Банковское обозрение

Финансовая сфера

03.05.2018 Аналитика
Как правильно расставить ловушки?

Денис Батранков, специалист по ИБ американской компании Palo Alto Networks, рассказал «Банковскому обозрению» о том, почему принцип «все-в-одном» потерял популярность в сфере ИБ, и о том,что пришло ему на смену



Денис Батранков, Palo Alto Networks — Денис, как, на ваш взгляд, меняется вектор современных угроз ИБ?

— Хакеры пользуются все теми же техниками: ищут и используют уязвимости в программных продуктах и терпеливо ждут ошибок пользователей. Самое больное здесь для специалиста в области ИБ — то, что появляется все больше автоматизированных утилит, которые могут использоваться для взлома, а также всплеск фактов утечек готовых эксплойтов по всему миру.

Тут я намекаю на утечку набора эксплойтов, которые опубликовала хакерская группировка Shadow Brokers, например EternalBlue, на основе которого был создан вирус WannaCry.

Наиболее интересный новый тренд, который я вижу — это взлом компьютера для того, чтобы запустить на нем майнинг криптовалют. Раньше таких атак не было. Действительно, чем требовать выкуп с человека, мошенникам проще при помощи криптолокера и других инструментов втихую использовать ресурсы его компьютера для работы на себя. Еще одна интересная уловка — использование плагинов к браузеру, чтобы получать кэшбэк за его покупки. Уже не встретить человека, который не знал бы, как купить что-то в Интернете, но при этом до сих пор мало кто знает, что многие магазины предоставляют кэшбэк за покупки. Если вы не воспользовались этой функцией сами, то внезапно выяснилось, что плагины в браузере обладают скрытой функцией — они получают кэшбэк за вас на свой счет.

— О чем новом вы рассказывали в Москве на IDC Security Roadshow 2018 по сравнению с 2017 годом?

— К сожалению, в этом году по странному стечению обстоятельств мы не выступали.

Но я собирался рассказать о защите SDN (Software Defined Networking, программно-определяемая сеть), потому что развивается новая архитектура сетей, все чаще сеть строится по схеме Spine-Leaf (масштабируемая и эффективная коммуникационная архитектура), многие переходят на виртуализацию, все больше появляется оборудования, которое может упростить развертывание IT-сервисов. И в SDN как никогда ранее удобно добавляются функции безопасности. Palo Alto Networks прозрачно интегрируется с большинством систем виртуализации, оркестрации и многими контроллерами SDN.

— Компания Palo Alto Networks известна межсетевым экраном нового поколения, который позволяет упростить инфраструктуру сетевой безопасности. Не уменьшается ли при этом уровень ИБ?

— Когда вы управляете сразу несколькими функциями безопасности из одной точки, а они еще и обмениваются между собой контекстом, конечно, безопасность повышается. Представьте, раньше были раздельные проекты по IPS (системы предотвращения вторжений), по «песочницам», по потоковому антивирусу, по контролю приложений седьмого уровня (Deep Packet Inspection, DPI) и много других. А сейчас вы покупаете одно устройство, которое выступает единой платформой для многих современных техник защиты сети: IPS, антивирус, DPI, web-фильтрация, Threat Intelligence, «песочницы», защиты от фишинга, блокировка несанкционированных облачных сервисов и приложений и т.д.

Наиболее интересный новый тренд, который я вижу — это взлом компьютера для того, чтобы запустить на нем майнинг криптовалют

Для многих наш функционал является открытием, потому что они начинают видеть у себя в сети то, что никогда не видели. Новые способы визуализации трафика и отчетов дают возможность по-новому понять, что происходит в сети, увидеть, какие машины находятся под контролем хакеров, какие используются для обсчета криптовалюты, как проводит время сотрудник, понять, что Shadow IT — это не просто слово, а то, что есть внутри каждой сети.

Т.е. устройства подобного класса решают сразу несколько задач, что для безопасника в настоящее время представляется насущной необходимостью. И, что еще важно, это в том числе помогает IT-службе. Она наконец получила инструмент визуализации того, что именно неправильно функционирует в сети. Иными словами, выгоду получают и IT, и ИБ.

— Что еще входит в Palo Alto Networks? Оправдан в итоге платформенный подход, положенный в ее основу?

— Платформа Palo Alto Networks зиждется на трех китах: сетевая, хостовая и облачная защита. Заказчики получают возможность защищать свои данные, где бы они ни хранились: в ЦОД, на мобильном устройстве или в облаке. Платформа безопасности, которая использует все эти три компонента, позволяет максимально защитить сети от утечек и взломов.

Остановлюсь подробнее на хостовой защите. Такой продукт, как TRAPS, ограждает от эксплойтов для Windows, MacOS, Linux и Android. Он уникален уже тем, что реализовал давнюю мечту безопасника: блокировать неизвестный эксплойт в памяти и вообще любой вредоносный код. Каждый сотрудник компании постоянно рискует «заразиться», поскольку мы все непрерывно перемещаемся и часто пользуемся рабочими компьютерами вне корпоративной сети. Только хостовая защита позволяет в случае путешествий сотрудника контролировать программную среду, а также обнаруживать новые несанкционированные воздействия. TRAPS не тратит ресурсов компьютера: он расставляет в памяти ловушки, в которые попадает любой эксплойт или вредоносный код. Причем, акцентирую: не только известный, но и неизвестный! Вдобавок продукту практически не требуются обновления, ведь новых атакующих техник появляется всего две-три в год. И, что самое ценное, атака сразу блокируется, не требуется лечения компьютера.

Если говорить о защите облачных решений, то мы защищаем как HaaS — оборудование, как сервис (Microsoft Azure, Amazon AWS), так и SaaS — ПО как сервис (Microsoft Office 365, Gmail, Facebook и т.д.). Для HaaS реализованы специальные версии виртуальных NGFW (межсетевых экранов следующего поколения), защищающие операционные системы, которые все активнее разворачиваются в облаках. Для SaaS мы предлагаем продукт Aperture, который реализует функционал DLP (Data Loss Prevention, предотвращение утечек информации), «песочницы», антивируса, контроля доступа ко многим облачным сервисам, через которые сотрудники компании обмениваются почтовыми сообщениями и файлами, например DropBox или Box.com, Gmail, Workplace by Facebook.

Palo Alto Networks имеет в своем портфеле решение UEBA (User and Entity Behavior Analytics, поведенческая аналитика пользователей) под названием LightCyber, которое позволяет по поведению находить зараженные машины в сети. В облачной реализации этот продукт называется Magnifier — если вы присылаете ему журналы межсетевого экрана, то Magnifier, используя машинный анализ и искусственный интеллект, а также нашу базу индикаторов компрометации (Threat Intelligence), принимает решение и сразу же создает готовый список блокировки зараженных хостов.

Для SOC и CERT мы предоставляем доступ в нашу базу данных Threat Intelligence. Этот сервис называется Autofocus и дает возможность грамотно расследовать инциденты безопасности, пользуясь глобальной базой данных найденных во всем мире экземпляров вредоносного кода, а также глубоким анализом его работы.

Ну и, конечно, «песочница» Wildfire, имеющая мировую известность, поскольку находит вредоносные файлы и для Linux, и для Android, и для MacOS, и, конечно, для Windows. Ее сейчас используют уже 35 тыс. заказчиков, которые через облако могут обмениваться сигнатурами найденных zero-day-уязвимостей. У Palo Alto Networks имеется свой встроенный антивирус в NGFW, и он тоже пользуется сигнатурами от Wildfire, который гарантирует создание сигнатуры для всех наших NGFW в течение пяти минут после появления zero-day-вируса где-то в любой точке в мире.

— Компания декларирует «защиту от всех угроз — как известных, так и неизвестных благодаря технологиям Content-ID и Wildfire». За счет чего это достигается и не пришел в связи с этим конец эпохи UTM-решений?

— Устройства NGFW были созданы, чтобы устранить проблемы UTM-систем (Unified Threat Management, универсальный шлюз безопасности): медленную работу при включении всех функций. Если требуется проверка трафика на скорости меньше 1 Гбит/с, то устройства UTM еще справляются. Если выше, то приходится выключать в них часть функций защиты, вплоть до того, что они работают, как обычный пакетный фильтр.

Возникла необходимость создания устройства, которое бы на скоростях свыше 1 Гбит/с могло реализовать все функции безопасности: IPS, антивирус, anti-spyware, URL-фильтрацию, обнаружение приложений и туннелей, расшифровку SSL, контроль IoC, DNS Sinkholing и т.д. Потребовалась новая платформа, которая не уменьшала бы скорость функционирования сети.

Платформа Palo Alto Networks зиждется на трех китах: сетевая, хостовая и облачная защита

Все эти техники были реализованы на специализированных аппаратных чипах компании Cavium, а само решение было названо Content-ID. Точно так же в свое время были созданы видеокарты: текущая мощность процессоров Intel не позволяла уже обсчитывать графику. Поэтому сейчас практически во всех компьютерах предусмотрена выделенная плата для ускорения процесса генерации видео. По той же причине сейчас во всех устройствах защиты должна быть выделенная плата для обеспечения работы функций безопасности.

Современный бизнес страдает еще и от того, что для атак специально создаются новые вирусы, которых пока нет ни в одной антивирусной базе. Поэтому в качестве ответа на это появился поведенческий анализ, функционал которого реализуется либо на самой машине, либо в специализированной «песочнице». Такие «песочницы» у нас называются Wildfire, и, если они находят вредоносный код по его поведению, то сразу же сигнатуры уходят для блокировки на NGFW и TRAPS. Также существует возможность получения этих сигнатур от «песочниц» других заказчиков — Palo Alto активно пропагандирует участие в такой сети обмена сигнатурами. Кроме того, реализован функционал Machine Learning в продукте TRAPS, который определяет вредоносный код по поведению прямо на машине пользователя.

— Занимается ли компания поиском и анализом уязвимостей в ПО, а также актуальных киберугроз? Можно ли получить соответствующие фиды отечественным финансовым SOC и SIEM?

— Часть организаций, в том числе финансовых, в нашей стране уже подписалась на получение аналитики (фидов) из Autofocus, поскольку они позволяют им решать множество вопросов с обнаружением бот-сетей и разбором собственных инцидентов ИБ, а также в борьбе с направленными атаками. По сути, для них это подключение к Big Data по всем видам вредоносного кода в мире с разобранными специально для них «по косточкам» хакерскими кампаниями. Такая информация упрощает работу любого SOC или CERT.

Наша лаборатория Unit42 постоянно занимается поиском и анализом уязвимостей, что отражается и в написании стандартных сигнатур IPS, антивируса и наполнении базы Threat Intelligence и URL-фильтрации.

— Мало-помалу финансисты уходят в «облака». Как в связи с этим изменяется ландшафт угроз? Что можно найти в портфеле Palo Alto для защиты банковских ЦОД и инфраструктуры облачных провайдеров?

— У IT нет другого выхода, кроме как переходить на облачные сервисы или SDN. Сейчас число приложений, которые должен запускать CIO в месяц, уже достигает той критической отметки, когда существующим IT-командам это сделать трудно. А еще сложнее такие системы удалять после того, как они стали не нужны.

Если использовать системы оркестрации в облаке или внутри ЦОД, позволяющие быстро подготовить ресурсы для новых IT-сервисов внутри компании, то бизнес растет быстрее и становится более конкурентоспособным. Постепенно все это начинают понимать, что является драйвером роста облачных услуг и SDN.

Как ни парадоксально, обеспечить должный уровень безопасности в этой среде оказалось даже проще, поскольку функционал ИБ — это один из стандартных сервисов. Palo Alto Networks работает и с Amazon AWS, Microsoft Azure, Google Cloud, и с SDN на базе VMware NSX и Cisco ACI. А это те платформы, на которых работают гранды мирового финансового (и не только) сектора.



Читайте наши лучшие материалы Яндекс. Дзен Телеграмм

Читайте также