Алексей Андрияшин: при аудите безопасности мы всегда находим что-то интересное

Алексей Андрияшин: при аудите безопасности мы всегда находим что-то интересное

Алексей Андрияшин

Руководит командой системных инженеров российского представительства Fortinet. Приобрел большой опыт в области информационной безопасности за время работы на крупные отечественные компании, а также ведущих международных производителей решений ИБ.

Является постоянным участником крупных отраслевых мероприятий, на которых делится опытом по построению современных эффективных систем защиты информации. Большое внимание уделяет локализации и сертификации решений Fortinet, а также консультирует крупных отечественных заказчиков. В свободное время увлекается горнолыжным спортом и занятиями айкидо.

...

Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet.

Алексей, какие тенденции на рынке сетевой безопасности вы бы выделили?

А. А.: Я бы разделил тенденции рынка информационной безопасности на две основные части. Первое — это технологические тенденции развития рынка услуг, решений, технологий. А во-вторых, нельзя не упомянуть о тенденциях в развитии угроз, потому что обычно сначала развиваются угрозы, появляются уязвимости и новые технологии обхода элементов защиты, а уже за ними следуют технологические решения. Разумеется, производители решений информационной безопасности стремятся к тому, чтобы опередить злоумышленников, предлагая для этого новые технологии с применением технологий искусственного интеллекта, нейронных сетей, поведенческого анализа и других технологий. 

Если говорить о развитии угроз, то Fortinet каждый квартал выпускает отчет Threat Landscape Report, он доступен на нашем сайте. Если обратите внимание на этот отчет, вы увидите, что за прошедший год в два раза возрос объем данных, которые среднестатистическая компания пропускает «через себя». И усложняет эту ситуацию тот факт, что более половины данных передаются в зашифрованном виде и их процент постоянно увеличивается.

В связи с этим перед специалистами по безопасности встает тяжелый выбор: либо искать новые решения, либо принять этот риск и следовать традиционным решениям защиты, которые применялись раньше. Однако, когда более половины данных идет в теневом режиме, проблему решать необходимо. Технические способы решения этой проблемы известны — https proxy, анализ трафика, проксирование, подмена цифровых сертификатов и так далее.

Обратная сторона медали — решения должны быть производительными, требования скорости доступа к данным повышаются, поэтому появляются новые требования к обработке на высокой скорости, в том числе и зашифрованного трафика. Традиционные решения, которые развивались последние 15 лет, построены вокруг процессоров на базе Intel на традиционной архитектуре, потому что в основном они выросли из софтовых решений. На данный момент только небольшое количество производителей, в том числе Fortinet, предлагают решения с аппаратной составляющей, которая позволяет выполнять шифрование и дешифрование на аппаратном уровне. Технология аппаратных ускорителей и ее применение оправдано не только для шифрования/дешифрования, но и при проведении более детального контентного анализа, инспекции данных на уровне DPI, антивирусной защиты, предотвращения вторжений и обнаружения аномалий.

Очень важно противодействовать неизвестным угрозам, но так как сигнатурный принцип уже себя  практически исчерпал, необходим новый подход. Большой интерес у заказчиков вызывают решения, которые позволяют противодействовать неизвестным угрозам и угрозам нулевого дня. Чаще всего они строятся на базе песочниц — решений, позволяющих эмулировать рабочую среду и детально анализировать поведение подозрительных объектов.

Насколько высокое сейчас проникновение песочниц на российском рынке?

А. А.: Достаточно высокое, на мой взгляд. Несмотря на то, что такие решения развиваются активно только последние 2-3 года, уже состоялось большое количество внедрений. Эта технология себя оправдывает, если судить по опыту наших заказчиков. Сегодня практически ни один проект внедрения межсетевых экранов, антиспам-решений, средств защиты веб-приложений не обходится без тестирования и изучения песочниц, потому что противодействие известным угрозам организовано эффективно, но важно противодействовать, как мы уже говорили, новым неизвестным угрозам.

Наши песочницы (FortiSandbox) могут быть тесно интегрированы с межсетевым экраном, системой защиты веб-приложений и другими нашими технологиями, причем без дополнительных изменений в существующей сетевой архитектуре, чтобы внедрить песочницу в сложившуюся экосистему, построенную на решениях Fortinet. Более того, FortiSandbox может быть интегрирован с решениями других производителей.

Какие угрозы сегодня выходят на первый план?

А. А.: Злоумышленники нацеливаются на интернет вещей. За последний год, согласно нашему отчету, примерно в 4 раза выросли атаки, которые используют Wi-Fi-камеры. Подобные устройства активно используются, но их производители уделяют мало внимания безопасности подобных решений. Учитывая, что устройства внедряются широко и не всегда специалистами по безопасности, а также то, что системы открытые — их легко взломать и использовать для проведения распределенных атак. За последний год было очень много ярких примеров, иллюстрирующих, что DDoS-атаки или ботнет-атаки начинались именно с интернета вещей и, в частности, с Wi-Fi-камер. Очевидно, что атаки с подобных устройств будут расти, и этому надо уделить особое внимание. Ну и нельзя не упомянуть криптовалюты и криптомайнинг — многие компании с собственными центрами обработки данных обеспокоены, что их оборудование может быть использовано для майнинга криптовалют.

Какие технологии используются для детектирования майнинга — контроль приложений, межсетевые экраны?

А. А.: Все верно: межсетевые экраны, Application Control и Web-Filtering — эти три технологии позволяют определить по прямым или косвенным признакам, что приложения используются для крипотомайнинга. Иногда эти приложения устанавливается осознанно, иногда этот плагин мошенническим способом доставляется в сеть и «привязывается» к браузеру или другому приложению. Наверняка многие пользователи замечали, что их процессор загружен на 100%, хотя они не запускают никаких приложений. Это явный признак того, что у них завелся агент, который является элементом сети майнинга криптовалют. Не важно, каким образом приложение оказалось в сети — определить его можно по сетевым или по косвенным поведенческим признакам.

Возвращаясь к интернету вещей и мобильным устройствам. Особняком стоит возможность компрометации таких устройств внутри периметра. Можно ли на данный момент на сетевом уровне обнаружить такую компрометацию и принять меры?

А. А.: С учетом того, что пользователи могут использовать решения, которые напрямую не подключены к корпоративной сети, это может быть больным вопросом. Мы занимаемся защитой инфраструктуры, которая построена с использованием проводных либо беспроводных сетей, и в них мы можем контролировать любой вектор передачи данных. Но если сотрудник использует мобильный телефон или умное устройство, которое не подключено к изолированной сети — например, к сети оператора мобильной связи, — то решения этой проблемы если есть, то очень дорогие: применение микросотовых сетей, собственные базовые станции… На это могут пойти только очень крупные компании, и даже при этом они не решат проблему на сто процентов.

На прошлой неделе я встречался с заказчиком из промышленного сектора — у них в индустрии такая практика, что на входе надо сдавать мобильное устройство и ноутбуки. То есть данную проблему они пытаются решить организационными мерами, и, на мой взгляд, это самоуспокоение. Если злоумышленник или пользователь захочет пронести устройство, имеющее доступ к интернету, он это сделает. Кроме того, чем сильнее действие, тем сильнее противодействие, поэтому для того чтобы решать проблемы с мобильными устройствами или устройствами, не подключенными к корпоративным решениям, используется технология BYOD. При этом пользователи могут работать с мобильными устройствами, но доступ через корпоративную веб-сеть контролируется. Изначально такое устройство может заходить свободно в корпоративную сеть, но не иметь доступ к бизнес-ресурсам. К ним он может обращаться, если не несет угрозы.

Если говорить о защите от целевых атак, что может использоваться помимо песочниц?

А. А.: Когда появилась тема целенаправленных атак, она стала активно освещаться, но основным методом защиты от такого типа угроз все воспринимали песочницу. Хотя надо заметить, что целенаправленные угрозы существовали и будут существовать всегда, потому что любая атака содержит цель, просто сам термин APT был широко раскручен. Песочница позволяет эмулировать поведение файлов и различных элементов и, с учетом анализа на прикладном на сетевом уровне, помогает определить аномальное поведение. При этом понятно, что с помощью одной песочницы проблему APT не решить. Чтобы ее решить, надо выстраивать экосистему технологий, которые тесно взаимодействует между собой.

У Fortinet есть такая экосистема?

А. А.: Мы используем для защиты от целенаправленных атак не только песочницу, но и другие сервисы. Хотелось бы выделить такие сервисы как FortiGuard Virus Outbreak Protection и Content Disarm and Reconstruction.

Первая технология позволяет точнее действовать при определении файла, предположительно зловредного. Допустим, решение может отправить хэш файла в FortiGuard, где накоплена огромная статистика. Если файл представляет угрозу, он с большой долей вероятности будет определен в облаке, и пользователь получит ответ, что файл является зловредным и его необходимо заблокировать.

То есть те действия, которые могли бы быть произведены в песочнице, выполняются в локальном облаке. С помощью Threat Intelligence идет обмен информации с партнерами, используются знания аналитиков, и данных в этом облаке накоплено гораздо больше, чем в локальной песочнице. Технология применяется не только в песочницах, но и на межсетевых экранах и на антиспам-решениях, и очень хорошо себя там зарекомендовала.

Вторая технология, которая называется Content Disarm and Reconstruction, позволяет из содержимого файла — например, «офисного» — исключить активные сценарии работы. К примеру, к пользователю приходит по почте файл Word или Excel, который предположительно содержит активный сценарий. Этот сценарий вырезается, и пользователь получает безопасный документ, а параллельно данный файл анализируется с помощью песочницы, либо отправляется в наше облако, либо проверяется с помощью технологии Virus Outbreak Protection. Если файл угрозы не представляет, в дальнейшем пользователь может получить полноценный файл со всем его содержимым.

Возможности FortiClient как-то задействованы в контексте борьбы с целевыми атаками?

А. А.: Да, разумеется, FortiClient — это часть экосистемы, и он может быть напрямую интегрирован с песочницей. Если пользователь с помощью периферийного устройства или каким-то другим образом принес файл и он не был проверен, то файл отправляется в песочницу и в ней активно проверяется. Если он не представляет угрозу, то в дальнейшем пользователь может его распечатать, отправить по почте, произвести с ним какие-то манипуляции, но до завершения проверки файл будет заблокирован и работа с ним будет ограничена.

Вообще, с песочницей интегрировано много решений — это межсетевой экран, антиспам-решения, FortiClient, Web Application Firewall и большой класс решений, который может быть подключен к нашей песочницей с помощью API. Отличительная особенность Фабрики безопасности — это возможность интеграции со сторонними решениями.

Недавно я был на конференции по безопасности и слушал очень интересный доклад руководителя службы безопасности одной из поисковых систем. Он говорил, что они применяют только те решения, которые могут быть интегрированы с помощью API с их собственной инфраструктурой. Если это невозможно — решение их не интересует. Это хороший пример отношения технологической компании к интеграции сторонних продуктов.

Что входит в понятие «третье поколение защиты», о которых часто говорят ваши специалисты?

А. А.: Первое поколение решений безопасности работало изолированно и просто выполняло свою задачу, второе поколение уже использовало комбинированные функции, когда на базе одного решения реализовывался большой класс различных решений. Третье поколение — это тесная интеграция решений между собой, единое управление и открытая возможность со сторонними решениями.

Например, не обязательно строить экосистему или Фабрику безопасности с межсетевого экрана. Можно начать строить ее с любого элемента, будь то FortiClient, Web Application Firewall или антиспам. В какой бы последовательности вы ни внедряли их, все равно это приведет к полноценной экосистеме. Это достигается за счет заведомой интеграции всех элементов безопасности.

В последнем обновлении FortiOS было анонсировано очень много улучшений. Какие из них имеет смысл выделить?

А. А.: Основной элемент — это расширение API, возможность интеграции не только со своими решениями, но и со сторонними продуктами. Второй элемент — это развитие новых технологий SD-WAN. SD-WAN — это программно-определяемая сеть, технология, которая позволяет управлять потоком приложений с заведомо гарантированным качеством обслуживания. Например, есть критичное приложение в сети, которое может работать только при определенных условиях. Все эти параметры можно определить в классе работы данного приложения, и если к вам подключено несколько операторов связи, то трафик данного приложения будет направлен по пути, который удовлетворяет требованиям данного продукта. Кроме того, эта технология позволяет интегрировать большое количество филиалов, удаленных подразделений в единую комплексную сеть и управлять ими из единой точки. То есть SD-WAN — это не просто технология с фиксированным количеством протоколов, а целая концепция, которую многие вендоры, многие заказчики понимают по-разному. В нашем случае — это технология, которая позволяет управлять большим количеством устройств, обеспечивать работу сетевых приложений на определенных и контролируемых качественных показателях.

Следующая технология, которая развивается и получила развитие в FortiOS 6.0, — это технология CASB (Cloud Access Security Broker). Это сервис, который позволяет защищать данные, находящиеся в облаке.

Она уже встроена в FortiOS?

А. А.: Да, и работу этой технологии можно разделить на две части: proxy-based и api-based. Первый принцип защиты заключается в том, что доступ к облачным и другим приложениям контролируется и выдается только тогда, когда пользователь прошел определенные процедуры — авторизации, нотификации и так далее. Если доступ к данному приложению осуществляется с мобильного устройства, в этом случае межсетевой экран на периметре сети будет бесполезен. Однако технология CASB по принципу api-based позволяет контролировать работу пользователей и доступ даже с мобильных устройств.  Она интегрирована со многими облачными сервисами — Microsoft, Google Drive, Salesforce — и позволяет средствами администраторов настроить правила контроля данных, DLP, системы предотвращения угроз в различных сервисах.

А технологическое партнерство вы развиваете?

А. А.: У нас большое количество технологических партнеров, и список их регулярно пополняется. Среди наших партнеров такие компании, как Amazon, Oracle, Microsoft, IBM, VMware и многие другие известные компании. У нас объявлена программа Fabric Ready, которая позволяет компании, которая хочет интегрироваться с Фабрикой безопасности, после определенной процедуры согласования параметров работы быть включенной в нашу экосистему. Такая интеграция интересна Fortinet — чем больше партнеров, тем проще работать с другими решениями. Заказчики тоже выигрывают — допустим, они являются клиентами VMware, в этом случае они могут использовать наши сервисы, чтобы защищать виртуализированную инфраструктуру.

Есть у вас интеграция со сторонними системами защиты конечных точек?

А. А.: Да, среди таких интеграций хотел бы выделить интеграцию с решениям Carbon Black для защиты рабочих станций, которая может быть интегрирована с нашей песочницей и FortiClient. Известно, что два антивирусные движка одновременно работать, как правило, не могут, тем не менее с Carbon Black мы провели процедуру тесной интеграции, и все работает успешно. Такая интеграция может быть проведена и с другими решениями — к нам часто обращаются производители антивирусного программного обеспечения, чтобы протестировать работу с FortiClient и интеграцию с FortiSandbox. Эта работа идет непрерывно, в том числе с представителями отечественного рынка безопасности.

Хотелось бы вернуться к Фабрике безопасности. Вы можете привести сценарии интеграции средств защиты и рассказать о ее практической пользе?

А. А.: Один из самых ярких примеров интеграции — интеграция с решениями DLP. Несмотря на то, что в FortiGate есть функциональность DLP, многие пользуются специализированными решениями. Для того чтобы интегрироваться с решениями DLP, достаточно протокола ICAP. Данные могут быть отправлены в песочницу или на межсетевой экран, чтобы проверить, является ли файл зловредным. Также можно интегрироваться с решениями производителей прокси, либо с вендорами, которые предлагают антивирусную защиту. Также для интеграции со сторонними решениями можно воспользоваться API.

Наиболее эффективно система безопасности работает, когда решения интегрируются между собой естественным образом. Можно вернуться к факту, что решениями Fortinet можно решить практически любые задачи сетевой защиты информации. Примеров развития экосистемы на базе Фабрики безопасности можно привести много, но выделяется определенный сценарий: сначала — внедрение межсетевого экрана, в дальнейшем выполняется защита корпоративной почты, рабочих станций, мобильных устройств, а потом можно думать о том, как защититься от целенаправленных угроз. При этом есть два варианта развития событий: первый, когда компания уже «пропустила» шифровальщик или бот, и второй, когда они пытаются противодействовать им заранее. Эффективным решением в обоих случаях является FortiSandbox, но внедрение по первому пути часто идет авральными темпами, так как инфраструктура уже пострадала, нарушены бизнес-процессы.

Верно ли, что одним из основных сценариев является передача подозрительных объектов из сторонних решений на FortiSandbox и анализ в песочнице?

А. А.: Да, так и есть: песочница — это основной элемент анализа поведения подозрительных файлов. Иногда наши заказчики поступают таким образом: отключают на песочнице сигнатурный анализ данных и доверяются только поведенческому принципу, но такой подход применяется обычно на первых этапах внедрения или настройки решения, чтобы убедиться в его возможностях. В дальнейшем используются все возможности решения.

Зачем вам понадобилась своя SIEM-система, которая год или полтора назад была куплена? Почему не хватало интеграции с имеющимися SIEM-системами?

А. А.: SIEM-система как раз являлась продолжением развития Фабрики безопасности — единого комплексного подхода к защите информации. Несмотря на то, что есть большое количество модулей, которые ведут активную защиту, наличие SIEM-cистемы позволяет собрать воедино данные с разных точек защиты сети — с межсетевых экранов, с Web Application Firewall, с агентов на рабочих станциях и серверов  — и выполнять детальный анализ тех событий, которые происходят в системе. SIEM-cистема позволяет анализировать также данные с различных сетевых элементов — коммутаторов, маршрутизаторов, балансировщиков — для того чтобы строить полноценную картину о направлении передачи данных и о различных инцидентах в сети. Основное отличие SIEM-cистем от традиционных решений, представляющих собой журнал событий — это возможность корреляции событий, поиск статических взаимосвязей между инцидентами и построение прогнозов. Эти возможности необходимы при создании комплексной системы защиты информации.

Наша SIEM-cистема — не новый продукт, это зрелое решение, которое было известно на рынке под другим названием, поэтому оно не уступает известным игрокам на этом рынке.

Последний вопрос: есть ли у вас программа по бесплатному аудиту? Можно ли выделить интересные результаты относительно клиентов, которые в них участвовали? Насколько, как говорится, все запущено?

А. А.: Да, у нас есть бесплатная программа по оценке защищенности сети. Называется она CTAP — Cyber Threat Assessment.  Когда проводится CTAP, какие бы средства защиты информации ни использовались в компании на этот момент, всегда находится что-то интересное — либо действующая бот-сеть, либо майнеры, либо открытый канал утечки данных.  Программа CTAP позволяет оценить уровень защищенности сети, действия пользователей и проанализировать загрузку сетевых ресурсов в пиковые часы работы. Нередко по результатам работы отчетов CTAP заказчик решает кардинально поменять подход к защите корпоративных данных и усовершенствовать действующую инфраструктуру. Команда Fortinet открыта и всегда готова к сотрудничеству!

Благодарим за интервью и желаем успехов!