Типовые ошибки в сетевой безопасности. Как их устранить
Этой весной мы запустили сервис для проверки безопасности сетей security.ideco.ru. Сейчас он проверяет доступ к сайтам 15-и категорий (анонимайзеры, ботнеты, онлайн-казино, торренты и тп). Проверку уже прошли более 3 000 пользователей.
ЧТО ВЫЯСНИЛОСЬ?
93% сетей не блокируют категории потенциально опасных ресурсов. 97% сетей не блокируют “пожиратели трафика”. 99% межсетевых экранов не используют фильтрацию HTTPS-трафика. В 6% случаях в ответах сервисов содержится вендор используемого ПО. В 12% сетей используется Устаревшее ПО на ОС Windows.
Большая часть проверенных сетей оказалась беззащитна для веб-угроз. Почему? Например, пользователи используют традиционные концептуально устаревшие межсетевые экраны. Они не позволяют осуществлять глубокий разбор трафика и блокировать доступ к фишинговым сайтам, криптомайнерам и т.д., и не способны защитить вашу сеть от атак. Больше 70% случившихся атак — нецелевые атаки, которые происходят, когда обнаружена уязвимость в межсетевых экранах или устаревшем программном обеспечении.
ПРИМЕРЫ УСТАРЕВШИХ СРЕДСТВ ЗАЩИТЫ СЕТЕЙ:
Для справки: В прошлом году появилось множество криптомайнеров, которые не пытаются украсть информацию у пользователей, а используют его компьютер для майнинга криптовалют.
КАК ЗЛОУМЫШЛЕННИКИ НАХОДЯТ УЯЗВИМЫЕ УСТРОЙСТВА?
Оказывается, это очень просто и доступно сейчас даже школьнику. Есть несколько так называемых черных поисковиков. Например, Shodan, ZoomEye. Можно ввести название интересующего устройства или версии прошивки, а сервис в базе которого есть результаты сканирования всего диапазона IPv4-адресов, определит все устройства, с характеризующими сервер ответами (в отчете от security.ideco.ru вы увидите что "говорит" ваш интернет-шлюз).
Можно задать запрос похитрее, чтобы узнать, к примеру, версию или открытые http/ https-порты. Соответственно, если в устройствах MikroTik, например, будет обнаружена уязвимость и появится на черном рынке появится эксплойт для атаки, то легко можно выгрузить IP-адреса 1,7 млн. устройств и через несколько минут атаковать их всех. Также, там можно найти многофункциональные интернет-шлюзы. Если в их старых версиях на ftp-сервере, например или в Asterisk-е будет обнаружена уязвимость, тогда появится возможность для их взлома и доступа к локальной сети за ними.
Анонимайзеры часто используются вредоносным ПО для связи со своим командными центрами. Злоумышленники не хотя светить ботнетов, чтобы к ним не пришли спецслужбы, поэтому используют такие ресурсы. Их примитивная блокировка может существенно повысить безопасность, когда компьютер или устройство будет заражено: оно не сможет связаться со своим командным центром клиент ботнета и соответственно он ничего не будет делать, никакой водоносной деятельности не будет, а системный администратор может получить оповещение в отчетах, информацию о том, какие компьютеры попытались использовать анонимайзеры, и выяснить эту причину.
АНАЛИЗ ДОСТУПА К ВРЕДОНОСНЫМ САЙТАМ
ПОТЕНЦИАЛЬНО ОПАСНЫЕ САЙТЫ:
Для монетизации таких сайтов часто используют вредоносные скрипты заражающие компьютеры лоадерами и ботнет-клиентами.
ПОЖИРАТЕЛИ ВРЕМЕНИ И ТРАФИКА:
Такие сайты, как правило, не опасны, однако, потери рабочего времени сотрудников на них могут быть существенны, а также такие ресурсы зачастую занимают до 30% интернет-канала организаций. Кроме того, были зафиксированы случаи попадания вредоносных скриптов в рекламные сети - опасные с точки зрения мгновенного распространения компьютерных эпидемий.
КАК ЗАЩИТИТЬСЯ?
Устаревшее ПО и простые межсетевые экраны не позволяют блокировать такие угрозы. Своеобразным «ответом» на них стали универсальные шлюзы безопасности UTM или межсетевые экраны нового поколения NGFW. Помимо функций межсетевого экранирования в них есть новые модули глубокого анализа трафика, авторизации пользователей, публикации ресурсов:
контент-фильтр позволяет защититься от веб-угроз;
модуль предотвращение вторжений с помощью глубокого анализа трафика может заблокировать те же анонимайзеры, командные центры ботнетов и др. угрозы;
модуль контроля приложений блокирует трафик по приложениям.
Теперь вы как администратор можете заблокировать, к примеру, торренты, TOR, мессенджеры тем пользователям, которым они не нужны. Кстати, программы удаленного доступа к компьютеру (например, TeamViewer), злоумышленники часто используют с помощью методов социальной инженерии: они заставляют пользователей дать доступ к компьютеру обманным путем, представляюсь по телефону сотрудниками технической поддержки и т.п. способами. С помощью модуля контроля приложений можно запретить доступ подобного ПО на сетевом уровне, при этом даже portable-приложение работать не будет.
ЧТО ВЫБРАТЬ?
Самый простой способ обеспечить безопасность сетевого периметра и блокировки подобных угроз – установка UTM или NGFW решения в качестве основного шлюза. Тогда из интернета будет допущен только хороший трафик. Фишинг, шпионское ПО, реклама и тп сайты будут заблокированы. Всё, исходящее из локальной сети, будет контролироваться модулем контроля приложений. Антивирус проверит веб-трафик на присутствие вредоносных скриптов, а контент-фильтр не допустит попадания пользователей на запрещенные администратором категории сайтов.
При этом вы можете использовать несколько шлюзов. К примеру, «MikroTik» может обеспечить маршрутизацию трафика и VPN-связь с вашими удаленными офисами. Вы можете использовать первый шлюз и за ним, соответственно, второй шлюз (UTM-решение) и обеспечивать более глубокий анализ трафика. Могут быть различные конфигурации связанные с ядром сети, расположением UTM-решения в демилитаризованной зоне, перенаправлением туда части трафика. Один из таких способов —интеграция в сеть такого решения, как прокси-сервера. При этом, текущей роутер остаётся тем же самым, он маршрутизирует ваш трафик (промышленный, технический), а UTM-решение выступает в качестве прокси и фильтрует весь опасный интернет-трафик.
КОНТЕНТНАЯ ФИЛЬТРАЦИЯ В IDECO UTM
URL-фильтрация по 143 категориям и более 500 млн URL.
Блокировка веб-прокси и анонимайзеров.
Антивирусная проверка веб-трафика.
Мониторинг и отчетность по посещенным ресурсам.
Особенность нашего решения — это российская URL-база контентной фильтрации. Она высокорелевантна для русскоязычных сайтов и независима от санкций. Мы являемся технологическим партнером российской компании, которая создает эту базу с помощью технологий искусственного интеллекта и машинного обучения.
ШПИОНСКИЕ САЙТЫ
Около 30% трафика приходится на сайты, которые шпионят за пользователем и аналитические системы, которые продают информацию сторонним организациям. Зайдите на любой информационный сайт. Откройте «Инструмент разработчика». В браузере вы увидите, к каким сайтам и доменам обращается данный портал и как долго происходит это обращение.
Лет 15 назад было бы открыто лишь несколько html-файлов и загружено пара картинок. Сейчас мы видим, что портал создает десятки подключений к различным ресурсам. Помимо основного домена, на который зашел пользователь, это службы доставки контента, счетчики, аналитические системы и многое другое. На потенциально опасных сайтах (порнографических) вы можете увидеть огромное количество подключений к сторонним, зачастую очень опасным ресурсам и соответственно множество возможностей для злоумышленников попытаться заразить ваш компьютер.
ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ В IDECO UTM ПОЗВОЛЯЕТ ЗАБЛОКИРОВАТЬ:
Командные центры ботнетов.
DoS-атаки на сервер.
Телеметрию Windows и трафик шпионского ПО.
Опасные страны и ресурсы по IP Reputation и GeoIP.
Есть еще один простой способ защиты – это DNS-фильтрация. Он обеспечивает базовую фильтрацию трафика и возможна при использовании любого решения. В Ideco UTM возможна интеграция с данным сервисами для еще большей безопасности.
Как это работает?
Вы прописываете на своём устройстве (серверах , DNS-сервере, пограничном маршрутизаторе) DNS-адреса специальных сервисов. Например, SkyDNS. И запросы к ресурсам начинают фильтроваться на уровне DNS-запросов.
Главный недостаток подобных сервисов - доступ блокируется для всех устройств сразу и нет возможности управлять им на уровне пользователей и получать индивидуальную статистику. Кроме того, это совсем базовая фильтрация - без какой-либо проверки входящего и исходящего трафика.