В мире информационной безопасности набирают популярность решения для согласованного и автоматизированного реагирования на инциденты (Security Orchestration, Automation and Response). Компания «Юзергейт» предлагает использовать её флагманскую разработку — UserGate 5 — для воплощения этой концепции. Рассмотрим, как можно реализовать соответствующие функции с помощью NGFW-продукта от российского вендора.
- Введение
- 1.1. Определение SOAR
- 1.2. Согласование (оркестровка)
- 1.3. Автоматизация
- Реагирование
- Реализация функций SOAR в UserGate
- 3.1. Создание сценариев и их обязательные параметры
- 3.2. Примеры возможных сценариев
- 3.3. Линейка продуктов UserGate 5
- Выводы
Введение
Как известно, злоумышленники постоянно ищут новые способы атак. Для кого-то обнаружение брешей в безопасности является простым хобби или представляет спортивный интерес, для других это — основной источник дохода. Так или иначе, поиск путей компрометации данных ведётся непрерывно, используемые методы становятся всё хитроумнее и изощрённее, а найденные изъяны почти сразу становятся достоянием общественности.
Если время — деньги, то утечка информации — их потеря с каждой секундой бездействия. В наши дни человек уже не может конкурировать с компьютером в скорости, а иногда — и в качестве принимаемых решений. Неудивительно, что в области борьбы с киберугрозами, где быстрая реакция очень важна, корпоративные службы ИБ стали всё больше полагаться на средства автоматизации.
В последние годы заметную популярность у специалистов по кибербезопасности приобрела концепция SOAR — Security Orchestration, Automation and Response. По расшифровке аббревиатуры можно понять, что в её основе лежит согласованное и автоматизированное реагирование всех средств защиты на подозрительную активность.
Российская компания «Юзергейт» предлагает использовать для реализации функций SOAR межсетевой экран нового поколения UserGate 5.0. Мы попробуем разобраться в том, что такое SOAR-системы, и понять, действительно ли NGFW-решение отечественного разработчика отвечает тем принципам, на которых основываются подобные платформы.
Определение SOAR
Чуть более двух лет назад компания Gartner прогнозировала, что к концу 2020 года 15% организаций, в которых отдел информационной безопасности состоит из более чем пяти сотрудников, будут использовать инструменты SOAR. Тогда, осенью 2017 года, эту технологию внедряло менее 1% предприятий.
Что же такое SOAR, и почему эти системы сейчас так актуальны?
Рисунок 1. Общий принцип работы SOAR по определению Gartner
Устройства SOAR позволяют сводить воедино данные об угрозах безопасности из разных источников, выявлять риски, давать им оценку и автоматически обеспечивать на основе собранных сведений адекватный и своевременный ответ, защищая инфраструктуру на самой ранней стадии появления аномальной активности.
Рисунок 2. Эволюция систем SOAR в период с 2015 по 2017 г.
Согласование (оркестровка)
Gartner рассматривает оркестровку как способность координировать принятие обоснованных решений, а также формализовывать и автоматизировать ответные действия, основанные на определении степени риска и контекста. SOAR организует сбор предупреждений, оценивает их значимость, управляет реагированием на инциденты и их устранением, а также «ведёт» весь процесс.
Допустим, на корпоративную электронную почту поступило сообщение, которое вызывает у сотрудника опасения. Процесс обработки такого предупреждения можно условно разделить на три этапа.
- Пользователь сообщает в оперативный центр обеспечения безопасности (SOC) о подозрительном электронном письме, которое, по его мнению, нуждается в дополнительной проверке.
- С помощью средств DNS устанавливается источник отправления.
- Аналитик проверяет ссылки или вложения с помощью безопасной изолированной среды (песочницы).
Все эти действия понадобится выполнять для каждого письма, прежде чем событие будет преобразовано в инцидент.
Оркестровка — осуществление сбора необходимой информации, а также предоставление доступа к ней в одном месте, с целью помочь специалисту по ИБ проанализировать ситуацию и решить, является ли она опасной. Если в результате расследования инцидент подтверждается, SOAR принимает ответные меры.
Интеграция с электронной почтой, песочницей и системой создания запросов (tickets) способна обеспечить автоматическую проверку адресов отправителей, а также ссылок и вложений, содержащихся в сообщениях. Обнаружив подозрительное отправление, система поместит его (и все подобные письма, поступившие другим пользователям) в карантин, а затем будет ждать решения об удалении или предоставлении доступа после детальной проверки.
Суть понятия «оркестровка» легко понять при помощи аналогии: подобно тому, как дирижёр управляет игрой музыкантов, создавая не просто набор звуков, а музыку, правильно настроенное SOAR-решение заставляет работать сообща различные информационные системы (как разработанные специально для обеспечения безопасности, так и не имеющие к этому прямого отношения).
Автоматизация
Некоторые вендоры используют термины «автоматизация» и «оркестровка» взаимозаменяемо, хотя они не являются синонимами.
Можно сказать, что автоматизация — одна из составных частей оркестровки. Благодаря заранее созданным планам действий (playbooks) система способна самостоятельно среагировать на тот или иной инцидент, тем самым повысив точность и скорость выполнения операций.
Например, SOAR может зафиксировать IP-адрес, осуществить его блокировку в межсетевом экране или в системе обнаружения и предотвращения вторжений (IDPS), внести URL в чёрный список на веб-шлюзе, создать сервисный запрос («тикет»), подключиться к Active Directory, чтобы заблокировать учётную запись пользователя или сбросить пароль — и всё это будет сделано без участия людей.
Дополнительно следует обратить внимание на то, что система автоматизации, несмотря на свою сложность и витиеватость, должна быть гибкой: предусматривать включение человека в рабочий процесс, а иногда и вообще останавливаться, ожидая решения аналитика.
Реагирование
За счёт оркестровки SOAR имеет возможность без посторонней помощи среагировать на выявленную несанкционированную активность. Конечно, полностью решить проблему в автоматическом режиме не всегда представляется возможным, но SOAR-решение должно быть способно переводить средства защиты в более строгие режимы работы, своевременно начинать сбор подробной статистики либо ограничивать операции, которые потенциально могут привести к утечкам данных.
Кроме того, SOAR-платформы должны уметь обрабатывать и сортировать оповещения, поступающие от внешних систем (например, SIEM), вести детальный журнал, быть источником для создания базы знаний о возможных атаках, предоставлять данные для аналитики и расследования инцидентов, быть готовыми к интеграции с платформами киберразведки (Threat Intelligence).
Реализация функций SOAR в UserGate
UserGate 5 — отечественное решение класса NGFW (Next Generation Firewall), межсетевой экран следующего поколения, выполняющий функции IDS/IPS, VPN-сервера, маршрутизатора, шлюзового антивируса, содержащий систему фильтрации контента, модуль мониторинга и статистики и многое другое.
Создание сценариев и их обязательные параметры
Разработчик предлагает реализовать концепцию SOAR за счёт механизма отработки сценариев, которые необходимо предварительно создать и активировать в правилах межсетевого экрана и контентной фильтрации. Они будут выступать функциональными аналогами шаблонов (playbooks).
Каждый подготовленный сценарий будет обладать следующими параметрами:
- Применение. Возможны варианты как для одного конкретного пользователя, так и для всех участников указанной вами группы (если вы ранее её создали и добавили в неё пользователей).
- Продолжительность. Это — время в минутах, в течение которого сценарий будет отрабатываться (после того как станет активным). Ровно столько же будет работать правило межсетевого экрана и контентной фильтрации, инициированное данным сценарием.
- Условия. Сценарий запустится при наступлении одного или нескольких событий. Для каждого из них можно указать количество срабатываний за определённое время, необходимое для активации сценария. Если условий несколько, то требуется дополнительно установить, следует ли активизировать сценарий при соблюдении только одного условия, или же всех сразу.
Возможные условия:
- совпадение URL в пользовательском трафике с категориями, указанными в правилах фильтрации;
- обнаружение вредоносной программы;
- сетевая активность определённого приложения;
- срабатывание системы обнаружения вторжений;
- обнаружение в трафике пользователя определённых MIME-типов;
- превышение максимального размера сетевого пакета;
- превышение максимального количества сессий с одного IP-адреса;
- превышение максимального объёма трафика за указанную единицу времени.
Примеры возможных сценариев
Благодаря созданным сценариям UserGate способен без участия системного администратора решить многие задачи. Приведём некоторые из них.
- Полностью заблокировать или ограничить пропускную способность в течение 30 минут для пользователя, у которого за последние 15 минут было зафиксировано 3 попытки использования файлообменных (torrent) приложений.
- Запретить сетевую активность пользователю (или группе пользователей), указанному в правиле, при срабатывании одного из следующих триггеров: открытие сайтов, относящихся к группе категорий «Threats», срабатывание IDS-сигнатур высокого риска, обнаружение вредоносного кода в трафике данного пользователя.
- Существенно снизить пропускную способность пользователя при превышении установленного лимита данных (например, после 15 Гб в месяц).
Линейка продуктов UserGate 5
Физические решения UserGate представляют собой программно-аппаратные комплексы и выпускаются в различных модификациях, адаптированных для применения в сетях любого масштаба. Если же инфраструктура предприятия располагается в облаке, то в таком случае необходимо использовать UserGate VE (Virtual Edition).
Рисунок 3. Линейка устройств UserGate с краткими описаниями
Выводы
Потребность в системах SOAR возникла совсем недавно, но популярность устройств этого класса растёт стремительными темпами. Снизить влияние человеческого фактора, автоматизировать рутинные задачи и повысить общий уровень безопасности организации — вот те цели, которые преследуют ИБ-инженеры, делая ставку на внедрение SOAR.
Всё больше вендоров представляют рынку свои решения, так или иначе воплощая концепцию SOAR. Одним из таких устройств является UserGate — межсетевой экран следующего поколения от российского разработчика. Отдельно хотелось бы отметить, что UserGate 5 имеет сертификат ФСТЭК, а значит, подойдёт не только для частного бизнеса, но и для госучреждений.
Подробнее познакомиться с отечественным NGFW вы можете прочитав наш обзор.