Перейти к содержанию

Форумы Anti-Malware

Showing all content posted in for the last 365 days.

This stream auto-updates     

  1. Последняя неделя
  2. Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
  3. Earlier
  4. Ее можно установить дополнительно к антивирусу или она не требует установки?
  5. Домашние антивирусы были обновлены до версии 14.2.24.
  6. Антивирус Norton 360 теперь позволяет майнить криптовалюту Ethereum NortonLifelock добавил возможность майнить криптовалюту Ethereum непосредственно в своей антивирусной программе Norton 360 в качестве способа «защиты» пользователей от вредоносного программного обеспечения для майнинга. Эта новая функция майнинга называется «Norton Crypto» и будет внедрена завтра для пользователей Norton 360, участвующих в программе раннего внедрения Norton. Когда Norton Crypto включен, программное обеспечение будет использовать графическую карту (GPU) устройства для майнинга Ethereum, который затем будет перенесен в кошелек Norton, размещенный в облаке. Неясно, каждое ли устройство, на котором работает Norton Crypto, занимается майнингом независимо или в составе группы пользователей, чтобы повысить шансы на получение вознаграждения в виде Ethereum. Поскольку сложность майнинга Ethereum самостоятельно очень высока, пользователи Norton, вероятно, будут объединены вместе, чтобы повысить шансы на добычу блока. Если Norton управляет пулом для этой новой функции, они могут взимать небольшую плату за весь добытый Ethereum, как это принято у операторов пулов, что делает эту новую функцию источником дохода для компании. Поскольку майнеры криптовалюты и соответствующее программное обеспечение обычно помечаются антивирусными программами, Norton заявляет, что эта функция позволяет пользователям майнить Ethereum, не жертвуя своей безопасностью. «Поскольку криптоэкономика продолжает становиться все более важной частью жизни наших клиентов, мы хотим дать им возможность майнить криптовалюту с помощью Norton, бренда, которому они доверяют», - сказал Винсент Пилетт, генеральный директор NortonLifeLock. «Norton Crypto - еще один инновационный пример того, как мы расширяем нашу платформу кибербезопасности для защиты постоянно меняющейся цифровой жизни наших клиентов». https://www.bleepingcomputer.com/news/cryptocurrency/norton-360-antivirus-now-lets-you-mine-ethereum-cryptocurrency/
  7. Новый релиз программного комплекса StaffCop Enterprise 4.9 позволяет вести учёт рабочего времени сотрудников с оценкой эффективности работы и параметров функционирования АРМ. Его использование даёт организациям любого размера возможность удовлетворять требования регуляторов в области защиты информации. Архитектура продукта позволяет выявлять аномалии в поведении сотрудников, в том числе с помощью технологии машинного обучения. Генерируемая отчётность обеспечивает расследование инцидентов. ВведениеАрхитектура StaffCop EnterpriseДля чего необходим StaffCop Enterprise и кто его создал?Функциональные возможности StaffCop EnterpriseКонтроль потоков информации в информационной структуре предприятияУчёт рабочего времени и оценка эффективности сотрудниковКонтроль сетевой активности сотрудниковКонтроль локальной активности сотрудниковКонтроль параметров и работы АРМТехнологические возможностиВыводыВведениеМногие руководители часто сталкиваются с необходимостью контроля за сотрудниками. Увы, мы живём не в идеальном мире, где все честны друг с другом, выполняют все возложенные на них обязанности и далее по списку. Конечно, это не значит, что всё строго наоборот — что сотрудники занимаются чем угодно, но не работой, стремятся обмануть начальство и пр. Всегда есть две стороны одной медали: есть как те, кто хорошо выполняет свою работу, так и те, кто делает это из рук вон плохо или не делает вообще. Неумолимая статистика говорит нам о том, что средний сотрудник тратит только 40 % своего времени непосредственно на выполнение рабочих задач.Уверены, у вас сейчас возник вопрос: а на что они тратят оставшееся время? Задача программного комплекса StaffCop Enterprise — помочь руководству «отделить зёрна от плевел»: мотивировать сотрудников, которые хорошо выполняют свои трудовые обязанности, и выявить тех, кто с ними, наоборот, не справляется. Также StaffCop Enterprise призван обеспечить информационную безопасность предприятия, особенно в условиях новой реальности, когда многие компании переводят сотрудников на удалённую работу и проблема контроля за выполнением рабочих обязанностей ощущается более остро.Наша компания никогда не стоит на месте, регулярно выходят новые версии StaffCop Enterprise — и сегодня мы представляем вам подробный обзор широкофункционального решения для контроля сотрудников, учёта рабочего времени и обеспечения информационной безопасности. Конечно же, в рамках обзора будет рассказано не только о том, какие функции имеются в StaffCop Enterprise, но и о том, какие возможности добавились в версии 4.9.Архитектура StaffCop EnterpriseStaffCop Enterprise — это клиент-серверное приложение для контроля потоков информации и событий информационной системы предприятия, а также всех действий сотрудников за рабочими компьютерами. Программный комплекс осуществляет сбор и анализ сведений, блокировку запрещённых действий и данных, а также способен оповещать о нарушениях политик безопасности. Рисунок 1. Программный комплекс состоит из двух основных элементов: сервера и агента наблюдения Серверная часть программного комплекса предназначается для сбора, хранения и просмотра информации, а также для администрирования системы и настройки правил мониторинга. Просмотр и анализ данных осуществляются через панель администратора, реализованную посредством веб-интерфейса. Для улучшения восприятия анализируемых данных используется широкий набор виджетов — ленточные графики, тепловые диаграммы, круговые диаграммы, графы связей и т. д. Можно подобрать фильтры, чтобы представить сведения именно в том формате, который вам нужен исходя из ваших задач.Серверная часть функционирует под управлением ОС Ubuntu Server 18.04 и Astra Linux Special Edition (релиз «Смоленск») и использует для хранения данных БД PostgreSQL и ClickHouse, что позволяет обрабатывать большие массивы данных с высокой скоростью. Кроме того, использование этих технологий значительно снижает стоимость внедрения StaffCop Enterprise — ведь вам не приходится приобретать дополнительное программное обеспечение.Модуль агента — системная служба, устанавливаемая на компьютере пользователя и предназначенная для сбора информации и передачи её на сервер. Работа агента происходит в скрытом режиме и незаметна для пользователя — агент передаёт информацию по шифрованному каналу (OpenSSL). Агенты устанавливаются на компьютеры пользователей локально или удалённо (с помощью встроенной утилиты удалённой установки) либо разворачиваются через групповые политики. Более того, вы можете добавить необходимые адреса и имена хостов перед развёртыванием, чтобы не тратить время на дополнительную настройку агентов непосредственно для вашей сети. Также имеются планировщик расписания установки агентов и возможность автоматически деактивировать агенты на неиспользуемых компьютерах. Модуль агента функционирует под управлением всех самых популярных ОС: *nix, Linux, Astra Linux, Windows и macOS.Для чего необходим StaffCop Enterprise и кто его создал?StaffCop Enterprise позволяет исполнять требования следующих руководящих документов по защите информации:Приказ ФСТЭК России от 25 декабря 2017 г. № 239;Приказ ФСТЭК России от 18 февраля 2013 г. № 21;Положение Банка России от 9 июня 2012 г. № 382-П;Приказ ФСТЭК России от 11 февраля 2013 г. № 17;Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ);ГОСТ Р 57580.1 — 2017.Об этом свидетельствует сертификат ФСТЭК России № 4234 от 15 апреля 2020 года. Также программный комплекс StaffCop Enterprise успешно прошёл тематические исследования на соответствие требованиям ТИ-69 8-го центра ФСБ России по следующим пунктам:Соответствие декларированных и реальных возможностей программного обеспечения.Отсутствие недекларированных возможностей программного обеспечения.Совместимость со средствами защиты информации.Возможность работы в безопасной среде.Разработчиком программного комплекса является компания «Атом Безопасность», тоже обладающая внушительным послужным списком:резидент инновационного центра «Сколково»,резидент технопарка Новосибирского академгородка,действительный член ассоциации разработчиков программных продуктов «Отечественный софт»,действительный член АСРИТ «Сибакадемсофт»,действительный член ассоциации независимых разработчиков программного обеспечения ISDEF,обладатель лицензий ФСТЭК России на деятельность по разработке и производству средств защиты, а также на деятельность по технической защите конфиденциальной информации — № 1989 и № 3862 соответственно.Компания уже давно находится на рынке, имеет множество клиентов разной величины и известности в нашей стране и за рубежом.Почему стоит выбрать StaffCop Enterprise для защиты своей информационной инфраструктуры и для контроля сотрудников? Если кратко резюмировать, то получится следующее:Комплексность. StaffCop позволяет решать задачи обеспечения информационной безопасности, контроля бизнес-процессов и ключевых показателей, а также обладает инструментарием для удалённого администрирования рабочих станций.StaffCop Enterprise — полностью интегрированное решение, не требующее приобретения дополнительного серверного программного обеспечения и баз данных; отсюда — низкая стоимость внедрения и владения продуктом, быстрая окупаемость вложенных средств.Архитектура построена на современных технологиях, что обеспечивает масштабируемость и позволяет снизить требования к серверному оборудованию и оборудованию рабочих станций.Высокая скорость обработки данных и построения отчётов, благодаря гибридному режиму использования СУБД ClickHouse и PostgreSQL.Также StaffCop Enterprise является на 100 % отечественным решением, а значит, подходит под политику импортозамещения — что, пожалуй, не менее важно в нынешнее время.Функциональные возможности StaffCop EnterpriseПрограммный комплекс предназначен для функционирования в информационных сетях любых компаний из любых отраслей — StaffCop Enterprise обладает отличной масштабируемостью (подробнее об этом мы расскажем чуть ниже).Если кратко, то основное функциональное предназначение StaffCop Enterprise составляют:Контроль потоков информации в информационной структуре предприятия.Учёт рабочего времени и оценка эффективности сотрудников.Контроль параметров и работы АРМ.Контроль сетевой активности сотрудников.Контроль локальной активности сотрудников.Каждый раздел включает в себя определённый набор функций для охвата большинства потребностей предприятия в той или иной области. Далее мы рассмотрим каждый раздел обособленно.Контроль потоков информации в информационной структуре предприятияОдним из важнейших наборов функций StaffCop Enterprise является файловый контроль. Ведь самое важное — это информация, и если вы не контролируете, что с этой информацией происходит, то рано или поздно ваши данные утекут к людям с сомнительной репутацией или напрямую к конкурентам.Поэтому в StaffCop Enterprise имеется обширный набор функциональных возможностей для контроля файлов. И первый из них — это цифровые метки. Каждому файлу присваивается уникальный идентификатор, который позволяет отследить весь жизненный путь файла, то есть то, какие именно операции с ним совершались. При этом неважно, что именно происходило: изменяли файл, удаляли, перемещали — вы увидите, кто и что делал.Впрочем, можно не только работать с файлами непосредственно на АРМ, но и передавать их третьим лицам — с помощью электронной почты, мессенджеров и т. д. StaffCop осуществит теневое копирование передаваемого файла и обязательно направит уведомление о произошедшем событии администратору безопасности, если это необходимо. Кроме того, вы можете определять, какими способами разрешается отправлять файлы, а какими — запрещается.Также каналами утечки могут являться внешние носители — через запись конфиденциальной информации на USB-флешки или компакт-диски. Система осуществит теневое копирование файла, который пытаются вынести. При этом вы можете настроить доверенные внешние носители, на которые будет разрешено записывать информацию — совместно с учётом имеющихся носителей это позволит моментально выявлять виновных в утечке.Вполне справедливо ко внешним носителям можно отнести распечатку документов на принтере — это может быть, например, список клиентов вашей компании или исходный код вашего продукта. StaffCop осуществляет контроль за доступом к печати, а также перехватывает все документы, которые были отправлены на печать. Помимо самого факта печати, вы получаете: копию файла, который пытались распечатать; скриншот с рабочего стола; данные о том, под какой учётной записью, на каком компьютере и, соответственно, принтере пытались распечатать документ. Также есть возможность самому распечатать перехваченный файл. Рисунок 2. Отображение инцидентов связанных с файлами Конечно, на компьютере сотрудника могут оказаться не только те файлы, с которыми он работает, но и те, которых там не должно быть. Объекты, которых не должно быть на АРМ сотрудника, можно разделить на два вида: сторонние файлы, к работе отношения не имеющие, и файлы с информацией, к которой у сотрудника нет доступа или с которой он не работает. В первом случае это создаёт угрозу для продуктивности, что уже само по себе нехорошо, а во втором — требует пристального разбирательства: откуда эта информация у сотрудника и зачем она ему нужна?В StaffCop Enterprise имеется модуль индексации файлов на персональных рабочих станциях и на серверах. Этот модуль позволяет провести аудит документов, которые находятся на компьютере, выявить конкретные документы и файлы, которые содержат в себе определённый, интересующий вас текст, что в свою очередь помогает выявить те документы, которых не должно быть у сотрудника. Это — очень полезный инструмент, позволяющий удалённо решать задачи информационной безопасности. Рисунок 3. Интерфейс поиска по ключевому слову в фильтре Рисунок 4. Интерфейс модуля индексации файлов Рисунок 5. Отображение результатов работы модуля Рисунок 6. Результаты поиска по содержимому файла Важными элементами системы обеспечения информационной безопасности являются детектор аномалий и карта взаимодействий (граф связей сотрудника). Детектор аномалий позволяет выявить отклонения от привычного поведения сотрудника; самый простой пример — это многократное увеличение частотности какого-то действия. Мы создаём в программе фильтр на превышение количества определённых операций или событий. Например, копирование файлов или их распечатка: если сотрудник в день распечатывает в среднем пять страниц, а теперь вдруг распечатывает сотню, то это — повод проверить, чем именно он занят и какая есть необходимость это делать. Для любого отклонения от привычного поведения должна быть причина, и зачастую этой причиной оказываются недобрые намерения сотрудника. Рисунок 7. Оповещение от детектора аномального поведения Карта взаимодействия позволяет увидеть, как сотрудники взаимодействуют друг с другом, как выглядит путь документа в организации. Помимо выявления того, в каком месте могла произойти утечка информации, вы получаете схему работы своего предприятия, что позволяет вам реорганизовать определённые бизнес-процессы, чтобы сделать их эффективнее. Фактически вы в числе прочих возможностей получаете и функцию аудита, не требующую привлечения дополнительных специалистов и не отнимающую дополнительное время у ваших сотрудников. Рисунок 8. Пример карты взаимодействий сотрудников на основе обмена файлами И ещё одной немаловажной функцией является блокировка файлов по содержимому. Вы задаёте правило с примером нужного текста, и когда система обнаружит файл соответствующий этому правилу, операция будет заблокирована. Эта функция работает с файлами Microsoft Office и OpenOffice, текстовыми и PDF-документами. Рисунок 9. Скриншот заблокированной передачи файла Итак, функциональные возможности DLP в StaffCop Enterprise весьма широки и позволяют вам полностью контролировать, кто, как и куда отправляет данные, кто с чем работает, и ограничивать передачу информации внутри и за пределы компании.Учёт рабочего времени и оценка эффективности сотрудниковУчёт рабочего времени необходим для того, чтобы оценить, насколько эффективен работник, и узнать, как можно оптимизировать его деятельность. Чтобы определить необходимый дополнительный контроль, вы должны знать, сколько времени тратит сотрудник и, главное, на что именно.Как мы уже упомянули во вступлении, среднестатистический сотрудник тратит на работу только 40 % своего времени. Куда уходит остальное время — помогает выяснить StaffCop Enterprise. Программный комплекс отслеживает время начала работы компьютера, позволяя определить, опаздывает ли человек на работу и насколько регулярны его опоздания. Также StaffCop определяет, когда сотрудник перестаёт работать и просто держит компьютер включённым — в этом случае появится диалоговое окно (функция настраиваема: можно сделать так, чтобы окно появлялось или чтобы этого не происходило) и прежде чем продолжить работу, придётся ввести причину своего отсутствия на рабочем месте. На скриншоте ниже можно увидеть пример распределения времени сотрудника в течение рабочего дня. Рисунок 10. Распределение времени сотрудника в течение рабочего дня Как видно на скриншоте, вы получаете весьма подробную картину: во сколько пришёл, во сколько ушёл, сколько работал, сколько не работал, опоздал ли и на сколько. Можно сразу понять, у кого высок процент времени потраченного не на рабочие дела, и уже более пристально изучить деятельность сотрудника. На представленном скриншоте зелёным цветом обозначено использование ресурсов необходимых для выполнения работы (в программе эти категории обозначаются как «Продуктивно» и «Премиально»), серым — нейтральных ресурсов (они так и обозначаются — «Нейтрально»), а красным — ресурсы не предназначенные для работы («Непродуктивно»). Ленточный график наглядно демонстрирует, кто выпадает из рабочего ритма. Рисунок 11. Список назначаемых политик Также есть возможность настроить сбор информации в течение только рабочего дня — эта функция будет полезна для контроля удалённо работающих сотрудников, особенно если они пользуются личными рабочими станциями. Рисунок 12. Функция сбора информации только в рабочее время Вместе с широким набором виджетов и настроек конструктора отчётов вы можете очень быстро получить наглядное представление того, кто и как работает в вашей компании. Вам не нужно больше корпеть над отчётами неделю, чтобы наконец выявить недобросовестных сотрудников — вы увидите всё как на ладони сразу после формирования отчёта. Получать сводки можно автоматически через заданные промежутки времени.Контроль сетевой активности сотрудниковКонтроль сетевой активности необходим для того, чтобы знать, на какие сетевые ресурсы заходит работник и что он там делает: заполняет веб-формы, отправляет данные, какой контент просматривает — это имеет отношение как к информационной безопасности, так и к контролю производительности сотрудников.Для агентов можно заранее определить, какие веб-сайты и какие приложения необходимы для работы, а какие — нежелательны, и запретить посещение / использование последних. Время использования сайтов / приложений тоже фиксируется с обозначением того, каким именно приложением / сайтом пользовался сотрудник.Таким образом вы сможете выявить тех, кто большую часть дня занимается просмотром развлекательных сайтов, решает свои личные дела в рабочее время, ищет себе новое место работы и т. д. На основании имеющихся данных получится как провести личную беседу с сотрудником, так и добавить мешающие работе ресурсы в чёрный список.Все эти данные по учёту рабочего времени и контролю сетевых ресурсов можно представить в виде графиков, таблиц, диаграмм, которые позволят буквально в пару щелчков мыши увидеть единую картину за нужный период по конкретному человеку или по целому отделу. На скриншотах ниже вы можете увидеть пример представления отчёта по использованию непродуктивных ресурсов.Часто бывает и так, что сотруднику просто нечего делать на рабочем месте — а это уже повод задуматься о том, как построен процесс работы в целом. Рисунок 13. Представление отчёта по использованию непродуктивных ресурсов Рисунок 14. Представление отчёта по использованию непродуктивных ресурсов Контроль переписки в различных мессенджерах (Telegram, Skype, Mail.ru Agent и т. п.) позволяет определять, разглашает ли сотрудник внутренние сведения компании кому-либо, или выявлять назревающие конфликты, когда коллеги начинают ругаться в переписке. Также эта функция даёт возможность отслеживать отношение работника к организации и выявлять тех, кто хочет сменить место работы, но не желает об этом говорить начальству. Все эти события влияют на эффективность работы, ведь если человек плохо относится к организации, руководству или коллегам, то вряд ли он будет выкладываться на 100 %. То же самое происходит при поиске работы: человек уже принял решение, что он уйдёт, и, скорее всего, он будет делать только необходимый минимум.Анализ переписки происходит с помощью настраиваемых словарей, в которые вы можете добавить свои ключевые слова, словосочетания и фразы. В StaffCop Enterprise с помощью подсветки разными цветами будет продемонстрировано, к какому конкретно словарю относится найденное слово. Это позволяет визуально намного быстрее отслеживать опасные разговоры. На следующем скриншоте видно, как это выглядит в программе. Рисунок 15. Пример выделения цветом найденных по словарям слов Предположив, что сотрудник уже ищет другую работу, вы можете убедиться в этом, посмотрев статистику использования сетевых ресурсов. Пример — на скриншоте ниже. Рисунок 16. Статистика посещения сайтов по подбору вакансий К сетевым утечкам можно отнести также выгрузку баз из различного программного обеспечения. Наиболее ярким примером, пожалуй, тут может стать выгрузка данных из «1С:Бухгалтерии». Особенностью этой программы является то, что названия создаваемых ею файлов написаны кириллицей, но для StaffCop Enterprise это — не проблема. Рисунок 17. Перехват файла с кириллическим названием Контроль сетевой активности очень важен, ведь именно через интернет «утекают» данные. Сообщены ли они во время разговора, отправлены ли письмом или загружены в облако — StaffCop Enterprise позволяет всё видеть и быстро реагировать.Контроль локальной активности сотрудниковКонтроль локальной активности также имеет двойственную природу — необходимость следить за тем, кто и к какой информации получает доступ, а также наблюдать за производительностью сотрудников: сколько времени тратится на работу, а сколько — на сторонние дела.Теперь не обязательно приходить в отдел, в котором находится сотрудник, чтобы посмотреть на его работу (и к тому же это не всегда возможно: удалённая работа, филиалы, командировки). С помощью онлайн-просмотра рабочего стола вы можете увидеть, что именно сейчас происходит на компьютере сотрудника, где бы он ни находился — за стеной или где-то на Камчатке. Вы можете сделать скриншоты рабочего стола и впоследствии продемонстрировать их сотруднику для подтверждения того, что вы знаете, чем он занимался в рабочее время. Рисунок 18. Онлайн-просмотр рабочих столов сотрудников Нейросети — относительно новая и крайне перспективная технология. Во многих отраслях использование нейросетей значительно облегчает условия труда. StaffCop Enterprise изначально создавался с использованием передовых технологий, чтобы обеспечить пользователям наивысшее качество и производительность по оптимальной цене. Поэтому появление модуля нейросетей в программном комплексе было делом времени.Сплочённый коллектив — это хорошо, но не тогда, когда сотрудники «прикрывают» друг друга для того, чтобы скрыть опоздания или отлучки с рабочего места. Благодаря модулю распознавания лиц на основе нейросетей StaffCop Enterprise автоматически распознаёт на снимке с веб-камеры, кто именно работает за компьютером. Поэтому все попытки работать под чужим аккаунтом или на чужом компьютере будут сразу выявлены. Конечно, настройка модуля на сервере требует определённой работы, но прилагающаяся инструкция позволяет подключить модуль нейросетей не обращаясь в техническую поддержку. Рисунок 19. Скриншот результатов распознавания лиц Кроме всего прочего, передача конфиденциальных данных может происходить не только с помощью текстовых документов. Например, злоумышленник может передавать фотографии паспортов или скан-копии договоров. В этом случае вам также пригодится механизм распознавания текста на нейронных сетях, который быстро определит, что происходит, и подаст вам сигнал.Также могут происходить локальные утечки — копирование файлов на USB-накопители, печать документов, получение доступа к информации с помощью токена на чужом рабочем месте, чтение информации с экрана сотрудником не имеющим доступа к ней.При подключении незарегистрированного (не внесённого в белый список) USB-накопителя администратору безопасности будет выслано уведомление о попытке подключения, будет создана теневая копия файла, а сам накопитель будет заблокирован. Благодаря цифровым меткам вы всегда можете отследить, где и как используются зарегистрированные устройства, а также заблокировать применение несанкционированных устройств. Рисунок 20. Несанкционированное копирование на USB-накопитель Также для получения доступа может использоваться электронный ключ «Рутокен», например на незаблокированном компьютере. Конечно, это — нарушение протоколов безопасности, но нужно иметь в виду худший вариант, не так ли? StaffCop Enterprise позволяет отслеживать использование «Рутокена» на любых компьютерах и видеть весь путь перемещения. Поскольку в продукте используется технология OLAP-кубов, обеспечивающая взаимосвязанность собранных данных, вы можете проследить и все сопутствующие действия, которые хозяин ключа совершал на компьютере. Рисунок 21. Результаты поиска «Рутокена» При расследовании инцидентов зачастую является значимым анализ данных кейлогера. Чтобы не упустить важные моменты в восстановлении картины преступления, важно, чтобы кейлогер определял все нажатия — в том числе спецсимволы и клавиши управления. Рисунок 22. Перехват спецсимволов и клавиш управления Некоторые сотрудники могут пытаться имитировать бурную деятельность или использовать сторонние приложения для занятий «левой» работой; в этом случае вы можете использовать контроль приложений и получать уведомления каждый раз, когда сотрудник пользуется приложением не имеющим отношения к его трудовым обязанностям. При переключении процесса StaffCop Enterprise будет делать снимки экрана, и вы сразу всё увидите и поймёте.Также имеется возможность записывать видео с рабочего стола, делать снимки и записывать видеопоток с веб-камеры, записывать звук, который поступает через микрофон рабочей станции или воспроизводится через её динамики.Объём собираемых данных велик, но благодаря используемым технологиям построение отчётов (и, соответственно, определение нарушителей) не занимает много времени. В делах, которые связаны с утечкой данных, время — самый ценный ресурс.Контроль параметров и работы АРМКонтроль параметров и работы АРМ необходим в рамках борьбы с инсайдерами, а также в рамках системного администрирования. StaffCop Enterprise не только помогает решать задачи информационной безопасности, но также облегчает жизнь ИТ-отдела в сфере сопровождения элементов информационной инфраструктуры.Наиболее важными функциями здесь являются возможности удалённого подключения и перехвата управления, которые необходимы как для решения текущих задач в рамках технической поддержки, так и для быстрого реагирования на возникающие инциденты. Также стоит отметить функции инвентаризации программного обеспечения и «железа» АРМ, которые позволяют выявлять все несанкционированные действия с рабочим местом.Технологические возможностиКрупные клиенты тоже хотят обеспечивать информационную безопасность своих систем, а также контролировать сотрудников и потоки информации. При этом парк АРМ у крупных клиентов насчитывает тысячи машин, что требует определённого подхода к масштабированию и оптимизации.В версии 4.9 этому уделили особое внимание и добавили несколько серьёзных новшеств, после введения которых можно с уверенностью сказать, что StaffCop Enterprise подходит для абсолютно любых компаний.Первым таким нововведением стал ETL-модуль, который снижает требования к ресурсам сервера, особенно при работе с большим количеством агентов — причём уменьшает их на порядок, действительно серьёзно снижая количество используемых ядер. Это позволяет поддерживать политику низких цен, теперь ещё и сокращая требования к технической базе. В довесок к оптимизации требований к системным ресурсам была проведена оптимизация системы генерации отчётов, что тоже привело к её значительному ускорению.Active Directory остаётся одной из самых популярных служб каталогов, поэтому необходимо обеспечивать высокий уровень взаимодействия с этой службой. У крупных компаний бывает просто невероятное количество учётных записей, а также не исключена текучка кадров, поэтому важен процесс автоматизации работы с AD; поддержка Organizational Unit и функция «умной» синхронизации позволяют выгружать только тех пользователей, которые есть в StaffCop, избегая выгрузки «мусорных» учётных записей.Конечно, практически в любой крупной компании есть СКУД — система контроля и управления доступом, — поэтому логичным шагом в развитии StaffCop Enterprise стала возможность интеграции со СКУД. Были проведены тесты на СКУД, используемой в нашей компании, и результаты оказались высокими — поэтому, при желании, наши специалисты смогут интегрировать StaffCop Enterprise с используемой клиентом СКУД.Часто у крупных клиентов уже имеются установленные системы безопасности; помимо имеющейся возможности выгружать данные (в форматах PDF и HTML), мы улучшаем взаимодействие с известными на рынке SIEM-системами, такими как RuSIEM и MaxPatrol SIEM. Это помогает проще интегрировать StaffCop Enterprise в ИБ-инфраструктуру.Многие компании, в том числе крупные, используют Linux-системы, а также имеют необходимость контролировать сотрудников работающих на macOS, поэтому постоянно улучшаются агенты для Linux и Mac. В новой версии были значительно «прокачаны» оба агента.В Linux-агент были добавлены возможности инвентаризации программного обеспечения и «железа» — для учёта установленных программ и конфигураций рабочих станций. В дополнение к этому было подключено логирование работы самых распространённых пакетных менеджеров — dpkg (Ubuntu, Debian и др.) и rpm (CentOS, Linux: Red Hat Enterprise и др.), что усиливает возможности контроля.Нельзя обходить вниманием и третью популярную операционную систему — macOS. Агент поддерживает все версии вплоть до 11.2, работая в скрытом режиме и автоматически перезапускаясь при необходимости. Конечно, есть ещё много функций, которые необходимо добавить в агент для macOS; тем интереснее, всегда есть куда расти, так что вы ещё услышите о том, как Mac-агент StaffCop Enterprise крепнет и развивается.ВыводыИтак, StaffCop Enterprise — это система контроля сотрудников, обладающая широкой функциональностью и гибкой системой конфигурирования, что позволяет настроить её под нужды именно вашей компании. Использование новейших технологий (которые при этом не требуют дополнительной оплаты) и совместимость с популярными решениями по ИБ и операционными системами гарантируют качество предоставляемых функциональных возможностей, а удобная система лицензирования в сочетании с оптимальной ценой позволяет приобрести это решение многим организациям.Но мы со своей стороны — как разработчики — не сможем стремиться к идеалу, если не будем вести диалог с нашими клиентами. В конце концов, кто, если не наши клиенты, может нам рассказать о том, насколько удобно пользоваться продуктом, какие функции хотелось бы в нём увидеть.Вы всегда можете бесплатно протестировать StaffCop Enterprise самостоятельно и убедиться своими глазами, что всё написанное — это не пустая похвальба и сказки менеджеров, а именно объективная реальность, что качественный инструмент для обеспечения безопасности ваших бизнес-процессов существует. Вам предлагается целый месяц бесплатного тестирования StaffCop Enterprise; это — возможность провести аудит в своей компании и уже сейчас иметь полное представление о том, как обстоят дела. Помните, безопасность ваших денег — исключительно ваша инициатива, а StaffCop Enterprise готов вам в этом помочь.Меньше действий — лучше результат! Читать далее
  8. Антивирусы для macOS были обновлены до версии 6.10.700.
  9. Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков. ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
  10. Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM. В конце 2020 года состоялся релиз новой, 9-й версии; слоганом презентации стало «Дальше только космос». Рассмотрим, какие изменения произошли по сравнению с предыдущей, 8-й версией. ВведениеНовые возможности Ideco UTM 9Системные требования Ideco UTM 9 для разного количества пользователейПреимущества Ideco UTM 9 перед конкурентамиКонцепция постоянных обновлений Ideco UTM 9Принцип «всегда на связи»ВыводыВведениеIdeco UTM представляет собой шлюз безопасности типа Unified Threat Management (система единообразной обработки угроз) российского разработчика «Айдеко». Предыдущая, 8-я, версия этого шлюза рассматривалась на нашем сайте весьма подробно. Новая редакция продукта обладает широкими функциональными возможностями за счёт использования таких модулей и механизмов, как защита от несанкционированного доступа и внешних угроз (межсетевой экран, WAF, контроль приложений и другие), контроль доступа, контентная фильтрация, антивирусная проверка трафика, антиспам (на основе технологий «Лаборатории Касперского»), возможности работы в качестве VPN-, DNS-, DHCP- и даже почтового сервера.Исходя из перечисленных функций можно сказать, что Ideco UTM уже вышел за рамки привычного класса устройств для сетевой безопасности и представляет собой экосистему, работающую не только для организации и защиты сети, но также для частичного построения серверной инфраструктуры.За прошедшие 15 лет это решение стали использовать такие компании и ведомства, как Федеральная таможенная служба, холдинг «Вертолёты России», ArcelorMittal. В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.Ещё одним преимуществом рассматриваемого решения является его наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных. Это позволяет использовать Ideco UTM 9 для целей обеспечения государственных и муниципальных нужд в соответствии с постановлением Правительства Российской Федерации № 1236 от 16 ноября 2015 г., а также в рамках программы импортозамещения, что важно в свете планируемого перевода субъектов КИИ на российские продукты.Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11. В этой версии обновлены многие системные пакеты, увеличена производительность, включена поддержка новых платформ.Переработан веб-интерфейс администратора. Теперь он ещё удобнее с точки зрения структуры и работает быстрее, чем раньше. Рисунок 1. Интерфейс администратора Ideco UTM 9 Добавлена ролевая модель администраторов. Теперь благодаря ей доступ разделён на две категории: полный доступ и только чтение, что позволяет предоставлять его обучающимся или неопытным пользователям. Рисунок 2. Добавление учётной записи администратора Реализован раздельный доступ в консоль по SSH под логинами администраторов. Это позволяет настроить сети, из которых возможен доступ по SSH. Раньше была возможность подключаться только к веб-интерфейсу шлюза. Рисунок 3. Управление доступом по SSH В обновлённой версии шлюза безопасности добавлена установка пароля администратора при развёртывании сервера. Данная возможность исключает использование стандартных паролей и делает необходимой их ручную смену после установки продукта. Это позволяет избавиться от типичной проблемы использования нестойких и подверженных взлому паролей в привилегированных учётных записях.В межсетевой экран добавлены счётчики срабатывания правил, что позволяет эффективнее управлять правилами, удаляя или дорабатывая правила файрвола не имеющие срабатываний. Рисунок 4. Управление правилами файрвола В Ideco UTM 9 появился почтовый узел («релей») с возможностью работы в качестве полноценного почтового сервера с модулем антиспама от «Лаборатории Касперского». Рисунок 5. Основные настройки почтового релея Почтовый релей может подписывать исходящие письма DKIM-ключом, который используется почтовыми сервисами для идентификации и классификации электронной почты. Рисунок 6. Включение функции DKIM В продукте обновлён модуль системы предотвращения вторжений. Теперь он более эффективен в выявлении и предотвращении атак.Добавлена возможность отправки оповещений о событиях на сервере с помощью телеграм-бота. Рисунок 7. Настройка телеграм-бота Системные требования Ideco UTM 9 для разного количества пользователейIdeco UTM — это программное решение, что весьма выгодно с точки зрения отсутствия необходимости покупать продукт вместе с аппаратной частью. Достаточно выделить соответствующие ресурсы из уже имеющихся. Несмотря на новые функции, появившиеся в версии 9, требования к аппаратному обеспечению не изменились по сравнению с 8-й версией. Таблица 1. Минимальные системные требования, предъявляемые Ideco UTM 9Минимальные системные требованияПримечаниеПлатформаОбязательна поддержка UEFI Гипервизор2-е поколение виртуальных машин HyperV (с отключённым SecurityBoot) ПроцессорIntel Pentium G / i3 / i5 / Xeon E3 / Xeon E5 с поддержкой инструкций SSE 4.2Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов, таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Для работы системы требуется минимум два, лучше четыре ядра процессора.Объём оперативной памяти8 ГБ (16 ГБ при количестве пользователей более 75)Дисковая подсистемаЖёсткий диск (магнитный или SSD) объёмом 64 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID. В случае использования почтового сервера — второй жёсткий диск.Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет или материнскую плату). При использовании аппаратных RAID-контроллеров настоятельно рекомендуется использовать плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива. Не поддерживаются диски объёмом выше 2 ТБ.Сетевые адаптерыДва сетевых адаптераРекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek со скоростью 100/1000 Mбит/с.ДополнительноМонитор, клавиатураДля установки и работы Ideco UTM не требуются предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты. Ниже в таблице представлены несколько типов конфигураций, которые зависят от количества пользователей. Таблица 2. Минимальные характеристики сервера для Ideco UTM 9 в зависимости от количества пользователей в сетиКоличество пользователей2550–200200–50010002000Модель процессораIntel Pentium Gold G5400 или совместимыйIntel i3 8100 или совместимыйIntel i5, i7, Xeon E3 от 3 ГГц или совместимыйIntel Xeon E3, E5 или совместимыйIntel Xeon E5 или совместимый 8-ядерныйОбъём оперативной памяти4 ГБ (рекомендуется 8 ГБ)8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБHDD 500 ГБ либо SSD 256 ГБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБСетевые адаптерыДва сетевых адаптера Преимущества Ideco UTM 9 перед конкурентамиIdeco UTM имеет немало особенностей и отличий. Как было сказано выше, это — программное решение, поддерживаемое всеми гипервизорами, без привязки к конкретным аппаратным платформам. Благодаря этому можно разворачивать продукт как на собственных мощностях, так и в облаке.Настройка шлюза упрощена за счёт большей автоматизации процесса. Рисунок 8. Настройка контроля приложений Время внедрения системы в организации минимизировано благодаря интеграции с Active Directory, SIEM, DLP-системами, а также предпродажной (presale) поддержке от производителя решения. Рисунок 9. Настройка интеграции с Active Directory Рисунок 10. Настройка отправки отчётов в SIEM Рисунок 11. Настройка интеграции Ideco UTM с сервисами ICAP (DLP, антивирусы и т. д.) В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.Одна из концепций «Айдеко» — использование опенсорс-продуктов в совокупности со своими разработками. Компания не скрывает факта использования программ с открытым исходным кодом: ядра Linux, Suricata, Nginx, Squid и других. «Айдеко» дорабатывает их и делится этими доработками с сообществом. Собственные разработки «Айдеко» касаются создания правил для определения и предотвращения атак.Отметим усовершенствованную систему справки — рядом с каждым пунктом меню веб-интерфейса продукта есть иконка, нажав на которую администратор перейдёт к соответствующему пункту документации. Рисунок 12. Иконка вызова документации Рисунок 13. Переход в документацию Быстрые релизы и постоянное развитие продукта — принцип «agile» в действии. Также отдельного упоминания заслуживают мгновенные ответы техподдержки по различным каналам коммуникации.Давайте рассмотрим последние два принципа чуть подробнее.Концепция постоянных обновлений Ideco UTM 9Компания «Айдеко» уделяет огромное внимание управлению изменениями своего продукта. С момента выхода 9-й версии в конце 2020 года выпущено уже 8 релизов. Средний интервал между ними составляет около 2 недель.Обновления касаются не только исправления выявленных ошибок, но и улучшения используемых модулей (например, в редакции от 19 марта обновлён модуль системы предотвращения вторжений Suricata до версии 6.0.2), а также ввода новой функциональности (в релизе от 5 февраля добавлены новые возможности, касающиеся учёта и отчётов по веб-трафику).Таким образом, компания заботится о том, чтобы решение было удобно для организаций и действительно работало так, как это нужно пользователям.Принцип «всегда на связи»Забота о клиентах проявляется не только в том, что компания регулярно обновляет свой продукт, но и в том, что она обеспечивает его поддержку и собирает обратную связь для выявления потребностей используя абсолютно разные каналы связи. Это — классическая почта и портал технической поддержки, многоканальный телефон, телеграм-бот и канал в Telegram, чат в веб-интерфейсе самого продукта. Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.ВыводыIdeco UTM 9 — это постоянно развивающееся отечественное решение, включившее в себя не только функциональную часть как таковую, но и современный подход к разработке и сопровождению продукта. С одной стороны, это IPS, межсетевой экран, почтовый релей и т. д., а с другой стороны — постоянная обратная связь с производителем решения, регулярные релизы и обновления.С каждой версией производитель всё больше заботится об администраторах с базовыми знаниями сетевых технологий, упрощая процесс настройки шлюза безопасности, структурируя веб-интерфейс и принудительно заставляя уходить от «пустых» паролей и паролей «по умолчанию», что важно для бюджетных организаций и компаний с маленьким штатом ИТ-сотрудников. Читать далее
  11. Платформа «Антифишинг» позволяет проводить высокоэффективное обучение сотрудников и выработку у них навыков безопасного поведения при работе за компьютером, в интернете и с электронной почтой. В результате значительно снижается риск успешных кибератак, большая часть которых начинается с рассылки вредоносных писем. Новая версия платформы получила ряд уникальных функций, среди которых — отслеживание ключевых показателей в режиме реального времени, прямое взаимодействие с SOC и пользовательский поток данных Threat Intelligence, а также максимально реалистичные полноэкранные атаки. ВведениеНовая система визуализации2.1. Показатели охвата по ключевым процессам2.2. Показатели эффективности процессов и детализация показателей охвата2.2.1. Эффективность работы с сотрудниками2.2.2. Эффективность процессов обучения2.2.3. Эффективность процессов тренировки навыковПлагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюГруппировка сотрудников по приоритетам и уровню рискаИмитированные атаки5.1. Реалистичные полноэкранные атаки5.2. Шаблоны атак из электронной почтыАвтоматизация через API «Антифишинга»: параметр externalKeyАвторизация администраторов через LDAPАнонимизация данныхВыводыВведениеФишинг и другие цифровые атаки на сотрудников продолжают оставаться основным способом проникновения в корпоративные сети, а также самым эффективным средством доставки вредоносных программ и получения учётных данных пользователей. В основе этих атак лежат не эксплойты и другие технические средства, а социальная инженерия. Воздействуя на слабые места людей с помощью выверенных психологических приёмов, преступники убеждают сотрудников компаний выполнить нужные им действия.По данным исследований «Антифишинга», собранных в отчёте о защищённости сотрудников в 2020 году, в среднем 37 % людей открывают письма мошенников, а 79 % из них совершают затем опасные для компании действия: вводят свои логины и пароли на сторонних сайтах, открывают потенциально опасные вложения или даже скачивают и устанавливают вредоносные программы, замаскированные под обновления системы.Проблему с небезопасным поведением людей обычно пытаются решить техническими блокировками и через обучение (повышение осведомлённости). Однако, по данным исследования, после года обучения лишь 9 % сотрудников меняют своё поведение на безопасное.Намного более выраженный эффект даёт проведение тренировок навыков безопасного поведения сотрудников с помощью имитированных атак, максимально похожих на реальные атаки преступников.Платформа «Антифишинг» позволяет проводить обучение сотрудников с помощью курсов в привычном SCORM-формате и тренировать навыки безопасного поведения с помощью имитированных атак.В новой версии 2.4.3 была значительно расширена функциональность системы, добавлена удобная визуализация процессов обучения и тренировки навыков, а также внедрена возможность ещё сильнее вовлекать сотрудников в защиту компании.Рассмотрим эти возможности более подробно.Новая система визуализацииЧтобы качественно и эффективно управлять любыми процессами безопасности, в частности — обучением и тренировками навыков сотрудников, объективно оценивать результаты и вовремя вносить изменения, важно видеть наглядную картину по всем ключевым показателям в режиме реального времени.Новые визуальные представления «Антифишинга» позволяют наглядно увидеть главные показатели охвата сотрудников процессами обучения и тренировки навыков, а также оценить ключевые показатели эффективности этих процессов.Показатели охвата по ключевым процессам Рисунок 1. Визуализация показателей по ключевым процессам Первая группа показателей, которые мы рекомендуем контролировать, — показатели охвата процессов обучения (повышения осведомлённости) и тренировки навыков сотрудников по информационной безопасности: по людям, по обучению, по тренировкам и по мотивации.Каждый такой показатель позволяет оценить, сколько людей в компании в принципе добавлены в систему и участвуют в процессах (были назначены на обучение, проходили тренировки навыков), а также отображает очень важный индикатор, о котором обычно забывают: склонность сотрудников к соблюдению правил безопасности.Показатели эффективности процессов и детализация показателей охватаВторая группа показателей — данные по эффективности процессов, которые раскрываются при выборе соответствующего показателя охвата.Эффективность работы с сотрудникамиЭтот график показывает, как изменялось число сотрудников, которые были добавлены в систему или разрешены в лицензии, а также общее число сотрудников в организации.График помогает увидеть детальное и историческое изменение данных, которые определяют показатель охвата по людям: ось абсцисс — время, ось ординат — число сотрудников в указанной категории. Рисунок 2. Динамика изменения охвата по людям Эффективность процессов обученияЭтот график показывает, какая доля общего числа сотрудников прошла или не прошла обучение в назначенный срок, либо находится на обучении, либо ни разу не была назначена на обучение. Рисунок 3. Динамика показателей эффективности обучения по времени Так же как и в предыдущем случае, на оси абсцисс — время, а на оси ординат — число сотрудников в указанной категории.Эффективность процессов тренировки навыковЗдесь показано, какая доля общего числа сотрудников не тренировалась, выдержала атаку либо выполнила то или иное небезопасное действие. Рисунок 4. График изменения показателей эффективности процессов Ось абсцисс — по-прежнему время, а ось ординат — вновь число сотрудников в указанной категории.Плагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюПомимо проверки и тренировки навыков «несовершения» опасных действий, очень важно формировать у сотрудников привычки безопасного, правильного поведения.Важно, чтобы люди не только могли заметить какую-то цифровую атаку и не стать её жертвой, но и сообщили о ней в службу безопасности, таким образом активно помогая защите своей организации.Чтобы формировать у сотрудников нужные навыки, мы добавили плагин «Антифишинга», который позволяет сообщать об атаках по электронной почте непосредственно из почтового клиента Microsoft Outlook. Рисунок 5. Плагин «Антифишинга», интегрированный в окно сообщения Microsoft Outlook Теперь сотруднику не нужно помнить адрес и номер телефона службы безопасности — в его рабочем пространстве всегда есть возможность «Сообщить об атаке».Плагин интегрируется с инфраструктурой Microsoft Exchange и Office 365, что позволяет службам безопасности сразу получить все исходные сообщения от сотрудников, провести детальный анализ этих сообщений и применить соответствующие технические меры защиты.После корректной установки сотрудники видят у себя в почтовом клиенте Microsoft Outlook новый плагин (рис. 6). Рисунок 6. Кнопка плагина в панели инструментов Outlook После нажатия на плагин сотрудник видит окно обратной связи.Если атака была имитированной, то окно выглядит так, как показано на рисунке 7. Рисунок 7. Окно плагина после сообщения об атаке Плагин попросит сотрудника разметить эту атаку по психологическим векторам и по атрибуции. Они описаны в классификации «Антифишинга», об этих же векторах рассказывается в обучающих курсах, которые проходит сотрудник. Дополнительное внимание сотрудника к эмоциям, которые вызвала атака, помогает сформировать важный навык психологического торможения и более осознанное отношение к возможным цифровым атакам в будущем.После сообщения об атаке через плагин письмо с имитированной атакой удаляется из почтового ящика пользователя, атака отображается в поле «Сообщил об атаке», к текущему статусу сотрудника в системе добавляется цветной ободок, а к рейтингу — 1 балл. Рисунок 8. Всплывающие подсказки информируют о действиях сотрудника Плагин умеет различать имитированные атаки из «Антифишинга» и не пересылает их на анализ в службу безопасности.Если же сотрудник выявит реальную атаку, то окно обратной связи будет выглядеть так, как на рисунке 9. Рисунок 9. Интерфейс плагина после детектирования реальной атаки В этом случае сотрудник также может разметить атаку по психологическим векторам и атрибуции.Копия письма со всеми заголовками и содержимым пересылается на адрес службы безопасности и переносится в папку нежелательной почты в почтовом ящике сотрудника.Фактически, благодаря плагину «Антифишинга» сами сотрудники могут генерировать внутренний социоинженерный поток данных (фид) Threat Intelligence, который службы безопасности могут использовать, чтобы быстро и вовремя останавливать активные цифровые атаки. Теперь служба безопасности сможет выявлять и анализировать возможные инциденты, а также реагировать на них ещё быстрее.Вот как это работает (см. рис. 10). Рисунок 10. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC Внимательные и лояльные сотрудники выявили цифровую атаку.Статистика об этих безопасных и корректных действиях сохранилась в «Антифишинге».Исходные данные ушли на анализ в адрес корпоративного центра мониторинга и реагирования на инциденты (Security Operations Center, SOC).Аналитики смогли провести расследование и извлечь собственные индикаторы компрометации (IoC).SOC блокирует атаки по выявленным IoC на технических средствах защиты ещё до того, как информация об этих IoC станет доступна во внешних фидах.Группировка сотрудников по приоритетам и уровню рискаРазные категории сотрудников имеют различные приоритеты с точки зрения рисков и процессов безопасности. Не всегда эти приоритеты отражаются организационной структурой — часто сотрудники из разных подразделений и отделов должны быть сведены в единую параллельную структуру, которая имеет свой приоритет и позволяет вести процессы особенным способом.Для решения этой задачи и визуального представления разных категорий сотрудников в «Антифишинге» появилась возможность группировать сотрудников — объединять их без привязки к организационной структуре. Рисунок 11. Наглядное представление с цветовыми кодами групп по числу людей в группах Изначально все сотрудники помещаются в категорию «Сотрудники без группы».Администратор может самостоятельно создавать и настраивать новые группы (рис. 12). Рисунок 12. Создание новой группы риска Сотрудников, которые создают наибольший риск с точки зрения процессов безопасности, рекомендуется помещать в группу наиболее высокого приоритета.Группировка и последующие действия с сотрудниками разных групп могут быть автоматизированы встроенными средствами платформы, а также через API «Антифишинга».Имитированные атакиРеалистичные полноэкранные атакиНовый тип атак выглядит для сотрудника как реалистичная фишинговая страница, на которой даже знающие все правила безопасности люди всё равно могут ввести свой пароль. Рисунок 13. Адрес страницы и домен, значок https и все другие элементы выглядят для пользователя легитимно Механизм создания подобных атак на базе «Антифишинга» задействует Fullscreen API и работает во всех современных браузерах.Атаки создаются с учётом реального окружения пользователя у каждого заказчика — браузеры, операционная система и темы оформления подбираются на этапе согласования шаблона атаки.Шаблоны атак из электронной почтыДля тренировки сотрудников очень важно использовать максимально реалистичные имитированные атаки.Если в организации есть адрес электронной почты, на который уже поступают примеры атак от пользователей, можно подключить этот адрес к «Антифишингу» и загрузить письмо как шаблон имитированной атаки напрямую из электронной почты.Автоматизация через API «Антифишинга»: параметр externalKeyИдентификация сотрудников в «Антифишинге» всегда происходила по адресу электронной почты. В версии 2.4.3 был добавлен новый атрибут, который не видно из интерфейса, но можно использовать при работе с «Антифишингом» через API, как дополнительный параметр в связке с электронной почтой.Схема работы1. При создании и редактировании сотрудника можно будет задать externalKey — внешний (по отношению к «Антифишингу») ключ сотрудника.Запрос будет выглядеть так:curl --location --request POST 'https://antiphish/v2/targets' \--header 'Authorization: Bearer TOKEN' \--header 'Content-Type: application/json' \--data-raw '{ "fullName": "тtbdБВ&sЪs:m;0Х ьДRМPк#aЙuвЧЗIZ ?бДa^шрюu2ЖZMЮэ", "position": "Менеджер ФhWбш8+рVВ+чёъЕ", "email": "[email protected]", "department": { "id": 80, "name": "Отдел К^К7~_RLЙЬЩBjhЦ" }, "marks": [ "яМк", "-гЛоx5SФB", "жMишО", "q" ], "externalKey": "006f1f83-b419-4252-8dba-6e7883035301"}'2. Используя externalKey, можно будет найти сотрудника в «Антифишинге» через запрос:/v2/targets/external/externalKeyили/v2/targets/external/?key=externalKey3. Получив объект сотрудника, можно уже оперировать с ним в соответствии с описанными сценариями, в том числе редактировать, удалять, менять адрес электронной почты.Авторизация администраторов через LDAPТеперь пароли для входа и парольная политика администраторов не только определяются локальными настройками «Антифишинга», но и управляются через единый корпоративный каталог LDAP.Для администраторов это упрощает вход в систему. Больше не нужно хранить и запоминать пароли от нескольких систем, можно всегда использовать корпоративную учётную запись. Данные для входа берутся из LDAP, поэтому парольные политики «Антифишинга» по умолчанию соответствуют всем корпоративным требованиям по безопасности.Если учётная запись пользователя в Active Directory, которая подключена к учётной записи администратора в «Антифишинге» с типом авторизации «LDAP», удаляется или блокируется в AD, то администратор больше не сможет заходить в систему.Анонимизация данныхЧтобы избежать ситуаций, когда администратор дискриминирует сотрудников по их показателям в системе, мы добавили в «Антифишинг» возможность анонимизации данных. Это — новый режим работы системы, в котором нельзя сопоставить персональные данные сотрудников с их рейтингом и статистикой по обучению.Анонимный режим позволяет выполнить ряд требований в соответствии с общим регламентом защиты персональных данных — GDPR, что особенно актуально при работе с сотрудниками — гражданами ЕС.ВыводыНовый выпуск платформы «Антифишинг» получил функциональность, которая значительно облегчает работу сотрудников подразделений ИБ и HR:позволяет в режиме реального времени отслеживать состояние защищённости организации от цифровых атак на сотрудников;интегрирует процессы обучения и тренировки сотрудников с процессами мониторинга и реагирования на инциденты, которые уже ведутся в организации с помощью IRP / SOC;выводит коммуникации ИБ-подразделения с остальными сотрудниками на новый уровень. Читать далее
  12. Программа для удаления продуктов ESET обновилась до версии 9.0.3.0. Для просмотра всех команд запустите утилиту с параметром /help. 
  13. Staffcop Enterprise — российский программный комплекс, предназначенный для решения нескольких постоянных проблем работодателей. Во-первых, это учёт рабочего времени, т. е. выявление опаздывающих или уходящих раньше сотрудников. Во-вторых — контроль действий сотрудников за автоматизированными рабочими местами (АРМ). И, наконец, — выявление информационных потоков и контроль их направленности и содержимого. Рассмотрим архитектуру и функциональные возможности этого продукта. ВведениеФункциональные возможности Staffcop EnterpriseАрхитектура Staffcop EnterpriseЛицензии и сертификатыСистемные требования Staffcop EnterpriseОбновление совместимости и обратная связь с клиентамиФункции, подвергшиеся оптимизацииМодуль сканирования файлов на ПК и нейронные сетиВыводыВведениеВ последнее время (а именно — последние несколько лет) в среде работодателей наметилась тенденция к оптимизации расходов. Ни для кого не секрет, что сотрудники на самом деле тратят большую часть рабочего времени отнюдь не на работу, а на развлечение себя любимого и на решение своих личных проблем. Поэтому перед работодателями в полный рост встал вопрос оптимизации рабочего процесса и контроля дисциплины сотрудников. Пандемия и нефтяные войны только подстегнули этот процесс, спровоцировав переход на «удалёнку». Это вызвало размытие периметра безопасности, вывело людей из-под прямого наблюдения работодателя и увеличило риск реализации внутренних угроз — то есть исходящих от самих сотрудников. Под этим понимаются халатность или злонамеренность работников либо мошеннические действия по отношению к ним.Программный комплекс Staffcop Enterprise предназначен для контроля циркулирующей на предприятии информации, контроля эффективности персонала, учёта рабочего времени, обеспечения информационной безопасности и расследования инцидентов. Staffcop Enterprise является программным комплексом с очень широкими функциональными возможностями. Представление всех собранных данных в удобной и наглядной форме даёт возможность очень быстро выявить негативные тенденции или ситуации в компании. Говоря простым языком, Staffcop Enterprise позволяет провести аудит всего того, что происходит в организации, потратив на это минимум времени.Поддержание обратной связи с клиентами необходимо для развития продукта — только тогда он будет решать актуальные проблемы клиентов. Поэтому регулярно выходят новые версии: в частности, самый свежий релиз 4.8 включает в себя новый модуль удалённого сканирования файлов на ПК, а также в нём улучшено взаимодействие с различными информационными системами, добавлены новые настройки и оптимизированы уже имеющиеся функции. Рисунок 1. Функциональные возможности Staffcop Enterprise Сегодня мы расскажем о том, что представляет собой Staffcop Enterprise 4.8, что нового появилось в этой версии и насколько эти новинки могут оказаться вам полезными.Функциональные возможности Staffcop EnterpriseФункциональные возможности программного комплекса Staffcop Enterprise можно разделить на три основных части: информационная безопасность, контроль сотрудников и удалённое администрирование.Защита от угроз информационной безопасности достигается за счёт усиления контроля за действиями и сокращения списка доступных действий сотрудников:контроль поисковых запросов;контроль чатов в социальных сетях;контроль всех операций с файлами и папками;перехват сообщений и вложений электронной почты (POP3, IMAP, SMTP, MAPI);перехват сообщений и файлов в мессенджерах (XMPP, Skype, Telegram, VK, ICQ, Jabber, Mail.ru Agent, Yahoo и т. д.);мониторинг и контроль сетей Wi-Fi;контроль передачи информации по FTP;контроль и блокировка USB / CD;регистрация звонков и архивация сообщений;блокировка сайтов и приложений.Рисунок 2. Примеры функций контроля Staffcop Enterprise Кроме того, программный комплекс Staffcop Enterprise отличает наличие гибкого, разнообразного и точного аналитического инструментария, позволяющего рассматривать собираемые агентами данные с различных сторон и следить за рабочими процессами, протекающими в компании.Используются следующие инструменты для анализа:Регистрация запуска приложений и процессов.Скриншоты смены процесса, смены активного окна, по особым правилам.Технология OCR.Тепловые диаграммы активности.Линейные графики выявления аномалий.Карточки измерений (для файлов, сотрудников, сайтов и т. д.).Графы взаимосвязей (коммуникация между сотрудниками / отделами).Основная цель — отслеживание и своевременное оповещение ответственных лиц в случае совершения нарушения, предотвращение нарушений, сбор и систематизация данных, свидетельствующих об инциденте в сфере информационной безопасности.Программный комплекс включает в себя инструментарий, позволяющий отслеживать занятость сотрудника в течение дня, деятельность работников в онлайн- или офлайн-режиме, а также то, как сотрудники взаимодействуют друг с другом. В частности, доступны такие возможности, как построение индивидуальных рабочих графиков, выявление опозданий, простоев и нецелевого использования рабочего времени, вычисление продуктивного времени, упорядочивание статистики по сотрудникам и отделам, контроль присутствия сотрудника на рабочем месте и контроль выполняемых им там действий.Основная цель этого функционального раздела программного комплекса — позволить ответственным лицам получать информацию о качестве работы того или иного сотрудника, предупреждать деструктивные взаимодействия внутри компании и своевременно выявлять тех, кто ищет другую работу или работает «на сторону». Кроме этого, имеется возможность получить карту взаимодействий между сотрудниками и отделами, выявлять препятствия и задержки в бизнес-процессах, «перегруз» или «недогруз» отдельных звеньев, нарушения регламента, определять психологический климат в коллективе и многое другое.Удалённое администрирование помогает не только облегчить развёртывание программного комплекса, но и выполнять ряд рутинных задач, которые ложатся на плечи системных администраторов и других сотрудников IT-отделов. Сюда можно отнести, например, удалённое подключение к рабочим столам сотрудников, наблюдение за сетевым трафиком и запущенными процессами, резервное копирование, инвентаризацию аппаратной части, а также блокирование приложений или портов, удалённую настройку ОС и создание собственных фильтров сортировки данных с помощью языка программирования Python.Заметим также, что программный комплекс дополнительно позволяет отслеживать последствия проведённых работ, выделяя рабочие станции по необходимым критериям.Архитектура Staffcop EnterpriseПрограммный комплекс построен на основе клиент-серверной архитектуры с возможностью работы в офлайн-режиме. Подобная архитектура позволяет интегрировать программный комплекс в любую инфраструктуру, т. к. поддерживаются все возможные варианты подключения, в том числе NAT-трансляции и VPN-каналы. Подключение к серверу осуществляется по защищённому соединению. Рисунок 3. Архитектура Staffcop Enterprise Серверная часть функционирует под управлением ОС Ubuntu Server 18.04 и Astra Linux Special Edition (релиз «Смоленск») и использует СУБД PostgreSQL и ClickHouse. Она предназначена для сбора, хранения и просмотра информации, администрирования системы и настройки правил мониторинга. Просмотр и анализ данных осуществляются через панель администратора, реализованную посредством веб-интерфейса.Агент — системная служба, устанавливаемая на компьютере пользователя и предназначенная для сбора данных с их последующей передачей на сервер. Работа агента происходит в скрытом режиме и незаметна для пользователя. После передачи информации на сервер по шифрованному каналу (openSSL) она удаляется из локальной базы. Агенты устанавливаются на компьютеры пользователей локально или дистанционно (с помощью встроенной утилиты удалённой установки) либо разворачиваются через групповые политики. Кроме этого, в модуль можно интегрировать собственные IP-адреса и имена хостов для ускорения развёртывания.Программный комплекс Staffcop Enterprise используется администраторами вычислительных сетей и специалистами служб информационной безопасности для предотвращения несанкционированной передачи защищаемой информации, а также для контроля и мониторинга действий персонала, управления АРМ и расследования инцидентов из области информационной безопасности.Лицензии и сертификатыНа программный комплекс Staffcop Enterprise получен сертификат ФСТЭК России № 4234 от 15 апреля 2020 года, который подтверждает соответствие требованиям к средствам контроля съёмных машинных носителей информации по 4-му классу защиты, утверждённым приказом ФСТЭК России от 28 июля 2014 г. № 87. Реализовываются требования по защите информации из следующих нормативных документов: приказ ФСТЭК России от 25 декабря 2017 г. № 239; приказ ФСТЭК России от 18 февраля 2013 г. № 21; положение Банка России от 9 июня 2012 г. № 382-П; приказ ФСТЭК России от 11 февраля 2013 г. № 17; федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ).Программный комплекс Staffcop Enterprise успешно прошёл тематические исследования на соответствие требованиям ТИ-69 8-го Центра ФСБ России по следующим пунктам:Соответствие декларированных и реальных возможностей программного обеспечения.Отсутствие недекларированных возможностей программного обеспечения.Совместимость со средствами защиты информации.Возможность работы в безопасной среде.Исходя из вышеперечисленного, программный комплекс Staffcop Enterprise может использоваться в составе автоматизированных систем (АС) до класса защищённости 1Г; в информационных системах персональных данных (ИСПДн); в государственных информационных системах (ГИС); на объектах критической информационной инфраструктуры (КИИ); в автоматизированных системах управления производственными и технологическими процессами на критически важных, потенциально опасных и представляющих повышенную опасность для жизни и здоровья людей либо для окружающей природной среды объектах до 1 класса (уровня) защищённости включительно.Системные требования Staffcop EnterpriseУ комплекса есть следующие минимальные системные требования:Операционная система — Ubuntu, 64 бита. На ОС Debian и прочих Linux-системах корректная установка и работа StaffCop Enterprise не гарантируются. Возможна установка на виртуальную машину.Процессор — двухъядерный, 1,8 ГГц.Оперативная память — 2 ГБ.Дисковое пространство — от 10 ГБ.Для гарантированной работы административной части необходим браузер Mozilla Firefox или Google Chrome.Рекомендуемые системные требования для сервера приведены в таблице ниже. Таблица 1. Рекомендуемые характеристики сервера в зависимости от количества агентовПараметр50 агентов200 агентов500 агентовОСUbuntu Server 16.04 LTS (14.04 LTS)Ubuntu Server 16.04 LTS (14.04 LTS)Ubuntu Server 16.04 LTS (14.04 LTS)ПроцессорIntel Xeon E5-2603 v3Intel Xeon E5-2603 v3Intel Xeon E5-1660 v3Оперативная память8 ГБ16 ГБ32 ГБДисковое пространство (для ОС / для СУБД)30 ГБ / 100 ГБ30 ГБ / 200 ГБ30 ГБ / 400 ГБ Рекомендуемые системные требования для агента:Операционная система — Windows XP, 7, Vista, 8, 8.1, 10, Windows Server 2008, 2012.Процессор — любой совместимый, 2 ядра и более.Оперативная память — 2 ГБ и более.Дисковое пространство — до 10 ГБ на системном диске.Теперь рассмотрим то, что изменилось и что нового появилось в недавно вышедшей версии Staffcop Enterprise 4.8.Обновление совместимости и обратная связь с клиентамиЧеловек — существо социальное, и многие вещи в повседневной жизни построены на основе взаимодействий. Каждый день люди сообща решают важные задачи — ведь если каждый будет тянуть воз в свою сторону, как говорит басня «Лебедь, рак и щука», достичь успешного результата будет невозможно. В этой парадигме развивается и программный комплекс Staffcop Enterprise: важны обратная связь с клиентами (чтобы своевременно дополнять, улучшать и исправлять необходимое) и взаимодействие с другими программными решениями для обеспечения информационной безопасности.Раньше можно было сформировать и выгрузить журнал (лог), содержащий собранную информацию, для его ввода в другую систему для анализа; в версии 4.8 была улучшена возможность совмещения Staffcop Enterprise с другими системами защиты, в том числе доработаны методы передачи данных по REST API. Примерами таких систем могут служить RuSIEM и инструмент бизнес-анализа от Microsoft под названием Power BI. Кстати, с системами и службами Microsoft Staffcop работает давно и постоянно расширяет возможности взаимодействия с Active Directory. AD позволяет весьма гибко настраивать политики, и грех было бы не воспользоваться этим: например, можно предоставлять доступ или назначать уровни контроля для конкретного сотрудника или целой их группы на основании данных из AD. Также произведено обновление технической части, которое помимо прочего упрощает установку сервера в гипервизоры KVM и Proxmox. Крепкая связь с другими техническими решениями позволяет значительно упростить интеграцию Staffcop Enterprise в уже существующие системы.Клиенты постоянно поддерживают обратную связь, и именно благодаря им Staffcop Enterprise становится лучше: рассматривается каждое предложение, просьба или замечание. В версии 4.8 реализовано 147 доработок и предложений клиентов.Несмотря на то что последние мировые события способствуют скорее разобщению людей (что само по себе нонсенс), Staffcop Enterprise обеспечивает поддержку, укрепляет существующие связи и позволяет создавать новые, чтобы пользователи программного комплекса могли успешно достичь своих целей.Функции, подвергшиеся оптимизацииStaffcop Enterprise собирает большое количество информации, и чтобы офицер безопасности не тратил много времени на поиск нужных сведений, программный комплекс наглядно отображает все собранные данные с помощью разных виджетов. В новой версии добавлена возможность сократить интервал времени, события за который будут показаны, точно настроив его до часов и даже минут.Более точная настройка времени теперь доступна в том числе и для формируемых отчётов, а также для оповещений об отсутствии данных от агента. Если раньше имелись только варианты «ежедневно», «еженедельно» и «ежемесячно», то теперь можно указать конкретное число и время. Рисунок 4. Распределение времени сотрудника в течение рабочего дня Также нет необходимости каждый раз заново настраивать представление полей в линзе событий: можно сохранить настройку и использовать её в дальнейшем, а само отображение информации в линзе оптимизировано ради более быстрого и плавного пролистывания. Использование словарей тоже стало более удобным и наглядным: текст, на который отреагировали разные словари, теперь можно выделить разными цветами. Наглядность представления информации напрямую влияет на скорость и эффективность работы офицеров безопасности, поэтому постоянно прорабатывается и улучшается. Рисунок 5. Пример выделения цветом найденных по словарям слов Организованность процесса обеспечения информационной безопасности также является важным фактором. Чем меньше рутинных действий совершает офицер безопасности, тем эффективнее он справляется со своей основной задачей. Поэтому, в первую очередь, производится улучшение интерфейса — например, теперь можно создать несколько однотипных политик, а при сохранении и печати отчёта его название совпадает с названием его шапки.Менеджмент агентов стал удобнее: в новой версии можно настроить время активности агента, чтобы он собирал информацию только в рабочее время. Кроме этого, с неактивных ПК можно автоматически снять лицензию через указанное количество дней. Удалённые агенты теперь получают статус «Агент удалён», что позволяет проще концентрировать внимание на рабочих местах, на которых ведётся логирование информации. Рисунок 6. Функция сбора информации только в рабочее время Правильно организованная работа и наглядное отображение её результатов — это критерии эффективности выполняемой деятельности. Важно стремиться к получению максимального результата за минимум времени.Модуль сканирования файлов на ПК и нейронные сетиНовые проблемные задачи дают новые возможности, не пользоваться которыми — преступление, поэтому постоянно добавляется новая функциональность и развивается имеющаяся.В прошлом релизе был добавлен модуль нейронных сетей. Конечно, для того чтобы его применять, требуется определённый набор знаний, но компания-разработчик составила руководство, которое поможет выполнить самостоятельную настройку. Модуль нейросетей позволяет распознавать отсканированные документы — паспорта, печати на документах, — а также узнать, кто именно работает за компьютером, на месте ли сотрудник и находится ли за компьютером тот, кто должен за ним сидеть, а не другой человек. Был проведён вебинар с подробным рассказом об этом модуле и его возможностях; любой желающий может ознакомиться с записью и узнать больше об используемой технологии.Не обошлось и без добавления нового модуля — сканирования файлов на персональных рабочих станциях и на серверах. Модуль сканирования файлов позволяет провести аудит документов, которые находятся на компьютере, составить список имеющихся на рабочем месте документов и выявить конкретные документы и файлы, которые содержат в себе определённый, интересующий вас текст. Это помогает выявить те документы, которых не должно быть у сотрудника, и — более того — удалить эту информацию собственноручно, не позволив ей покинуть контролируемый периметр. Это — очень мощный инструмент, позволяющий удалённо решать задачи информационной безопасности. Рисунок 7. Интерфейс сканера файлов Рисунок 8. Интерфейс сканера файлов и отображение результатов поиска Кроме этого, была проведена ревизия модуля, ответственного за перехват файлов, отправляемых на печать: теперь этот модуль полностью переработан и осуществляет перехват исходного файла, фиксирует факт печати и снимает скриншот независимо от того, на какой принтер было отправлено задание. Нельзя только добавлять новое — обязательно нужно проверять и старые функциональные возможности на работоспособность и переделывать их, если они не отвечают требованиям.ВыводыДвижение — это жизнь, поэтому важно не останавливаться и развиваться, улучшая старое и добавляя новое. Во многом это — и заслуга клиентов, которые не стесняются писать, что они думают и что хотят видеть. Важно предоставить клиентам тот продукт, который поможет решить необходимые проблемы и задачи. Главное — делать свою работу качественно, а люди это увидят и оценят.Под качеством применительно к Staffcop Enterprise подразумевается несколько вещей. Первая из них — это используемые технологии. Необходимо следить за актуальными тенденциями и использовать новейшие технологические достижения. К таковым, конечно же, относятся нейронные сети — уже сейчас они способны значительно снизить нагрузку на офицеров информационной безопасности, выполняя за них рутинную работу. Немаловажной является и доступность используемых технологий. Неприемлем вариант, когда клиент кроме приобретения программного комплекса как такового вынужден дополнительно покупать лицензии на другие программные продукты. Увы, не у всех есть большие бюджеты, и каждый, кто создаёт решения для обеспечения информационной безопасности, просто обязан это учитывать.Одним из последних трендов в информационной безопасности стало смещение фокуса с внешних угроз на внутренние. С учётом нынешней мировой ситуации, с повальным переходом на удалённую работу, в полный рост встала проблема инсайдеров и внутренних угроз. Периметр безопасности стал размываться, и оказалось гораздо сложнее обеспечить безопасность своих данных. Staffcop Enterprise в первую очередь предназначен для защиты от внутренних угроз с помощью тотального контроля и распознавания опасных действий сотрудников. Несмотря на большой объём собираемых данных, Staffcop Enterprise обеспечивает наглядное их представление, позволяющее быстро выявить отклонения от нормы, а применяемая технология «drill-down» даёт возможность отследить все взаимосвязи и отображать данные в компактной форме, меняя масштаб и эффективно работая с ними.Помните, что вы всегда можете бесплатно протестировать Staffcop Enterprise самостоятельно и составить своё мнение. Читать далее
  14. Ego Dekker

    ESET SysRescue Live

    ESET SysRescue Live был обновлён до версии 1.0.20.
  15. Компания ESET — лидер в области информационной безопасности — сообщает о выходе новой версии продуктов для пользователей операционной системы Windows. Поэтому ESET Internet Security, ESET NOD32 Antivirus и ESET Smart Security Premium версии 14 обладают современными технологиями и улучшенным функционалом для обеспечения безопасности на более высоком уровне. В новой версии продуктов для защиты Windows теперь улучшено обнаружение вредоносного программного обеспечения, защита онлайн-платежей, безопасность паролей и поддержку устройств умного дома с целью создания безопасной цифровой среды для работы с любых устройств. Учитывая постоянный рост количества случаев кибератак важно обеспечить защиту пользователей при работе в Интернет-сети. Обновленный функционал продуктов предоставляет улучшенную защиту от банковских угроз, похищения личных данных и паролей, утечек конфиденциальной информации и угроз для домашней сети. ESET постоянно совершенствует свои решения для обеспечения пользователей новейшими технологиями в области кибербезопасности с минимальным воздействием на систему. Обновления предусматривают точную настройку системы предотвращения вторжений (HIPS) и совершенствование модулей машинного обучения, а также значительное уменьшение их размера. Основные новинки для лучшей защиты Windows: Новые сканеры системного реестра и инструментария для управления устройствами в среде Windows (WMI), которые способны выявлять несанкционированное использование этих систем. Усовершенствованный модуль домашней сети для лучшего выявления уязвимостей подключенных устройств и решения других проблем безопасности. Обновленная защита онлайн-платежей теперь имеет специальный защищенный режим браузера, с помощью которого пользователи могут безопасно осуществлять оплаты в Интернете. Усовершенствованная функция позволяет пользователям запустить любой браузер в защищенном режиме по умолчанию. При включении режима связь клавиатуры и мыши с браузером шифруется с целью предотвращения считывания нажатий клавиш. Кроме того, система теперь предупреждает пользователей об опасности несанкционированного доступа во время включенного протокола удаленного рабочего стола (RDP). Обновленный функционал ESET Password Manager теперь позволяет осуществлять выход из веб-сайтов и очищение истории браузера удаленно. Также инструмент доступен как через расширение браузера, так и с помощью мобильных приложений. «Поскольку количество киберугроз продолжает расти, очень важно обеспечить защиту устройств на каждом уровне. Многие технологии — от Интернет-банкинга до систем умных домов —выполняют важную роль в современной жизни, поэтому как никогда важно защищать свои устройства. Мы регулярно обновляем продукты по безопасности для надежной защиты Windows, что подтверждает наше стремление постоянно совершенствовать и внедрять инновации для создания безопасного цифрового пространства», — комментирует Матей Криштофик, менеджер по продуктам ESET. Пресс-выпуск.
  16. Система Multifactor от компании «Мультифактор» выделяется на рынке продуктов для многофакторной аутентификации рядом отличительных особенностей. Во-первых, она предлагается по сервисной подписке, что облегчает процесс интеграции и сокращает время до начала пользования. Во-вторых, дополнительный фактор для аутентификации можно выбирать из многих вариантов, включая такой необычный, как мессенджер Telegram. Какие ещё возможности предоставляет Multifactor, мы узнаем далее. ВведениеФункциональные возможности системы MultifactorАрхитектура системы MultifactorСистемные требования MultifactorСценарии использования системы Multifactor5.1. Начало работы с системой Multifactor5.2. Управление ресурсами в системе Multifactor5.3. Управление пользователями в системе Multifactor5.4. Управление доступом в системе Multifactor5.5. Журналирование событий в системе MultifactorВыводыВведениеДолгое время считалось, что классический метод аутентификации, основанный на комбинации логина и пароля, весьма надёжен. Однако сейчас утверждать такое уже не представляется возможным. Всё дело — в человеческом факторе и наличии у злоумышленников больших возможностей по «угону» пароля. Не секрет, что люди редко используют сложные пароли, не говоря уже о том, чтобы регулярно их менять. К сожалению, является типичной ситуация, когда для различных сервисов и ресурсов применяется один и тот же пароль. Таким образом, если последний будет подобран посредством брутфорса или украден с помощью фишинговой атаки, то у злоумышленника появится доступ ко всем ресурсам, для которых применялся этот пароль.Для решения описанной проблемы можно использовать дополнительный фактор проверки личности. Решения, основанные на таком методе, называются системами двухфакторной аутентификации (two-factor authentication, 2FA) или многофакторной аутентификации (multi-factor authentication, MFA).Одним из таких решений является Multifactor от компании «Мультифактор». Эта система позволяет выбрать в качестве второго фактора один из следующих инструментов: аппаратный токен, SMS-сообщения, звонки, биометрию, UTF, Google Authenticator, «Яндекс.Ключ», Telegram или мобильное приложение. Необходимо добавить, что данное решение предлагается только в качестве сервиса, когда у заказчика устанавливаются лишь программные агенты, а ядро системы размещается на стороне вендора, избавляя таким образом специалистов заказчика от проблем с внесением изменений в инфраструктуру и решением вопросов по организации канала связи с провайдерами для приёма звонков и SMS-сообщений.Заметим к слову, что информационно-аналитический центр Anti-Malware.ru уже поднимал тему MFA — например, в статье «Актуальные проблемы корпоративной многофакторной аутентификации».Функциональные возможности системы MultifactorСистема Multifactor обладает следующими ключевыми функциональными особенностями:Большой выбор способов аутентификации: Telegram, биометрия, U2F, FIDO, OTP, Google Authenticator, «Яндекс.Ключ», мобильное приложение Multifactor, звонки и SMS-сообщения.Предоставление API для управления пользователями из внешних систем.Готовность вендора доработать Multifactor под требования заказчика.Журналирование действий пользователей при получении доступа.Управление ресурсами, к которым осуществляется доступ.Управление пользователями из консоли администрирования.Возможность импорта пользователей из файлов формата CSV или простого текстового файла.Большой перечень ресурсов, с которыми возможна интеграция Multifactor: OpenVPN, Linux SSH, Linux SUDO, Windows VPN, Windows Remote Desktop, Cisco VPN, FortiGate VPN, Check Point VPN, Yandex.Cloud, VMware vCloud, Huawei.Cloud (в России — SberCloud), Outlook Web Access, VMware Horizon, VMware AirWatch, Citrix VDI и другие.Управление функциями системы Multifactor через единую консоль администратора.Информирование администратора системы о потенциальных инцидентах в сфере ИБ.Поддержка Active Directory и RADIUS.Архитектура системы MultifactorКак уже было сказано, Multifactor является сервисным продуктом. Таким образом, вычислительные мощности и сетевая инфраструктура, необходимые для работы системы, размещены в Москве, в дата-центре «Даталайн». ЦОД сертифицирован по стандартам PCI DSS (уровень 1) и ISO/IEC 27001:2005. На стороне заказчика устанавливаются только следующие программные компоненты с открытым исходным кодом: RADIUS Adapter (для приёма запросов по протоколу RADIUS),IIS Adapter (для включения двухфакторной аутентификации в Outlook Web Access),портал самообслуживания (для самостоятельного управления средствами аутентификации со стороны пользователей). Рисунок 1. Схема и описание работы компонентов Multifactor Multifactor можно приобрести только по сервисной подписке. Стоимость лицензии зависит от количества пользователей. Доступна подписка на любой срок начиная от 1 месяца.Интерфейс программного обеспечения Multifactor поддерживает только русский язык. Другие языки в данный момент не поддерживаются.Система не имеет сертификатов по требованиям безопасности информации, но программные агенты, которые устанавливаются на стороне заказчика, поставляются с исходным кодом, что даёт возможность убедиться в отсутствии недекларированных возможностей.Необходимо отметить, что Multifactor включён в реестр российских программ для электронных вычислительных машин и баз данных.Системные требования MultifactorДля корректного функционирования Multifactor производитель установил отдельные системные требования по каждому из компонентов системы. В таблице 1 указаны минимальные ресурсы для RADIUS Adapter. Таблица 1. Минимальные системные требования для установки RADIUS AdapterНаименование параметраКоличество аутентификаций в секунду1001000Количество процессоров48Оперативная память (RAM)4 ГБ8 ГБОперационная системаWindows Server 2012 и вышеWindows Server 2012 и выше В таблице 2 приведены показатели, соответствие которым необходимо для установки портала самообслуживания (Self-Service Portal). Таблица 2. Минимальные системные требования для установки Self-Service PortalНаименование параметраЗначениеКоличество процессоров1Оперативная память (RAM)2 ГБОперационная системаWindows Server 2012 и выше На момент выхода статьи в Multifactor доступны следующие ресурсы для реализации механизма многофакторной аутентификации (см. табл. 3). Таблица 3. Требования к ресурсам для интеграции с MultifactorТип ресурсаНаименование ресурсаОблака, виртуализация и веб-приложенияВеб-сайтSAML-приложениеYandex.CloudOutlook Web AccessHuawei CloudVMware vCloudVMware Horizon ViewVMware Horizon Cloud DaaSМежсетевые экраны и средства коммутацииCiscoCheck PointFortiGateMikrotikИнфраструктура Linux OpenVPNLinux SS Linux SUDOИнфраструктура WindowsСервер Windows VPNСервер Windows RD GatewayСервер Windows Network PolicyWindows Remote Desktop Сценарии использования системы MultifactorНиже будут описаны различные варианты работы системы Multifactor.Начало работы с системой MultifactorПосле установки всех необходимых программных компонентов можно приступать к работе с Multifactor. Все основные действия по управлению системой находятся в консоли администрирования. Для того чтобы зайти в неё, следует ввести логин и пароль. Рисунок 2. Аутентификация в консоли администрирования Multifactor При первом запуске консоли потребуется выбрать второй фактор аутентификации из числа предложенных. Рисунок 3. Выбор дополнительного способа аутентификации в Multifactor В качестве примера была выбрана аутентификация через Telegram. Для активации данного метода понадобится добавить в приложение Telegram на мобильном телефоне бота Multifactor. Далее от этого бота поступает сообщение, где для получения доступа необходимо нажать на кнопку «Да, это я» (рис. 4). Рисунок 4. Подтверждение доступа в Multifactor через Telegram После выполнения этого действия будет загружена консоль администрирования. Откроется раздел «Главная». Рисунок 5. Главное меню консоли администратора в Multifactor На этой вкладке можно поменять тариф оплаты, контактную информацию и логотип, а также сразу добавить защищаемые ресурсы. Переход на вкладку «Настройки» позволит изменить формат преобразования учётных записей и включить расширенный API для управления пользователями, ресурсами и настройками доступа к системе через программный интерфейс (рис. 6). Рисунок 6. Управление настройками в Multifactor Также в консоли администратора доступны разделы «Ресурсы» (для управления ресурсами заказчика), «Администратор» (для управления учётными записями администраторов Multifactor), «Пользователи» и «Группы» (для совершения операций с пользователями), «Запросы доступа» (для просмотра журнала подключений), «Проект» (для указания данных по текущей системе), «Тариф и оплата» (для просмотра возможностей текущего тарифа).Отметим, что на вкладке «Проект» помимо названия системы можно указать данные администратора, в том числе и контактную информацию, чтобы пользователи знали, к кому обращаться в случае появления трудностей при доступе к ресурсам. Рисунок 7. Настройка параметров проекта и контактной информации Для взаимодействия с большей частью средств коммутации и сервисов в целях осуществления доступа в Multifactor используется сетевой протокол RADIUS (Remote Authentication Dial-In User Service). Система полагается на данный протокол в следующих сценариях:схема двухфакторной аутентификации, где в качестве первого фактора пользователь применяет пароль, а в качестве второго — мобильное приложение, Telegram или одноразовый код (OTP);схема однофакторной аутентификации, где пользователь применяет логин, а вместо пароля вводится второй фактор (например, пуш-уведомление).Для того чтобы можно было использовать протокол RADIUS, необходимо обеспечить беспрепятственное подключение устройства доступа (сервер, межсетевой экран или другое средство сетевой коммутации) к адресу radius.multifactor.ru по UDP-порту 1812. Соответственно, данный порт и веб-адрес должны находиться в списке разрешённых.Кроме того, протокол RADIUS можно применять для обеспечения безопасности подключения по SSH, использования команды SUDO и других операций, требующих усиленного контроля доступа. Также сетевой протокол RADIUS пригодится как дополнительный инструмент проверки подлинности Windows для подключения к удалённому рабочему столу (Remote Desktop).Для полноценного использования протокола RADIUS в Multifactor применяется программный компонент Multifactor RADIUS Adapter.Multifactor RADIUS Adapter реализует следующие возможности:получение запросов для прохождения аутентификации по протоколу RADIUS,проверка логина и пароля пользователя в Active Directory или NSP (Microsoft Network Policy Server),проверка второго фактора аутентификации на мобильном устройстве пользователя,настройка доступа на основе принадлежности пользователя к группе в Active Directory,включение второго фактора на основе принадлежности пользователя к группе в Active Directory,применение мобильного телефона пользователя из Active Directory для отправки одноразового кода через SMS.Помимо RADIUS в Multifactor также используется протокол взаимодействия SAML, который кроме двухфакторной аутентификации предоставляет технологию единого входа (SSO) в корпоративные и облачные приложения, где первым фактором может быть логин и пароль от учётной записи в Active Directory либо в Google или Yandex. При использовании протокола SAML в Multifactor можно настроить взаимодействие для аутентификации со следующими приложениями и сервисами: VMware, Yandex.Cloud, SberCloud, Salesforce, Trello, Jira, Slack и др.Управление ресурсами в системе MultifactorКак уже было сказано выше, управление ресурсами осуществляется в разделе «Ресурсы». На данной вкладке возможно добавление ресурсов заказчика, таких как сайты, облачные решения, межсетевые экраны, серверы под ОС Linux и Windows. В частности, для подключения двухфакторной аутентификации на сайте потребуется помимо адреса этого сайта выбрать тип JSON-токена и провести процедуру интеграции с Multifactor посредством предоставляемых производителем инструкций. Рисунок 8. Добавление ресурсов заказчика для реализации MFA При добавлении нового ресурса появится отдельная страница, посвящённая ему (рис. 9). На такой странице будут представлены информация о названии ресурса и его адресе в сети «Интернет», параметры API для интеграции с Multifactor и формат токена доступа. Рисунок 9. Просмотр данных о параметрах добавленного ресурса в Multifactor Порядок подключения пользователей к сайту выглядит так, как показано на рисунке 10. Упрощённо получение доступа пользователем можно представить в виде совокупности следующих шагов:На первом этапе пользователь вводит на сайте, к которому требуется доступ, свои логин и пароль.Далее сайт проверяет корректность и правильность введённых пользователем данных.В случае если все данные корректны, сайт делает запрос к API Multifactor для подготовки доступа. Обратно API направляет ответ, в котором содержится уникальный адрес страницы доступа для осуществления дальнейших действий.На следующем этапе сайт перенаправляет пользователя на страницу доступа Multifactor, где проверяется второй фактор аутентификации.После того как сотрудник пройдёт проверку по второму фактору аутентификации, система создаст JW-токен доступа и переадресует пользователя обратно на сайт.Сайт проводит проверку JW-токена и в случае правильности и корректности данных авторизует пользователя.Таким образом, для осуществления аутентификации в Multifactor применяется JW-токен (JSON Web Token) — стандарт создания метки доступа для обмена аутентификационной информацией между двумя сторонами. JWT имеет простую структуру, состоящую из трёх частей: заголовок, данные, подпись. Рисунок 10. Схема получения доступа к сайту через Multifactor Управление пользователями в системе MultifactorПод управление пользователями в графическом интерфейсе Multifactor отводятся сразу два раздела: «Пользователи» и «Группы». В первом из них можно добавлять новых пользователей, задавая логин, имя, адрес электронной почты, телефон, а также группу, к которой должен относиться сотрудник. Помимо ручного ввода этих данных в Multifactor есть возможность их импорта из файлов формата TXT и CSV. Для корректного выполнения данной операции на каждого пользователя должна отводиться только одна строка. Рисунок 11. Добавление новых пользователей в систему Раздел «Группы», как можно понять по названию, позволяет создавать новые группы, в которые будут входить пользователи. Здесь есть возможности тонкой настройки следующих параметров: название группы, время жизни сеанса доступа, способы аутентификации (включая доступ без таковой), перечень ресурсов, с которыми смогут взаимодействовать сотрудники, IP-адреса, с которых будет возможен доступ, а также дни недели, в которые он будет разрешён. Рисунок 12. Добавление новой группы для пользователей Управление доступом в системе MultifactorУправление доступом пользователей к ресурсам тоже осуществляется через вкладку «Группы», где есть возможность определить способ аутентификации, доступные ресурсы, период подключения и прочее.Для того чтобы задать способ аутентификации для конкретного сотрудника, необходимо зайти в раздел «Пользователи», выбрать нужную учётную запись и нажать на строку «Детали». В открывшемся окне с данными пользователя можно отправить ссылку на выбор способа аутентификации.Ссылка придёт на указанный электронный адрес (рис. 13). Рисунок 13. Получение ссылки для самостоятельного выбора способа аутентификации После перехода по ссылке у пользователя откроется окно для выбора предпочтительного способа аутентификации (рис. 14). Рисунок 14. Выбор пользователем способа аутентификации После выбора способа аутентификации пользователь сможет подключаться к ресурсу с выбранными параметрами.Как уже отмечалось выше, в Multifactor есть возможность установить портал самообслуживания (Self-Service Portal). Данный компонент поставляется в комплекте с лицензией Multifactor и позволяет пользователям самостоятельно регистрировать второй фактор аутентификации внутри корпоративной сети Active Directory для безопасного подключения удалённого доступа через VPN или Remote Desktop.Журналирование событий в системе MultifactorПросмотр событий, связанных с доступом к ресурсам, реализован в Multifactor в разделе «Запросы доступа». Имеются фильтры для поиска событий по пользователю, ресурсу и периоду времени. В журнале отображается следующая информация по каждому запросу: дата подключения, имя пользователя, наименование ресурса, к которому осуществляется доступ, местоположение пользователя в момент получения этого доступа (страна и город) и статус его получения. Рисунок 15. Просмотр данных о запросах пользователей в Multifactor ВыводыПо результатам тестирования Multifactor можно сказать, что данная система предлагает интересный и удобный механизм по использованию многофакторной аутентификации для доступа к практически любым ресурсам заказчика. Можно сделать более безопасной аутентификацию на веб-ресурсах и устройствах сетевой коммутации, в облаках и средствах виртуализации, в инфраструктуре Linux и Windows.Большой выбор методов аутентификации позволяет подобрать наиболее удобный и безопасный вариант для любой группы пользователей или дать сотрудникам право самостоятельно определять способ удостоверения личности. Отметим также, что в качестве дополнительного фактора можно использовать такие современные инструменты, как мобильное приложение Multifactor, OTP от Google и «Яндекса», а также сообщения от бота в Telegram (тем более что мессенджер Telegram стал в последнее время вполне легитимным приложением и даже органы государственной власти используют его для своих официальных новостных каналов).Наличие подробных инструкций, в том числе и в видеоформате, позволяет быстро и без особых трудностей осуществить интеграцию практически любого ресурса с системой Multifactor.Ещё одним положительным моментом является легковесность внедрения данного решения. В инфраструктуре заказчика устанавливаются только три программных компонента (включая портал самообслуживания), обладающие вполне приемлемыми системными требованиями. Кроме того, вендор готов индивидуализировать свой продукт под нужды заказчика.Из отрицательных сторон можно выделить отсутствие сертификата по требованиям безопасности информации, наличие программных компонентов только под ОС семейства Windows, невозможность импорта пользователей через Active Directory / LDAP.По совокупности положительных характеристик, а также отмечая тот факт, что данная система вполне активно развивается (например, в одной из последних итераций в качестве одного из методов аутентификации появилось мобильное приложение), можно говорить о том, что Multifactor занимает выгодное место на рынке систем многофакторной аутентификации. Читать далее
  1. Load more activity
×