Как стать автором
Обновить
Привет, Хабр! Меня зовут Александр Пономарев, я руковожу департаментом ИТ-решений и продуктов информационной безопасности ВымпелКома. Хочу рассказать, как сделали сервис обнаружения киберугроз для среднего и крупного бизнеса, вначале протестировав его на своей инфраструктуре. Подробности под катом.
Читать далее
Всего голосов 24: ↑20 и ↓4 +16
Комментарии 25

Комментарии 25

Берётся API от NGFW, SIEM, AV, etc. «Рисуется» красивая обёртка с логотипами. Profit.
По факту весь защищаемый трафик еще и попадает в руки сторонней Group-IB.
А вы уверены, что средний бизнес сможет все это развернуть и поддерживать самостоятельно?
В большинстве своем не сможет как закупить, внедрить, так и поддерживать (удерживать квалифицированные кадры).
Но здесь я говорю про то, что крупный бизнес (в лице авторов поста) малыми со своей стороны усилиями предоставляет сервис с сомнительной практической пользой.
Решение, о котором мы рассказали, запущено совместно с Group-IB. Threat Hunting Framework (THF) не является NGFW, SIEM, AV. Комплекс в своем роде уникальный, он разработан для обнаружения неизвестных ранее угроз и целевых атак, блокировки задетектированных угроз и предоставления автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра компании.

Новая услуга «Защита от киберугроз» реализует нетривиальный формат поставки решения: нашему клиенту не нужно устанавливать никаких аппаратных или программных модулей на своей стороне для того, чтобы обеспечить кибербезопасность уровня Enterprise. Сервис подключается прозрачно и реализуется на облачных вычислительных мощностях Билайн Бизнес. По факту весь защищаемый трафик не выходит за границы инфраструктуры сети MEN ПАО «ВымпелКом».
Текст без изменений можно на брошюрки рекламные перепечатывать. Вы бы хотя бы технаря писать ответы посадили, а не продажника.

Сам продукт может и не являться ни одним из вышеперечисленных решений. Однако назначением SIEM как раз и есть выявление аномалий в функционировани информационной системы на основании данных от систем защиты — IPS/IDS, файрволы, сэндбоксы и т.д. Аномалии — как раз и есть те самые неизвестные угрозы и целевые атаки. Потому, из описания, этот THF и выглядит как комплекс решений во главе с SIEM и продвинутым sandbox в ядре.

Если позволите два вопроса:
— сканируется как я понимаю не только почта, но и интернет трафик? Тогда какой процент трафика (а он зачастую шифруется) доступен вам для анализа?
— если вы запускаете объекты в песочнице (кстати — есть полный их список?), то какова задержка получения письма или открытия сайта?
«Защита от киберугроз» включает 2 пакета – «Стандартный» и «Расширенный». В рамках первого клиентам предоставляется защита почты: мониторинг писем на вредоносные программы, блокировка фишинговых ссылок и возможность использовать запатентованную технологию «детонации» подозрительных файлов в изолированной среде, вызывая его максимально полное выполнение для извлечения индикаторов атаки и дальнейшего исследования обнаруженной угрозы.

В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.

Если речь идет о списке «песочниц», то это программно-аппаратный комплекс детонации вредоносного кода, который называется Polygon. Если данная услуга подразумевает фильтрацию почтового трафика (inline-режим), то уникальные файлы задерживаются в анализе на 2-3 минуты.
В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.

еще раз — как это работает, при условии, что весь клиентский трафик HTTP уже зашифрован TLS, вся почта тоже уже ходит по TLS????

Судя по описанию это исключительно мониторинговый сервис. Не совсем понятно в чем его смысл — сообщить клиенту что его атаковали и, более того, успешно? Не спорю знать о том что произошло проникновение в ИС, о внедрении потенциально опасного ПО, это лучше чем ничего, но в современном мире получить уведомление «вас только что взломали» может быть полезно только в случае наличия у клиента высококваллифицированной службы информационной безопасности (надо ещё учитывать что персонал этой службы будет работать в режиме «вечного» разгребания последствий атаки, а не предотвращения их). Некоторое время назад был опрос, в рамках которого изучалось время, в течении которого, служба ИБ может осуществлять защиту ИС в ручном режиме. Лучший результат был около 36 часов — дальше людям надо и поспать и поесть.
Если вчитаться по ссылке, то можно понять, что служба реагирования существует — у Group-IB. Только нигде не опубликованы метрики, как быстро будет реакция и будут ли что-либо предотвращать вообще, превентивные меры.
Ну собственно в этом и был мой вопрос. Что касается «службы реагирования», что Group-IB (они даже в большей степени), что лбая другая команда, либо будет стоить неподьемных для конечного клиента денег, либо толку от неё не будет вовсе. Для того чтобы адекватно реагировать, мало иметь подготовленных специалистов, мало иметь в наличии комплект «инструментов» (тоже надо сказать не дешёвых) и даже наличие возможности быстро доставить эти инструменты к клиенту так же мало. Надо ещё иметь возможность их адекватного применения, а это невозможно сделать без знания ИС заказчика, его сервисов и так далее. А вот это уже стоит совсем других денег, в отличии от пассивного мониторинга траффика. И без этого знания все действия по устранению угрозы (а в данном случае ещё и последствий, так как атака то прошла) будут не более чем театральной постановкой с закатыванием глаз и разведением рук. Вообще эта история выглядит как «сговор» в целях рекламы обоих участников с последующим «разводом» клиента уже совсем на другие деньги, причём лёгкого — клиент уже достаточно напуган и готов на все. Причём надо понимать, что реализовать все тоже самое, но с активной блокировкой угроз, не бог весть какая сложная техническая задача.
Здесь нужно искать золотую середину. Большинство аутсорсеров будут работать спустя рукава, а развитие внутри компании своей команды потребует не малых затрат, т.к. квалифицированных сотрудников нужно будет ещё и удерживать.

Момент такой что если усложнять защиты всякие, то со временем найдётся и на них опытные специалисты, либо же сами бывшие разработчики которые решат хакнуть эту же защиту. Ведь прецеденты уже были и не раз.

Предлагаете все открытым сделать, чтобы хакеры особо и не парились-то?
Можно про прецеденты подробнее, пожалуйста. Я вот что-то не слышал, когда разрабы сами взламывали. Мотивации, если честно, не особо понимаю
Сервис развернут на облачных вычислительных мощностях Билайн Бизнес в ЦОДе, спроектированном в соответствии со стандартами Uptime Institute и сертифицированным по уровню Tier III.

Мне было бы спокойнее, чтобы сервис был в 2 ЦОД минимум. Почему? Да потому что Tier III ничего не значит — их, во-первых, три типа сертификации, а, во-вторых, была уже история, когда Xelent в Петербурге прилёг
https://m.fontanka.ru/2018/02/16/119/
Tier III говорите?


Запущенный совместно с партнёром сервис сканирует весь сетевой трафик, в том числе электронную почту, и обнаруживает все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки, замаскированные под легитимные действия.

Ничего не понял. Объектами защиты является что? Ставятся какие-то агенты на оконечные узлы? Или защита просто подключается в ЛК и снифает весь сетевой трафик клиента? Но что делать, если весь трафик шифрованный — vpn, IPSec, https/tls etc.? Или предполагается, что клиент Билайна сдаст все ключи шифрования?

Tier — целостность и доступность, не конфиденциальность же.

Ответ не по существу. Я прекрасно понимаю, что такое Tier. Еще раз — даже Tier III датацентры умудряются падать (пример я привел). Как будете избегать такой ситуации? Вариантов кроме размещаться во втором ЦОДе — я не вижу. И строить архитектуру системы с учетом этого.


По второму (будут ли сданы ключи шифрования трафика) — я тоже ответа не получил

Пассивный мониторинг траффика врядли требует резервирования, все равно сигнализация об нарушении защиты будет получена уже после того как защита будет нарушена и, с большой вероятностью, уже по другим вектрам будет осуществлена атака уже из ИС, в обход сенсоров на стороне оператора. Я уж не говорю о том что размещение сенсоров подобного рода на стороне оператора закрывает один из множества путей для проведения атаки.
Про первое — согласен. По второму не отвечу — я не автор статьи и не имею к сервису никакого отношения.

ок, принято, спасибо

Кто нибудь, скиньте это главе ИБ РЖД
Насколько я понял, ответа на вопрос «как вы умудряетесь анализировать шифрованный трафик» не будет.

Вариантов всего два — или сервисы располагают соотв. сертификатами (могут всё дешифровать) — т.е., вся секретность скомпрометирована — или же шифрованный трафик осмысленному анализу не поддаётся (т.е. судить можно только по адресам, которые им обмениваются).
Отечественный «anyrun» чи шо?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий