Максим Королёв: Мы закрыли проблему теневого трафика компании, применив глубокий анализатор сетевых пакетов

Максим Королёв: Мы закрыли проблему теневого трафика компании, применив глубокий анализатор сетевых пакетов

Максим Королёв

Директор по информационной безопасности лесопромышленного холдинга Segezha Group.

Окончил Челябинский государственный университет по кафедре экономики и управления, которая гармонично сочетала в себе компьютерные дисциплины (архитектура компьютера, ассемблер, языки программирования высокого уровня, базы данных) с экономическими: макро- и микроэкономикой, финансами и кредитом, бухгалтерским учётом.

Занимался автоматизацией бизнес-процессов более 20 лет, двигаясь от программиста до руководителя ИТ-подразделений крупных холдингов. Несколько лет назад начал углубляться в сферу информационной безопасности, полтора года назад перешёл в Segezha Group на позицию директора по информационной безопасности.

...

Максим Королёв, директор по информационной безопасности Segezha Group, в интервью Anti-Malware.ru поделился тем, как компании удалось решить проблему обработки сетевого трафика, который находился вне пределов наблюдения SOC, с помощью системы глубокого анализа сетевого трафика, а также рассказал о том, когда и почему компания подошла к применению данного инструмента, и о том, как это решение одного из крупнейших российских разработчиков помогло усилить киберзащиту, предотвратить заражение сети компании шифровальщиками семейства PETYA/WannaCry и выявить нелегитимные хосты в организации.

Максим, вы начинали программистом. Кратко расскажите, как вы пришли к информационной безопасности.

М. К.: Это был узкопрофессиональный рост: я двигался по карьерной лестнице от программиста до руководителя, возглавлял ИТ-подразделения в различных компаниях более 10 лет. С каждым годом всё острее ощущался вопрос дальнейшего развития, не зря существует одна из расшифровок CIO — «Career Is Over», поэтому я решил немного сменить вид деятельности и сфокусироваться на информационной безопасности — одном из самых динамичных и быстроразвивающихся направлений в информационных технологиях. В ИБ нужно быть в тренде инноваций, ориентироваться в актуальных средствах и технологиях, используемых киберпреступниками, а также в технологиях защиты от кибератак.

В каком состоянии было ИБ компании Segezha Group на момент вашего прихода?

М. К.: Базовый контур защиты (межсетевые экраны, антивирусная защита и так далее) в компании был реализован и достаточно эффективно работал, однако требовалось непосредственно углубление, расширение и усиление защиты в каждом элементе.

В информационной безопасности, как и во многих других сферах, нет понятия «контур безопасности выстроен, завершён и можно его эксплуатировать в течение многих лет без заботы о том, что его необходимо развивать».

ИБ требует постоянного внимания, постоянных настроек, апдейтов, доработок. Плюс у нас динамично развивающийся холдинг, мы постоянно приобретаем новые активы. Включение в контур безопасности новых устройств — это отдельная сложная процедура, которая включает перенастройку всего парка машин: инсталляцию ПО, применение политик, внедрение стандартов, нормативных актов, обучение пользователей и так далее. Этим можно и нужно заниматься постоянно, и вопрос здесь заключается в расстановке приоритетов.

Какие приоритеты были акцентированы? Что было необходимо сделать в первую очередь? Как вы подошли к применению глубокого анализатора трафика?

М. К.: Было несколько ключевых моментов, когда мы занялись усилением ИБ в компании.

Первое — мы подключились к центру обеспечения кибербезопасности (SOC) и начали получать информацию о том, что происходит на хостах, которые находятся в сети предприятия. Второй достаточно важный момент — мы провели работы по выявлению и вводу в домен машин, ввод которых не был проведён на этапе присоединения активов. Это позволило распространить антивирусные политики и политики безопасности на весь парк машин, которые находятся в эксплуатации.

После этого мы стали видеть необходимую картину того, что происходит в контуре. То есть трафик и логи безопасности всех машин, которые легитимно у нас функционируют, введены в домен и занимаются своей работой. Но некоторая теневая часть сетевого трафика компании была за пределами нашего наблюдения.

Поэтому в середине прошлого года мы провели пилотное тестирование системы глубокого анализа сетевого трафика (NTA) одного из вендоров. С помощью этого решения одного из крупнейших российских разработчиков мы выявили много любопытной активности.

Вредоносная активность была связана с машинами, которые работники приносили из дома, и домашними компьютерами дистанционно работающих сотрудников, которые не были оснащены endpoint-защитой. Эти подключения несли в нашу сеть вирусы, ботнеты, брутфорс-атаки и попытки сканирования уязвимостей с целью эксплуатации. Мы закрыли достаточно тёмное пятно, применив этот инструмент.

Когда вы пришли, компания уже применяла SOC?

М. К.: Да, были проведены предварительные работы, установлена связь с SOC и подключены несколько сенсоров ИБ, но не были подключены логи безопасности рабочих станций и серверов. Мы подняли несколько серверов для сбора логов и начали передавать данные в SOC. Это было важным шагом, чтобы увидеть происходящие в сети действия, анализировать и реагировать на подозрительную активность.

В рамках вашей инфраструктуры можно было применить такое решение, как Network Admission Control?

М. К.: Network Admission Control (NAC) — это технология, которая запрещает включать в сеть любое чужое устройство, если оно нелегитимно, если оно неавторизованно. Мы не использовали решение NAC по той причине, что не всё сетевое оборудование на наших распределённых площадках данную технологию поддерживало. Защититься таким способом мы не могли. Поэтому пришлось использовать систему глубокого анализа трафика.

С каким парком машин приходится работать, сколько в парке устройств?

М. К.: Segezha Group — географически распределённое предприятие с полным циклом обработки древесины: посадка деревьев, вырубка, обработка и производство самой разной продукции из древесины. В компании работает примерно 13 000 человек. Обслуживаем парк из нескольких тысяч устройств, которые распределены по всей территории РФ от Карелии до Красноярского края, плюс Европа. Работаем в разных часовых поясах.

Какой реальный пример из практики применения глубокого анализатора трафика можете привести?

М. К.: Сбор и обработка информации о сетевом трафике дали нам видение того, что сотрудники применяли анонимайзеры, TOR-сеть, то есть выходили в интернет без авторизации. Мы увидели распространение вирусов, сканирование сети вокруг заражённой машины. SOC, используя правила корреляции, анализирует взаимодействие как нескольких устройств, так и всего парка машин, позволяя обозревать картину в целом.

Если одна машина запрашивает IP-адрес другой, в этом нет ничего подозрительного. А если запрос IP-адреса происходит к сотням устройств вокруг, то для SOC это — уже инцидент, это требует внимания. Мы стали видеть повышение привилегий пользователей. Настроили парольные политики, отслеживаем нарушения.

Мы видели не всё, была, повторюсь, и теневая часть. И именно этот «кусок» мы закрыли с помощью системы, анализирующей трафик, которая производит инспекцию всех пакетов, которые проходят через сеть компании, сохраняет копию пакетов у себя, что позволяет проводить расследования инцидентов, произошедших, к примеру, полгода назад.

Это крайне полезно, помимо того, что эти данные показывают активность и позволяют выявить хосты, которые не являются легитимными. В случае серьёзных инцидентов сохранённая копия «сырого» трафика необходима для проведения расследований.

С помощью этого инструмента мы устранили угрозу заражения нескольких устройств сети вымогателем PETYA, выявив администратора сети, который с домашнего компьютера работал без антивируса.

Мы обнаружили в одном из цехов «умельцев», которые сделали ответвление от интернет-кабеля в подсобное помещение, разместили там точку доступа Wi-Fi и начали со своих устройств выходить в интернет.

Пандемия продолжается, многие сотрудники работают дистанционно. Инструмент помогает укреплять защиту?

М. К.: Да. Система NTA помогла уменьшить количество машин работающих без антивируса. Но мы должны отметить современные механизмы проверки клиентов VPN, которые также помогают определить наличие антивируса на машине.

Но дело в том, что VPN не всегда необходим для работы с нашими ресурсами. Нам приходится балансировать между удобством работы бизнеса и качеством обеспечения ИБ.

Если заставить всех сотрудников подключаться через VPN, то некоторые сервисы будут не так удобны конечному пользователю. Мы всегда думаем, прежде чем «закрутить какую-то гайку», но иногда это просто необходимо.

Есть ли какие-то прогнозы по развитию, куда будете двигаться дальше в укреплении защиты?

М. К.: Для себя мы определили дорожную карту на ближайший год. Сейчас у нас идёт развитие мобильных приложений, компания интенсивно внедряет технологии на передовой: например, там, где происходит рубка леса, операторы машин будут вводить информацию в систему с планшетов. Поэтому далее мы будем усиливать защиту мобильных устройств.

Второе — внедрение двухфакторной аутентификации (2FA), где мы немного отстаём, но, с другой стороны, есть возможность выбора и применения наиболее прогрессивных технологий для идентификации пользователей, работающих удалённо.

Также мы присматриваемся к системам автоматизированной проверки на уязвимости. Автоматизированный пентест с технологиями машинного обучения, который в режиме 24×7 позволяет проверять инфраструктуру на наличие слабых мест, получать отчёты и рекомендации по усилению защиты. Несколько подобных систем на рынке присутствуют, но они достаточно дороги и не до конца совершенны в рамках применения к нашей инфраструктуре. Некоторые элементы будут недоступны к проверке, осуществить полную проверку на данный момент невозможно. Плюс поставка on-premise, что не очень удобно. Мы ожидаем решений в виде «безопасность в форме сервиса», тогда можно думать о подписке на подобные услуги. Это мы видим в будущем.

Максим, спасибо за уделённое время. Желаем успехов!

Комментарий эксперта

Никита Пинчук, директор по технологиям комании «Инфосекьюрити» (входит в ГК Softline):

«В связи с тем, что реализация атак на этапе разведки злоумышленниками ландшафта могут оставаться незамеченными вследствие отсутствия признаков ИБ-инцидента в конкретных действиях, системы глубокого анализа сетевого трафика становятся главным инструментом раннего обнаружения подобных ситуаций.

В связи с этим, внедрение дополнительного эшелона обнаружения аномального трафика, его анализа и предотвращения связанных с ним угроз существенно снижает риски упустить момент развития атаки на инфраструктуру компании. Не главное, но вторичное и тем не менее важное преимущество внедрения — то, что подобные средства могут работать и как дополнительный инструмент аудита информационных потоков при оценке ИТ-ландшафта компании».