Во многих компаниях, использующих облако, не хватает сотрудников, которые умеют отслеживать угрозы. Даже если специалисты по безопасности есть, векторы атак на инфраструктуру, размещенную в публичных облаках, настолько отличаются от угроз для локальной инфраструктуры, что невозможно точь-в-точь скопировать стратегию защиты.

Требования к информационной безопасности выросли настолько, что российские провайдеры сами фактически стали поставщиками ИБ-решений. Поделимся опытом: как адаптироваться к новым угрозам и обеспечить безопасность компании с помощью портфеля готовых сервисов облачного провайдера. 

Центр информационной безопасности

У МТС есть собственный Security Operation Center (SOC) для комплексной защиты всех ресурсов компании от киберугроз при помощи мониторинга и реагирования 24/7 на инциденты ИБ. Три кита SOC — люди, технологии, процессы. 

Технологии, как показывает практика, не самый труднодоступный компонент — их можно купить. А вот нанять прокачанных специалистов, которые знают, как устроен SOC и как с ним работать, — задача посложнее. Они, как правило, уже заняты в крупных федеральных компаниях.

Но, пожалуй, самое неочевидное — создание процессов для деятельности SOC. Реагирование, мониторинг, устранение инцидентов и их закрытие — достаточно нетривиальные задачи. 

Наш SOC появился в 2005 году. Изначально он защищал исключительно инфраструктуру МТС и дочерних предприятий. В 2016 году мы начали предоставлять услуги коммерческого SOC в формате as-a-Service. 

Как SOC обеспечивает комплексную защиту инфраструктуры? Представьте себе пирамиду. 

Первый уровень, основание пирамиды — это ИТ-инфраструктура, которая обеспечивает деятельность вашего бизнеса.

Над ней находятся разнообразные системы защиты: антивирус, файрвол, анти-DDoS, WAF и другие. Как правило, компании внедряют их самостоятельно, без привлечения подрядчика. Эти инструменты защищают от отдельных угроз, но не обеспечивают мониторинг 24/7 и централизованную обработку событий с этих систем.

SOC, обеспечивающий контроль всех событий ИТ и ИБ, — это верхний уровень пирамиды, так как он собирает события со всей инфраструктуры сразу и дает полную картину состояния информационной безопасности.

SOC обнаруживает как факты первоначальной компрометации системы, так и дальнейшие попытки злоумышленника закрепиться в ней, повысить привилегии и развить атаку на хосты уже внутри корпоративной сети.

Дополнительно мы можем взять на себя контроль уязвимостей внешнего периметра и сканирование на уязвимости (несколько сканеров), анализ и расследование инцидентов ИБ (включает определение злоумышленников).

Защита веб-приложений

Согласно различным отчетам, более 75% атак направлены на веб-ресурсы. Большинство угроз нацелены на динамические функции: службы входа в систему, запросы к базе данных и API-интерфейсы.

Корпоративный файрвол, система предотвращения вторжений и другие традиционные средства защиты не могут обеспечить такую же высокую эффективность, как Web Application Firewall (WAF) — специализированный инструмент, работающий на уровне приложений.

WAF блокирует SQL-инъекции, межсайтовый скриптинг, удаленное выполнение кода, брутфорс и обход авторизации (auth bypass), а также атаки, использующие zero-day уязвимости. Файрволы приложений обеспечивают защиту, выполняя мониторинг содержимого веб-страниц, включая HTML, DHTML и CSS, и фильтруя потенциально вредоносные запросы по HTTP/HTTPS.

Современный WAF применяет методы машинного обучения (ML), позволяющие максимально приблизить грамматику обнаружения к реальной грамматике SQL/HTML/JS защищаемых систем. 

ML адаптирует любую грамматику для охвата любого типа атак без создания списков сигнатур вручную и без разработки токенизаторов/парсеров для новых типов атак, таких как внедрения Memcached, Redis, Cassandra, SSRF.

Однако далеко не все компании обладают компетенциями, необходимыми для непрерывной эксплуатации WAF-решения. Рядовые ИТ-специалисты не всегда в состоянии обеспечивать защиту в режиме 24/7. А ведь защита нужна круглосуточная: атаки не знают, что такое выходные, Новый год, майские праздники или отпуск. К тому же сотрудникам может не хватать специфичных знаний, чтобы правильно вносить правила блокировки на WAF, отрабатывать ложные срабатывания и выполнять другие операции. Эту проблему решает облачный WAF сервис-провайдера.

Вообще можно отметить следующие варианты развертывания WAF:

  • сетевой (как правило, аппаратное устройство);

  • полностью интегрированный в приложения (Apache, NGINX или IIS);

  • облачный.

На наш взгляд, у облачного WAF четыре преимущества:

  1. Ответственность провайдера за актуальность обновлений и лицензий.

    Провайдер закупает оборудование, обслуживает его, отвечает за балансировку нагрузки и резервирование. Если происходит отказ в работе сервера WAF, трафик немедленно перенаправляется на другую машину. Благодаря рациональному распределению трафика WAF всегда справляется с нагрузкой.

  2. Виртуальный патчинг. 

    Виртуальные патчи ограничивают доступ к скомпрометированным частям приложения до закрытия уязвимости разработчиком. В результате можно спокойно дождаться, пока поставщик того или иного программного обеспечения опубликует официальные «заплатки».

  3. Встроенный сканер периметра и уязвимостей. 

    Позволяет самостоятельно определять сетевые границы ИТ-инфраструктуры, используя данные DNS-запросов и протокола WHOIS. После WAF автоматически анализирует работающие внутри периметра службы и сервисы (выполняет сканирование портов). 

  4. Мониторинг атак ресурсами облака. 

    Сервис-провайдеры анализируют угрозы с высокой точностью и скоростью за счет большого объема вычислительных мощностей. В облаке развертывается кластер из фильтрующих узлов, через которые проходит весь трафик. Эти узлы блокируют атаки на веб-приложения и отправляют статистику в центр аналитики, который использует алгоритмы ML, чтобы обновить правила блокировки для всех защищаемых приложений. Адаптированные правила безопасности минимизируют число ложных срабатываний файрвола. 

Отдельно мы реализовали облачный сервис под ключ, который уже содержит весь набор необходимых инструментов, связанных с конфигурированием, эксплуатацией WAF, мониторингом и реагированием на инциденты, — WAF Premium.

Что он умеет:

  • Нейтрализовать риски из списка OWASP TOP 10.

WAF Premium задействует разнообразные механизмы защиты — от сигнатурного и динамического анализа трафика до настраиваемых правил безопасности.

  • Предотвращать ботнет-активности.

WAF Premium определяет и блокирует подозрительную активность по цифровому отпечатку браузера — набору таких признаков, как часовой пояс пользователя, язык, список расширений, версия браузера. В случае с нашим сервисом защита от ботнет-активности уже встроена в WAF и включает различные механизмы: CAPTCHA, JS-челленджи, поведенческий анализ и пр.

  • Выявляет уязвимости и предотвращает их эксплуатацию.

Любое приложение в ходе доработок может выпускаться с различными уязвимостями. Для их предотвращения требуется регулярное сканирование инфраструктуры приложения. WAF Premium выявляет уязвимости с помощью пассивного сканера, а механизм виртуального патчинга оперативно предотвращает эксплуатацию найденных ошибок, не дожидаясь следующего релиза веб-приложения.

  • Проводить поведенческий анализ.

WAF Premium защищает от атак методом перебора и сканирования каталогов по именам файлов на серверах веб-приложений. Эту задачу выполняют технологии поведенческого анализа, которые обнаруживают аномальное поведение, и алгоритмы ограничения частоты запросов.

  • Выявлять попытки использования скомпрометированных учетных записей.

WAF Premium предотвращает атаки типа credential stuffing, используя собственные базы данных и настраиваемые правила корреляции. Если учетная запись была скомпрометирована, администратор получит уведомление и рассмотрит инцидент.

Чтобы подключить сервис, достаточно поменять DNS-запись и сделать мультитенантный узел WAF, который уже развернут на нашей московской площадке, входящей точкой трафика. 

Разница между обычным WAF и WAF Premium в уровне оказания услуг. WAF Premium — это облачный сервис под ключ. Команда #CloudMTS берет на себя тонкую настройку защиты, выявляет ложные срабатывания механизмов защиты и реагирует на инциденты взлома в режиме 24/7.

Защита от DDoS

Еще один способ снять нагрузку с ИТ-отдела — передать защиту от DDoS сотрудникам облачного провайдера. Мы в #CloudMTS также предлагаем услугу Anti-DDoS.  

Когда клиент подключен к системе защиты, информация о профиле трафика постоянно анализируется коллектором. При выявлении отклонений трафик перенаправляется в центр очистки. Центр фильтрует вредоносный трафик и производит обратное перенаправление чистого трафика по пути его исходного назначения.

Отчеты по сетевому трафику, представленные в личном кабинете, помогают с легкостью следить за производительностью сети, гибко управлять трафиком и повышать производительность.

«Защита от DDoS-атак» — это комплексная услуга, с которой не нужно дополнительно закупать и настраивать оборудование. Заказчик получает выделенную круглосуточную смену поддержки, отказоустойчивую инфраструктуру на базе наших ЦОДов, систему по обучению и адаптивному построению модели распределения трафика для штатных условий работы защищаемых сетей и онлайн-сервисов.

Размещение ИСПДн

Всё чаще базы с персональными данными клиентов попадают в интернет — организации их не контролируют и не защищают. Например, совсем недавно произошло несколько крупных утечек ПДн: в общем доступе оказались такие чувствительные сведения, как локации пользователей, их платежные данные.

Некоторые заказчики до сих пор не уверены в том, что информационные системы персональных данных можно размещать в облаке. Однако законодательство предусматривает такой вариант не только для ИСПДн, но и для ГИС.

Со стороны регуляторов к хранению ПДн предъявляется множество требований: нужно подготовить большое количество документов, оборудование, ПО и инженерные системы. On-premise подход сложно назвать легким и удачным. Возникают следующие трудности:

  • долгий срок реализации проекта (выбрать, закупить, установить, настроить и описать систему);

  • проблема дальнейшего расширения ресурсов;

  • масса «бумажной» работы.

Даже если у вас уже есть решение для хранения ПДн, расширять ресурсы может быть сложно. Для этих целей есть сервис IaaS 152-ФЗ, в рамках которого можно перенести в облако виртуальные машины и данные с любых площадок. 

IaaS 152-ФЗ — готовая инфраструктура с полным набором сертифицированных средств защиты, с помощью которой можно обрабатывать персональные данные всех уровней — с первого по четвертый; размещать в облаке государственные информационные системы с первого по третий класс защищенности. За счет наличия аттестованной виртуальной инфраструктуры УЗ-1/К1 упрощается процедура аттестации ИС.

Еще один плюс облачного решения — сопровождение защищенной виртуальной инфраструктуры. Команда #CloudMTS может взять на себя управление ИТ-услугами, включая работу с инцидентами, сервисными запросами и консультированием, а также подготовку виртуальной среды и перенос продуктивных систем.

Антивирусная защита виртуальных машин

Большинство традиционных средств защиты не учитывают особенности виртуальной инфраструктуры. Виртуальные машины подвержены практически полному спектру угроз, от которых могли бы пострадать и традиционные решения. Полностью отказываться от антивирусной защиты достаточно рискованно. Использовать традиционные решения — тоже не лучшая идея, так как «зловреды» умеют адаптироваться к облачной среде.

В наших облаках мы используем решение для виртуальных сред на базе легкого агента. Внутрь каждой ВМ устанавливается легкий агент, а вычислительные операции выносятся на специальную машину, которая содержит антивирусный движок. Легкие агенты внутри ВМ на Linux или Windows служат транспортом, позволяя перехватить файловую операцию, запрос пользователя на доступ к сети или подключаемые им устройства — например, флэш-накопитель, — а затем передать эту информацию для анализа на выделенную ВМ.

Дополнительные возможности

Сложности с обновлением ПО, сворачивание услуг зарубежных поставщиков, растущие темпы атак программ-вымогателей создают дополнительные уязвимости в корпоративной инфраструктуре. 

Disaster Recovery, консистентное резервное копирование, репликация между площадками и географическое резервирование данных, репозитории с включенным режимом неизменяемости могут повысить общую надежность ИТ-инфраструктуры. 

Другие услуги, включая подбор необходимого оборудования и систем информационной безопасности, также повысят защищенность данных и снизят нагрузку на ваш ИТ-отдел. Впрочем, контроль доступа к данным в облаке остается за клиентом, что само по себе можно считать фактором риска. О том, где проходит граница зон ответственности сервис-провайдера и клиента, расскажем в одной из следующих статей. 

Комментарии (0)