Начал свое выступление Алексей Лукацкий, бизнес-консультант по безопасности Cisco, с того, что привел слова руководителя компании Cisco Джона Чемберса: «В мире существует только два типа компаний: те, кого уже взломали и те, кто просто об этом еще не знает». Поэтому Алексей посоветовал не бояться инцидентов, потому что они происходили, происходят и будут происходить в будущем.
При этом, инциденты могут быть разными: у вас случайно могут перерубить кабель во время проведения регламентных работ у провайдера связи, к вам могут ворваться люди в масках для проведения оперативно-разыскных мероприятий, у вас может начаться эпидемия вредоносного кода, поэтому вы должны быть готовы к тому, чтобы реагировать и на такого рода инциденты. Если мы посмотрим на статистику, то увидим, что, к сожалению, многие компании не готовы к этому, либо реагируют очень поздно.
66% взломов обнаруживаются спустя месяцы и даже годы. Среднее медианное время, в течение которого продвинутые хакеры проникают в сеть, и их вредоносная активность не обнаруживается в современных корпоративных сетях, в которых установлено различные средства защиты периметра, составляет 229 дней. 60% всех взломов и инцидентов сопровождают утечки данных в первые сутки. И интересный факт, что только 33% организаций фиксируют взломы через собственные системы мониторинга.
Ущерб, который возникает вследствие инцидентов, бывает не только в финансовой плоскости, есть требования законодательства, которые обязывают нас уведомлять о различных инцидентах, которые произошли в корпоративных или ведомственных сетях. Скажем, General Data Protection Regulation (GDPR) – европейские правила по защите персональных данных, которые вступили в силу весной 2018 года и распространяются на все европейские компании, а также на российские компании и компании стран СНГ, которые выходят на европейский рынок и которые обязаны в течение 72 часов после наступления какого-либо инцидента с персональными данными, сообщить об этом инциденте как уполномоченному органу, так и пострадавшей стороне.
Кроме GDPR в России есть и другие нормативные акты, о которых надо не забывать, это и сам закон о персональных данных, это и новые ГОСТы банка России по информационной безопасности, это и закон о безопасности критической инфраструктуры (ФЗ №187). Все эти документы заставляют по-другому посмотреть на выстроенную инфраструктуру реагирования на инциденты. В частности, ряд нормативных документов банка России требует уведомлять об инциденте в элементах платежной системы в течение трех часов с момента наступления инцидента.
Закон о безопасности критической инфраструктуры также требует незамедлительно уведомлять соответствующие структуры о наступлении инцидента в сети, которая подключается к государственной системе обнаружения, предотвращения и ликвидации последствий компьютерных атак. В отличие от европейского GDPR, требующего 72 часа на уведомление об инциденте, многие российские документы требуют гораздо более оперативного реагирования, в течение 3 часов.
Когда мы выстраиваем процедуру реагирования на инцидент, мы должны выстроить целый комплекс организационных и технических мероприятий. Во-первых, не нужно паниковать и надо быть к инцидентам готовыми, морально и организационно-технически. Во-вторых, мы должны быть проактивными, заранее начать работать над планом реагирования на инциденты еще до того, как они произошли. Мы должны задействовать первую и последнюю линию обороны, которые находятся перед периметром и за периметром уже на рабочих местах и мобильных устройствах. Кроме того, мы должны проверить наш план, быть уверенными что он работает.
Что предлагает Cisco в качестве помощи? Это два набора продуктов и сервисов. Сервисы начинаются с так называемой услуги Incident Readiness and Response Retainer, что означает, что компания Cisco готова помочь заказчикам в реагировании на инцидент, не просто советами, а установкой соответствующего инструментария, который позволяет зафиксировать, локализовать и провести расследование инцидента. Вендор также готов помочь с выездом специалиста для проведения расследования уже на площадке заказчика.
С технической точки зрения Cisco предлагает два инструмента: это первая линия обороны в лице Open DNS Umbrella или Cisco Umbrella Secure Internet Gateway, т.е. система, позволяющая обнаруживать и блокировать атаки и инциденты еще до того, как они достигнут периметра, а ряде случаев когда угроза проникла внутрь защищаемой сети через уязвимый периметр, либо вообще обойдя периметр. Здесь стоит задача зафиксировать факт взаимодействия, например, с командными серверами ботнетов, вредоносных программ и т. д. И второе решение – последняя линия обороны – это AMP for Endpoints, которое устанавливается на широком спектре мобильных и стационарных платформ под управлением Windows, Linux, Mac, Android, iOS и т. д.
Начнем с сервиса Incident Readiness and Response Retainer, который позволяет реагировать на те проблемы, которые происходят у заказчиков. Данный сервис обычно представляется в виде двух вариантов.
Фиксированная услуга подразумевает четко очерченный временной промежуток, в течение которого она действует, как правило это происходит в результате какого-то инцидента, когда нужна немедленная реакция со стороны специалистов компании Cisco.
Второй вариант, он означает, что мы заранее приготовились к реагированию на инцидент, заключили соответствующий договор, который действует в течение года, в течение которого Cisco предоставляет как выделенных консультантов, так и набор инструментов. Это и AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, который позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д.
Кроме этого, в сервис по реагированию на инциденты включается набор дополнительных компонентов, которые можно выбирать в зависимости от необходимости. Это может быть услуга немедленного реагирования, когда сотрудники компании Cisco выезжают на место и проводят расследование. Это может выглядеть и как удаленный доступ к защищаемой инфраструктуре, в которой после установки соответствующего инструментария компания Cisco собирает доказательства противоправной деятельности, чтобы оперативно устранить инцидент или чтобы собрать базу для предоставления в судебные или правоохранительные органы. Сюда же включаются услуги, связанные в редхантингом, т.е. проведение обнаружения и расследование угроз, сбор криминалистической базы. Можно также провести проверку готовности сети и ИБ-службы к инцидентам, проведя анализ имеющихся у вас документов, акцентируя внимание на отсутствующих либо слабых местах в этих документах, которые в случае наступления инцидента позволят вам оперативно, эффективно среагировать и локализовать проблему. Есть среди услуг и киберучения для руководства и для ИБ-специалистов. Первые - похожи на штабные учения, вторые – это набор инструментов и сервисов, которые позволяют вам стать на сторону злоумышленника и попробовать смоделировать атаку.
Что касается жизненного цикла услуги, то он включает в себя целый набор шагов, который позволяет регулярно отслеживать статус данной услуги, получать отчеты, которые делает выделенный специалист. Речь не идет о мониторинге, для этого у вендора есть другой сервис Cisco ATA, который включает в себя аутсорсинговый мониторинг.
«Мы предоставляем широкий спектр инструментов, который устанавливается в местах, в которых возможно произошел инцидент и мониторим взаимодействие с Интернетом и внешним миром, что позволяет оперативно зафиксировать следы инцидента и пытаемся понять, почему инцидент произошел и как предотвратить в будущем повтор такого рода инцидентов», - констатирует Алексей Лукацкий.
Немедленное реагирование включает в себя возможность выезда специалиста к заказчику, чтобы на месте оперативно провести расследование и подготовить набор рекомендаций. Начинается услуга с обсуждения того, какие подсервисы внутри реагирования нужны: киберучения, немедленное реагирование и иные возможности, связанные с анализом нормативно-распорядительной документации, различные плейбуки, хендбуки, готовность инструментария и т. д.
Вы регулярно будете получать отчеты: что сделано, что делается в данный момент, что будет сделано в ближайшее время выделенным для вас специалистом. Отличиями данного сервиса является вендоронезависимость, т. е. неважно, какая инфраструктура есть в вашей сети, выделенный консультант, который работает с вами постоянно и знает, что у вас происходило в прошлом. Также обеспечена взаимодействие со специалистами Cisco Talos, которые круглосуточно занимаются анализом угроз по всему миру, а это более 600 инженеров.
Помимо сервисной части Cisco предлагает и ряд технических решений. Дело в том, что основной точкой входа по-прежнему остаются персональные компьютеры пользователей – это стационарные рабочие станции, мобильные компьютеры или мобильные устройства: в 70% случаев инциденты начинаются на ПК, при этом 65% организаций заявляют, что те атаки, с которыми они сталкиваются, обходили их средства защиты, а это зачастую самые новомодные сетевые экраны, они все равно оставались неэффективными для ряда современных угроз. 48% атакующих обходят защиту ПК из-за ошибок рядовых пользователей. 55% организаций вообще не могут определить причину инцидента, потому что не имеют соответствующего инструментария и среднее время обнаружения в индустрии составляет примерно 100 дней.
Для того, чтобы отслеживать вредоносные файлы, специализированные вредоносы, которые уклоняются от детектирования используя специальные механизмы, полиморфизмы и тому подобные вещи, заражения из Интернета, связь с командными серверами ботнетов вредоносных программ, пиринговых сетей и т. д., для всего этого необходимо так называемая «видимость».
Если у нас есть «видимость», то можно остановить утечки и шифровальщиков. Если мы пытаемся вторгнуться между инфраструктурой злоумышленника и точкой входа злоумышленника, это безусловно необходимо, но сегодня это явно недостаточно, потому что они могут шифровать взаимодействие с командными серверами и соответственно файервол не сможет проникнуть внутрь зашифрованного трафика и понять что в нем происходит. Поэтому мы должны фиксировать активность за периметром в Интернете и фиксировать активность до периметра.
Для этого мы предлагаем два решения. Первое – это первая линия защиты – это решение Cisco Umbrella Secure Internet Gateway – задача которого мониторить. В чем необходимость мониторинга DNS-трафик или IP-трафика за его периметром? Причин несколько. Во-первых, сегодня половина всех пользователей являются мобильными. Во-вторых, 82% подключений к Интернету не используют VPN, поэтому устройства остаются незащищенными. Рост использования облачных платформ и доступ к ним мобильных устройств минуя корпоративный периметр тоже налицо. Можно было бы все дочерние предприятия и офисы перенаправить через схему «звезда», через VPN-шлюз, который стоит в штаб-квартире, в центральном офисе, но по статистике этого не происходит, поэтому многие дочерние предприятия имеют прямой выход в Интернет, оставаясь незащищенными, поэтому нет возможности поставить в дополнительном офисе такой же набор защиты как и в штаб-квартире. Поэтому защиту надо строить не только на периметре, но и за его пределами.
Здесь хорошо работает Cisco Umbrella Secure Internet Gateway, которое позволяет видеть и блокировать инфраструктуру злоумышленника.
Анализируя DNS-трафик, который является основой Интернета, поскольку с ним взаимодействуют все устройства без исключения, все начинается с DNS. Любой запрос в Интернет начинается с DNS-запроса.
И если я могу взять на себя функцию контроля DNS-трафика, то я обеспечение безопасности начну не с периметра, а гораздо раньше. Cisco Umbrella Secure Internet Gateway представляет собой расширенный защищенный DNS-сервер с нулевым простоем за 11 лет существования.
Cisco предоставляет возможность, пропуская через свои DNS-сервисы, разбросанные по всему миру, ваши DNS-запросы, фильтровать их на предмет соответствия требованиям политик безопасности, взаимодействия с вредоносными ресурсами, обнаружения вредоносного кода. При этом ваш межсетевой экран, стоящий на вашем периметре, может пропускать такого рода DNS-трафик, потому что не каждый межсетевой экран в отрасли имеет возможность фильтрации DNS.
Cisco Umbrella Secure Internet Gateway может контролировать DNS-трафик, IP-трафик, вредоносные файлы, доступ к ненужным ресурсам, блокировать доступ к фишинговым ресурсам и тому подобное. Cisco Umbrella Secure Internet Gateway не требует от пользователей никаких настроек и установки каких-то дополнительных виртуальных или аппаратных решений.
Вам надо будет только поменять настройки вашего DNS-сервера на адреса, которые пришлет Cisco. В отдельных случаях, например, для мобильных пользователей, понадобится установка дополнительного легкого агента, который позволит связать пользователя с учетной записью.
Еще одно решение, которое является частью Cisco Umbrella, это Cisco Umbrella Investigate, которое позволяет проводить расследование инцидентов и анализировать инфраструктуру злоумышленника, определять по е-мейлу одного его домена другие домены, которые ему могут принадлежать и с которых в ближайшем будущем могут осуществляться какие-то атаки.
Вторым элементом предложения Cisco является последняя линия обороны, то что находится внутри периметра, это решение AMP for Endpoints, которое работает на платформах Windows, Linux, Mac, Android, iOS и т. д. Это решение позволяет предотвращать, блокировать вредоносное ПО в реальном времени, детектировать любые аномалии и реагировать, попутно проводя расследование.
AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, которая позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д
Это решение может управляться как локально, так и из облака. AMP for Endpoints не является агентом, он также позволяет агентам общаться между собой, обмениваясь индикаторами компрометации, политиками и командами. AMP for Endpoints является частью общей инфраструктуры AMP, когда движки устанавливаются на сетевом оборудовании, на файерволах, системах предотвращения вторжений, на системах защиты электронной почты, на системах вэб-доступа, в облаке и все эти агенты могут обмениваться информацией.
AMP for Endpoints – это не антивирус, хотя у него есть антивирусный движок, он относится к продуктам класса PDR. В этих продуктах акцент сдвигается с предотвращения угроз к детектированию и к реагированию.
AMP for Endpoints позволяет обеспечить непрерывный мониторинг.
AMP for Endpoints позволяет ответить на ряд ключевых вопросов, которые изображены на нижеследующем рисунке.
Все упомянутые выше решения и другие решения Cisco взаимодействуют между собой.
Что же надо сделать прямо сейчас, как протестировать эти решения? Для этого надо воспользоваться ссылками, которые даны на последнем слайде и в случае необходимости получить на тестирование некоторые из инструментов.