Руководитель центра внедрений компании «Гарда Технологии» (входит в экосистему «ИКС Холдинга») Дмитрий Горлянский выступил на конференции «Business Information Security Summit: Кибербезопасность в эпоху стратегической неопределенности. Как выжить в VUCA-мире» с докладом о системе сетевой форензики «Гарда Монитор».
В начале выступления Дмитрий рассказал о стандарте реагирования на инциденты в области компьютерной безопасности NIST SP 800-61 R2. Он содержит множество подробных инструкций: что и в каких случаях нужно делать, какие средства использовать. Так, согласно стандарту, процесс работы с инцидентами состоит из четырёх стадий:
Для второго и четвертого этапов необходимы различные средства мониторинга, в том числе сетевой активности, с возможностью записать её, сохранить и впоследствии предъявить для нужд расследования или в качестве доказательства в суде. Именно эти задачи максимально эффективно решает система «Гарда Монитор».
Служба безопасности одного из наших клиентов — завода — установила, что в одном из их зданий занимаются майнингом криптовалют. Перед ними встала задача — выяснить, кто это делает, а также предоставить образцы трафика для дальнейшего расследования. На заводе уже стояла DLP-система, (Data Leak Prevention — технологии предотвращения утечек конфиденциальных данных из информационной системы вовне), однако с её помощью получить такие сведения невозможно. В итоге безопасникам пришлось вручную проанализировать огромное количество логов — от прокси-серверов до различного сетевого оборудования. При этом существовал риск, что злоумышленник технически подкован и уже почистил записи. В этом случае так и произошло, потому что майнингом занимался сам системный администратор завода. С помощью «Гарда Монитор» подобную задачу удалось бы решить в автоматическом режиме в течение нескольких минут.
Дмитрий Горлянский, руководитель центра внедрений компании «Гарда Технологии»
Использование «Гарда Монитора» позволяет, во-первых, анализировать сетевую активность при помощи протоколирования трафика или на основе статистики расширения для маршрутизаторов Netflow от Cisco. И быстро выявлять любой аномальный или паразитный трафик, например, необъяснимо большое количество почтовых сообщений с компьютера (спам-бот), DNS-запросов с одной машины (троян или ботнет для DDoS-атак), VPN- или даже darknet-трафик и т.д.
Во-вторых, — и это ключевое отличие — «Гарда Монитор» записывает и сохраняет весь трафик, чего не могут делать ни обычные файрволы, ни WAF-системы (Web Application Firewall — защитный экран, предназначенный для выявления и блокирования атак на веб-приложения), а также при необходимости может выгружать и представлять его для расследования.
Кроме того, все эти операции специалист по информационной безопасности может производить очень быстро. На создание отчётов и выгрузку образцов для анализа потребуются буквально считанные минуты. Во многом этому помогает очень удобный и продуманный интерфейс продукта.
Далее, «Гарда Монитор» автоматически производит сигнатурный анализ трафика и выявляет такие угрозы безопасности, как атаки на web-приложения, трояны и эксплойты. У компании есть собственная база данных уязвимостей и регулярно обновляемый экспертами репозиторий. Система самостоятельно связывается с ними и скачивает новейшие сигнатуры угроз.
Есть в «Гарда Мониторе» и модуль поведенческой аналитики. Как показала конференция — это один из самых «горячих» трендов в инфобезопасности сегодня. Система способна выявить на основе статистики по потокам, использованию протоколов и адресам их назначения стандартную модель поведения хостов и сетевых устройств, а значит моментально детектировать любые аномалии и нарушения.
Ну и наконец, «Гарда Монитор» позволяет засечь любые попытки сканирования сети, например, отдельных хостов. В системе огромное количество фильтров, она распознает около 350 протоколов и более 50 различных их параметров, что, впрочем, никак не сказывается на высокой скорости её работы.
Сейчас существуют три типовых сценария. Обычно после внедрения продукта просто запускается мониторинг всего входящего и исходящего трафика с выявлением в нём различных аномалий. Второй сценарий — критичная система выделенных DMZ (Demilitarized Zone — демилитаризованные зоны, или сегменты сети с общедоступными сервисами, отделяющие их от закрытых частных). Соответственно мониторится вход-выход и взаимодействие пользователей с этими DMZ. Третий сценарий применяется для компаний с разветвленной филиальной сетью. Широкое территориальное распределение делает экономически невыгодным такой стандартный метод, как зеркалирование трафика. В этом случае на подконтрольные серверы ставят легких агентов, — они записывают весь трафик на месте и периодически отправляют его копию для анализа в центр управления «Гарда Монитор». При этом агенты не оказывают существенного влияния на работу серверов и не нагружают сеть.
Как до, так и особенно после выступления Дмитрия Горлянского информационный стенд со справочными материалами обо всей линейке продуктов «Гарда Технологии» привлек внимание множества специалистов, выбирающих решение для обеспечения безопасности цифровой инфраструктуры на своих предприятиях.
