В 2016 году компания Fortinet запустила собственную программу оценки киберугроз Cyber Threat Assessment Program (CTAP). Она предоставляет заказчику подробный отчет о текущем состоянии корпоративной сети, охватывающий ключевые угрозы информационной безопасности и включающий данные о производительности и эффективности. CTAP позволяет выявить потенциальные уязвимости и скорректировать политику безопасности организации до наступления инцидентов безопасности.
1. Как работает Cyber Threat Assessment Program
2. Структура отчета Cyber Threat Assessment Program
3. Безопасность и предотвращение угроз
3.2. Использование уязвимостей приложений
3.3. Вредоносы, ботнеты, шпионские и рекламные программы
3.4. Небезопасные устройства и хосты
4.2. Применение веб-технологий
4.3. Анализ файлов в «песочнице»
5. Производительность и использование сети
Как работает Cyber Threat Assessment Program
Невозможно защитить себя от того, что неизвестно. Возможности злоумышленников, рост числа угроз безопасности, неправомерные действия пользователей внутри сети — все это делает вопросы кибербезопасности приоритетными. Кроме того, в условиях жесткой нормативно-правовой среды информационная безопасность — это не только проблема в рамках информационных технологий, но и критически важная часть ведения всего бизнеса.
Первым шагом к достижению устойчивого плана информационной безопасности является выявление угроз и количественная оценка рисков. Сосредоточенность на наиболее критических уязвимостях позволит сэкономить время и деньги.
Участие в программе CTAP не требует со стороны заказчика никаких финансовых вложений — аудит проводится бесплатно. С ноября 2016 года Fortinet осуществляет свою работу в рамках CTAP на территории Российской Федерации.
Для участия в программе необходимо заполнить анкету на сайте Fortinet. В сотрудничестве с ключевыми партнерами компания Fortinet на срок до семи дней устанавливает в пределах корпоративной сети заказчика межсетевой экран нового поколения FortiGate, отслеживающий сетевой трафик, показатели производительности, активность приложений и пользователей, события безопасности, а также предотвращающий попытки получения доступа злоумышленниками к наиболее важным файлам и информации из баз данных. Процессор FortiASIC на платформе FortiGate реализует аппаратное ускорение механизмов обработки пакетов и проверки содержимого сетевого трафика, таких как антивирусная защита, контроль приложений, система предотвращения вторжений (Intrusion Prevention System, IPS), межсетевое экранирование.
FortiGate настраивается в сети заказчика либо inline, либо через порт зеркалирования трафика (Span Port) коммутатора локальной сети; при этом не нарушается нормальная работа пользователей и приложений.
Собранные данные обрабатываются системой централизованного управления событиями FortiAnalyzer, которая развернута в облаке компании, для получения количественной оценки и анализа сетевого трафика, отображения сведений о вторжениях, функционировании вредоносных приложений и прохождении вредоносных файлов, которые могут представлять риск для сети заказчика. Глубокий анализ возможных угроз опирается на опыт исследовательской группы FortiGuard Labs.
По результатам анализа заказчику предоставляется отчет об оценке риска (CTAP Risk Assessment Report), содержащий подробные рекомендации по устранению уязвимостей сети, выявленных в процессе проверки. Отчет содержит информацию о сетевых операциях, приложениях удаленного доступа и средствах обхода существующих мер защиты, обнаруженных вредоносных программах и файлах, предотвращенных атаках, зафиксированных обращениях к вредоносным и фишинговым веб-сайтам, а также использовании сетевых протоколов и облачных сервисов (SaaS и IaaS) в графическом представлении.
Структура отчета Cyber Threat Assessment Program
Отчет разбит на несколько разделов. Вводная часть содержит информацию о дате и месте проведения исследований, их продолжительности, а также описание средств защиты информации, применяемых на межсетевом экране FortiGate. Далее следует перечень рекомендованных действий, позволяющих повысить безопасность конкретной сети. Сюда входят действия, направленные на усиление контроля за недоверенными приложениями, потреблением ими ресурсов сети, предотвращение обхода политик безопасности. Немаловажным моментом является описание средств защиты информации, позволяющих обеспечить безопасность сети от киберугроз и сложных атак.
Анализ сети занимает значительную часть отчета и приведен в трех разделах:
- раздел «Безопасность и предотвращение угроз» содержит информацию о выявленных уязвимостях приложений, которые можно использовать для проведения кибератаки, об обнаруженных вредоносных программах и ботнетах, а также оценку работы межсетевого экрана и вероятность нарушения правил безопасности;
- раздел «Активность пользователей» описывает функционирующие приложения пользователей, социальные сети, P2P, обмен мгновенными сообщениями;
- раздел «Производительность и использование сети» приводит информацию о том, как надо оптимизировать средства безопасности для оптимальной работы в сети заказчика на основании пропускной способности сети, пиковых нагрузок, требованиях к объему трафика, тестах мониторинга и производительности.
Рассмотрим результаты исследований на примере отчета CTAP.
Безопасность и предотвращение угроз
Небезопасные приложения
Исследовательская группа FortiGuard присваивает приложению оценку риска от 1 до 5 на основании применения поведенческих характеристик. Такая оценка позволяет администраторам быстро идентифицировать небезопасные приложения и скорректировать политику управления приложениями. Для каждого небезопасного приложения приводится подробная информация, позволяющая в том числе определить пользователя, инициировавшего нарушение безопасности сети.
Рисунок 1. Приложения с высокой оценкой риска
Как видно из представленного рисунка, за небезопасные приложения принимаются анонимайзеры, ботнеты, приложения удаленного доступа, а также персональные VPN-клиенты.
Использование уязвимостей приложений
Уязвимости приложений могут быть использованы для проникновения в сеть. Исследовательская группа FortiGuard анализирует шаблоны трафика приложений и уязвимости приложений, а затем разрабатывает сигнатуры для предотвращения эксплойтов.
Рисунок 2. Список идентифицированных уязвимостей
Вредоносы, ботнеты, шпионские и рекламные программы
Существуют многочисленные каналы, которые злоумышленники используют для распространения вредоносов. Наиболее часто пользователя мотивируют открыть зараженный файл во вложении электронного письма, загрузить зараженный файл или пройти по ссылке, ведущей на вредоносный сайт. В ходе оценки безопасности Fortinet выявляется ряд вредоносных программ и ботнетов, связанных с событиями загрузки вредоносных файлов или подключения к серверам управления ботнет-сетью.
Рисунок 3. Обнаруженные вредоносные программы, ботнеты, шпионские и рекламные вредоносы
Небезопасные устройства и хосты
По результатам анализа деятельности, проявляемой отдельным хостом или устройством, составляется предположение о надежности каждого пользователя. Эта репутация основывается на ключевых факторах, таких как посещаемые веб-сайты, используемые приложения, маршруты передачи информации. В итоге создается общая оценка угрозы по агрегированной активности для каждого отдельного узла сети.
Рисунок 4. Список устройств, которые должны быть проверены на наличие вредоносных программ и уязвимостей
Активность пользователей
Использование программ
FortiGuard классифицирует приложения по различным категориям в соответствии с применением поведенческих характеристик, лежащих в основе технологии, а также связанных с ними характеристик передаваемого трафика. Категории позволяют лучше управлять приложениями.
Рисунок 5. Категории приложений
Отчет об используемых приложениях дает ценную информацию о том, насколько эффективно работает корпоративная сеть. Определенные типы приложений (такие как P2P или игровые приложения) не всегда разрешены в корпоративной среде и могут быть заблокированы или ограничены администратором. Другие приложения могут иметь двойное назначение (например, видео- и аудиопотоки или приложения социальных сетей) и должны управляться соответствующим образом. Круговые диаграммы иллюстрируют категории приложений, упорядоченные по используемому объему трафика в период наблюдения за сетью.
Рисунок 6. Социальные сети
Рисунок 7. P2P приложения
Рисунок 8. Потоковое видео/аудио
Рисунок 9. Игровые приложения
Применение веб-технологий
Активность пользователей на веб-страницах может свидетельствовать не только о неэффективном использовании корпоративных ресурсов, но и о неэффективной политике веб-фильтрации. Представление об общих просмотрах веб-страниц корпоративными пользователями помогает администраторам определять и соблюдать руководящие корпоративные принципы.
Рисунок 10. Перечень веб-категории
В современных сетевых средах многие приложения используют протокол HTTP для взаимодействия и обмена информацией. Основным преимуществом такого сетевого взаимодействия является то, что HTTP применяется повсеместно, является общепринятым и (обычно) разрешен для использования на большинстве межсетевых экранов периметра сети. Для большинства связанных с бизнесом приложений это, как правило, увеличивает обмен полезной информацией. Однако некоторые нелегитимные приложения используют HTTP в непродуктивных целях, создавая дополнительный канал для проникновения угроз.
Рисунок 11. Перечень веб-приложений
Анализ веб-ресурсов является показателем того, как сотрудники используют корпоративные ресурсы и как приложения взаимодействуют с определенными веб-сайтами. Анализ доступных доменов может привести к изменениям в корпоративной инфраструктуре и политике: далее могут последовать, к примеру, блокирование веб-сайтов, глубокий анализ облачных приложений и внедрение технологий ускорения и кеширования веб-трафика.
Рисунок 12. Перечень веб-доменов
Анализ файлов в «песочнице»
Всё большее и большее количество организаций подвергаются целенаправленным атакам, направленным на обход традиционных средств защиты.
Текущая версия программы CTAP позволяет также проводить инспекцию подозрительных файлов в облачной «песочнице» компании FortiSandbox Cloud и получать статистику данного анализа.
Рисунок 13. Результаты анализа файлов в песочнице FortiSandbox Cloud
Производительность и использование сети
Основные статистические показатели производительности делают акцент на использование межсетевого экрана FortiGate в корпоративной сети заказчика.
Анализ загрузки центрального процессора (ЦП) FortiGate часто используется для принятия окончательного решения о возможности построения защиты на базе платформы от Fortinet. Глядя на статистику почасовой загрузки ЦП, можно легко получить представление о том, как FortiGate будет функционировать в целевой сети. Как правило, в сетях с высокой пропускной способностью генерируется большее число записей электронных журналов. Если 90% ЦП или более используется в течение длительного периода времени, то для окончательной реализации системы безопасности требуется либо новая модель межсетевого экрана, либо изменение архитектуры вычислительной сети.
Рисунок 14. Средняя загрузка ЦП по часам
Аналогичным образом использование памяти с течением времени является показателем устойчивости FortiGate в целевой сетевой среде. Использование памяти может оставаться высоким даже при относительно низкой пропускной способности из-за журналирования в течение долгого времени.
Рисунок 15. Среднее использование памяти по часам
Выводы
Cyber Threat Assessment Program (CTAP) — это эффективный, быстрый, а главное бесплатный способ оценить уровень информационной безопасности корпоративной сети организации с помощью программно-аппаратного комплекса компании Fortinet. Такой внешний аудит позволяет определить, насколько эффективна текущая защита корпоративной сети и какие угрозы остаются незамеченными. В отчете CTAP наглядно показано, как пользователи используют вычислительные мощности сети и как это может привести к нарушению информационной безопасности.
Компания Fortinet гарантирует, что при реализации рекомендованных в отчете CTAP мер информационная безопасность организации на уровне сети будет соответствовать лучшим мировым практикам. Имея возможность провести глубокий анализ существующих или возможных угроз, клиенты получают четкую оценку рисков для их конкретной сетевой инфраструктуры и узнают, какие действия нужно предпринять в первую очередь, чтобы снизить риски и защитить критически важные активы.