NGR Softlab - herramientas de protección y análisis

En el programa del evento:

Ponentes de NGR Softlab:

La empresa NGR Softlab fue fundada en 2019. Actualmente, nuestra sede central se encuentra en Moscú. Somos un desarrollador completamente ruso.

Tenemos más de 70 empleados. Más de la mitad de ellos son desarrolladores. Tenemos todas las licencias y certificados necesarios. Somos residentes de Skolkovo y del clúster de innovación de Moscú.

Actualmente, tenemos 3 clases de soluciones en nuestra cartera. El primer producto es Dataplan. Es una plataforma analítica para resolver problemas de seguridad de la información, y actualmente no hay análogos en el mercado ruso. Alertix es un sistema SIEM. Tiene un certificado FSTEK de nivel de confianza 4. Cabe decir que uno de los socs comerciales más grandes de Rusia se basa en Alertix.

E inicialmente, todo el sistema fue diseñado como una solución sobre cuya base se puede implementar una clave desde cero. Infrascope es nuestro tercer producto. Pertenece a la solución de clase PAM (gestión de acceso privilegiado). Le daré la palabra a Alexey Isaev, jefe del departamento de soporte técnico de ventas.

Comencemos con Infrascope. En cuanto a la información técnica detallada de las capacidades de la solución, intentaré tocarla brevemente. Principalmente hablaré de las capacidades funcionales. Entonces, Infrascope es una solución de clase PAM. Toda su funcionalidad principal funciona en modo "Bastión". Esto es cuando la solución es un único punto de entrada para los usuarios privilegiados cuando se conectan a algunos sistemas de destino.

INFRASCOPE

Los usuarios pueden ser tanto empleados de organizaciones que se conectan a la red o de forma remota, como contratistas externos, así como aplicaciones externas o scripts de automatización internos. Infrascope es un producto modular, se suministra a través de conjuntos de módulos. Por defecto, en todas las versiones de suministro se incluyen gestores de contraseñas, gestores de sesión y gestores de autenticación de dos factores. De adicionales también hay un gestor TOCACS+, un gestor de acceso a datos y un gestor AAPM.

El gestor de acceso a contraseñas se encarga de almacenar las contraseñas. Las contraseñas pueden almacenarse en cuentas estáticas, dinámicas, registros de sistemas de destino, registros de usuarios del dominio. En cuanto a las formas de introducir contraseñas, existen cargas desde catálogos, como la introducción a través de la interfaz web, plataformas, la introducción de contraseñas a través de la sincronización del servicio de directorio de Microsoft. Además, el gestor de contraseñas es responsable de la aplicación de la política. Los requisitos de la contraseña son mínimos. Longitud, contenido, símbolos, rotación de contraseñas según algún, por ejemplo, horario. También hay rotación según algún disparador. Por ejemplo, después de cada emisión de contraseña a una aplicación de terceros, se puede realizar la rotación de la contraseña. Después de cada sesión que se haya llevado a cabo con una conexión a Internet, también se pueden realizar rotaciones. Hay una lista de disparadores del sistema, y también se pueden vincular acciones a ellos.

El gestor de sesión es responsable del registro de las grabaciones de las sesiones, incluyendo el filtrado de comandos y contextual. Hay un formato de vídeo, donde hay marcas de tiempo para la ejecución de comandos. Se puede mover rápidamente, ver lo que el usuario tenía en la pantalla en ese momento. También para todos los protocolos existe un blog de texto. Autenticación bidimensional de dos factores. La entrega se puede realizar a través del correo electrónico, o mediante la integración con una pasarela inteligente, o simplemente se puede cargar la aplicación móvil "secretkey" y generar el código en esta aplicación móvil. De lo interesante: la autenticación de dos factores funciona sobre la base de un servidor de radio y se puede utilizar para el trabajo de aplicaciones de terceros dentro de la organización. Y viceversa, si en la organización ya se está utilizando alguna solución basada en la autenticación de dos factores, sobre la base de un servidor de radio, entonces ya podemos realizar la sincronización e integrarnos con él y utilizar la solución existente para la entrega del segundo usuario de dos factores. Es decir, aquí, como sea conveniente, así se puede integrar.

Aquí se presentan sólo tres módulos adicionales, en realidad hay más. El gestor de acceso TOCACS+ permite reemplazar un servidor completo de clase 3 y el protocolo TOCACS+. Combina todas las ventajas del servidor TOCACS+ y todas las ventajas de la solución. Esto es el uso de políticas, el uso de mecanismos de protección adicionales al acceder el usuario. Y esto es el registro completo de la grabación de la sesión: cuándo se accedió, quién accedió, qué entidades y comando autorizaron. Es decir, también hay un registro completo y una relación.

En cuanto al gestor de acceso a datos adicional. permite en modo Proxy utilizando protocolos estándar, utilizando puertos nativos y clientes nativos conectarse a varias bases de datos a través de Infrascope. Al mismo tiempo, Infrascope aplicará políticas, estarán disponibles listas negras y blancas para la ejecución de algunos comandos y consultas dentro del acceso a la base de datos y se realizará el control completo del registro. De lo interesante. También se pueden enmascarar los datos en tiempo real, es decir, se puede transferir alguna base de datos a un desarrollo de terceros o a un departamento de terceros y no tener miedo de producir una fuga de alguna información confidencial. Es decir, los datos pueden estar enmascarados, se pueden aplicar algunas políticas, por ejemplo, el reemplazo de símbolos, la confusión de símbolos, simplemente el recorte o el reemplazo con algunas plantillas.

También hay un gestor AAPM - Application to Application Pusset Manager. A través de él se pueden emitir secretos almacenados y algunas aplicaciones de terceros, scripts de automatización. Se pueden aplicar varios mecanismos de protección, tales como la verificación del token, la verificación del código PIN transferido, la verificación del archivo de control, de modo que se puede establecer adicionalmente el número de activaciones de este token y su tiempo de vida. Se puede hacer que el token sea de un solo uso y emitir la contraseña una vez, o se puede hacer que el token tenga una duración de varios días y después de varios días este token ya no estará activo. Se puede configurar qué políticas se aplicarán a esta aplicación y configurar qué cuentas están disponibles para esta aplicación. Es decir, o damos la contraseña de una cuenta o de varias, de un grupo de cuentas, todo esto se puede configurar.

Nuestras principales ventajas. La solución es una conexión sin agente, es decir, no se requiere la instalación de un agente en los hosts finales a los que nos conectamos, y tampoco se requiere un agente en la máquina del administrador para conectarse al sistema. Tenemos varios módulos, por lo que podemos implementar y comprar licencias sólo de la funcionalidad que realmente necesita el cliente para resolver su tarea de infraestructura actual. Además, nuestra solución es modular y, al mismo tiempo, es fácilmente escalable. Podemos elegir una unidad como servidor y construir un clúster de tres, cuatro, cinco, diez nodos, etc. También se puede extraer funcionalidad separada a servidores separados. Podemos extraer la funcionalidad de acceso a estas bases de datos a un servidor separado y agregarle recursos adicionales y utilizarlo para el acceso a las bases de datos. Además, no tenemos servidores jump, es decir, en nuestra arquitectura no hay servidores con Windows. En consecuencia, se reduce el costo de implementación, el costo de propiedad de la solución, se reduce el número total de puntos de falla en el sistema.

Y también hay una funcionalidad interesante, que es el enmascaramiento de datos. También hay una función adicional de pequeña privatización de tareas privilegiadas. Ayuda a resolver tareas muy personalizadas para el cliente. Por ejemplo, recientemente para una empresa muy grande resolvimos la tarea de gestión de contraseñas en archivos de configuración. Estas contraseñas se almacenaban en forma abierta, en cancelaciones, en servicios de almacenamiento, se rotaban muy raramente, aproximadamente una vez al año. A través de la automatización de tareas, primero rotamos la contraseña para la base de datos a la que se conectaban estos servicios, rotamos la contraseña y la guardamos con nosotros. Luego, la automatización de tareas ya se realizaba en la lista de servidores finales. Para un script similar, precisamente con Infrascope obtuvimos ciertas ventajas precisamente debido a que este script se puede rotar, por ejemplo, una vez al mes, se puede rastrear su lanzamiento en un registro completo del historial de lanzamiento de scripts de escenarios, podemos ver qué sistemas devolvieron en el marco del trabajo de este script.

ALERTIX

ALERTIX es un sistema SIEM, inicialmente fue desarrollado para uso comercial. Resultó ser en cierta medida único, tiene todo el conjunto de módulos, todos los conjuntos de reglas de correlación, todos los conjuntos de funcionalidad, son, por un lado, bastante óptimos, y por otro lado, podemos suministrar junto con el producto también nuestra experiencia.

En cuanto a la arquitectura. El sistema tiene tres componentes: el receptor se encarga de recibir eventos, el clúster de almacenamiento y el subsistema de gestión. Si hablamos de los momentos interesantes de la arquitectura, el receptor puede procesar los datos que le llegan y almacenar en el subsistema de almacenamiento sólo lo que le llegó, por ejemplo, si algún sistema introduce demasiados datos, y para el funcionamiento del correlacionador se necesita menos, entonces precisamente estos datos llegarán al sistema de almacenamiento, el resto será cortado. El sistema puede corregir la hora, alguna codificación incorrecta, es decir, ayudar adicionalmente. Puede haber cualquier número de clústeres de almacenamiento. El subsistema de gestión puede actualizar sus componentes por separado.

ALERTIX no requiere la adquisición de licencias para SGBD y SO. Es descentralizado, por lo que garantiza una alta tolerancia a fallos. El uso de la contenerización garantiza la simplicidad, la velocidad de actualización y el устранение сбоев.

Ahora sobre los módulos. En general, bajo SIEM se entiende un sistema Security Information and Management. En consecuencia, en la variante clásica es la recopilación y correlación de eventos y el registro de estos eventos. Pero ahora SIEM se suministra como un conjunto de productos que ayuda a reemplazar o sustituir parcialmente los procesos e instrumentos existentes. ¿Qué se incluye como instrumentos adicionales que se suministran junto con SIEM?

- Aplicaciones para la detección de hosts en eventos de seguridad de la información.

- Aplicaciones de análisis del comportamiento de usuarios y procesos.

- Aplicaciones de búsqueda por indicadores de compromiso.

- Servicio de interacción del Centro Nacional de Coordinación de Incidentes Informáticos (GosSOPKA).

¿Para qué sirve la inventarización de su infraestructura, saber qué subredes hay, qué hosts hay, máquinas, todo lo que proporciona la primera aplicación? Esto puede ayudar en la investigación de incidentes. Si de repente aparecen decenas de nuevos hosts, o MACs o direcciones IP en el sistema, esto puede ayudar al analista de seguridad de la información. Pero la principal tarea de la inventarización es la priorización y categorización de eventos de seguridad de la información. Por ejemplo, el cambio de dirección IP en un host, si es un segmento de usuario, este evento no conducirá a ningún incidente, si el mismo evento se encuentra en alguna máquina o host que pertenece al segmento del servidor, entonces esto ya puede ser peligroso.

En cuanto a la aplicación de análisis del comportamiento, funciona como una caja negra, es decir, las reglas están escritas en el manual del administrador y no se pueden cambiar. La aplicación aprende sobre la infraestructura durante una semana, observa qué asignaciones son normales para esta infraestructura y en la segunda semana comienza a ser útil. Por ejemplo, una PC de contabilidad comenzó a escanear la red, por un lado, no está prohibido, pero por otro lado, es extraño.

En cuanto a la aplicación de búsqueda por indicadores de compromiso, es un caché de sumas de archivos sospechosos, son direcciones IP desde las que se realizaron ataques, todo lo que alguna vez se notó en actividad y actividad viral sospechosa, todo esto se puede empaquetar en forma de indicadores de compromiso. La entrega de indicadores se realiza desde el exterior. Todos los eventos entrantes se verifican para detectar la presencia de estos indicadores, por ejemplo, un usuario accedió a una dirección IP prohibida, esto se vuelve sospechoso. También existe una vida útil para estos indicadores.

Servicio de interacción del Centro Nacional de Coordinación de Incidentes Informáticos (GosSOPKA), con él todo es simple. El FSB creó el servicio GosSOPKA en todo el país, hay organizaciones que deben informar a través de este servicio. Existe la necesidad de informar sobre incidentes. Hay incidentes para los cuales hay un plazo para informar.

¿Cuáles son las características de ALERTIX? Es el cálculo de los indicadores de EPS "limpio" al licenciar soluciones. En la métrica de licencia, no incluimos el valor máximo por día o el promedio por hora, tomamos el valor promedio de EPS por semana. Esto refleja la carga que habrá en el correlacionador, en los sistemas de almacenamiento. Tenemos una política de licencia flexible, por lo que si su organización está siendo atacada, es posible que haya excedido dos veces el número posible que compró. No habrá desactivación de la funcionalidad, el sistema seguirá funcionando completamente.

DATAPLAN

es una plataforma analítica que permite recopilar, almacenar y analizar grandes conjuntos de datos utilizando algoritmos de aprendizaje automático. Este análisis puede ser realizado por analistas para crear informes personalizados y salidas en forma de tablas, diagramas y datos sin procesar, en forma de informes.

También hay módulos conectables, entre ellos: xBA. Es un análisis de comportamiento avanzado, resuelve las siguientes tareas: identificación de compromiso de credenciales, detección de actividad interna, seguimiento de violaciones de la política de seguridad, detección de actividad maliciosa oculta.

Módulo ROLE MINING, que forma modelos de roles. Resuelve las siguientes tareas: construcción automática de un modelo de control de acceso basado en roles, actualización de información sobre el estado del sistema de control de acceso, auditoría del estado del servicio de directorio.

DATAPLAN ya se ha implementado en varias organizaciones, ayuda con la actividad interna, en la determinación de credenciales comprometidas, en la identificación del uso no autorizado de recursos, en la presentación de datos para evaluar la eficiencia del trabajo de los empleados, los recursos de información y los sistemas de protección.

En cuanto a la arquitectura, DATAPLAN también consta de varios módulos, al igual que ALERTIX, tiene un receptor que recibe datos, los datos almacenados también se pueden preprocesar y transferir al sistema de almacenamiento solo aquellos que necesitamos para el trabajo. El módulo de análisis de datos ayuda a generar informes.

Ahora sobre el módulo xBA para las amenazas detectadas. En un comportamiento atípico, en un número atípico de procesos, puede identificar algunas anomalías y resaltar al administrador de seguridad de la información que estos procesos son anormales.

DATAPLAN, el módulo ROLE MINING conecta AD como fuente de datos, el servicio de directorio se divide en entidades, se forman roles, se rastrea en qué grupos está una persona, qué derechos se asignan a estos grupos, cómo se completan los datos de las cuentas de este empleado en el directorio, a qué departamento pertenece, cuál es su puesto.

Sobre la base de este modelo de roles, se construyen parámetros como una gran anidación de grupos, muy a menudo durante la administración del directorio, se producen algunas migraciones por puestos, por departamentos, algunos usuarios pueden tener acceso a donde no deberían tener acceso según su puesto actual, esta situación la rastreamos y emitimos un modelo de roles más óptimo.