достаточного уровня
защиты для безопасного взаимодействия с доверенными системами в
защищенном режиме
l отсутствие ограничений на работу пользователя в незащищенном режиме
Возможности: использование в защищенном режиме в качестве:
l средства обеспечения доверенной
загрузки ОС
l средства обеспечения защищенного
соединения с сервисами удаленных информационных, платежных и иных систем
Характеристики:
l поддержка ролей пользователя, администратора
l возможность загрузки профиля пользователя с определенными настройками и данными
Ориентировочная цена: 92 тыс. руб.
Время появления на российском
рынке: конец 2015 г.
Фирма, предоставившая информацию: ОКБ САПР, ЗАО
См. стр. 9, 53
Программно-аппаратный
комплекс защищенного хранения
информации
"Секрет Особого Назначения"
для ОС Android
Производитель: ООО "ОКБ САПР"
Сертификат: подлежит сертификации
Назначение: защищенное хранение
информации конфиденциального характера на USB-носителе
Особенности:
l работа только на заранее разрешенных СВТ
l простота установки и использования
l поддержка работы с ОС Android
Возможности:
l задание правил доступа к защищаемой
информации посредством настройки
политик
l регистрация в аппаратном журнале устройства всех попыток подключения к РС
Характеристики:
l возможность задания размеров журнала событий и закрытого раздела диска
с пользовательской информацией
l поддержка ролей пользователя, администратора
Ориентировочная цена: от 4,5 до
9 тыс. руб. в зависимости от объема
флеш-диска
Время появления на российском
рынке: конец 2015 г.
Фирма, предоставившая информацию: ОКБ САПР, ЗАО
См. стр. 9, 53
www.itsec.ru
вере полнотекстового поиска DeviceLock Search Server и др.
Время появления на российском
рынке: III квартал 2015 г.
Подробная информация:
www.devicelock.com/ru
Фирма, предоставившая информацию: СМАРТ ЛАЙН ИНК, ЗАО
См. стр. 49
Высокоэффективный межсетевой
экран для защиты Web-приложений
FortiWeb 4000E
Программный комплекс
DeviceLock DLP, версия 8.1
Производитель: ЗАО "Смарт Лайн Инк"
Назначение: выявление нарушений
корпоративной политики безопасного
хранения файлов, документов и данных,
в том числе данных ограниченного доступа, на рабочих станциях, серверах и в
сетевых хранилищах организации
Особенности:
l осуществляет централизованный контроль и протоколирование доступа
пользователей к устройствам, портам
ввода-вывода, сетевым протоколам и
приложениям
l обеспечивает проактивную защиту от
утечки данных и проникновения вредоносных программ на рабочих компьютерах сотрудников
Возможности:
l предназначен для организаций,
заинтересованных в простом, доступном и высокоэффективном подходе к
решению задачи предотвращения
утечки корпоративных данных с Windows- и Mac-компьютеров, а также
виртуализованных Windows-сред
l обеспечивает координированное применение полного набора механизмов
контекстного контроля и контентной
фильтрации для защиты от утечек
данных при их использовании, передаче и хранении на корпоративных
компьютерах, при этом не прерывая
штатные производственные процессы
l позволяет службам информационной
безопасности централизованно и оперативно управлять DLP-политиками в
масштабах всей организации независимо от размера ИТ-инфраструктуры
l поддерживает любые LDAP-каталоги,
рабочие группы и может использоваться на отделенных от общей сети
рабочих станциях под управлением
ОС Windows
l предоставляет службам ИБ высокий
уровень функциональных возможностей для DLP-защиты рабочих станций
при гибкой ценовой политике
l среди новых возможностей версии
8.1 – контроль IBM (Lotus) Notes, протокола Torrent, поддержка OCR в сер-
Производитель: Fortinet
Сертификат: изделие подлежит сертификации
Назначение: современная многоуровневая защита приложений в сетях средних и крупных организаций, поставщиков
служб приложений и поставщиков SaaS
Особенности: пропускная способность
до 20 Гбит/с, полный объем хранения
Возможности:
l встроенные современные функции
защиты от вредоносных программ
l функции сканирования на наличие
уязвимостей от Acunetix
l производительность, эффективность
и функционал средств Fortinet FortiWeb
превосходят аналогичные показатели
решений конкурентов
l включают FortiSandbox и инфраструктуру защиты от продвинутых угроз,
что обеспечивает всестороннюю защиту корпоративных сетей от наиболее
изощренных киберугроз
Характеристики: порты 4 x GE RJ45,
RJ45 4 x GE обходные порты, порты
SFP GE 4 x, порты 4 x 10G SFP+, два
блока питания переменного тока,
2 x 2 Тбайт для хранения
Время появления на российском
рынке: сентябрь 2015 г.
Подробная информация:
http://www.fortinet.com/products/fortiweb/
index.html
Фирма, предоставившая информацию: FORTINET
См. стр. 7
Межсетевой экран нового
поколения (МСЭ)
FortiGate 1500D
Производитель: Fortinet
Сертификат: изделие подлежит сертификации
Назначение: для крупных распределенных сетей
Особенности: пропускная способность
до 80 Гбит/с
• 55
NEW_PROD 2 4/22/16 4:18 PM Page 56
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
Возможности:
l благодаря новейшему сетевому процессору FortiASIC™ NP6 и специализированному процессору CP8, ускоряющему
обработку трафика, устройство способно
обнаружить вредоносный контент со скоростью нескольких гигабит, не снижая
доступности и производительности сети,
с задержкой не более 3 мкс
l каждое устройство FortiGate имеет
следующие функции: межсетевой
экран, IPS, контроль приложений,
фильтрацию Web-контента, VPN, противодействие шпионскому ПО, оптимизацию WAN, антиспам и т.д.
Характеристики: пропускная способность: до 80 Гбит/с, IPS до 11 Гбит/с,
IPSec VPN до 50 Гбит/с
Время появления на российском
рынке: 2015 г.
Подробная информация:
http://www.fortinet.com/sites/default/files/pro
ductdatasheets/FortiGate-1500D.pdf
Фирма, предоставившая информацию: FORTINET
См. стр. 7
FortiSandbox 3000D
виртуальная среда, расширенная наблюдаемость, обнаружение обратных сетевых
обращений, анализ вручную, дополнительный доступ к услугам FortiGuard
Возможности:
l функционирует вместе с межсетевыми
экранами Fortinet FortiGate (NGFW) и
шлюзом для защиты электронной
почты FortiMail, сочетая в одном
устройстве сервис двухуровневой
песочницы, динамический анализ
угроз, приборный интерфейс в реальном времени и подробную отчетность
l при использовании с FortiSandbox, способны выявлять и проверять подозрительные файлы, а затем устанавливать
обновленный уровень защиты на основе
полного жизненного цикла угрозы
l большинство обнаружений происходит
в течение трех или менее минут
Время появления на российском
рынке: 2015 г.
Подробная информация:
http://www.fortinet.com/press_releases/2014/
fortinet-earns-recommended-ratingfortisandbox-nss-labs.html
Фирма, предоставившая информацию: FORTINET
См. стр. 7
УСЛУГИ
Производитель: Fortinet
Сертификат: изделие подлежит сертификации
Назначение: решение по борьбе с
изощренными вредоносными программами и целенаправленными устойчивыми угрозами
Особенности: динамическая защита от
вредоносных программ на основе облачного
сервиса обновлений, эмуляция кода, полная
Консалтинговые услуги по
подготовке к сертификации и
сертификации на соответствие
требованиям международного
стандарта безопасности данных
платежных карт PCI DSS (версия 3.1)
Отрасль: организации, принимающие к
оплате карты международных платежных
систем или участвующие в реализации платежного процесса с использованием карт
Регион: CEMEA
Описание: предварительный аудит и
разработка подробных рекомендаций по
приведению информационных систем заказчика в соответствие требованиям PCI DSS;
разработка полного комплекта организационно-распорядительных документов,
необходимых для соответствия требованиям PCI DSS; внедрение средств
защиты информации, требуемых PCI
DSS; выполнение квартальных сканирований уязвимостей из сети Интернет
(ASV-сканирования); выполнение квартальных сканирований уязвимостей из
ЛВС заказчика; выполнение тестов на
проникновение в информационные системы
заказчика из сети Интернет и из ЛВС
заказчика; консалтинговая поддержка
заказчика при реализации требований
PCI DSS; сертификационный аудит по
стандарту PCI DSS
Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО
См. стр. 5, 35
Сервисы Kaspersky Security Intelligence
Отрасль: информационная безопасность
Регион: Worldwide
Описание (перечень сервисов):
l тренинги по кибербезопасности
l сервисы информирования об угрозах
(потоки данных об угрозах, аналитические
отчеты об угрозах класса APT, специализированные аналитические отчеты)
l экспертные сервисы (тестирование на
проникновение, анализ защищенности
приложений, расследование инцидентов и анализ вредоносного ПО)
l аналитические отчеты
Фирма, предоставившая информацию: ЛАБОРАТОРИЯ КАСПЕРСКОГО
См. 4-ю обл.
НЬЮС МЕЙКЕРЫ
ДИАЛОГНАУКА, АО
117105 Москва,
ул. Нагатинская, 1
Тел.: (495) 980-6776
Факс: (495) 980-6775
E-mail: info@dialognauka.ru,
marketing@dialognauka.ru
www.dialognauka.ru
См. стр. 5
См. ст. "Строим систему противодействия угрозам из киберпространства" на стр. 35
ЛАБОРАТОРИЯ
КАСПЕРСКОГО
125212 Москва,
Ленинградское ш., 39А, стр. 3,
БЦ "Олимпия Парк"
56 •
Тел.: (495) 797-8700
Факс: (495) 797-8709
www.kaspersky.ru
См. 4-ю обл.
См. ст. "Интегрированные систе- СПЛАЙН-ЦЕНТР, ЗАО
мы комплексной защиты пери- 105005 Москва,
метра предприятия" на стр. 53
ул. Бауманская, 5, стр. 1
СМАРТ ЛАЙН ИНК, АО
107140 Москва,
ОКБ САПР, ЗАО
115114 Москва, 2-й Кожевниче- 1-й Красносельский пер., 3,
ский пер., 8
пом. 1, ком. 17
Тел.: (499) 235-6265
Тел.: (495) 647-9937
Факс: (495) 234-0310
Факс: (495) 647-9938
E-mail: okbsapr@okbsapr.ru
E-mail: ru.sales@devicelock.com
www.okbsapr.ru, www.accord.ru, www.devicelock.com/ru
www.shipka.ru, www.proSecret.ru, www.smartline.ru
См. ст. "Конфиденциальные данwww.proTerminaly.ru,
www.accord-v.ru, www.марш.рф ные – под надежный контроль!
См. ст. "Инструмент контроля
Использование современной
доступа к средствам управления DLP-системы для предотвращевиртуальной инфраструктурой" ния утечек информации"
на стр. 49
на стр. 9
Тел.: (495) 580-2555
E-mail: cons@debet.ru
www.debet.ru, сплайн.рф
См. стр. 33
FORTINET
121099 Москва,
Смоленская пл., 3,
"Регус", офис 610
Тел/факс: (499) 955-2499
E-mail: russia@fortinet.com
www.fortinet.com
См. стр. 7
TB_Forum 4/25/16 1:38 PM Page Cov3
kaspersky 4/25/16 1:38 PM Page cov4
Документ
Категория
Без категории
Просмотров
342
Размер файла
8 628 Кб
Теги
infosecur
1/--страниц
Пожаловаться на содержимое документа