Как работают системы ИБ: обзор для начинающих безопасников

Системы информационной безопасности — это комплекс технологий, которые защищают информацию от взлома, кибератак и других угроз утечки. Они помогают сохранить конфиденциальность персональных данных, деталей транзакций, медицинских сведений, корпоративной информации, параметров сетевой инфраструктуры и других важных данных. 

Подготовили обзор пяти основных систем ИБ для специалистов, которые планируют начать карьеру в сфере безопасности. Разбираем «на пальцах» основные компоненты и принципы их работы. 

Составить обзор помог Даниил Козин, старший специалист по информационной безопасности УБТ-Уралвагонзавод.

Web Application Firewall (WAF)

WAF — это инструмент для фильтрации трафика, который работает на прикладном уровне. Он проверяет данные, передаваемые через HTTP и HTTPS, а также анализирует содержимое XML и SOAP, чтобы отслеживать и блокировать потенциальные угрозы. 

WAF обычно устанавливается перед веб-приложением и действует как щит между ним и интернетом. Если обычный прокси защищает данные пользователя, то WAF можно считать «обратным прокси»: он защищает сервер, проверяя всех, кто пытается получить к нему доступ.

Принцип работы системы Web Application Firewall. Источник

Принцип работы системы Web Application Firewall. Источник

От каких угроз защищает WAF

WAF активируется в ответ на различные угрозы, которые направлены против веб-сервера. Вот некоторые стандартные триггеры:

  • SQL Injection (SQL-инъекция) — злоумышленник вставляет вредоносный SQL-код в запросы к базе данных, пытаясь получить несанкционированный доступ или манипулировать данными.

  • Remote Code Execution (RCE, удаленное выполнение кода) — хакер пытается выполнить произвольный код на сервере или в другой уязвимой системе. Например, запустить вредоносные программы, изменить или удалить данные, получить контроль над системой и тд. 

  • Cross Site Scripting (XSS, межсайтовый скриптинг) — злоумышленник встраивает вредоносные скрипты в веб-страницы, видимые другим пользователям. Эти скрипты могут захватывать cookies, фишинговать данные или перенаправлять пользователя на вредоносные сайты.

  • Cross Site Request Forgery (CSRF, межсайтовая подделка запросов) — вид атаки, которая заставляет браузер пользователя выполнять нежелательные действия на веб-сайте, на котором он аутентифицирован. Это происходит, когда пользователь уже вошел в систему (например, в свой банковский аккаунт), и одновременно посещает другой сайт, который содержит вредоносный код или ссылку.

  • Remote File Inclusion (RFI, обращение к файлу на удаленном сервере) и Local File Inclusion (LFI, обращение к локальному файлу) — атаки, при которых хакеры вставляют путь к вредоносному файлу в скрипты на сервере. RFI использует внешние серверы, а LFI — файлы на сервере веб-приложения.

  • Auth Bypass (обход авторизации) — использование уязвимостей ресурса, с помощью которых можно обойти процессы аутентификации или авторизации.

  • Insecure Direct Object Reference (небезопасные прямые ссылки на объекты) — угроза, при которой злоумышленник может получить доступ к файлам или другим ресурсам системы напрямую, используя уязвимостями в контроле входа.

  • Bruteforce (подбор паролей) — множественные попытки входа с различными комбинациями паролей и логинов для получения доступа к учетной записи.

  • IP spoofing (IP-спуфинг) — хакер подделывает IP-адрес пакетов данных так, чтобы они казались отправленными с доверенного источника, затем пытается обмануть фильтры и получить доступ к ресурсам.

  • DOS/DDOS (атака с перегрузкой трафика) — перегрузка сервера избыточным трафиком для того, чтобы сделать ресурс недоступным для пользователей.

Какие методы защиты использует WAF

Один из ключевых инструментов WAF — сигнатуры. Это определенные последовательности символов, которые межсетевой экран ищет в поступающих запросах. Если сигнатура найдена, запрос блокируется. Чем более точные и подробные эти сигнатуры, тем лучше WAF справляется со своей задачей.

Но есть нюанс: база сигнатур не всегда обновляется сразу, и это может привести к тому, что некоторые новые виды атак не будут распознаны. Злоумышленники могут также незначительно изменить запросы, чтобы они не соответствовали известным сигнатурам и проходили через защиту.

Помимо сигнатур, в WAF используются правила, которые анализируют поведение запросов. Они помогают обнаруживать атаки, для которых еще не существует сигнатур. 

Создание правил — это сложный и трудоемкий процесс, поэтому для это задачи часто используют машинное обучение. С его помощью система может дообучаться в процессе анализа данных. Кроме того, методы ML также помогают уменьшить количество ошибочных блокировок и выявлять новые типы атак.

Как работает WAF — пример

Сайт онлайн-магазина содержит форму, где клиенты вводят свои личные данные и данные кредитной карты для оформления покупки.

Предположим, что хакер пытается использовать форму заказа для отправки специально подготовленного ввода, который мог бы изменить SQL-запросы базы данных магазина. Например, он вставляет в поле ввода код, который может вывести список пользователей или даже удалить таблицы баз данных.

WAF распознает попытку SQL-инъекции, сравнивая ввод с базой данных известных атак и блокирует этот запрос до того, как он достигнет сервера.

Популярные системы WAF

  • AWS WAF — защищает веб-приложения, размещенные на Amazon Web Services. Он интегрируется с сетью доставки контента AWS CloudFront и сервисом распределения нагрузки Application Load Balancer, предлагая мощные инструменты для создания и управления правилами безопасности. AWS WAF используется такими компаниями, как Airbnb и Autodesk.

  • Akamai Kona Site Defender — защищает от DDoS-атак, SQL-инъекций и XSS. Легко масштабируется для обеспечения безопасности крупных веб-сайтов и приложений. Клиенты включают такие компании, как NBC Sports и NASDAQ.

  • Cloudflare WAF — интегрируется с глобальной сетью Cloudflare, обеспечивая высокую производительность и защиту от атак на уровне сети и приложений. Среди клиентов — Discord и Udacity.

  • F5 Advanced WAF — защита от ботов, защита API и предотвращение утечек данных. Использует поведенческий анализ и машинное обучение. Среди клиентов — LinkedIn и Comcast.

Next-Generation Firewall (NGFW)

Межсетевой экран — это устройство или программа, которые контролируют входящий и исходящий сетевой трафик на основе заданных правил безопасности. Это первая линия защиты в сети, которая помогает предотвратить несанкционированный доступ и защитить данные.

NGFW или межсетевой экран нового поколения отличается от обычных межсетевых экранов расширенными функциями. Кроме стандартной фильтрации, NGFW глубоко анализирует трафик и может распознавать и блокировать сложные атаки на уровне приложений. 

Система NGFW расположена перед выходом в интернет

Система NGFW расположена перед выходом в интернет

Основные функции NGFW

  1. Глубокая инспекция пакетов (DPI). NGFW подробно анализирует каждый сетевой пакет, включая заголовки и содержимое. Это помогает обнаружить и заблокировать вредоносные данные на всех уровнях сетевого стека. 

  2. Контроль приложений. Система контролирует, какие приложения используются в сети, и управляет их интернет-трафиком. Это помогает избежать рисков, связанных с небезопасными или запрещенными приложениями, и повышает защиту данных.

  3. Интеграция с системами предотвращения вторжений (IPS). NGFW включает функции IPS, которые проверяют сетевой трафик на наличие подозрительных или необычных действий. Если система обнаруживает возможную атаку, она сразу принимает меры, блокируя или перенаправляя трафик для изучения и предотвращения угрозы.

  4. Фильтрация URL и контента. Система блокирует доступ к небезопасным веб-сайтам. Это предотвращает загрузку вредоносных программ и защищает пользователей от фишинговых атак.

  5. Песочница (Sandboxing). NGFW может использовать технологию песочницы для анализа подозрительных файлов и программ в безопасной среде. С помощью этой функции система блокирует неизвестные угрозы до распространения по сети.

  6. Антивирусная защита. Система включает антивирусные и антиспам-функции. Это создает дополнительный уровень защиты против вредоносного ПО и спама.

  7. Управление политиками безопасности. NGFW предоставляет инструменты для централизованного управление безопасностью. Администраторы могут настраивать и контролировать правила доступа, фильтрации и защиты для всех устройств в сети.

Как работает NGFW — пример

Представим, что сотрудник компании решил использовать стороннее приложение X для обмена файлами. Он устанавливает приложение на рабочий компьютер и пытается подключиться к его серверу, чтобы загрузить и отправить клиенту большой файл.

NGFW определяет, что приложение X не входит в список разрешенных программ, который установил ИТ-отделом. Поэтому блокирует соединение между компьютером сотрудника и сервером X, предотвращая передачу данных. 

Сотрудник получает сообщение о том, что доступ к приложению заблокирован по соображениям безопасности. Одновременно с блокировкой соединения NGFW отправляет уведомление администратору безопасности ИТ-отдела. 

Популярные системы NGFW

  • Cisco Firepower NGFW — глубокая инспекция пакетов, контроль приложений и интеграция с системами предотвращения вторжений. Cisco Firepower используют такие компании, как British Airways и NASA.

  • Palo Alto Networks Next-Generation Firewall — обеспечивает комплексную защиту с использованием DPI, контроля приложений и песочницы. Клиенты — Salesforce и Adobe.

  • Fortinet FortiGate — высокоэффективные функции фильтрации URL, контентной фильтрации и интеграция с IPS. FortiGate используется такими компаниями, как Deutsche Bank и IBM.

Identity and Access Management (IAM)

IAM, или управление идентификацией и доступом — это логика организации средств защиты приложений. IAM представляет собой комплекс процессов и технологий, которые помогают управлять пользователями и контролировать их доступ к ресурсам внутри информационной системы — в зависимости от роли и прав.

Пример ролей и групп в системе IAM. Источник

Какие компоненты входят в IAM и за что они отвечают

1. Управление идентификацией (Identity Management):

  • Создание, управление и удаление учетных записей пользователей.

  • Регистрация новых пользователей и назначение им уникальных идентификаторов.

  • Обновление информации о пользователях и удаление устаревших учетных записей.

  • Аутентификация пользователей с проверкой их учетных данных (пароль, биометрия и т.д.).

2. Управление доступом (Access Management):

  • Предоставление или ограничение доступа к ресурсам на основе установленных политик.

  • Авторизация, которая определяет, какие ресурсы и действия доступны пользователю в зависимости от его роли и прав.

  • Контроль доступа, мониторинг и аудит действий пользователей.

3. Единый вход (Single Sign-On, SSO):

  • Единая аутентификация пользователя для доступа ко всем разрешенным системам и приложениям.

  • Удобство использования и безопасность за счет сокращения количества учетных данных.

4. Многофакторная аутентификация (MFA):

  • Дополнительный уровень безопасности, который требует от пользователей нескольких видов данных для аутентификации (например, пароль плюс SMS или биометрия).

5. Управление привилегированным доступом (PAM):

  • Контроль и мониторинг действий пользователей с правами доступа к важным системам и данным.

  • Временное предоставление повышенных прав и аудит всех действий таких пользователей.

Как работает IAM — пример

Предположим, что у системного администратора Ивана привилегированные права. Компонент PAM отслеживает все действия Ивана, потому что его учетная запись имеет высокий уровень доступа.

Иван пытается получить доступ к информации о клиентах в нерабочее время (например, поздно ночью). PAM фиксирует это действие как подозрительное, потому что доступ к этой базе данных в нерабочее время — не обычная практика.

Система отправляет автоматическое уведомление ИТ-администратору и начальнику службы безопасности, информируя их о подозрительной активности. 

PAM временно блокирует доступ Ивана к базе данных, чтобы предотвратить возможную утечку.

Популярные системы IAM

  • Okta — облачная платформа IAM, которая включает SSO, MFA и управление жизненным циклом учетных записей. Она используется компаниями Adobe, LinkedIn и Teach for America для безопасного и удобного доступа к своим системам.

  • Microsoft Azure Active Directory (Azure AD) — это облачная служба управления идентификацией и доступом Microsoft. Она предоставляет функции SSO, MFA и управления доступом к облачным и локальным приложениям. Azure AD используется такими компаниями, как British Airways, Honeywell и Land O’Lakes.

  • Ping Identity — предоставляет решения для управления идентификацией и доступом, включая SSO, MFA и управление API. Используется Boeing, Cisco и Walgreens.

Security Information and Event Management (SIEM)

SIEM — это система, которая предназначена для сбора, анализа и логирования, то есть фиксации, инцидентов из различных источников в режиме реального времени. 

В отличие от межсетевых экранов и WAF, которые фокусируются на фильтрации трафика и защите от атак на основе правил и сигнатур, SIEM не блокирует атаки напрямую. Система интегрирует данные из множества источников и использует аналитику, чтобы обнаружить разные типы угроз, отправить об этом оповещение и помочь провести расследование.

SIEM также используется в качестве основного инструмента Центра оперативного реагирования на инциденты (SOC). Это специальное подразделение, которое постоянно мониторит, анализирует и реагирует на инциденты информационной безопасности.

Основные функции SIEM

  1. Сбор данных. SIEM-системы собирают логи и события из различных источников, таких как сетевые устройства, серверы, базы данных, приложения и системы безопасности. Это информация о действиях пользователей, системных изменениях, сетевом трафике и других значимых событиях.

  2. Нормализация данных. Система приводит данные к единому формату. Нормализация данных облегчает сравнение событий из различных источников и улучшает точность анализа.

  3. Мониторинг и оповещение. SIEM непрерывно мониторит инфраструктуру в режиме реального времени и отправляет оповещения о каждом инциденте.

  4. Анализ и расследование инцидентов. Предоставляет инструменты для детального изучения и расследования инцидентов безопасности.

  5. Отчеты и соответствие требованиям. SIEM генерирует отчеты, которые помогают администраторам в ручном режиме изучать информацию о выявленных угрозах, инцидентах и принимать меры по их предотвращению.

  6. Автоматизация и оркестрация. Системы могут автоматизировать определенные процессы реагирования на инциденты, такие как блокировка вредоносного трафика, уведомление ответственных лиц и запуск скриптов для устранения угроз. Это помогает ускорить время реагирования и уменьшить нагрузку на команду безопасности.

Архитектура SIEM. Источник

Как работает SIEM — пример

Представим, что компания подвергается фишинговой атаке — злоумышленники рассылают электронные письма, представляясь надежными отправителями, чтобы украсть конфиденциальные данные.

SIEM идентифицирует необычные почтовые активности, например, массовые отправки писем с одного аккаунта или доступы к почтовому серверу из необычных географических точек.

После этого SIEM автоматически уведомляет команду безопасности и может предпринять меры для снижения рисков, например, блокировать IP-адреса или временно ограничить доступ к аккаунтам.

После реагирования на инцидент, SIEM помогает анализировать, как атака была проведена, и предоставляет отчеты для улучшения защиты в будущем.

Популярные системы SIEM

  • Splunk — мощная платформа для обработки больших данных, которая предлагает функции SIEM. Splunk используется такими компаниями, как Coca-Cola, Comcast и McLaren для мониторинга и анализа событий безопасности.

  • IBM QRadar— это популярное решение, которое включает инструменты для обнаружения и анализа угроз. QRadar используется Cisco, ExxonMobil и Fidelity Investments.

  • ArcSight (Micro Focus) — система SIEM, которая помогает организациям собирать, анализировать и коррелировать данные безопасности. Клиенты — Verizon, Capital One и Oracle.

  • LogRhythm —  это решение SIEM, которое поддерживает мониторинг, анализ и реагирование на инциденты безопасности. Используется такими организациями, как NASA, Baylor University и Cargill.

Data Loss Prevention (DLP)

Data Loss Prevention (DLP) — это система, которая предотвращает утечку и кражу конфиденциальной информации. С помощью DLP компании могут отслеживать и контролировать данные, чтобы не допустить их неправомерного использования или передачи. 

Кроме того, система также помогает организациям соблюдать требования нормативных актов и стандартов безопасности, таких как GDPR, HIPAA, PCI-DSS и других.

Организация работы DLP процесса. Источник

Основные функции DLP

  1. Обнаружение данных. DLP сканирует и анализирует все данные в компании, чтобы определить, какие из них относятся к конфиденциальной информации. Например, это могут быть финансовая сведения, медицинские записи, данные об интеллектуальной собственности или персональные данные клиентов и сотрудников.

  2. Мониторинг данных. Система постоянно отслеживает, как данные перемещаются внутри сети компании и в облачных хранилищах, как используются на компьютерах и других устройствах. Это помогает заметить любые подозрительные действия, например, когда кто-то пытается скопировать информацию на внешний диск или отправить через незащищенные каналы.

  3. Контроль доступа. DLP управляет доступом к конфиденциальным данным на основе политик безопасности. Например, ограничивает доступ для определенных пользователей или групп.

  4. Предотвращение утечек. Если система обнаруживает попытку неправомерного использования данных, например, отправку по электронной почте или копирование на USB-накопитель, она может автоматически блокировать эти действия или ограничивать их.

  5. Анализ и отчетность. DLP поддерживает инструменты детального анализа всех инцидентов безопасности и создает отчеты, которые помогают понять, почему произошла утечка данных и как этого избежать в будущем.

  6. Уведомления и оповещения. При обнаружении подозрительных действий или попыток несанкционированного доступа к данным DLP-система отправляет оповещения ответственным лицам в режиме реального времени.

Популярные DLP-системы

  • Symantec Data Loss Prevention — комплексное решение для защиты конфиденциальных данных, включая мониторинг, контроль доступа и предотвращение утечек. Symantec DLP используется такими компаниями, как Coca-Cola, General Electric и T-Mobile.

  • Forcepoint Data Loss Prevention — инструменты для защиты данных на конечных устройствах, в сети и в облаке. Forcepoint DLP используется такими организациями, как Sony, HSBC и Deutsche Bank.

  • McAfee Total Protection for Data Loss Prevention — обеспечивает защиту конфиденциальных данных с помощью мониторинга, контроля доступа и предотвращения утечек. McAfee DLP используется такими компаниями, как Pfizer, Dell и Bank of America.

  • Digital Guardian Data Loss Prevention: Digital Guardian DLP предоставляет комплексные решения для защиты данных на конечных устройствах и в облаке. Digital Guardian DLP используется такими организациями, как Boeing, Aetna и Goldman Sachs.

Итог — сравнение систем ИБ

Система

WAF

NGFW

IAM

SIEM

DLP

Основная задача

Защита веб-приложений от атак

Фильтрация трафика, в том числе по приложениям

Управление доступом и идентификация пользователей

Мониторинг и анализ событий безопасности в реальном времени

Предотвращение утечек данных

Ключевые функции

Фильтрация запросов к веб-приложениям, предотвращение XSS и SQL инъекций, блокировка вредоносных запросов

Расширенная фильтрация по протоколам и приложениям, внедрение IDS/IPS

Аутентификация, авторизация, управление правами и учетными записями, Single Sign-On

Сбор и анализ логов, корреляция событий, предупреждения об инцидентах

Обнаружение и блокировка передачи чувствительных данных через различные каналы (email, web, etc.)

Применение

Веб-серверы и приложения

Сетевая инфраструктура — для защиты трафика

Все типы предприятий — для управления доступом к ресурсам

Компании — для соблюдения стандартов безопасности и быстрого реагирования на инциденты

Организации, которые обрабатывают чувствительные данные

Основные отличия

Защита на уровне веб-приложений

Более широкий спектр защиты на уровне сети

Фокусируется на управлении пользователями и их доступом

Используется для анализа и реагировании на события безопасности

Специализируется на предотвращении утечки данных внутри и за пределами организации

Научиться работать с системами ИБ можно на совместной онлайн-магистратуре НИЯУ МИФИ и Skillfactory «Информационная безопасность». Студенты программы учатся у экспертов из VK, «Сбера» и «Лаборатории Касперского», выполняют реальные рабочие проекты, а после выпуска могут начать карьеру пентестера, инженера ИБ или специалиста по форензике.

© Habrahabr.ru