Как работают системы ИБ: обзор для начинающих безопасников

Системы информационной безопасности — это комплекс технологий, которые защищают информацию от взлома, кибератак и других угроз утечки. Они помогают сохранить конфиденциальность персональных данных, деталей транзакций, медицинских сведений, корпоративной информации, параметров сетевой инфраструктуры и других важных данных. 

Подготовили обзор пяти основных систем ИБ для специалистов, которые планируют начать карьеру в сфере безопасности. Разбираем «на пальцах» основные компоненты и принципы их работы. 

Web Application Firewall (WAF)

WAF — это инструмент для фильтрации трафика, который работает на прикладном уровне. Он проверяет данные, передаваемые через HTTP и HTTPS, а также анализирует содержимое XML и SOAP, чтобы отслеживать и блокировать потенциальные угрозы. 

WAF обычно устанавливается перед веб-приложением и действует как щит между ним и интернетом. Если обычный прокси защищает данные пользователя, то WAF можно считать «обратным прокси»: он защищает сервер, проверяя всех, кто пытается получить к нему доступ.

От каких угроз защищает WAF

WAF активируется в ответ на различные угрозы, которые направлены против веб-сервера. Вот некоторые стандартные триггеры:

• SQL Injection (SQL-инъекция) — злоумышленник вставляет вредоносный SQL-код в запросы к базе данных, пытаясь получить несанкционированный доступ или манипулировать данными.
• Remote Code Execution (RCE, удаленное выполнение кода) — хакер пытается выполнить произвольный код на сервере или в другой уязвимой системе. Например, запустить вредоносные программы, изменить или удалить данные, получить контроль над системой и т. д. 
• Cross Site Scripting (XSS, межсайтовый скриптинг) — злоумышленник встраивает вредоносные скрипты в веб-страницы, видимые другим пользователям. Эти скрипты могут захватывать cookies, фишинговать данные или перенаправлять пользователя на вредоносные сайты.
• Cross Site Request Forgery (CSRF, межсайтовая подделка запросов) — вид атаки, которая заставляет браузер пользователя выполнять нежелательные действия на веб-сайте, на котором он аутентифицирован. Это происходит, когда пользователь уже вошел в систему (например, в свой банковский аккаунт) и одновременно посещает другой сайт, который содержит вредоносный код или ссылку.
• Remote File Inclusion (RFI, обращение к файлу на удаленном сервере) и Local File Inclusion (LFI, обращение к локальному файлу) — атаки, при которых хакеры вставляют путь к вредоносному файлу в скрипты на сервере. RFI использует внешние серверы, а LFI — файлы на сервере веб-приложения.
• Auth Bypass (обход авторизации) — использование уязвимостей ресурса, с помощью которых можно обойти процессы аутентификации или авторизации.
• Insecure Direct Object Reference (небезопасные прямые ссылки на объекты) — угроза, при которой злоумышленник может получить доступ к файлам или другим ресурсам системы напрямую, используя уязвимости в контроле входа.
• Bruteforce (подбор паролей) — множественные попытки входа с различными комбинациями паролей и логинов для получения доступа к учетной записи.
• IP spoofing (IP-спуфинг) — хакер подделывает IP-адрес пакетов данных таким образом, чтобы они казались отправленными с доверенного источника, чтобы обмануть фильтры и и получить доступ к ресурсам.
• DoS/DDoS (атака с перегрузкой трафика) — перегрузка сервера избыточным трафиком для того, чтобы сделать ресурс недоступным для пользователей.

Какие методы защиты использует WAF

Один из ключевых инструментов WAF — сигнатуры. Это определенные последовательности символов, которые межсетевой экран ищет в поступающих запросах. Если сигнатура найдена, запрос блокируется. Чем более точные и подробные эти сигнатуры, тем лучше WAF справляется со своей задачей.

Какие нюансы: база сигнатур не всегда обновляется сразу, и это может привести к тому, что некоторые новые виды атак не будут распознаны. Злоумышленники могут также незначительно изменить запросы, чтобы они не соответствовали известным сигнатурам и проходили через защиту.

Помимо сигнатур, в WAF используются правила, которые анализируют поведение запросов. Они помогают обнаруживать атаки, для которых еще не существует сигнатур. 

Создание правил — это сложный и трудоемкий процесс, поэтому для этой задачи часто используют машинное обучение. С его помощью система может дообучаться в процессе анализа данных. Кроме того, методы ML также помогают уменьшить количество ошибочных блокировок и выявлять новые типы атак.

Как работает WAF — пример

Сайт онлайн-магазина содержит форму, где клиенты вводят свои личные данные и данные кредитной карты для оформления покупки.

Предположим, что хакер пытается использовать форму заказа для отправки специально подготовленного ввода, который мог бы изменить SQL-запросы базы данных магазина. Например, он вставляет в поле ввода код, который может вывести список пользователей или даже удалить таблицы баз данных.

WAF распознает попытку SQL-инъекции, сравнивая ввод с базой данных известных атак, и блокирует этот запрос до того, как он достигнет сервера.

Next-Generation Firewall (NGFW)

Межсетевой экран — это устройство или программа, которые контролируют входящий и исходящий сетевой трафик на основе заданных правил безопасности. Это первая линия защиты в сети, которая помогает предотвратить несанкционированный доступ и защитить данные.

NGFW, или межсетевой экран нового поколения, отличается от обычных межсетевых экранов расширенными функциями. Кроме стандартной фильтрации трафика, NGFW глубоко анализирует трафик и может распознавать и блокировать сложные атаки на уровне приложений. 

Основные функции NGFW

1. Глубокая инспекция пакетов (DPI). NGFW подробно анализирует каждый сетевой пакет, включая заголовки и содержимое. Это помогает обнаружить и заблокировать вредоносные данные на всех уровнях сетевого стека. 
2. Контроль приложений. Система контролирует, какие приложения используются в сети, и управляет их интернет-трафиком. Это помогает избежать рисков, связанных с небезопасными или запрещенными приложениями, и повышает защиту данных.
3. Интеграция с системами предотвращения вторжений (IPS). NGFW включает функции IPS, которые проверяют сетевой трафик на наличие подозрительных или необычных действий. Если система обнаруживает возможную атаку, она сразу принимает меры, блокируя или перенаправляя трафик для изучения и предотвращения угрозы.
4. Фильтрация URL и контента. Система блокирует доступ к небезопасным веб-сайтам. Это предотвращает загрузку вредоносных программ и защищает пользователей от фишинговых атак.
5. Песочница (Sandboxing). NGFW может использовать технологию песочницы для анализа подозрительных файлов и программ в безопасной среде. С помощью этой функции система блокирует неизвестные угрозы до распространения по сети.
6. Антивирусная защита. Система включает антивирусные и антиспам-функции. Это создает дополнительный уровень защиты против вредоносного ПО и спама.
7. Управление политиками безопасности. NGFW предоставляет инструменты для централизованного управления безопасностью. Администраторы могут настраивать и контролировать правила доступа, фильтрации и защиты для всех устройств в сети.

Как работает NGFW — пример

Представим, что сотрудник компании решил использовать стороннее приложение X для обмена файлами. Он устанавливает приложение на рабочий компьютер и пытается подключиться к его серверу, чтобы загрузить и отправить клиенту большой файл.

NGFW определяет, что приложение X не входит в список разрешенных программ, который установил ИТ-отдел. Поэтому блокирует соединение между компьютером сотрудника и сервером X, предотвращая передачу данных. 

Сотрудник получает сообщение о том, что доступ к приложению заблокирован по соображениям безопасности. Одновременно с блокировкой соединения NGFW отправляет уведомление администратору безопасности ИТ-отдела.

Identity and Access Management (IAM)

IAM, или управление идентификацией и доступом, — это логика организации средств защиты приложений. IAM представляет собой комплекс процессов и технологий, которые помогают управлять пользователями и контролировать их доступ к ресурсам внутри информационной системы — в зависимости от роли и прав.

Какие компоненты входят в IAM и за что они отвечают

1. Управление идентификацией (Identity Management):

• Создание, управление и удаление учетных записей пользователей.
• Регистрация новых пользователей и назначение им уникальных идентификаторов.
• Обновление информации о пользователях и удаление устаревших учетных записей.
• Аутентификация пользователей с проверкой их учетных данных (пароль, биометрия и т. д.).

2. Управление доступом (Access Management):

• Предоставление или ограничение доступа к ресурсам на основе установленных политик.
• Авторизация, которая определяет, какие ресурсы и действия доступны пользователю в зависимости от его роли и прав.
• Контроль доступа, мониторинг и аудит действий пользователей.

3. Единый вход (Single Sign-On, SSO):

• Позволяет пользователям один раз аутентифицироваться для доступа ко всем разрешенным системам и приложениям.
• Улучшает удобство использования и безопасность за счет сокращения количества учетных данных.

4. Многофакторная аутентификация (MFA):

• Дополнительный уровень безопасности, который требует от пользователей несколько данных для аутентификации (например, пароль плюс SMS или биометрия).

5. Управление привилегированным доступом (PAM):

• Контролирует и отслеживает действия пользователей с правами доступа к важным системам и данным.
• Включает временное предоставление повышенных прав и аудит всех действий таких пользователей.

Как работает IAM — пример

Политика безопасности компании запрещает обычным сотрудникам устанавливать сторонние программы на рабочие компьютеры, чтобы предотвратить возможные угрозы безопасности, если их аккаунты будут взломаны. Такие права предоставляются только техническому персоналу. 

В зависимости от настроек безопасности, IAM может не допустить скачивание файла или запретить его установку. Сотрудник увидит сообщение об ошибке или уведомление о том, что у него нет прав для выполнения конкретного действия.

Security Information and Event Management (SIEM)

SIEM — это система, которая предназначена для сбора, анализа и логирования, то есть фиксации инцидентов из различных источников в режиме реального времени. 

В отличие от межсетевых экранов и WAF, которые фокусируются на фильтрации трафика и защите от атак на основе правил и сигнатур, SIEM не блокирует атаки напрямую. Система интегрирует данные из множества источников и использует аналитику, чтобы обнаружить разные типы угроз, отправить об этом оповещение и помочь провести расследование.

SIEM также используется в качестве основного инструмента Центра оперативного реагирования на инциденты (SOC). Это специальное подразделение, которое постоянно мониторит, анализирует и реагирует на инциденты информационной безопасности.

Основные функции SIEM

1. Сбор данных. SIEM системы собирают логи и события из различных источников, таких как сетевые устройства, серверы, базы данных, приложения и системы безопасности. Это информация о действиях пользователей, системных изменениях, сетевом трафике и других значимых событиях.
2. Нормализация данных. Система приводит данные к единому формату. Нормализация данных облегчает сравнение событий из различных источников и улучшает точность анализа.
3. Мониторинг и оповещение. SIEM непрерывно мониторит инфраструктуру в режиме реального времени и отправляет оповещения о каждом инциденте.
4. Анализ и расследование инцидентов. Предоставляет инструменты для детального анализа и расследования инцидентов безопасности. Пользователи могут просматривать логи и события и проводить глубокий анализ для выявления причин инцидентов и их последствий.
5. Отчеты и соответствие требованиям. SIEM генерирует отчеты, которые помогают администраторам в ручном режиме изучать информацию о выявленных угрозах, инцидентах и принимать меры по их предотвращению.
6. Автоматизация и оркестрация. Системы могут автоматизировать определенные процессы реагирования на инциденты, такие как блокировка вредоносного трафика, уведомление ответственных лиц и запуск скриптов для устранения угроз. Это помогает ускорить время реагирования и уменьшить нагрузку на команду безопасности.

Как работает SIEM — пример

Представим, что хакер использует инструмент Nmap для сканирования сети, пытаясь найти уязвимые места.

SIEM отслеживает и анализирует сетевой трафик в реальном времени и распознает типичные сигнатуры и паттерны, используемые в nmap сканировании, как аномальные. Система автоматически срабатывает на эту активность — формирует уведомление и отправляет его в центр SOC.

Команда анализирует полученные данные, подтверждает попытку несанкционированного сканирования сети и приступает к действиям по нейтрализации угрозы — например, блокирует IP-адрес хакера и усиливает мониторинг сетевого трафика.

Data Loss Prevention (DLP)

Data Loss Prevention (DLP) — это система, которая предотвращает утечку и кражу конфиденциальной информации. С помощью DLP компании могут отслеживать и контролировать данные, чтобы не допустить их неправомерного использования или передачи. 

Кроме того, система также помогает организациям соблюдать требования нормативных актов и стандартов безопасности, таких как GDPR, HIPAA, PCI-DSS и др.

Основные функции DLP

1. Обнаружение данных. DLP сканирует и анализирует все данные в компании, чтобы определить, какие из них относятся к конфиденциальной информации. Например, это могут быть финансовые сведения, медицинские записи, данные об интеллектуальной собственности или персональные данные клиентов и сотрудников.
2. Мониторинг данных. Система постоянно отслеживает, как данные перемещаются внутри сети компании и в облачных хранилищах, как используются на компьютерах и других устройствах. Это помогает заметить любые подозрительные действия, например, когда кто-то пытается скопировать информацию на внешний диск или отправить через незащищенные каналы.
3. Контроль доступа. DLP управляет доступом к конфиденциальным данным на основе политик безопасности. Например, ограничивает доступ для определенных пользователей или групп.
4. Предотвращение утечек. Если система обнаруживает попытку неправомерного использования данных, например отправку по электронной почте или копирование на USB-накопитель, она может автоматически блокировать эти действия или ограничивать их.
5. Анализ и отчетность. DLP поддерживает инструменты детального анализа всех инцидентов безопасности и создает отчеты, которые помогают понять, почему произошла утечка данных и как этого избежать в будущем.
6. Уведомления и оповещения. При обнаружении подозрительных действий или попыток несанкционированного доступа к данным DLP-система отправляет оповещения ответственным лицам в режиме реального времени.

Как работает DLP — пример

​Сотрудник отдела продаж Иван составляет коммерческое предложение. В документе содержится информация о ценообразовании продукта. Иван решает сохранить копию файла на персональный USB-накопитель, чтобы поработать дома.

Как только начинается копирование, DLP-система мгновенно реагирует. С помощью разных методов анализа, например поиска ключевых фраз и анализа контекста, система обнаруживает, что документ содержит конфиденциальную информацию. 

DLP блокирует передачу файла на внешний накопитель и отправляет уведомление Ивану о том, что действие нарушает политику безопасности компании.

Системы ИБ — сравнение