ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ

ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.11. Системы контроля доступа устройств к сети

Продолжаем изучение средств и систем защиты и поговорим об инструментах для контроля

пользователей и устройств, которые подключаются к сети. Такого класса системы называются
системами контроля доступа к среде (Network Admission Control). Они необходимы для того,
чтобы убедиться, что подключившееся к сети устройство на самом деле является тем, за которое
оно себя выдает.

Например, к сети Wi-Fi могут быть подключены произвольные устройства: планшеты, телефоны,
компьютеры. Хорошо, если это изолированный сегмент, где нам без разницы, что это за устройство.
Но если это внутренняя корпоративная сеть, где могут быть проводные и беспроводные
соединения, где есть сервисы печати, файловые серверы, серверы баз данных, обычные и
привилегированные пользователи. Что произойдет, если к сегменту печати бесконтрольный
доступ, где стоит принт-сервер, к которому подключен принтер, через который все обычно
печатают? Например, неожиданно появилась аномальная активность, принт-сервер начал
сканировать остальные ресурсы сети и рассылать вирусы на другие компьютеры. Каким образом
это можно предотвратить?

Отследить последствия инцидента мы сможем – взять хотя бы периметровый межсетевой экран,

который будет стоять на границе сегмента с принт-сервером, и, как только этот принтер начнет
рассылать запросы, межсетевой экран, выполняющий роль системы контроля доступа и
включающий в том числе систему предотвращения вторжений и систему борьбы с вредоносным
ПО, обнаружит эту подозрительную активность и сможет нас предупредить. Тогда мы вспомним,
что за адресом скрывается принт-сервер с принтером, и нам придется бежать его отключать.

Если же у нас установлена система Network Admission Control, то она детектирует, что неожиданно
устройство, которое подключилось к сети, — это совсем не то устройство, которое было вчера или
час назад, или просто не соответствует требованиям к «принт-серверам». Система может подать
команду на коммутатор и межсетевой экран с целью блокировки порта коммутатора, к которому это
устройство подключено, или изоляции IP адреса подозрительного устройства на NGFW. Таким
образом работа злоумышленника будет в принципе невозможна, и он не сможет сделать попытку
заражения остальных компонентов нашей сетевой инфраструктуры.

Давайте разберемся, каким образом система NAC работает. Во-первых, она контролирует попытки
подключения и отключения пользователя от сети. В любой момент времени, когда мы что-то
подключаем в сеть, происходит определенная последовательность событий и элементы сетевой
инфраструктуры знают, что кто-то подключился. А вот наша задача узнать, кто именно
подключился, выражаясь терминами предыдущего модуля, когда мы рассматривали разницу
между аутентификацией и идентификацией, – аутентифицировать устройство. Для этого нам нужно
проверить, действительно ли тот порт, который был активирован, и то устройство, которое еще
вчера было к нему подключено, а именно принт-сервер, только выдает себя сегодня за принт-
сервер, а на самом деле таковым не является? Проконтролировать это можно двумя способами:
1. Установка агента на принт-сервер и на рабочей станции.

1
 Тогда агент будет сообщать информацию системе NAC об операционной системе,
аппаратном и программном обеспечении, которое находится на защищаемом объекте.
Таким образом мы можем легко идентифицировать подключившийся компьютер и
увидеть разницу между рабочей станцией, сервером или принт-сервером.
2. Структура информационных потоков, которые идут от идентифицируемого устройства
Любой компонент сетевой инфраструктуры можно идентифицировать по косвенным
признакам и по специальным идентификаторам, которые он шлет в сеть. Также можно
следить за поведением и структурой информационных потоков. На основании этого
можно принимать решения, профилировать субъекта, относить его к одному или другому
классу.

Но все то, что мы сейчас говорили: защита серверов, защита рабочих станций, защита периметра
сети, защита электронной почты, защита веб сервисов, – все эти системы работают по принципу,
который в своей основе использует какие-то уже известные параметры и аномалии, которые могут
возникать в сети. И есть такая проблема, что, с одной стороны, мы очень хорошо знаем, что
относится к категории «плохо». Например, антивирусные программы имеют четко
структурированную базу данных известных вирусов. Также, с другой стороны, мы знаем, что
хорошо, легитимно, что относится к компонентам операционной системы, что относится к
компонентам установленного программного обеспечения, т. е. чему мы доверяем. Например, раз
мы установили операционную систему Windows, мы можем точно перечислить все системные
библиотеки операционной системы, сказать, какого они размера, какой контрольной суммы и т. д.

Но современная реалия такова, что на самом деле «точно плохой» или «однозначно хороший» –
это всего лишь 10–20% от всех объектов, которые мы встречаем в своей инфраструктуре. А
основная их часть – это неизвестные файлы, вирусы, которые только что были написаны или же
старые вирусы, которые были модифицированы таким образом, что они уже не обнаруживаются
известной сигнатурой антивирусной программы. И вот в эту так называемую «серую зону» попадает
большинство объектов, которые проходят через нашу сетевую инфраструктуру: либо через
периметр, либо через электронную почту, либо через каналы веб-сервисов, либо через рабочие
места пользователей, которые могут принести на флэшке какой-нибудь файл, кажущийся хорошим,
а на самом деле может быть никем не обнаруживаемым вирусом.

Как же бороться с этой серой зоной? Как убедиться, что объект гарантированно «хороший» или
идентифицировать файл как зараженный?

Для этого существует специальный класс систем, который называется «песочница».

Что может делать «песочница»? Она позволяет эмулировать поведение программы в

изолированной среде. Это изолированная виртуальная машина, внутри которой запускаются
разные файлы-вложения, которые, например, мы загружаем по электронной почте. Если у нас есть
неизвестный pdf-файл, он будет открыт внутри виртуальной машины, которая будет следить за
действиями, которые этот файл выполняет. Или к каким последствиям приводит открытие и запуск
файла, переданного на анализ. Тут может быть зарегистрирована активность в отношении файлов
на диске, к которым анализируемый образец обращался, какие системные функции задействовал,
к каким внешним ресурсам пытался инициировать доступ, т. е. насколько он выполняет те функции,
которые в него заложены. Ведь иногда бывает так, что файл/вирус маскируется настолько хорошо,
что если он детектирует свой запуск внутри виртуальной машины, то он не будет даже
демонстрировать окружающей среде и половины своих функций. И вот в том числе на отлов таких
«дремлющих» хитрых скрывающихся вирусов направлены ресурсы таких «песочниц», которые
позволяют анализировать на лету исходный код файла.

2
По состоянию на сегодняшний день за последние годы произошло достаточное количество
эпидемий, которые коснулись очень многих организаций. Вирусы-шифровальщики Petya, NotPetya,
BadRabbit – это те самые вирусные эпидемии нулевого дня, не известные до этого программы,
которые не были пойманы антивирусными системами или каким-то другим путем пробили систему
защиты. И, в частности, из-за того, что организации не использовали «песочницы», вирусы смогли
проникнуть в их инфраструктуру и наносили достаточно серьезный финансовый ущерб. Например,
они шифровали полезные файлы, файлы баз данных, информационные ресурсы, рабочие станции.
Соответственно, пользователи не могли работать, а вирусы требовали за расшифровку выкуп
(ransomware – это программа, которая делает что-то плохое, а потом просит вас заплатить за то,
чтобы все вернуть обратно). Иногда вирусы-шифровальщики работают по такому принципу, а
иногда просто уничтожают информацию с целью выведения ресурса из строя.

Отчасти поэтому важно, чтобы в организации был инструмент, который контролирует все
информационные потоки, отвечающих за передачу по какому-либо каналу или сервису объектов,
файлов, в виде вложений или напрямую.

Наконец, когда мы защитили нашу инфраструктуру, опубликованные сервисы, разграничили

сегменты между собой, обезопасили станции и серверы, используется система балансировки
нагрузки системы высокой доступности и системы защиты от DDoS-атак. Принцип работы DDoS-
атаки в том, что большие бот-сети, участником которой, кстати, может стать и ваш незащищенный
компьютер, в один момент все сразу по команде злоумышленника начинают слать большое
количество запросов на один ресурс, например, веб-сайт. Естественно, что под огромным
количеством запросов этот веб-сайт не выдерживает нагрузки и перестанет отвечать на запросы –
нарушается его доступность. Балансировщики нагрузки системы защиты от DDoS-атак связаны с
обеспечением доступности наших информационных ресурсов и таким образом с обеспечением
целостности систем организации, работоспособностью сервисов и бизнес-процессов.

В следующей теме мы поговорим о репутационных сервисах и о построении центра обработки

событий информационной безопасности – SOC (Security Operations Centre).