В условиях повышенной активности злоумышленников, усиления санкционного давления и ухода передовых иностранных разработчиков с рынка один из способов обеспечить высокий уровень информационной безопасности предприятия — это развивать экосистемный подход и технологические партнёрства между разработчиками средств защиты. Рассмотрим практику совместного использования продуктов «Компании Индид» и «Кода Безопасности».
- Введение
- Защита рабочих станций и серверов
- Продукты компании «Код Безопасности»
- Продукты «Компании Индид»
- Совместное применение продуктов
- Сценарии защиты
- Выводы
Введение
В 2020 г. наступила эпоха «новой нормальности», которая требует решать всё новые задачи — гораздо более сложные и масштабные, чем прежде.
Когда началась пандемия, работодатели принялись массово переводить сотрудников на модель удалённой занятости, что потребовало серьёзной перестройки бизнес-процессов. В новых условиях резко возросла роль онлайн-сервисов, позволяющих дистанционно работать, учиться и использовать возможности для развлечений. Сетевой периметр организаций окончательно лишился чётких границ, и теперь меры по его защите направлены прежде всего на персонал, рабочие станции и бизнес-сервисы. При этом востребованность подобных мер не уменьшается: сегодня в некоторых регионах России снова вводится масочный режим, а количество заболевших растёт.
В 2021 г. вступили в силу новые правила сертификации средств защиты информации. Последние проверяются на соответствие Требованиям по безопасности информации, утверждённым приказом ФСТЭК России от 2 июня 2020 г. № 76. Новые правила открыли долгожданную возможность тиражировать сертифицированные дистрибутивы с помощью электронных каналов. При этом сама процедура сертификации серьёзно усложнилась. Соответственно, выдача новых сертификатов замедлилась — даже с учётом подготовительных работ, которые разработчики провели ранее. В 2022 г., когда началась СВО, стартовал процесс форсированного импортозамещения, который также отразился на мероприятиях по сертификации: требования к испытаниям средств защиты и к поддерживаемому программному обеспечению значительно ужесточились.
В текущем году многие передовые зарубежные разработчики стали массово отказываться от ведения бизнеса с фирмами из России. Крупные компании столкнулись с беспрецедентным количеством кибератак. Российские организации не только лишились возможности приобретать передовые продукты и технологии для защиты информации, но ещё и не могут обновлять и продлевать лицензии на уже имеющиеся прикладные программные средства (а значит, и оперативно устранять актуальные уязвимости). Закупки нового аппаратного обеспечения тоже значительно осложнились. Количество иностранных партнёров, отказывающихся сотрудничать с отечественными компаниями, постоянно растёт, а санкционное давление на российскую экономику только усиливается.
Очевидно, что в 2023 г. нынешняя ситуация будет усложняться далее: кибератаки усугубятся, а технологические, финансовые и человеческие ресурсы, скорее всего, сократятся. Чтобы преодолевать эти трудности, нужно идти наиболее эффективным и наименее затратным путём: создавать экосистемы из взаимосвязанных продуктов, развивая технические партнёрства между передовыми разработчиками средств защиты информации.
Защита рабочих станций и серверов
Прежде всего, мы всегда рекомендуем нашим клиентам реализовывать положения концепции «нулевого доверия» с превышением требований, которые установлены регулирующими органами. Эта концепция предполагает отсутствие доверия к пользователям, устройствам и ресурсам даже после успешного прохождения идентификации и аутентификации. При этом необходимо постоянно отслеживать и контролировать ситуацию в ИТ-инфраструктуре организации, а также персонализировать происходящие в ней события, не допуская того, чтобы какие-то пользователи считались «непогрешимыми», то есть неспособными нанести вред.
Однако наши клиенты всё чаще начинают выстраивать систему контроля и мониторинга без принятия достаточных «низкоуровневых» мер по защите информации. Речь идёт, в частности, о следующих группах мер:
- идентификация и аутентификация;
- использование парольных политик;
- межсетевое экранирование и фильтрация трафика;
- сегментирование сетей;
- антивирусная защита станций пользователей;
- контроль подключаемых устройств;
- ограничение программной среды и контроль целостности;
- шифрование диска и данных.
Например, в ИТ-инфраструктуре любой компании могут обнаружиться словарные пароли, причём иногда их используют даже для защиты привилегированных учётных записей. То же самое касается контроля подключаемых устройств, в том числе ключевых носителей: в организациях не всегда есть механизм низкоуровневой блокировки на уровне системного ПО, а отслеживание разрешённых к подключению съёмных устройств на конкретных рабочих станциях зачастую не выполняется.
Чтобы помогать клиентам устранять эти недостатки и повышать безопасность в сфере ИТ, мы сотрудничаем с технологическими партнёрами. Один из них — компания «Код Безопасности». Наши продукты взаимно интегрированы и поддерживают совместное использование, позволяя укреплять защиту ИТ-инфраструктур наших клиентов.
Мы подготовили эту статью, чтобы помочь заказчикам выстроить максимально эффективную систему защиты на основе продуктов «Кода Безопасности» и «Компании Индид». Совместное использование наших продуктов даст существенный синергетический эффект.
Продукты компании «Код Безопасности»
Этот обзор охватывает следующие продукты «Кода Безопасности»:
- Secret Net Studio (SNS) — многомодульный продукт, обеспечивающий комплексную защиту рабочих станций и серверов. Выполняет такие функции, как антивирусная защита и обнаружение вторжений, фильтрация трафика, контроль подключаемых устройств, ограничение работы программ, контроль целостности, а также дискреционное и мандатное управление доступом к файлам.
- «Континент» — комплекс программных и программно-аппаратных продуктов, который обеспечивает передовую защиту периметра и различных сегментов организации, а также создаёт VPN-каналы для связи филиалов и удалённых рабочих мест.
- «Континент АП» для Windows — программное обеспечение (VPN-клиент) для защищённого доступа в корпоративную сеть с удалённых рабочих станций на базе ОС Microsoft Windows через программно-аппаратные VPN-шлюзы с межсетевым экраном класса NGFW.
Продукты «Компании Индид»
Мы рассматриваем следующие продукты «Компании Индид»:
- Indeed Access Manager (Indeed AM) — комплексное решение, реализовывающее механизм единой усиленной аутентификации для всех корпоративных ресурсов. Продукт поддерживает большое количество сценариев усиленной аутентификации, которые можно осуществлять с учётом характеристик имеющегося оборудования и рисков в сфере информационной безопасности.
- Indeed AM Windows Logon (Indeed AM WinLogon) — модуль, который реализовывает различные сценарии усиленной и многофакторной аутентификации на рабочих станциях под управлением ОС Microsoft Windows.
- Indeed AM Enterprise Single Sign-On (Indeed AM ESSO) — модуль, который обеспечивает сквозную аутентификацию в любых приложениях и веб-приложениях (включая самописные и устаревшие) на рабочих местах под управлением ОС Microsoft Windows.
- Indeed Certificate Manager (Indeed CM) — платформа для оптимизации и автоматизации рутинных задач операторов удостоверяющих центров, включая управление жизненным циклом цифровых сертификатов и ключевых носителей.
Совместное применение продуктов
Secret Net Studio и Indeed AM Windows Logon
SNS предоставляет широкие возможности для обеспечения безопасности на уровне рабочей станции или сервера. Продукт включает в себя различные модули защиты. Однако в сфере защиты доступа он поддерживает только усиленную аутентификацию с помощью ключевых носителей и устройств iButton, а такие механизмы не подходят для дистанционной работы и удалённых подключений к рабочей станции.
Рисунок 1. Функциональные возможности Secret Net Studio
Indeed AM обеспечивает единую усиленную аутентификацию для практически любых категорий целевых ресурсов. Модуль Indeed AM WinLogon отвечает за механизм усиленной аутентификации для рабочих станций и серверов на базе ОС Microsoft Windows. Кроме того, продукт предоставляет единую консоль управления доступом к корпоративным ресурсам. Однако он не реализовывает каких-либо дополнительных сценариев защиты информации для рабочих станций.
Рисунок 2. Способы усиленной аутентификации, поддерживаемые Indeed Access Manager
Итак, усиленную аутентификацию обеспечивают оба продукта, однако SNS поддерживает лишь несколько способов аутентификации в дополнение к широкой функциональности, а Indeed AM, наоборот, поддерживает большое количество способов, но ничего более.
Очевидно, что эти продукты нужно применять в связке. Их возможности органично сочетаются, не вызывая взаимных конфликтов.
При интеграции этих решений SNS будет воспринимать средства аутентификации Indeed AM как доверенные, поэтому на защищённых с помощью SNS рабочих станциях можно будет использовать средства, которые выпущены Indeed AM.
Secret Net Studio и Indeed AM Enterprise Single Sign-On
Indeed AM ESSO обеспечивает сквозную аутентификацию в приложениях и веб-приложениях на рабочих станциях и серверах (включая терминальные серверы) на базе ОС Microsoft Windows. Модуль поддерживает, в частности, самописные и устаревшие приложения. Он работает по принципу перехвата графических форм входа в систему (с возможностью ввода дополнительных данных). Кроме того, поддерживаются формы смены пароля. Для настольных приложений используется специализированное клиентское ПО, а в случае с веб-приложениями — расширение для браузера.
Рисунок 3. Совместное применение Indeed AM ESSO и SNS для сквозной аутентификации в настольных приложениях
Для того чтобы осуществлять усиленную аутентификацию при использовании ESSO, можно применять как Indeed AM WinLogon, так и уже установленный продукт SNS, поддерживающий аутентификацию с помощью ключевых носителей и устройств iButton.
При интеграции этих продуктов настольные и веб-приложения будут запускаться и смогут требовать усиленной аутентификации через SNS. Для пользователя это будет выглядеть так, будто он получает доступ к рабочей станции и к рабочим приложениям с помощью единого аутентификатора.
Secret Net Studio и Indeed Certificate Manager
Indeed CM автоматизирует и оптимизирует работу операторов удостоверяющих центров. Продукт повышает производительность труда при обслуживании цифровых сертификатов и носителей ключевой информации, а также при управлении ими.
Рисунок 4. Перечень задач оператора УЦ, автоматизируемых и оптимизируемых с помощью Indeed Certificate Manager
Важно отметить, что SNS тоже позволяет управлять персональными идентификаторами (ключевыми носителями) и назначать их пользователям. Продукт создаёт на этих носителях защищённый контейнер, в который записывается идентификатор SNS, и обеспечивает возможность хранить пароль пользователя.
Рисунок 5. Совместное применение Indeed CM и SNS для управления сертификатами и носителями
Таким образом, в ИТ-инфраструктуре может сложиться ситуация, когда пользователям Indeed CM и SNS придётся проходить две процедуры назначения идентификатора, чтобы записать на носитель все необходимые данные и цифровые сертификаты.
Интеграция продуктов решает эту проблему: при выпуске или обновлении ключевого носителя в Indeed CM можно зарегистрировать носитель в базе SNS и присвоить его соответствующему пользователю как персональный идентификатор с уникальным серийным номером. При этом на ключевой носитель записывается идентификатор SNS. Если в Indeed CM включить хранение пароля в идентификаторе, то сведения об активации такого режима добавятся в базу данных SNS. Одновременно с этой операцией может выполняться запись пароля в идентификатор. После включения данного режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатора.
Комплекс «Континент» и Indeed Access Manager
«Континент АП» — важный элемент инфраструктуры в системе защиты периметра на базе программных и программно-аппаратных комплексов «Континент». Одна из задач этого продукта — создание сетей VPN для связи с подразделениями, которые защищены при помощи АПКШ «Континент». Кроме того, продукт осуществляет фильтрацию сетевого трафика на рабочих станциях. При этом для запуска «Континента АП» каждый раз необходимо вводить специальный пароль. После этого устанавливается VPN-подключение к ресурсам корпоративной ИТ-инфраструктуры.
Рисунок 6. Схема функционирования комплексной системы защиты периметра «Континент»
Однако такой подход неудобен, поскольку он вынуждает пользователя запоминать пароль. Если цель проводимой в ИТ-инфраструктуре политики — максимально сократить эксплуатацию паролей и расширить применение различных факторов усиленной аутентификации, то необходимость использовать пароли для запуска «Континента АП» может снизить её эффективность. Кроме того, пароль для запуска может быть разглашён и в дальнейшем использован злоумышленниками.
Как уже отмечалось, модуль Indeed AM ESSO обеспечивает сквозную аутентификацию в любых приложениях и веб-приложениях на рабочих станциях. Если используется SNS или Indeed AM WinLogon, то Indeed AM ESSO может также запрашивать усиленную аутентификацию для запуска приложения.
Indeed AM ESSO можно применять для автоматической подстановки пароля в окно запуска «Континента АП». При запуске приложения может автоматически включаться механизм обязательной усиленной аутентификации. Тогда для запуска VPN-клиента «Континент АП» пользователю достаточно будет предъявить свой усиленный аутентификатор, выпущенный Indeed AM (при использовании Indeed AM WinLogon) или SNS. В таком случае ему больше не нужно будет помнить пароль и он сможет применять единый аутентификатор для доступа и к рабочей станции, и в сеть VPN.
Рисунок 7. Мобильное приложение Indeed AirKey
Сегодня один из самых популярных способов аутентификации при удалённой работе — одноразовые пароли. Indeed AM включает в себя мобильное приложение Indeed AirKey, поддерживающее генерацию одноразовых паролей по протоколу TOTP.
Сценарии защиты
Безопасность локальной работы
Применяя SNS, «Континент АП» и модули Indeed AM одновременно, можно обеспечить высокий уровень безопасности рабочих мест при локальной работе в офисе или на производстве.
Для защиты доступа к корпоративным данным используются модули SNS, реализовывающие механизмы мандатного и дискреционного управления доступом к файлам. Продукт SNS обеспечивает контроль печати конфиденциальных документов с возможностью теневого копирования данных. На уровне системы SNS осуществляет противодействие сетевым угрозам и антивирусную защиту.
Для обеспечения безопасности доступа к рабочим местам может использоваться единый аутентификатор, выпускаемый в Indeed AM. Выбор способа аутентификации будет зависеть от конкретных сценариев защиты, формата доступа к ресурсам и критической значимости защищаемых данных. Правильно выбрав механизм усиленной аутентификации, можно предотвратить использование украденных реквизитов учётных записей для несанкционированного доступа к ИТ-ресурсам.
Рисунок 8. Совместное применение Indeed AM, Indeed CM и SNS для защиты локального доступа
Модуль Indeed AM ESSO обеспечивает сквозную усиленную аутентификацию в приложениях и веб-приложениях, поэтому он также нейтрализовывает угрозу несанкционированного доступа к приложениям.
Продукты SNS и Indeed CM обеспечивают всеобъемлющий контроль за обращением съёмных носителей в организации. Это касается и накопителей с ключевой информацией. Продукт SNS позволяет сформировать список доверенных носителей и запретить доступ к рабочим местам с помощью тех, которые не входят в этот перечень. При необходимости можно включить шифрование данных, записываемых на такие устройства. Ключевые носители управляются и отслеживаются через Indeed AM и Indeed CM. Клиентские компоненты Indeed CM будут отслеживать подключение и использование всех носителей ключевой информации, обращающихся в организации, и обнаруживать новые.
Централизованное управление аутентификаторами всех пользователей (включая носители с ключевой информацией) будет обеспечивать Indeed AM, а пользовательские учётные данные в службе каталогов будут защищены с помощью продукта SNS, интегрированного с Microsoft Active Directory.
Для авторизации может использоваться любой способ усиленной аутентификации, доступный в Indeed AM. Однако наилучшие результаты достигаются при помощи смарт-карт с чипом СКЗИ и RFID-меткой. На такой карте могут быть указаны фамилия, имя, отчество и должность сотрудника. Кроме того, на неё может быть нанесена фотография. В таком случае карта будет служить единым корпоративным удостоверением сотрудника.
Рисунок 9. Пример оформления универсального корпоративного удостоверения для доступа к ИТ-ресурсам компании
Подобное удостоверение, защищённое PIN-кодом, позволит сотруднику подтверждать свою личность, заходить в помещения под охраной СКУД, авторизовываться на рабочих станциях и в приложениях, а также хранить сертификаты цифровой подписи (в том числе ГОСТ-сертификаты и сертификаты доступа в ОС). Единое удостоверение и аутентификаторы будут отслеживаться с помощью Indeed AM и Indeed CM.
В продукте Indeed AM можно включить специальный режим, позволяющий сотруднику авторизоваться на рабочем месте от лица замещаемого коллеги при помощи своей учётной записи.
Безопасность удалённой работы
Применяя SNS, «Континент АП» и модули Indeed AM одновременно, можно обеспечить высокий уровень защиты рабочих мест при выполнении удалённой работы.
Рисунок 10. Совместное применение Indeed AM и SNS для защиты удалённого доступа
Может осуществляться подключение к рабочей станции либо к терминальному серверу, например с другой рабочей станции внутри корпоративной сети. При этом модуль Indeed AM WinLogon запросит дополнительный фактор аутентификации.
Второй сценарий удалённого доступа предполагает использование продукта «Континент АП» для организации доступа к корпоративным ресурсам с удалённого рабочего места. При попытке запуска «Континента АП» будет запрошен второй фактор аутентификации (через Indeed AM WinLogon или через SNS), а модуль Indeed AM ESSO автоматически подставит необходимый пароль.
Рисунок 11. Совместное применение Indeed AM и «Континента АП» для защиты удалённого доступа
SNS борется с сетевыми угрозами путём локального межсетевого экранирования с контролем сетевых портов, а также при помощи модулей антивирусной защиты и обнаружения вторжений.
Для защиты мобильного рабочего места от физического доступа со стороны злоумышленников продукты SNS и Indeed AM предлагают целый ряд мер:
- модуль доверенной загрузки ПАК «Соболь» блокирует попытки запуска рабочей станции через загрузочные диски;
- механизм усиленной аутентификации Indeed AM делает невозможной авторизацию на рабочем месте с помощью нелегально полученных учётных данных;
- шифрование диска в SNS нейтрализовывает угрозу извлечения и прямого подключения жёсткого диска для доступа к данным.
Для дистанционных подключений доступен широкий спектр факторов усиленной аутентификации, которые оптимальны при выполнении удалённого доступа:
- одноразовые пароли, доставляемые в СМС-сообщениях, по электронной почте или с помощью телеграм-бота;
- одноразовые пароли, генерируемые на аппаратном брелоке или в мобильном приложении;
- пуш-уведомления, доставляемые через приложение Indeed AirKey или телеграм-бот.
В свою очередь, модуль Indeed AM ESSO обеспечивает сквозную аутентификацию в приложениях и веб-приложениях на удалённых рабочих станциях, а также на терминальном сервере.
Второй фактор можно запрашивать как при самом подключении, так и при аутентификации в приложении. Поддерживается режим замещения (с возможностью настройки перечня доступных приложений), а также отключение запроса второго фактора на определённое время.
Если используется компонент Indeed AM WinLogon, то режим замещения доступен и при удалённой работе.
Выводы
Совместное использование продуктов «Кода Безопасности» и «Компании Индид» позволяет надёжно защитить рабочие станции при локальном и удалённом доступе. Для этого на рабочих станциях будут применяться передовые методы защиты от киберугроз и попыток несанкционированного доступа к информации.
Описанные решения обеспечивают контроль подключаемых устройств, защищённое взаимодействие с сетью, защиту локальных и удалённых рабочих мест, шифрование конфиденциальных данных и усиленную аутентификацию при доступе к ИТ-ресурсам. Продукты поддерживают различные сценарии интеграции и совместного применения, среди которых обязательно найдётся оптимальный вариант для любой ситуации.
Авторы:
Ярослав Голеусов, Руководитель технологического консалтинга, «Компания Индид»
Роман Лопатин, Заместитель руководителя отдела продаж компании «Код безопасности»