Защита информации в SMB. Внешнее проникновение.

Window

Если вы еще не прочитали статью «Защита информации в SMB. Введение.» Прочитайте обязательно, иначе дальнейшее может быть непонятно.

В этой записи много букв. Я постарался ее структурировать. Вначале поговорим об общих принципах. В конце укажем конкретные сценарии для различных типов ИТ инфраструктуры предприятия и различных бюджетов.

Общие принципы.

Все хакерские атаки выполняются через инфраструктуру, поэтому способы реализации зависят от того, какую именно инфраструктуру вы используете. В водной части я условно разделил четыре вида инфраструктуры.

Для небольших компаний лучше всего работать в облаке. Однако, на практике никакая инфраструктура не является полностью облачной. Как правило, обрабатываемая информация сохраняется, пусть временно, на компьютерах сотрудников. Чаще всего существуют еще и собственные корпоративные хранилища информации, например, в виде подключаемых к сети дисков (NAS). По этой причине нам придется в любом случае рассматривать защиту, как на уровне облака, так и на «локальном» уровне.

На уровне облака все достаточно просто. Я уже писал об этом в статье «Защита информации в облачных сервисах».

В качестве превентивной меры используем двухфакторную аутентификацию, например, с одноразовым кодом по SMS, по меньшей мере для администратора, а лучше для всех. Все нормальные облачные сервисы это поддерживают. Office 365 поддерживает во всех видах подписок (планах) для всех пользователей бесплатно на выбор: входящий звонок, SMS с одноразовым кодом или одноразовый код, генерируемый специальным приложением на смартфоне.

В качестве метода обнаружения атаки используем SMS уведомление об удачной/неудачной попытке подключения к административной консоли облачного сервиса. Следует отметить, что не все сервисы это поддерживают. При двухфакторной аутентификации администратора это и не нужно.  Доступ прочих пользователей проверяем по журналу аудита не реже чем раз в неделю. В консоли администратора наших сервисов есть средства получения таких отчетов или прямого просмотра так называемых журналов аудита. Если нет, то выбирайте другого сервис-провайдера, с этим точно нельзя иметь дело.

В качестве реакции на инцидент у нас будет немедленная связь со службой технической поддержки, блокировка всяческого доступа к сервису и дальше техподдержка подскажет, что делать.

Все вышеизложенное имеет бюджет 0$. Это хорошо. Но радоваться рано.

Перейдем на локальный уровень. Здесь у нас имеются по меньшей мере компьютеры сотрудников, локальная сеть офиса, штуковина для хранения общих файлов, маршрутизатор для доступа в Интернет. Пока мы не рассматриваем наличие на локальном уровне сервисов, к которым должен предоставляться доступ снаружи. Пока считаем, что эти сервисы у нас в облаке.

Любая хакерская атака будет происходить через компьютеры сотрудников компании. Кстати, не обязательно офисные. Если вы допускаете работу с домашних компьютеров, то и через них тоже. Метод атаки будет простой. Засылка письма с трояном. Или фишинговый сайт. Фишинговые сайты используются в ненаправленных атаках (Хакер-бот по нашей классификации), но при удачном улове, эти роботы продают рыбу тем ребятам, которые знают, как ее готовить. Письма с троянами используются как ботами, так и заказными хакерами. Заказные хакеры могут использовать и другие способы проникновения. Например, прийти к вам в гости со специальной флэшкой и заразить компьютер вашего сотрудника через нее. Или использовать подключение к вашей сети Wi-Fi, если она «добивает» до ближайшей лавочки на улице.

Посмотрим, как мы можем защищаться. Я уже писал об этих видах атак в статье «Фишинг и трояны». Там я указал два метода: контроль целостности программной среды и контроль потоков. Эти два вида контроля позволяют обнаружить те самые «следы плохих действий», о которых мы говорили во введении. Для выявления этих следов предназначено специальное программное обеспечение, которое называется Система обнаружения вторжений (IDS – Intrusion Detection System) или Система предотвращения вторжений (IPS – Intrusion Prevention System), в последнем случае система пытается блокировать источник обнаруженных плохих действий, не всегда делая это правильно.

Эти системы бывают двух типов: хостовые (Host IDS/IPS – HIDS/HIPS) и сетевые (обычно называются просто IDS/IPS). Хостовые системы работают непосредственно на защищаемом компьютере и контролируют целостность программной среды, иногда еще и потоки данных с компьютера и на компьютер. Сетевые системы работают на выделенном устройстве и контролируют потоки данных в сети, обычно используются для выявления признаков зловредных подключений к серверам, например, попыток подключений с подбором паролей, или попыток использования известных уязвимостей операционных систем. Системы обоих типов бывают как коммерческие, так и некоммерческие (обычно Open Source).

Практически все коммерческие антивирусы имеют в своем составе HIDS. Как нетрудно догадаться, если в вашей компании локальная часть инфраструктуры состоит только из рабочих станций и быть может общего хранилища файлов, вам достаточно иметь только HIDS. В совсем маленькой компании, до 5 человек, лучше использовать коммерческий антивирус для домашних пользователей. При количестве сотрудников 5-10 человек, следует использовать коммерческий антивирус для малых предприятий. Разница между версиями для дома и для офиса в отсутствии и наличии централизованного управления. Использовать какие-либо средства защиты без возможности централизованного сбора и анализа отчетов в компаниях с численностью сотрудников больше 4-х человек категорически не рекомендую, это будет бессмысленная трата денег. Некоторые компании, например, McAfee, предлагают централизованное управление, как облачный сервис. Я имею ввиду продукт для малого бизнеса McAfee SaaS Endpoint Protection. Это хорошо, поскольку не надо выделять под консоль управления собственные ресурсы. Вы можете просматривать отчеты о выявленных подозрительных событиях в «облачной консоли».

Коммерческие продукты можно применять в компаниях численностью до 10 человек, оставаясь в рамках бюджета 1-го размера по нашей классификации (см. «Защита информации в SMB. Введение.»). Если людей больше, в первом размере вам уже не уместиться. Но вы можете перейти на некоммерческие продукты.

Здесь я сделаю небольшое отступление. Некоторые считают, что говорить о бюджете в пределах 500$ просто смешно. Я так не думаю. Во-первых, в огромном числе компаний нет особо ценных информационных активов, кроме управления счетом в банке, да и тем владелец (или бухгалтер) управляет с домашнего компьютера, а риск потерять деньги по причине отзыва лицензии у банка гораздо актуальнее всяких хакеров. Таким компаниям совершенно не нужно тратить «серьезные» деньги на защиту информации. Во-вторых, само по себе осознание того, что проблема информационной безопасности существует и ее решение требует отдельных действий и отдельного бюджета, очень полезно для здоровья. Даже малый риск может приподняться и больно ударить по голове. И наконец, 500$ совсем не маленькая сумма. За эти деньги в Молдавии можно полную джакузи девчонками набить.

В качестве некоммерческой системы я рекомендую OSSIM (Open Source Security Information Management). Это больше чем HIDS или IDS. Это и то и другое и еще сбор журналов событий от различных устройств и анализатор событий и система определения корреляции (взаимной зависимости) событий. Короче, это продукт класса SIEM (Security Information Event Manager) вполне способный заменить на уровне малых и средних предприятий супердорогие системы класса Enterprise вроде IBM QRadar или HP ArcSight. Я называю продукты этого класса «проявителями» за то, что они делают невидимое видимым. Ведь все процессы передачи и обработки информации происходят совершенно скрытым от человеческих глаз способом. SIEM позволяет вытащить их на свет и показать человеку на экране монитора. OSSIM – это довольно древний и хорошо зарекомендовавший себя Open Source проект. На его основе компания AlienVault Inc. выпускает коммерческий продукт AlienVault USM (Unified Security Manager), при этом AlienVault остается обязанной поддерживать и обновлять выпуски OSSIM, что она и делает.

Некоторые технические детали, влияющие на бюджет. OSSIM поставляется в виде виртуальной 64-х разрядной машины с предустановленной системой Debian Linux. Запускается и настраивается очень легко. Вы можете получить работающую систему за минуты. Но вот, что вы должны учитывать. Если вам понадобится использовать OSSIM только как центральную консоль для управления бесплатными HIDS на ваших компьютерах (наш сценарий), вы можете установить его на один из обычных офисных компьютеров, которые используются и для других задач. Для этого вам нужно будет запустить на этом компьютере бесплатную виртуальную машину Oracle Virtual Box. То есть вы можете обойтись нулевыми затратами. Но вам сначала нужно убедиться, что процессор вашего компьютера поддерживает 64-х разрядную виртуальную машину. Например, моя домашняя рабочая лошадь — недорогой ноутбук Acer Aspire E 15 с процессором AMD E2 это поддерживает.  Поэтому я использую OSSIM дома J. Таким образом мы можем рассматривать это средство в бюджете 1-го размера. Однако в тех сценариях, где вам понадобится использовать более широкий функционал, а точнее сетевую IDS, вам придется задействовать отдельный компьютер. Это сразу означает, что в бюджет первого размера вы не влезете. Справедливости ради замечу, что в этих сценариях вы в бюджет первого размера не влезете никак.

Для нашего сценария мы установим на все компьютеры какой-нибудь бесплатный антивирус. В варианте с Windows 8 или 8.1 и устанавливать ничего не надо, он там уже установлен и работает. В других системах это может быть Microsoft Security Essentials или AVAST, или FortiClient. Последний работает как автономно, так и в связке с UTM-файрволами FortiGate. Мы их будем рассматривать в других сценариях.

В состав OSSIM входит бесплатная и эффективная HIDS OSSEC. Мы установим ее на все наши компьютеры и будем собирать на OSSIM все уведомления о событиях. Мы сможем получать сообщения об изменении файлов операционной системы, запуске новых процессов, изменении ключей в реестре Windows. Нужна некоторая сноровка, чтобы научиться отличать «легальные» изменения от «нелегальных», но этому можно достаточно быстро научиться. OSSIM содержит некоторые средства автоматического выявления подозрительных событий, однако не следует думать, что он все сделает за человека. Все подобные системы выдают большое количество так называемых «ложно положительных» предупреждений. Нужен некоторый опыт, чтобы с этим разбираться. Следует иметь обученного специалиста, который знает, что искать в журналах мониторинга и будет посматривать на них время от времени. Такое «посматривание» обычно занимает от 15 минут до 2-х часов в день в зависимости от размера компании.

Итак, мы смогли построить систему мониторинга атак на нашу локальную инфраструктуру, оставаясь в пределах бюджета первого размера. Посмотрим, сможем ли мы внедрить надежные превентивные меры в том же бюджете. Есть один хороший и бесплатный способ – использовать встроенное средство операционной системы Windows «Политика ограниченного использования программ» (Software Restriction Policy). Очень надежная штука. Прежде всего вы должны решить, что на компьютере, где вы будете применять эту политику, ваш сотрудник не будет использовать для работы учетную запись с правами администратора системы, только с правами обычного пользователя. Затем вы должны настроить политику ограниченного использования на запрет для всех пользователей, кроме администраторов, запуска каких-либо исполняемых файлов, включая DLL, из директорий «временные файлы пользователя» и «временные файлы интернета», а также со съемных носителей. Теперь любая попытка открыть исполняемый файл, прикрепленный к письму, или выполнить скрипт, загруженный браузером с веб-страницы, или запустить что-то с флэшки, будет заблокирована. Поскольку политика не разбирается легальный файл или нет, могут возникнуть неудобства при работе людей. Поэтому я не рекомендую использовать такое средство на всех компьютерах. Но вот на компьютере, где установлен «Банк-Клиент» рекомендую настоятельно.

Какие еще есть превентивные меры? Например, карантин входящей почты. Можно задерживать входящую почту, содержащую во вложениях исполняемые файлы, чтобы специальный человек их анализировал и пропускал дальше, если все в порядке. Если такая опция уже включена в ваш облачный сервис электронной почты (кажется Exchange Online это поддерживает по умолчанию), то хорошо. Если нет, то плохо. То есть существует много компаний предоставляющих такую услугу в качестве отдельного облачного сервиса, но это платно. Обычно 24$ за человека в год. В компании со штатом 100-150 человек этот фильтр задержит около 10 писем с троянами за год. А заплатить придется 2.500$. Многовато будет. С таким количеством «вредоноса» можно справиться вручную, обнаруживая его в процессе мониторинга.

Наконец, последней превентивной мерой очень высокой эффективности станет применение UTM-файрвола для фильтрации доступа в интернет. Но только в том случае, когда политика доступа к ресурсам Интернет прописывается по разрешительному принципу, то есть «запрещено все, что не разрешено явно». Это очень важно. Сейчас поясню почему. На современном файрволе вы можете задать правила доступа к сайтам интернет по категориям: Бизнес, Финансы, Игры, Отдых, Социальные сети и т.д., и т.п. С точки зрения защиты от троянов, совершенно не важно какой список категорий вы разрешили, важно чтобы вы запретили все, что не вошло в список, потому что троян попытается связаться с внешним хакерским компьютером, который точно не отнесен ни к одной из категорий в базе известных адресов вашего файрвола, разве что к категории «известные хакерские адреса». Повторю, это очень важно понимать, многие руководители компаний любят запрещать доступ к отдельным ресурсам Интернет «нечего им играть в игры и смотреть порнуху, ну, а все остальное можно». С точки зрения безопасности, это абсолютная ошибка.

UTM-файрвол – это уже из бюджетов 3-го и 4-го размеров. Даже во 2-й размер уложиться будет трудно. Ну, только за счет снижения производительности. Выбирать рекомендую из линейки продуктов FortiGate. Там точно можно найти подходящую по бюджету модель. Не пытайтесь связываться с Cisco или Juniper, что бы вам не пели. Затраты будут в три раза выше, а удовольствия никакого. Файрволы FortiGate отлично сливают свои журналы на OSSIM. Таким образом вы сможете задействовать OSSIM для анализа событий безопасности на файрволе и корреляции их с событиями на других устройствах. Выше я упоминал о бесплатном антивирусе FortiClient. На самом деле в связке в файрволом FortiGate он превращается в мощную HIPS. Вот только эта связка, насколько я помню, не бесплатна. Но если мы говорим о бюджетах 3-го и 4-го размера, то в этих рамках мы легко умещаемся.

Теперь посмотрим, что надо делать, если наша компания совсем не маленькая и у нас есть довольно громоздкая внутренняя инфраструктура. Как ни странно, делать можно все то же самое. Только здесь уже использование UTM-файрвола строго обязательно. И OSSIM нам придется перенести на выделенный под него сервер, пусть и самый простенький. Потому, что нам надо будет задействовать еще один его компонент – сетевую IDS Snort. Здесь нам точно придется ориентироваться на бюджеты 3-го и 4-го размера. Есть еще важное требование к сетевой инфраструктуре нашей компании. Мы должны будем использовать сетевые устройства (коммутаторы, маршрутизаторы, точки доступа Wi-Fi), которые поддерживают технологию SPAN-портов. Эта технология позволяет выдать на определенный порт коммутатора весь трафик, проходящий в сети. Подключив к такому порту сетевой интерфейс OSSIM, мы направим весь трафик на его IDS для мониторинга и анализа.

На самом деле, пара OSSIM – FortiGate обеспечивает очень хороший уровень защиты от хакерских атак для небольших компаний. Следует заметить, что в небольшой компании обнаружение хакерской атаки – дело совсем не трудное. В деревне чужака сразу видно. Как правило, атаки на малые компании удачны только потому, что в них вообще никто не беспокоится о защите. Стоит вам начать об этом думать, а тем более предпринять хоть какие-то шаги к построению защиты, и хакерское дело резко усложнится.

А еще у нас добавятся превентивные меры. Дело в том, что наши собственные инфраструктурные сервисы будут иметь доступ снаружи. Например, электронная почта. Иначе они не смогут взаимодействовать с инфраструктурой Интернет. Или нам понадобиться обеспечить удаленный доступ к этим сервисам наших сотрудников. Здесь возникает целый ряд возможностей для хакеров по проведению различных атак. Я постараюсь описать в самом конце некоторые типичные атаки. Лучший способ обороны – использовать для защиты доступных снаружи сервисов UTM-файрвол. Всё тот же FortiGate. Он уже умеет ставить превентивную защиту от атак, вам не придется думать над превентивными мерами по каждому случаю. Будем считать это универсальной превентивной мерой.

Итак, подводя некоторые итоги можем сказать следующее:

Бюджет. Для компаний, которые используют облачную инфраструктуру, бюджет первого размера вполне приемлем, когда численность сотрудников не велика, я бы сказал, не превышает 20 человек. Для более крупных компаний следует ориентироваться на бюджет 2-го размера. Если у вас более 100 сотрудников, вы уже попадаете в 3-й размер, как ни крути. При использовании исключительно облачной инфраструктуры до 4-го размера можно и не дорасти.

Напротив, при использовании развитой собственной инфраструктуры, например, собственных серверов электронной почты, таких систем коммуникаций, как MS Lync, собственных бизнес-систем, например, CRM, мы должны ориентироваться на бюджет 3-го размера даже для малочисленной компании. Тем не менее бюджет 4-го размера будет приемлем даже для компании численностью более 100 сотрудников с развитой внутренней инфраструктурой.

Лучший выбор средств. В рамках заданных бюджетов лучшим выбором будет совместное использование OSSIM в качестве системы мониторинга и FortiGate в качестве UTM-файрвола. Эти средства позволяют построить эффективную систему контроля и превентивного блокирования различных видов атак «проникновения» во внутреннюю сеть компании. Однако, такое совместное использование требует бюджета, как минимум, 3-го размера. Если, для вашей компании, это неприемлемый размер затрат на техническую защиту, вам не следует разворачивать собственную инфраструктуру. Скорее всего, вы не сможете обеспечить ее надежную защиту. Вам лучше ориентироваться исключительно на облачные сервисы.

Основной способ защиты. Ключевым элементом любой системы защиты является мониторинг событий. Без налаженного процесса мониторинга никакая система защиты не может считаться надежной. Напротив, с мониторингом даже простые и недорогие системы защиты становятся очень мощными. Для мониторинга требуется человек, который знает, что и где смотреть. Держать такого человека в штате компании, как выделенного работника на полную ставку бессмысленно, поскольку вся работа занимает несколько минут, максимум пару часов в день. Надо либо привлекать за небольшую плату стороннего человека, либо научить кого-то из своих сотрудников выполнять эту работу по совместительству. Сложного в этом деле ничего нет.

Всё вышеизложенное – это были общие соображения. Бла-бла-бла. Добавим конкретики.

——- Сценарий 1. Базовый ——-

В нашей компании менее 10 человек. Мы используем только облачные сервисы. У нас бюджет 1-го размера (до 500 американских долларов разово и не более 300 в год по подписке).

    1. Превентивные меры.
      1. Мы используем двухфакторную аутентификацию в облачных сервисах по крайней мере для того сотрудника, который назначен их администратором и имеет доступ к консоли управления этими сервисами.
      2. Мы используем сложные пароли, указав требование сложности в настройках сервиса.
      3. Мы используем коммерческий антивирус с системой HIDS/HIPS и центральной консолью управления, которая доступна как облачный сервис.
      4. Мы устанавливаем политику ограниченного использования программ на компьютере, с которого осуществляем управление банковским счетом.
      5. Мы используем задержку в карантине и ручное одобрение администратором всех входящих писем, содержащих во вложениях исполняемый код, в том числе в архивах (zip, rar и т.п.), если, конечно, наш облачный почтовый сервер поддерживает такую возможность (бесплатно).
    2. Мониторинг.
      1. Наш администратор постоянно просматривает журналы доступа, которые предоставляет облачный сервис. Что он ищет?
        1. Периодические неудачные попытки подключения с одним и тем же именем пользователя. Это свидетельствует о направленной атаке. Все хакеры знают, что сплошной перебор паролей, как правило, блокируется системой. Поэтому они запускают подбор паролей с длинным периодом, например, один раз в час. Это может показаться бессмысленным, но на практике люди стараются использовать простые пароли и у них мысли сходятся. Существуют словари часто употребляемых паролей. Словарь на пару сотен вариантов – очень хорошая отмычка. Используя перебор с периодом в один час, можно пройти по всему словарю за неделю. Не так уж и долго. Для направленной атаки три месяца – не срок. Конечно, мы включили в превентивных мерах требование сложности пароля, но хакер этого не знает. Если он ломанется использовать перебор, мы это заметим и узнаем, что кто-то ведет направленную атаку. Это уже интересно.
        2. Удачная попытка подключения после серии периодических неудачных попыток. Подбор по словарю удался. Вы забыли включить требование сложности паролей.
        3. Одновременное подключение к системе с разных адресов, в особенности с географически разнесенных. Это может говорить о том, что пароль пользователя украден. Не следует забывать, что, например, моя супруга обычно работает одновременно с одного ноутбука, двух планшетов и смартфона. Так, что паниковать не надо, но, если раньше сотрудник не был замечен с такой привычкой, надо спросить у него, не купил ли он себе новый планшет.
        4. Успешное подключение сотрудника, который у вас уже не работает. Кажется, вы забыли заблокировать ему доступ.
      2. Наш администратор постоянно просматривает журналы событий антивируса. Что он ищет?
        1. То, чего, по его мнению, не должно там быть. То, чего раньше не было, а теперь вдруг появилось, без видимых на то причин. Какие-то новые программные процессы, которые раньше не запускались, неожиданные изменения системных файлов и ключей реестра.
        2. Постоянные успешные или неудачные попытки одного из компьютеров установить соединение с каким-то внешним хостом, с которым другие компьютеры не взаимодействуют.
        3. Просто какое-то отличие в событиях, происходящих на одном из компьютеров, от событий на других компьютерах, хотя, по мнению администратора, они ничем функционально не отличаются.
      3. Наш администратор ведет ежедневный учет подозрительных, по его мнению, событий, анализирует их, и принимает решение о том, считать их нормальными или опасными. И обязательно делает письменный отчет о том, что нашел и к какому мнению пришел. Даже, если ничего не найдено, в отчете должно быть написано: «сегодня ничего не найдено». Просто он должен «подписаться» под тем, что выполнил ежедневную проверку.
    3. Реакция на инциденты.
      1. Если у нас скомпрометирован доступ администратора, мы немедленно связываемся с технической поддержкой нашего облачного провайдера, объясняем ситуацию, просим полностью блокировать доступ к сервису для всех и далее действуем в соответствии с их рекомендациями.
      2. Если мы уверены, что скомпрометирован доступ обычного сотрудника, мы немедленно его блокируем, связываемся с этим сотрудником и начинаем вместе разбираться, возможно были уже совершены какие-то вредные действия, например, уничтожены какие-то файлы. Если у нас имеются серьезные подозрения, но мы не уверены, надо связаться с сотрудником, рассказать о наших подозрениях и, если он их не развеет, попросить его на всякий случай сменить пароль.
      3. Если у нас возникло серьезное подозрение, что на одном из компьютеров завелся троян. Стираем его весь нафиг и восстанавливаем с последней резервной копии в правильности которой мы уверены (об этом также в статье «О вреде сисадминов»). Лучше перебдеть чем недобдеть. Маловероятно, что у нас достаточно квалификации, чтобы выделить и локализовать троянскую программу. В лучшем случае, мы сможем установить вероятный путь проникновения трояна в систему.
      4. Если мы увидели, что инцидент случился из-за того, что мы не приняли какие-то из превентивных мер, делаем выводы и принимаем меры.

——— Конец сценария 1 ———

——— Сценарий 2 ———

В нашей компании опять только облачные сервисы, но количество народу 10 – 20 человек. Здесь возможны два варианта: либо мы просто переходим во 2-й размер бюджета (1.500 американских долларов разово и не более 500 в год по подписке), либо мы используем бесплатный антивирус, вместо коммерческого, и в дополнение к нему бесплатный HIDS OSSEC из комплекта и под управлением также бесплатного SIEM AlienVault OSSIM. Второй вариант предпочтительнее, если кроме защиты от хакеров, нас волнуют и другие проблемы, например, инсайдеры. Потому, что тогда, с затратами на коммерческий антивирус, мы не удержимся и во втором размере бюджета.

В первом случае наш сценарий полностью совпадает со «сценарием 1», во втором случае тоже совпадает, лишь с той разницей, что для задач мониторинга состояния наших локальных хостов, мы будем использовать OSSIM, а не облачную консоль управления коммерческим антивирусом.

——— Конец сценария 2 ——-

——— Сценарий 3 ———

Вновь только облачные сервисы, но количество сотрудников 20 – 50 человек. Отличается от сценария 2 только тем, что выбор вариантов сокращается до второго. При таком количестве контролируемых узлов SIEM решение становится обязательным.

——- Конец сценария 3 ——-

——- Сценарий 4 ——-

Все еще облачные сервисы, возможно с небольшой внутренней инфраструктурой, например, для хранения файлов, недоступной снаружи. Количество сотрудников более 50 человек. Здесь мы обязательно добавляем в превентивные меры коммерческий UTM-файрвол FortiGate и ограничиваем доступ в интернет правилами по принципу «запрещено все, что не разрешено явно». Оговорюсь, что я настоятельно не рекомендую использовать некоммерческие решения в качестве UTM-файрвола. Денег вы на этом нисколько не сэкономите, а вот эффективность решения снизите очень сильно. Для этих устройств важнейшее значение имеет сервис постоянного обновления сигнатур (шаблонов) атак встроенной IPS и базы данных категорий веб-сайтов. В этом сценарии у вас будет бюджет 3-го размера. Возможность остаться в бюджете 2-го размера очень маловероятна.

Остальное соответствует сценарию 3. Для упрощения мониторинга журналы событий от FortiGate мы направляем на SIEM AlienVault OSSIM, чтобы иметь единую консоль, и чтобы задействовать его возможности по корреляции событий.

——— Конец сценария 4 ———

——— Сценарий 5 ———

У нас имеется развитая внутренняя инфраструктура, в том числе сервисы, к которым нам необходимо предоставлять доступ своим сотрудникам или партнерам снаружи. Вне зависимости от размера компании, в лучшем случае, мы будем иметь бюджет третьего размера. Если у нас больше сотни сотрудников, то скорее уже четвертого размера. Защита строится по тому же базовому сценарию, что и для «облачной» компании. Но теперь техническая реализация превентивных мер, которую обеспечивал провайдер облачных сервисов, — это наша проблема.

То есть мы теперь сами должны обеспечить техническую возможность для двухфакторной аутентификации, по крайней мере, администратора всех наших сервисов, ведение журналов доступа сотрудников к сервисам, защиту сервисов от DDoS атак и не только от них. Возможных атак на доступные из Интернет сервисы очень много. Увы, я не смогу перечислить даже то, что знаю, а есть еще то, о чем я не знаю. Слишком много людей заняты тем, что придумывают новые способы атак. Однако, в этом нет ничего страшного. Все атаки имеют частично похожие механизмы, а главное их довольно легко обнаружить в небольшой компании. Как я уже писал, в деревне чужака видно сразу. То, что мы упустим в превентивных мерах, мы легко компенсируем мониторингом.

Здесь для нас главное использовать пару OSSIM – FortiGate для тотального мониторинга сети. В частности, это означает:

  1. Мы не должны подключать какие-либо сервисы к Интернет в обход нашего UTM-файрвола.
  2. Мы обязательно должны задействовать IPS нашего UTM-файрвола при соединении внутренних сервисов с Интернет. По возможности, мы должны использовать IPS в режиме предотвращения вторжений. Для этого нам может понадобиться тщательная настройка, чтобы случайно не заблокировать «легальные обращения».
  3. Мы должны использовать в офисе сетевое оборудование, которое допускает мониторинг сети. То есть всякие коммутаторы D-Link класса SOHO нам не годятся. Нужно что-то недорогое, но класса Enterprise, например, HP Procurve 2800.

Для того, чтобы правильно сконфигурировать все оборудование нужно будет привлечь человека, который в этом что-то понимает.

В конечном итоге все сведется к сценарию 4.

——— Конец сценария 5 ———

Дополнение. Некоторые простые способы атак.

Вам позвонили в офис по «бесплатному» телефону 8-800-. Ваша АТС сказала «наберите внутренний номер абонента». Хакер набрал 8 495 ххх-хх-хх. Интересно, ваша АТС проверяет, что номер действительно внутренний?

Когда хакер просит ваш почтовый сервер доставить письмо абоненту asdfghjk@goodcompany.ru, он раздраженно отвечает «нет такого абонента». Хакер написал скрипт, в котором перебирает все возможные комбинации буковок длиной не более 4-х (люди любят короткие адреса). У него уйдет несколько минут для того, чтобы получить правильные адреса, отсеяв неправильные. Теперь, зная несколько правильных адресов он может использовать их для фишинга или подбора паролей. На самом деле есть более сложные методы перебора. За несколько дней можно получить полный список верных адресов сотрудников компании численностью 200 человек. Вы можете настроить ваш сервер, чтобы он отвечал не сразу, а с задержкой в 10 секунд. Пусть хакер помучается.

У вас опубликован наружу сервис доступа к внутренней электронной почте через веб. Что-нибудь вроде Outlook Web Access. Чтобы к нему подключиться надо, предъявить имя пользователя и пароль. Имена хакер уже выяснил описанным выше способом. Теперь он может заняться подбором паролей.

Такие атаки легко обнаруживаются мониторингом. Но лучше принять превентивные меры. Например, настроить IPS файрвола так, чтобы при обнаружении перебора, блокировались все обращения к сервису с хакерского адреса.

Я это написал в качестве примера, чтобы было понятно, что внутренние инфраструктурные сервисы добавляют хакеру целый ряд новых возможностей. Поэтому за ними нужен глаз да глаз.

На этом закончим первую часть трактата.

Продолжение  следует …

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s