Александр Захаров, директор департамента методологии компании «Код Безопасности»
Для любой финансовой организации критичной информацией, нуждающейся в качественной защите, в первую очередь, являются данные об операционной деятельности (счета, проводки, финансовые отчеты и т.д.). Кроме этого, обрабатывая идентификационные данные, номера счетов, финансовые показатели, банк также является оператором персональных данных (ПДн) своих клиентов, которые могут храниться и обрабатываться в любом сегменте, узле, приложении или компьютере сети организации, и которые также необходимо защищать.
Однако помимо построения эффективной системы защиты ПДн в соответствии с требованиями регуляторов (ФСТЭК России и Банка России), банку также необходимо соблюдать требования принятых банковских стандартов (PCI DSS, СТО БР). В свете принятых Правительством РФ поправок в ФЗ-152 «О персональных данных», где закреплены статус персональных данных и требования по их защите со стороны обрабатывающих их организаций, этот вопрос для любой организации становится особенно актуальным.
Традиционные СЗИ не гарантируют 100-процентной защиты
Традиционные подходы к безопасности работают далеко не всегда. Как известно, ни одно средство не гарантирует 100%-ной защиты информации, поэтому для обеспечения сетевой безопасности используются различные типы средств: брандмауэры и прокси-серверы - для защиты периметра, серверные и персональные средства безопасности, специальные средства используются также для обнаружения атак и утечек данных и защиты виртуальных сетей. Также в любой сети, как правило, используются политики безопасности для управления учетными записями пользователей и компьютеров.
Но даже при наличии всех традиционных средств защиты существуют угрозы, от которых сеть не застрахована и которые реализуются благодаря недостаткам или особенностям проектирования тех или иных традиционных средств защиты информации (СЗИ). Например, межсетевой экран может надежно защищать от проникновения внутрь сети, но не препятствует передаче данных во внешнюю сеть. Кроме того, он не препятствует работе во внутренней сети всевозможных мобильных устройств, так как трафик этих устройств не проходит через межсетевой экран. Вследствие этого наблюдается так называемое «исчезновение периметра» сети. Антивирус является средством «реактивной защиты», зависящим от частоты обновлений баз сигнатур вредоносного ПО. Персональные СЗИ от НСД не всегда блокируют съемные носители и сетевые USB-устройства. Что касается СОВ, то зачастую среди всей регистрируемой ими информации бывает сложно выделить критичные события, и они не всегда понимают атаки на прикладные программы. К тому же сложные IDS и DLP-системы требуют наличия специально обученного персонала и больших материальных затрат на администрирование и обновление таких решений.
Кроме того, всегда существует вероятность кражи информации со стороны сотрудников организации – инсайдеров.
Таким образом, вероятность несанкционированного доступа к внутренней сети предприятия злоумышленником, который ищет доступные ресурсы компании, существует даже при использовании комплекса традиционных СЗИ. При этом утечка конфиденциальной информации может повлечь за собой не только значительные финансовые, но и более тяжелые репутационные риски.
Именно поэтому в различных организациях все большей популярностью пользуются Honeypot-системы - системы раннего обнаружения и предотвращения атак, работающие на основе косвенных признаков (поведения информационных систем и пользователей), и способные противостоять не только известным, но и новым угрозам.
Что такое Honeypot?
Идея Honeypot-системы проста и известна с давних времен – нарушителя ловят на приманку. В локальной сети размещается легкодоступная и привлекательная для нарушителя цель, внешне неотличимая от реальных ресурсов, единственное предназначение которой – попасться на глаза нарушителю, спровоцировать его на неправомерные действия и сообщить «куда следует» о факте «контакта».
Другими словами, Honeypot – это система обнаружения попыток несанкционированного доступа к информационным ресурсам. Honeypot-система имитирует работу реальной системы, являющейся потенциальной целью атак и несанкционированного доступа, отвлекает на себя внимание и ресурсы нарушителя, фиксирует все его действия и информирует службу безопасности о фактах нарушений. При этом в зависимости от типа Honeypot-системы, имитироваться могут любые системы, служащие потенциальными объектами для атак: сервера, базы данных, сетевые сервисы, файловые ресурсы и т.д.
Преимущества использования honeypot-систем
Технология Honeypot является одной из наиболее эффективных и доступных средств раннего предупреждения, обнаружения и противодействия атакам на сетевые ресурсы.
Преимущества Honeypot-систем определяются самим принципом их работы. Прежде всего, это практически полное отсутствие ложных срабатываний. Так как Honeypot лишь имитирует реальную систему и к нему не обращаются ни реальные пользователи сети, ни легальные сетевые приложения, то любая активность на Honeypot или попытка обращения к этой системе является несанкционированной и свидетельствует либо об атаке, либо об исследовании сети с целью найти уязвимые места в ее защите.
Отсюда следует еще одно преимущество Honeypot-систем - обнаружение новых типов атак, так как активность на ловушке регистрируется независимо от типа атаки.
Honeypot-система позволяет снизить риск сетевых атак на реальные системы, предупреждая, обнаруживая и протоколируя деятельность нарушителя. Установленная и грамотно настроенная Honeypot-система отвлечет внимание и ресурсы нарушителя от реальных систем, позволит выявить попытку атаки, предоставит информацию для ее изучения и даст дополнительное время для принятия адекватных мер защиты.
Определение факта атаки является важнейшим моментом для администраторов, так как позволяет оперативно принять меры противодействия. Кроме этого, Honeypot-система сохраняет следы воздействия злоумышленника и позволяет получить информацию, необходимую для изучения поведения, методов и инструментария нарушителя. Атакованную Honeypot-систему можно спокойно отключить и передать для анализа собственным или внешним специалистам по информационной безопасности, что обычно невозможно для реального сервера корпоративных приложений. По оставленным нарушителем «следам» можно узнать об используемых им методах и средствах атаки, а также сделать выводы о целях атаки. При этом важной особенностью Honeypot-систем является фиксация сравнительно небольшого количества информации, которую нужно изучать при расследовании инцидента. Реальные системы сети протоколируют целый массив информации, поэтому расследование инцидентов ИБ на основе логов многочисленных сетевых приложений и систем является довольно трудоемкой задачей. Honeypot-система, напротив, содержит только нужную информацию, связанную с фактами нарушений, т.к. никакой легальной активности на нем не происходит.
Honeypot Manager – сертифицированный продукт для защиты от несанкционированного доступа
Honeypot Manager разработки компании «Код Безопасности» представляет собой готовую к использованию Honeypot-систему, имитирующую сетевые бизнес-приложения с подставными данными. Honeypot Manager позволяет обнаруживать вторжения нарушителей в локальную вычислительную сеть банка и анализировать их действия без снижения производительности реальных систем хранения и обработки данных, а также без непосредственной угрозы потери ценной информации.
Honeypot Manager регистрирует любые действия в контролируемом приложении, которое фактически является специальным сенсором-ловушкой, проводит регулярный аудит собранных данных и анализирует их на соответствие настроенным правилам уведомлений. Результаты анализа активности регистрируются в журнале в виде сообщений о фактах несанкционированного доступа (НСД) с указанием информации о компьютере и учетной записи потенциального нарушителя, времени и характере доступа, а также могут отправляться по электронной почте для уведомления заинтересованных лиц.
Все записи аудита хранятся в отдельной базе данных и доступны для последующего анализа даже в случае порчи сенсора нарушителем или краха системы. Настроенная система отчетов на основе Microsoft SQL Server Reporting Services позволяет производить анализ активности и видеть статистику работы системы. Honeypot Manager также имитирует работу приложений, используемых, в том числе, для обработки и хранения персональных данных и конфиденциальной информации – баз данных и файловых серверов. Поддерживается имитация как двух-, так и трехзвенных приложений баз данных. Honeypot Manager значительно снижает риск несанкционированного доступа к конфиденциальной информации и позволяет использовать полученную с его помощью информацию для построения более эффективных и надежных систем защиты реальных приложений и сетей.
Преимущества Honeypot-систем для организаций финансового сектора
Honeypot Manager позволит своевременно выявить попытки несанкционированного доступа к критичным для банка ресурсам (базам данных и файловым серверам) и принять необходимые меры по устранению или снижению рисков потери или кражи конфиденциальной информации или выведения из строя бизнес-приложений. Honeypot Manager имеет сертификат ФСТЭК России, подтверждающий его соответствие требованиям по 4 уровню контроля отсутствия НДВ и возможность применения продукта для защиты персональных данных в ИСПДн до первого класса (К1) включительно.
Honeypot Manager также поможет выполнить требования, предъявляемые к банкам Международным стандартом безопасности данных индустрии платежных карт PCI DSS и стандартом Банка России СТО БР (подробнее – на сайте производителя)
Honeypot Manager предоставляет возможность компенсировать слабые стороны и недостатки традиционных средств защиты, таких как межсетевой экран, IDS-системы и СЗИ от НСД.
Применение Honeypot Manager позволит снизить финансовые и репутационные риски, возникающие в виде штрафов и/или остановки деятельности финансовой организации по результатам проверок уполномоченных органов, в том числе в части защиты персональных данных.
