А кто это сделал? Автоматизируем аудит информационной безопасности

А кто это сделал? Автоматизируем аудит информационной безопасности


Источник
Считается, что есть три подхода к диагностике информационной безопасности: аудит, оценка уязвимостей и тесты на проникновение. Поговорим про аудит и оценку уязвимостей. Под катом мы рассмотрим вопросы, которые нужно решить в рамках аудита, и набор инструментов от Quest Software для выявления, предотвращения и расследования инцидентов информационной безопасности на основе машинного обучения (Change Auditor Threat Detection), сбора логов с объектов инфраструктуры (InTrust), аудита текущей конфигурации (Enterprise Reporter) и вывода данных аудита по всем перечисленным системам в одном интерфейсе (IT Security Search).
Аудит ИТ-безопасности определяет, соответствуют ли информационная система и её сопровождение ожиданиям клиентов и стандартам компании. С нашей точки зрения, система аудита должна обладать следующими возможностями:
определять и выявлять нормальную и нетипичную активность;
конструировать запросы и фильтровать данные в массиве событий для получения нужной информации;
эскалировать события на группу ответственных;
иметь преднастроенные отчёты, по которым можно выявлять нетипичную активность.
Особенность работы с инфобезом, которую часто видим — это выполнение аудита по остаточному принципу. То есть аудит изменений выполняет отдел, который также загружен и другими задачами. Из этого вытекает первая проблема —
Использование встроенных инструментов аудита
На поиск и настройку других не хватает времени. Под встроенными инструментами имеем в виду, например, оснастку Windows или специальные скрипты на Power Shell. Разумеется, с помощью таких средств об инциденте можно узнать только постфактум.
С ростом организации растёт количество пользователей и изменений. На эту тему есть исследования с конкретными цифрами, но и без этого понятно, что цифровой обмен с каждым годом меняется в большую сторону. Вторая проблема аудита —
Увеличение количества изменений в связи с ростом инфраструктуры
Рост может быть связан с увеличением штата сотрудников или количества клиентов, но вне зависимости от этого величина количества изменений будет пропорционально увеличиваться.
На аудит серьезное влияния оказывают не только внутренние факторы (это две первые проблемы), но и внешние — требования государственных органов или корпоративных политик. И мы подходим к третьей проблеме аудита —
Отсутствие подходящих инструментов для соответствия требованиям
При отсутствии подходящих инструментов администраторы систем или не контролируют требуемые изменения, или делают это, но подручными средствами (см. проблему 1).
А теперь переходим к обзору инструментов, которые могут помочь с ответом на вопрос: «А кто это сделал?» (на самом деле помогут с ответом и на кучу других вопросов).

Оперативный аудит событий информационной безопасности


Когда мы приходим в некоторые компании на установочные встречи — видим системы аудита на основе Power Shell. Скрипты обычно поддерживаются силами одного Windows-администратора. В этом нет серьёзной проблемы до увольнения этого сотрудника. После его ухода возникает вопрос: кто это будет дальше поддерживать и развивать. Новый администратор (если обладает достаточной компетенцией) обычно пишет такие скрипты заново. И это не единичные случаи.
Change Auditor — инструмент оперативного аудита изменений в среде Microsoft и на дисковых массивах, который не требует знаний единственного человека.


Поддерживаeтся аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Подходит и для гибридных окружений. Есть предустановленные отчёты на соответствие стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA.

Кроме аудита, в Change Auditor можно блокировать изменения. Например, запретить добавление в группу AD новых пользователей или запретить изменение файла/папки.
В Change Auditor есть дополнительный модуль аналитики — Threat Detection.

Работает на основе машинного обучения (ML) и анализа пользовательского поведения (UEBA). На вход получает события из Change Auditor за последние 30 дней и выявляет нетипичное поведение пользователей: вход из необычного места или в необычное время, неудачный ввод пароля несколько раз подряд на контроллере домена, вход на запрещённый файловый ресурс и т.д. Модуль анализирует события в нескольких измерениях и сообщает об аномалиях.

Аудит конфигурации инфраструктуры


Для тех, кто давно хотел навести порядок в своей Windows-инфраструктуре, но всё никак руки не доходят. Enterprise Reporter, инструмент отчётности, извлекает данные по объектам из AD, Azure AD, SQL Server, Exchange, Exchange Online, Windows File Server, OneDrive for Business и ресурсов Azure (виртуальные машины, группы сетевой безопасности и другие объекты) и строит красивые отчёты.

Основная ценность продукта — уже имеющийся набор отчётов, что позволяет увидеть уязвимости сразу же после установки. Например, у одного из наших заказчиков мы обнаружили пользователей в группах доменных администраторов с отключенной опцией срока действия пароля.

Из уже готовых отчётов:
пользователи, не входившие последние 30 дней;
пользователи с истёкшим паролем;
пользователи привилегированной группы, не входившие последние 30 дней;
Windows-сервисы, которые работают не под локальной системной учёткой;
ПО, установленное на серверы с ролью контроллер домена;
установленные на серверы хотфиксы;
настройки безопасности на серверах;
вложенные группы и пользователи во вложенных группах
разрешения Active Directory;
разрешения для папок на файловом хранилище и другие.
Примеры перечисленных отчётов можно посмотреть на сайте Quest в PDF-отчёте (файл открывается сразу, регистрация не нужна). Есть предустановленные отчёты на соответствие стандартам GDPR, SOX, PCI-DSS, HIPAA, FISMA, GLBA и другим. А если у вас в компании есть требования к отчётам или захотите брендировать документ — есть специальный конструктор.

Сбор и анализ логов


Другой источник данных по событиям информационной безопасности — логи. В них можно найти если не всё, то почти всё. После их сбора хорошо бы их нормализовать и структурировать, чтобы проводить корреляцию между событиями, например, в AD и каком-нибудь текстовом логе.
InTrust — инструмент сбора и анализа логов из разнородных источников. Может забирать Windows-логи, текстовые логи и syslog от сетевых устройств. После сбора вся статистика (события) приводится к состоянию вида: когда произошло, что произошло, где произошло, кто выполнил действие, откуда это действие было выполнено.

InTrust может обрабатывать до 60000 событий в секунду из 10000 источников. Часто агенты-сборщики устанавливаются на рабочие станции, чтобы отслеживать события Windows eventlog Sysmon (отслеживания изменений значений реестра, создания новых процессов c неправильных хэшем и других), логов PowerShell.

Сырые данные хранятся во встроенном хранилище с коэффициентом сжатия 20:1. Есть готовые интеграции с некоторыми SIEM-системами. Если вы их используете, InTrust — удобный способ сэкономить на лицензиях, т.к. хранит сырые данные в своём хранилище и отправляет в SIEM только события.

Объединение под зонтиком


Чтобы концепция безопасности выглядела завершённой, данные из всех источников желательно объединить и наблюдать за происходящим в одном окне. Дополнительно при этом коррелировать события для молниеносного выявления корневой причины.
IT Security Search — инструмент для глобального полнотекстового поиска а’ля Google по данным оперативного аудита, аудиту конфигурации инфраструктуры и данных из логов. Все данные извлекаются в режиме реального времени из связанных систем.

Можно ввести имя пользователя, рабочей станции, тип события или всё что угодно и обнаружить связанные по этому признаку события или конфигурации. При формировании запросов можно использовать логические выражения. Из результатов запроса удобно строить отчёты и направлять их заинтересованным лицам по расписанию.

Из интерфейса IT Security Search можно также делать откат по изменениям в AD. То есть, например, можно восстановить удаленного по ошибке пользователя со всеми его атрибутами. Это реализуется при помощи интеграции с ещё одним продуктом Quest — Recovery Manager for Active Directory.
Главная цель статьи — познакомить с семейством продуктов Quest для аудита изменений. Те инструменты, которыми вы пользуетесь сейчас, возможно, обладают другим набором функций (где-то больше, где-то меньше). Напишите в комментариях, с чем вам приходится сталкиваться, какие функции оказались полезными для вас и почему вы выбрали то или иное решение. Интересно обменяться опытом.
Стартап ищет деньги: моющий робот VeDroid

Стартап ищет деньги: моющий робот VeDroid


Новым героем рубрики «Фандрайзинг» стал якутский стартап Vedroid. Команда разработала промышленного моющего робота, который, по заявлениям компании, может заменить до пяти уборщиц. Стартап хочет привлечь 20 млн...

В Сколково пройдет робототехнический форум

В Сколково пройдет робототехнический форум


16 апреля в технопарке «Сколково» пройдет робототехнический форум Skolkovo Robotics. Robots & AI, посвященный актуальным задачам в области робототехники и искусственного интеллекта.

Boston Dynamics представила робота-грузчика

Boston Dynamics представила робота-грузчика

Американская компания известна своими роботами, футуристического вида, способными ходить, бегать и держать равновесие на четырех ногах. А в этот раз ее новинка ездит на колесах. Правда, их всего два.
25 лет спустя: интервью с Линусом Торвальдсом

25 лет спустя: интервью с Линусом Торвальдсом



В первом номере Linux Journal было опубликовано интервью, взятое Робертом Янгом, первым издателем журнала (и, среди прочего, основавшим Red Hat) у Линуса Торвальдса (автора ядра Linux). Мы решили, что будет интересно...

Эти роботы готовы к бунту: тест на человекоподобность

Эти роботы готовы к бунту: тест на человекоподобность

Каждый инженер-робототехник или программист, первый раз добравшийся до возможности управлять роботизированным манипулятором, стремится пошутить и заставить механическую «руку» пройти «тест-капчу». Вроде бы безобидное развлечение, но вдруг такое обучение приближает восстание машин? «Популярная механика» нашла три свидетельства такого опрометчивого поведения Homo Sapiens.
TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?

TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?



Недавно Венесуэла пережила серию отключений электричества, которые оставили 11 штатов этой страны без электроэнергии. С самого начала данного инцидента правительство Николаса Мадуро утверждало, что это был акт саботажа, который стал возможен благодаря электромагнитным атакам и кибер-атакам на национальную электрическую компанию Corpoelec и ее электростанции. Напротив, самопровозглашенное правительство Хуана Гуайдо просто списало этот инцидент на «неэффективность [и] неспособность режима».
Без беспристрастного и глубокого анализа ситуации очень сложно установить, были ли эти отключения следствием саботажа или все же они были вызваны недостатком технического обслуживания. Тем не менее, утверждения о предполагаемом саботаже порождают ряд интересных вопросов, связанных с информационной безопасностью. Многие системы управления на объектах критической инфраструктуры, таких как электростанции, являются закрытыми, а потому они не имеют внешних подключений к Интернету. Таким образом, возникает вопрос: могли ли кибер-злоумышленники получить доступ к закрытым ИТ-системам без непосредственного подключения к их компьютерам? Ответ — да. В таком случае электромагнитные волны могут быть вектором атаки.

Как «захватить» электромагнитные излучения


Все электронные устройства генерируют излучения в виде электромагнитных и акустических сигналов. В зависимости от ряда факторов, таких как расстояние и наличие препятствий, подслушивающие устройства могут «захватывать» сигналы от этих устройств с помощью специальных антенн или высокочувствительных микрофонов (в случае акустических сигналов) и обрабатывать их для извлечения полезной информации. Такие устройства включают в себя мониторы и клавиатуры, и как таковые они могут также использоваться кибер-преступниками.
Если говорить про мониторы, то еще в 1985 году исследователь Вим ван Эйк опубликовал первый несекретный документ о том, какие риски безопасности несут с собой излучения от таких устройств. Как вы помните, тогда мониторы использовали электронно-лучевые трубки (ЭЛТ). Его исследование продемонстрировало, что радиация от монитора может быть «считана» на расстоянии и использована для восстановления изображений, показываемых на мониторе. Это явление известно как перехват ван Эйка, и фактически оно является одной из причин, почему ряд стран, среди которых Бразилия и Канада, считают электронные системы голосования слишком небезопасными для использовании в избирательных процессах.


Оборудование, используемое для доступа к другому ноутбуку, расположенному в соседней комнате. Источник: Tel Aviv University
Хотя в наши дни ЖК-мониторы генерируют намного меньше излучения, чем мониторы с ЭЛТ, тем не менее, недавнее исследование показало, что они также являются уязвимыми. Более того, специалисты из Университета Тель-Авива (Израиль) наглядно продемонстрировали это. Они сумели получить доступ к зашифрованному контенту на ноутбуке, расположенному в соседней комнате, с помощью достаточного простого оборудования стоимостью около 3000 долларов США, состоящего из антенны, усилителя и ноутбука со специальным программным обеспечением для обработки сигналов.
С другой стороны, сами клавиатуры также могут быть чувствительны к перехвату их излучений. Это означает, что существует потенциальный риск кибер-атак, в рамках которых злоумышленники могут восстанавливать регистрационные данные и пароли, анализируя, какие клавиши на клавиатуре были нажаты.

TEMPEST и EMSEC


Использование излучений для извлечения информации получило свое первое применение еще в ходе первой мировой войны, и оно было связано с телефонными проводами. Эти приемы широко использовались в течение холодной войны с более совершенными устройствами. Например, рассекреченный документ NASA от 1973 года объясняет, как в 1962 году сотрудник службы безопасности посольства США в Японии обнаружил, что диполь, размещенный в находящейся неподалеку больнице, был направлен на здание посольства для перехвата его сигналов.
Но понятие TEMPEST как таковое начинает появляться уже в 70-е годы с первыми директивами безопасности об излучениях, которые появились в США . Это кодовое название относится к исследованиям о непреднамеренных (побочных) излучениях электронных устройств, которые могут способствовать утечке секретной информации. Стандарт TEMPEST был создан Агентством национальной безопасности США (АНБ) и привел к появлению стандартов безопасности, которые также были приняты в НАТО.
Этот термин часто используется как взаимозаменяемый с термином EMSEC (безопасность эмиссий), который входит в состав стандартов COMSEC (безопасность коммуникаций).

Защита TEMPEST


TEMPEST и EMSEC: можно ли использовать электромагнитные волны в кибер-атаках?

Схема криптографической архитектуры Red/Black для коммуникационного устройства. Источник: David Kleidermacher

Во-первых, защита TEMPEST применяется к базовому понятию криптографии, известному как архитектура Red/Black (красное/черное). Эта концепция разделяет системы на «красное» (Red) оборудование, которое используется для обработки конфиденциальной информации, и на «черное» (Black) оборудование, которое передает данные без грифа секретности. Одно из предназначений защиты TEMPEST – это данная сепарация, которая и разделяет все компоненты, отделяя «красное» оборудование от «черного» специальными фильтрами.
Во-вторых, важно иметь в виду тот факт, что все устройства излучают определенный уровень радиации. Это означает, что максимально возможным уровнем защиты будет полная защита всего пространства, включая компьютеры, системы и компоненты. Впрочем, это было бы чрезвычайно дорогостояще и непрактично для большинства организаций. По этой причине используются более точечные техники:
Оценка зонирования: используется для изучения уровня безопасности TEMPEST для пространств, инсталляций и компьютеров. После проведения данной оценки, ресурсы могут быть направлены на те компоненты и компьютеры, которые содержат наиболее чувствительную информацию или незашифрованные данные. Различные официальные органы, регулирующие безопасность коммуникаций, такие как АНБ в США или CCN в Испании, сертифицируют такие техники.
Экранированные области: оценка зонирования может показать, что определенные пространства, содержащие компьютеры, не полностью отвечают всем требованиям безопасности. В таких случаях одним из вариантов является полное экранирование данного пространства или использование экранированных шкафов для таких компьютеров. Эти шкафы сделаны из специальных материалов, которые препятствуют распространению излучений.
Компьютеры со своими собственными сертификатами TEMPEST: иногда компьютер может находиться в безопасном месте, но иметь недостаток адекватного уровня безопасности. Для усиления имеющегося уровня безопасности существуют компьютеры и коммуникационные системы, которые имеют свою собственную сертификацию TEMPEST, удостоверяющую безопасность их аппаратного обеспечения и прочих компонентов.
TEMPEST показывает, что, даже если корпоративные системы имеют практически безопасные физические пространства или они даже не подключены к внешним коммуникациям, все равно нет гарантий того, что они полностью безопасны. В любом случае, большинство уязвимостей в критических инфраструктурах связаны, скорее всего, с обычными атаками (например, шифровальщики), о чем мы недавно сообщали. В этих случаях можно достаточно просто избежать подобных атак с помощью соответствующих мер и передовых решений информационной безопасности с опциями расширенной защиты. Сочетание всех этих мер защиты является единственным способом обеспечения безопасности систем, критических для будущего компании или даже всей страны.
Пентагон заменит машины пехоты боевыми роботами

Пентагон заменит машины пехоты боевыми роботами

Министерство обороны США объявило тендер на разработку боевой машины пехоты с функцией опционального управления, которая заменит в сухопутных войсках давно устаревшие броневики M2 Bradley.
Размышления о солнечном хостинге для пчел

Размышления о солнечном хостинге для пчел



Все началось с розыгрыша… розыгрыша улья между пчеловодами в обмен на забавную историю — для чего он им нужен.


Тут уж тараканы в моей голове перехватили управление и резво набрали сообщение о том, что мне...

От летучей мыши до медузы: бионические роботы XXI века

От летучей мыши до медузы: бионические роботы XXI века

Современные технологии позволяют скопировать полет летучей мыши, прыжки кенгуру и плавание медузы. По крайней мере, если за это берется компания Festo Robotics.
Обновления new
  • «Нам не нужны роботы, похожие на людей»: почему разработчики не должны наделять их человеческими чертами
  • Человеку свойственно наделять своими чертами все, что он создает, — исключением не стали и роботы. Профессор философии Рочестерского технологического
  • Мечты о механическом друге: как развивается индустрия роботов-компаньонов
  • Мита Юн начала увлекаться робототехникой не потому, что ее интересовало спасение мира. В университете она собрала луноход, а на работе в Google
  • Создатель сети роботизированных кофеен Fibbee привлек 12 млн рублей
  • Компания Foodtronics, создающая собственную сеть роботизированных кофеен Fibbee, привлекла 12 млн рублей. 8 млн рублей в форме займа вложил Moscow
  • Разбор: как проблемы с властями США повлияют на Huawei и ИТ-бизнес
  • Одной из главных новостей технологического мира в мае-июне стало противостояние китайского производителя Huawei и властей США. Администрация
  • Эксперимент: используем прокси в качестве инструмента борьбы с DoS-атаками
  • Изображение: Pexels DoS-атаки – одна из масштабных угроз информационной безопасности в современном интернете. Существуют десятки ботнетов, которые
Информация