Либо хакера не видно, либо слишком поздно…

В процессе взлома хакер пытается либо нанести максимальный вред, либо остаться незамеченным. В обоих случаях он старается получить доступ к ресурсам компании (серверам, рабочим станциям, сетевому оборудованию), используя, в первую очередь, уязвимости в стандартных протоколах. Это и легче, и меньше привлекает внимание. Интересными с точки зрения атаки являются протоколы удаленного управления (RDP, SSH) и универсальные протоколы HTTP/S. Зачастую, даже проведя успешную разрушительную атаку, хакер оставляет на будущее какие-либо закладки. Это могут быть как специально созданные аккаунты, так и сервисы удаленного управления.

Задача сотрудников IТ-безопасности компании состоит в том, чтобы в максимально короткие сроки проанализировать имеющуюся у них в виде логов систем информацию и понять:

• как был осуществлен взлом;
• какие ресурсы были затронуты;
• какие действия и изменения хакер совершал на захваченных ресурсах;
• оставил ли хакер какие-то закладки или backdoors на ресурсах компании.

На все эти действия у сотрудников IТ-безопасности очень мало времени, так как повторная атака может быть еще мощнее и успешнее. Основным инструментом анализа действий хакера являются логи систем, процессов и оборудования. Они анализируются либо на местах, либо, если в организации есть SIEM-система, с ее помощью. Но работа с логами даже в «мирное» время — не самый быстрый и удобный, с точки зрения человеческого восприятия, процесс, а в условиях ограниченности времени и возможности новой атаки представляет собой очень экстремальный процесс, так как:

• огромное количество логов от различных процессов и систем генерируют много информационного шума;
• хакер будет стараться уничтожить или исказить логи, даже предпринять атаку на саму SIEM-систему. Тогда анализировать будет нечего;
• восстановление картины взлома на основе логов создает высокие требования к квалификации персонала и четкому знанию, что и как работает в IТ-инфраструктуре.

Поймай меня, если поймешь, кто я

Если сравнивать попытку восстановления картины взлома в виртуальном пространстве с реальным «офлайн» пространством, то это аналогично попытке визуализировать взлом на основе показаний свидетелей, снятию отпечатков пальцев, обрисовке следов мелом. В противовес таким мысленным картинкам существует удобный способ визуализации преступления — это съемка камерами видеонаблюдения. В этом случае четко видно кто, как и что делал. Или еще один пример из жизни. При крушении самолета в первую очередь смотрят информацию из «черного ящика», где хранятся изменения параметров самолета, траектория полета, переговоры экипажа и т.д. И именно его записи позволяют определить, что произошло. Для IТ-инфраструктуры также хотелось бы иметь подобный «черный ящик», да еще с видеозаписью. Он позволил бы записать что, кто и как делал в IТ-инфраструктуре в удобной для восприятия человеком форме.

Посмотри, как это было

Именно такой вариант решения предлагает Fudo PAM. Прежде всего — запись всех основных протоколов управления и передачи информации:

• RDP, VNC — видеозапись и конвертация всего, что на экране, в текст через OCR-модуль;
• SSH, Telnet — видеозапись сессий и команд;
• MS SQL, MySQL, Oracle SQL (12.0) — регистрация всех команд и передаваемой информации;
• HTTP/S — видеозапись сессий и передаваемой информации.

Таким образом мы получили «камеру видеонаблюдения» для IТ-инфраструктуры. И, самое важное, это еще и полноценная информационная система. Можно искать определенные моменты в видео или предусмотреть заранее реакции на определенные команды и события, при наступлении которых Fudo PAM уведомит офицера безопасности и покажет сам момент инцидента. Следует отметить, что при этом мы не добавляем агентов или настройки на сервера или рабочие станции. Запись идет на сетевом уровне, что дает Fudo PAM еще одно преимущество.

Следящий призрак

Как отмечалось выше, хакер будет стремиться уничтожить следы и логи или исказить их. Но если он не знает, что его действия записывают, система записи просто невидима для него (нет агентов), то и атаковать такую систему невозможно. Fudo PAM реализует это путем работы только с трафиком. Он может быть установлен как transparent bridge (inline), либо как еще один элемент системы роутинга трафика (router). При этом, за счет применения простых сетевых правил условного роутинга на Fudo PAM можно направлять только необходимый трафик (например, RDP, SSH, HTTP/S). Это позволяет избежать эффекта «бутылочного горлышка».

Итак, с помощью Fudo PAM мы получаем систему «черного ящика» для IТ-инфраструктуры. Мы записываем и анализируем подключения к серверам, базам данных, сетевому оборудованию, сервисам и рабочим станциям. И не просто записываем, а можем активно анализировать и предупреждать сотрудников IТ-безопасности.

Следить и блокировать

Теперь давайте вернемся к аналогии с камерами видеонаблюдения. Представьте, что камера не только записывает действия злоумышленника, но и блокирует их. Например, он протянул руку, чтобы сломать стекло, а рука не действует. В целях защиты IТ-инфраструктуры это можно реализовать с помощью Fudo PAM. «Черные» списки команд блокируют выполнение деструктивных или опасных команд. При попытке их совершить Fudo PAM просто не даст их исполнить и, кроме того, уведомит об инциденте сотрудника отдела безопасности.

В режиме «офлайн» взломщик, имея ключ (например, сотрудника предприятия), может просто открыть дверь. По аналогии в IТ-инфраструктуре, имея пароль доступа (ключ), можно зайти в систему, на сервер и т.д. Можно подстраховаться и усилить безопасность с помощью второго ключа на двери (двухфакторная аутентификация в нашем случае). И Fudo PAM это тоже умеет. А можно сделать это еще изящнее и даже при наличии ключа (в том числе пароля super root) просто не дать возможности войти в систему без разрешения другого сотрудника. В Fudo PAM это реализовано следующим образом: вне зависимости от того какими правами обладает подключающийся пользователь, при подключении у него отображается статус «идет подключение». В это время офицер безопасности получает от Fudo PAM сообщение: «С такого IP-адреса, по такому протоколу, к такому хосту, подключается пользователь Х. Разрешить подключение?». Таким образом, хакер, даже обладая всеми правами доступа, паролями, ключами и доступом к легитимной рабочей станции, все равно не попадет на сервер.

Снимай маску — я тебя узнал

Ну и еще одно интересное защитное свойство системы Fudo PAM. Опять проведем аналогию с реальным миром. Представьте, что взломщик, заполучив ключ, прошел в защищаемую зону. При этом он загримировался и оделся соответствующе и выглядит на камерах как сотрудник, не вызывающий подозрения у охраны. Но при попытке открыть ключом дверь она не обманывается его схожестью с настоящим сотрудником и не открывается, поднимая тревогу. То же самое делает модуль анализа поведения пользователя в Fudo PAM. Он обучается поведению настоящего сотрудника, строит его профиль и «цифровой почерк». В случае, если подключение осуществил хакер, почерк его работы будет отличаться от почерка настоящего сотрудника. Fudo PAM предупредит сотрудника отдела безопасности об этом.

Удобство, безопасность и контроль

Таким образом, используя Fudo PAM в IТ-инфраструктуре, сотрудники безопасности получают систему, позволяющую:

• быстро и оперативно восстановить действия хакера;
• просмотреть события и инциденты в удобном для восприятия человеком формате;
• за счет записи и возможности быстрого поиска понять, что изменил хакер, оставил ли он backdoors и закладки;
• реализовать незаметную для хакера и легитимных сотрудников систему регистрации и анализа событий;
• блокировать действия хакера внутри системы вне зависимости от полученного им уровня доступа;
• блокировать доступ к самой системе, пока не будет разрешения со стороны службы безопасности;
• распознавать хакера по изменению «цифрового почерка», даже если хакер пользуется легитимным доступом с легитимных ресурсов.

При отсутствии систем централизованного анализа логов Fudo PAM позволит анализировать инциденты в простом и наглядном формате, а при наличии SIEM-систем Fudo PAM предоставит оперативный и наглядный анализ инцидента, позволяющего четко понять, где, что и как произошло.

Компания MONT Азербайджан — официальный дистрибьютор решений Fudo Security на территории Азербайджана. Fudo PAM — это комплексное безагентное решение, которое можно установить в течение одного дня. Fudo PAM включает высококачественное хранилище паролей с лучшим в своем классе решением по мониторингу и записи сессий, основанном на искусственном интеллекте.

По поводу приобретения продуктов Fudo Security вы можете обращаться по телефону +994 (12) 497 20 85/84 или по электронному адресу: [email protected].

Сайт www.mont.az. Страница в социальной сети Facebook www.facebook.com/montazerbaijan.