Обзор Secret Net Studio 8.10, средства защиты данных и конечных точек сети

1. Введение
2. Архитектура Secret Net Studio
3. Функциональные возможности Secret Net Studio
   1. 3.1. Обновления и улучшения в Secret Net Studio 8.10
4. Системные требования Secret Net Studio
5. Лицензирование Secret Net Studio
6. Сертификация Secret Net Studio и соответствие требованиям законодательства
7. Применение Secret Net Studio
8. Выводы

Введение

Защита рабочих станций и серверов от несанкционированного доступа является одной из основных задач при обеспечении безопасности информационных систем. Если организация при этом работает с информацией ограниченного доступа, например с персональными данными, является владельцем государственной информационной системы либо объекта критической информационной инфраструктуры, то она неизбежно сталкивается и со многочисленными требованиями по защите информации со стороны ФСТЭК и ФСБ России.

Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные накладные средства защиты информации. Одним из них является продукт Secret Net Studio, разработанный компанией «Код Безопасности». В нынешнем обзоре мы детально рассмотрим новую версию 8.10 и реализованные в ней нововведения.

Архитектура Secret Net Studio

Secret Net Studio имеет классическую клиент-серверную архитектуру. Подробно о ней мы писали в обзоре версии 8.8. С тех пор изменений в части компонентов комплекса не произошло.

Функциональные возможности Secret Net Studio

Secret Net Studio — это комплексный продукт класса «защита конечных точек» (Endpoint Security) для обеспечения безопасности рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Он решает следующие задачи:

• Защита конечных точек от вирусов и вредоносных программ.
• Защита от сетевых атак.
• Защита от подделки и перехвата сетевого трафика внутри локальной сети.
• Защита информации от несанкционированного доступа.
• Контроль утечек и каналов распространения защищаемой информации.
• Защита от действий инсайдеров.
• Разграничение доступа к конфиденциальной информации и ресурсам.
• Защита от кражи информации при утере носителей.

Продукт объединяет в себе возможности классических СЗИ от НСД, персонального межсетевого экрана, средства антивирусной защиты, хостовой системы обнаружения вторжений, а также имеет различные дополнительные защитные механизмы.

Дискреционное и мандатное управление доступом к файлам

Secret Net Studio может работать с любой файловой системой, поддерживаемой Windows, включая FAT. Имеется возможность назначать метки конфиденциальности через свойства папок и директорий. Это обеспечивает контроль потоков и терминальных подключений. При этом пользователю доступны выбор уровня конфиденциальности сессии при входе в систему или автоматическое назначение максимального уровня конфиденциальности.

Усиленный вход в систему

Secret Net Studio поддерживает двухфакторную аутентификацию и электронные идентификаторы eToken, «Рутокен», ESMART, JaCarta, iButton, Guardant ID 2.0 и другие, а также аппаратные ключи JaCarta PKI/BIO, «Форос». Поддерживаются возможность сквозной аутентификации пользователя при использовании ПАК «Соболь» и работа с идентификаторами iButton, подключёнными к этому ПАК. В продукте также есть собственная усиленная парольная аутентификация и парольные политики, политики блокировки сеанса при неактивности или изъятии идентификатора.

При этом комплекс поддерживает работу с локальными и доменными пользователями. Secret Net Studio также обеспечивает защиту терминальных серверов и VDI.

Схемы аутентификации

Secret Net Studio поддерживает следующие инструменты аутентификации пользователя:

• Пароль.
• Токен.
• Windows Live ID.
• Графический пароль.
• Indeed AM.
• Indeed SSO.

Замкнутая программная среда и контроль целостности данных

В Secret Net Studio можно создать список программ, которые разрешено запускать пользователю. Если включён «жёсткий режим», то в запуске программы не из списка будет отказано. Также продукт обеспечивает контроль целостности файлов, директорий и реестра. Есть возможность настроить время контроля и выбрать вариант реакции на ИБ-события. Поддерживается управление контролем целостности файлов с помощью ПАК «Соболь».

Контроль печати

Secret Net Studio обеспечивает дискреционное и полномочное управление доступом к принтерам. Возможны маркировка документов и ограничение их печати в зависимости от уровня конфиденциальности. Комплекс поддерживает виртуальные принтеры.

При этом в Secret Net Studio можно задать уровень конфиденциальности отдельно взятого принтера — например, настроить таким образом, что на одном принтере будет распечатываться только неконфиденциальная информация, а на другом — только конфиденциальные документы.

Теневое копирование

Secret Net Studio позволяет создавать теневые копии при сохранении документов на съёмные носители и выводе на печать. Копии находятся в защищённом хранилище. Есть прикладной программный интерфейс (API) для автоматизированного доступа в хранилище теневых копий. Можно поставить метку, чтобы сохранять теневые копии и контролировать утечки информации. Таким образом, администратор всегда может проверить, что было отправлено на печать.

Затирание данных

Secret Net Studio обеспечивает гарантированное удаление данных. Можно настроить количество циклов затирания. Поддерживаются файловые системы FAT, NTFS и REFS. Затирание данных осуществляется как на локальных носителях, так и на подключаемых.

Контроль устройств

Secret Net Studio обеспечивает дискреционное и полномочное управление доступом к устройствам. Контроль осуществляется по группам, классам, моделям и отдельным экземплярам. Поддерживается иерархическое наследование настроек. Обеспечивается контроль подключения и отключения устройств. Продукт поддерживает управление перенаправлением устройств в терминальных сессиях.

Secret Net Studio может контролировать содержимое компьютера (какие локальные устройства к нему подключены), и если произойдёт изменение аппаратной конфигурации, администратор получит оповещение.

Антивирусная защита и обнаружение вторжений

Secret Net Studio поддерживает сигнатурные и эвристические методы поиска вредоносных программ, обеспечивая постоянную защиту, сканирование из контекстного меню и по расписанию. Поддерживаются белые списки директорий и файлов.

Почтовый антивирус обеспечивает безопасность вложенных объектов в письмах. Песочница в составе антивирусного модуля позволяет выявлять неизвестные вредоносные программы эвристическим методом.

Также в Secret Net Studio есть различные детекторы сетевых атак, которые выполняют эвристический и сигнатурный анализ входящего сетевого трафика. Обеспечиваются автоматическая временная блокировка атакующих хостов и оперативное её снятие. Сигнатурные анализаторы используются в том числе для блокировки фишинговых URL-адресов.

Защита сетевого взаимодействия

Межсетевой экран обеспечивает фильтрацию трафика на уровнях L3, L4 и L7 модели OSI. Поддерживается возможность настройки реакции на срабатывание правил. Кроме того, можно задать действие правил по дням недели и времени суток. Предусмотрены шаблоны для различных сетевых служб. Также есть возможность экспорта / импорта правил МСЭ. Через программу управления поддерживается настройка интерфейса SPI.

Авторизация сетевых соединений обеспечивает разграничение доступа для терминальных серверов, программную сегментацию сети без изменения сетевой топологии, а также сокрытие сетевого трафика. Это позволяет защититься от атак с посредником (Man-in-the-Middle).

Персональный межсетевой экран и авторизация межсетевых соединений работают в связке. В настройках правила можно указать, что оно должно действовать не просто на отдельно взятом компьютере, но и для определённых пользователей (в т. ч. группы).

Шифрование данных

Secret Net Studio поддерживает шифрование контейнеров произвольного размера.

Централизованное управление и мониторинг

Secret Net Studio обеспечивает централизованное управление подконтрольными хостами, включая клиенты Secret Net LSP, и их отслеживание. Централизованы также развёртывание комплекса, установка исправлений и обновлений.

Обновления и улучшения в Secret Net Studio 8.10

Одним из новых механизмов защиты в составе Secret Net Studio 8.10 является «Безопасная среда». Эта подсистема позволяет предотвратить ущерб ресурсам защищаемого хоста, запуская неизвестное программное обеспечение в изолированной среде (песочнице).

Кроме того, в новой версии появилась возможность присвоения токенов офлайн, а также реализован опциональный модуль входа, который имеет три режима: «жёсткий», «мягкий», «выключен». Жёсткий режим предполагает, что при входе пользователя аутентификацию выполняет модуль входа Secret Net Studio, а модули входа других провайдеров недоступны, если для них не реализована специальная поддержка. При включении мягкого режима можно использовать модуль входа Secret Net Studio или один из модулей входа других провайдеров. При этом блокировка компьютера средствами Secret Net Studio не применяется. Политики из групп параметров «Вход в систему», «Персональный межсетевой экран», «Авторизация сетевых соединений», вход в систему по электронным идентификаторам и выбор уровня конфиденциальности пользовательской сессии, сквозная аутентификация с ПАК «Соболь» работают только при использовании модуля входа Secret Net Studio.

Добавлена новая политика для механизма защиты входа в систему — «Запрет смены пользователя без перезагрузки», а в парольной политике Secret Net Studio появился новый параметр — «Минимальное число изменённых символов нового пароля».

Также реализована возможность записи нулевого пароля в идентификатор в совместном режиме работы с ПАК «Соболь». Теперь при присвоении пользователю идентификатора необязательно вводить такой пароль, который совпадал бы с паролем для входа в операционную систему Windows.

В части контроля устройств в новой версии реализована защита от подмены VID и PID подключаемого устройства.

В версии 8.10 антивирусная защита и система обнаружения вторжений реализованы на базе технологий Kaspersky. Добавлена база опасных веб-ресурсов от компании «Код Безопасности». Она может использоваться отдельно или вместе с базой от «Лаборатории Касперского». Также в Secret Net Studio версии 8.10 обеспечены совместимость со внешними песочницами и поддержка работы в среде контейнеризации Docker.

В обновлённой версии продукта для фильтрации сетевого трафика больше не используется NDIS-фильтр (LWF). Вся фильтрация осуществляется средствами современной платформы Windows Filtering Platform (WFP). В результате повышена совместимость со сторонним ПО, расширены возможности обработки сетевого трафика.

В части функций шифрования добавилась возможность полнодискового шифрования. Регистрируется изменение статусов защиты диска сторонними средствами. Ключевая информация хранится на электронных ключах или съёмных дисках. Реализовано резервное копирование ключей.

В части централизованного управления и мониторинга в новой версии появился легковесный автономный пакет развёртывания, существенно уменьшающий размер дистрибутива. Появилась возможность развёртывать продукт и применять патчи через сервер обновлений.

Добавлены детализированный аудит применения политик безопасности, идентификация действий администратора в системе, передача парольных политик в ПАК «Соболь», поддержка экспорта / импорта списка рабочих станций.

Появились также централизованное управление сессиями пользователей и питанием компьютера, получение журналов из ПАК «Соболь» и передача парольных политик в него, оповещение о событиях в панели управления и по электронной почте, иерархические политики для управления настройками защитных компонентов.

В версии 8.10 предусмотрена возможность централизованного управления безопасностью в несвязанных доменах Active Directory, реализована отправка журналов на сервер Syslog. Кроме того, в Secret Net Studio теперь есть шаблоны настроек для приведения системы в соответствие требованиям законодательства РФ.

Системные требования Secret Net Studio

Структурно система Secret Net Studio является модульной. Подробные требования к аппаратному и программному обеспечению приведены ниже.

Таблица 1. Минимальные характеристики аппаратного и программного обеспечения для развёртывания

Лицензирование Secret Net Studio

Secret Net Studio лицензируется по количеству хостов и требуемых модулей защиты, а также по сроку технической поддержки. Это позволяет клиентам внедрять только те наборы модулей, в которых есть потребность.

Для ознакомления с конфигурациями Secret Net Studio на сайте вендора предусмотрен продуктовый калькулятор.

Рисунок 1. Продуктовый калькулятор на сайте компании «Код Безопасности»

Сертификация Secret Net Studio и соответствие требованиям законодательства

Secret Net Studio соответствует следующим требованиям по безопасности ФСТЭК России:

• 4-й уровень доверия;
• 5-й класс защищённости СВТ;
• 4-й класс защиты СКН;
• 4-й класс защиты САВЗ;
• 4-й класс защиты СОВ уровня хоста;
• 4-й класс защиты МЭ типа «В».

Наличие действующего сертификата по требованиям безопасности ФСТЭК России даёт возможность использовать Secret Net Studio в составе комплексов защиты информационных систем, где применение сертифицированных продуктов обязательно или обусловлено внутренними стандартами организаций:

• в государственных информационных системах до класса защищённости К1 включительно;
• в информационных системах персональных данных до уровня защищённости УЗ1 включительно;
• на значимых объектах критической инфраструктуры до первой категории значимости включительно;
• в автоматизированных системах до класса 1Г включительно;
• в АСУ ТП до 1-го класса защищённости включительно.

Кроме того, в линейке Secret Net Studio есть продукт Secret Net Studio-C, предназначенный для применения в автоматизированных системах по классификации руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» до класса 1Б.

Версия 8.6 сертифицирована ФСБ России по классу АК5.

Secret Net Studio включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 3855).

Далее в обзоре будет подробно рассмотрена работа с продуктом.

Применение Secret Net Studio

Управление защищаемыми компьютерами осуществляется из консоли центра управления Secret Net Studio.

Рисунок 2. Основное окно консоли центра управления Secret Net Studio

Здесь задаются параметры защиты, осуществляется мониторинг состояния системы, конфигурируется сетевая структура Secret Net Studio и ведётся работа с централизованными журналами событий по безопасности. Отметим, что в составе клиента Secret Net Studio устанавливается вариант центра управления для работы в локальном режиме.

Сведения о состоянии компьютеров можно посмотреть в панели «Компьютеры» на вкладке «Состояние». Видно, какие модули защиты включены и каков их статус.

Рисунок 3. Вкладка «Состояние» консоли центра управления Secret Net Studio

Управление параметрами безопасности осуществляется в панели «Компьютеры» на вкладке «Настройки».

Рисунок 4. Вкладка «Настройки» в консоли центра управления Secret Net Studio

В разделе «Информация» можно ознакомиться с основными сведениями о защищаемом узле.

Рисунок 5. Вкладка «Информация» в консоли центра управления Secret Net Studio

Для каждого узла настраиваются политики защиты.

Рисунок 6. Настройка политик в консоли центра управления Secret Net Studio

Централизованная установка агентов защиты Secret Net Studio осуществляется из раздела «Развёртывание». Создаётся задание на установку агентов Secret Net Studio, в котором указываются различные параметры (например, какие подсистемы требуется установить).

Рисунок 7. Раздел «Развёртывание» в консоли центра управления Secret Net Studio

Механизм «Паспорт ПО» предназначен для контроля состава и целостности программного обеспечения, установленного на защищаемых компьютерах. Контроль ПО осуществляется посредством сканирования исполняемых файлов и расчёта их контрольных сумм. Совокупность контролируемых файлов на дисках компьютера представляет собой программную среду для сбора данных и анализа изменений.

Можно охватить паспортизацией весь диск целиком, определённые каталоги, например Program Files, либо какое-то конкретное установленное ПО. После формирования паспорта ПО он подписывается и сохраняется. Каждый последующий сформированный паспорт будет сравниваться с предыдущим утверждённым; если были изменения, администратор узнает об этом.

Рисунок 8. Раздел «Паспорт ПО» в консоли центра управления Secret Net Studio

Одним из новых механизмов защиты в составе Secret Net Studio является «Безопасная среда». Эта подсистема позволяет предотвратить ущерб ресурсам защищаемого хоста, запуская неизвестное программное обеспечение в изолированной среде.

Рисунок 9. Попытка запуска неизвестного программного обеспечения

Модуль «Безопасная среда» осуществляет мониторинг и анализ активности потенциально опасных приложений. В песочницу автоматически попадают те файлы, которые не имеют электронной подписи и не добавлены в белый список. Если поведение ПО не является подозрительным и достигает указанного уровня доверия, «Безопасная среда» вносит его в перечень доверенных программ. Если же приложение не соответствует правилам, то файл помещается в чёрный список и будет в дальнейшем запускаться только в песочнице.

Рисунок 10. Интерфейс приложения «Безопасная среда» в составе Secret Net Studio

Механизм полнодискового шифрования Secret Net Studio позволяет защищаться от несанкционированного доступа к конфиденциальным сведениям, хранимым на носителях информации.

Рисунок 11. Полнодисковое шифрование в Secret Net Studio

Для получения доступа к защищённым дискам понадобитс8я пароль, установленный при шифровании данных. Шифрование нескольких дисков осуществляется с одним паролем доступа.

Предусмотрена возможность сохранять ключи шифрования и информацию по восстановлению централизованно или локально. При этом само шифрование и расшифрование всегда происходит на отдельно взятой машине. 

Рисунок 12. Установка пароля для доступа к зашифрованному диску в Secret Net Studio

Сведения об общем состоянии защищённости инфраструктуры содержатся в разделе «Статистика». Раздел состоит из виджетов, наглядно характеризующих системные параметры.

Рисунок 13. Раздел «Статистика» центра управления Secret Net Studio

Выводы

В новой версии Secret Net Studio 8.10 для защиты данных, серверов и рабочих станций от несанкционированного доступа были обновлены и доработаны функциональные возможности. Среди основных нововведений отметим добавление полнодискового шифрования, возможность развёртывания продукта и применения патчей через сервер обновлений, отправку журналов на сервер Syslog.

Значительно доработаны были и другие функции: например, в обновлённой версии продукта антивирусная защита и система обнаружения вторжений реализованы на базе технологий Kaspersky. Кроме того, обеспечены совместимость со внешними песочницами и поддержка работы в среде контейнеризации Docker.

Межсетевой экран больше не использует для фильтрации сетевого трафика NDIS-фильтр (LWF). Вся фильтрация осуществляется средствами современной платформы Windows Filtering Platform (WFP). В результате повышена совместимость со сторонним ПО, расширены возможности обработки сетевого трафика.

В новой версии реализовано создание и распространение легковесного автономного пакета развёртывания, что существенно уменьшает размер дистрибутива продукта.

Достоинства:

• Российский продукт, обеспечивающий соответствие требованиям закона 187-ФЗ о безопасности КИИ РФ, приказов ФСТЭК России № 239, № 235, № 31, № 17, № 21, указа Президента РФ от 01.05.2022 № 250.
• Шаблоны настроек для приведения информационной системы в соответствие требованиям законодательства РФ.
• Гибкая система лицензирования.
• Поддержка централизованного управления клиентами для ОС Windows и Linux.

Недостатки:

• Для централизованного управления Windows-узлами требуется, чтобы машины были включены в домен Active Directory.
• Отсутствие сертифицированного VPN-клиента в составе продукта.