Сертификат AM Test Lab
Номер сертификата: 381
Дата выдачи: 17.04.2022
Срок действия: 17.04.2027
- Введение
- Сертификация Secret Net Studio и соответствие требованиям законодательства
- Архитектура Secret Net Studio
- Системные требования Secret Net Studio
- Функциональные возможности Secret Net Studio
- Выводы
Введение
При решении задачи по обеспечению безопасности предприятия одним из основных моментов является вопрос защиты корпоративной сетевой инфраструктуры. Традиционно, сетевая инфраструктура организации включает в себя локальную вычислительную сеть, корпоративную сеть передачи данных между офисами, а также периферийные устройства и компьютеры. К последним в том числе относятся рабочие станции сотрудников и серверы, защита которых зачастую является высокоприоритетной задачей, как и контроль за безопасностью подключений ко внутренним корпоративным системам в целом.
С развитием информационных технологий в мире, традиционное определение корпоративной сети меняется. Теперь важные системы и данные могут располагаться в облаках, причём как в публичных, так и в частных, а сотрудники могут работать удалённо и находиться при этом в любом месте земного шара, где есть доступ в интернет. В последнее десятилетие границы сетевого периметра организации всё больше размываются, и на смену старым подходам к защите ИТ-инфраструктуры приходят более гибкие, позволяющие эффективно адаптироваться к новой реальности и противодействовать широкому спектру угроз.
Так, обновлением классического «периметрального» подхода стала модель «нулевого доверия» (Zero Trust Architecture, Zero Trust Network Access, она же ZTNA). В основе концепции лежит идея «недоверия по умолчанию», то есть отсутствия или минимизации областей «подразумеваемого» доверия или пользователей как внутри корпоративной сети, так и за её пределами.
В прошедшем году мы проводили онлайн-конференцию AM Live «Сетевой доступ с нулевым доверием», где эксперты обсудили как само понятие ZTNA и базовые принципы этого подхода, так и технические аспекты, связанные с его внедрением в действующую инфраструктуру.
Российская компания «Код Безопасности» предлагает собственную систему Secret Net Studio для защиты корпоративной ИТ-инфраструктуры, данных и доступа к сети. Оно разработано с учётом принципов архитектуры «нулевого доверия», описанных в NIST 800-207; в частности, поддерживается синхронизированный, но отделённый от Active Directory каталог пользователей для авторизации, дублирующие механизмы разграничения доступа независимо проверяют права доступа конкретного пользователя к конкретному файлу, обеспечивается постоянный независимый контроль целостности ключевых компонентов ОС, обеспечивается постоянный мониторинг среды и т. д. Для сетевого доступа к защищаемому ресурсу пользователь или устройство сначала проходит процедуру аутентификации, а уже после этого выполняется подключение.
Совместно с «Континентом 4» Secret Net Studio обеспечивает целостную защиту и разграничение доступа в сетевой инфраструктуре.
В 2016 году мы публиковали подробный обзор Secret Net Studio версии 8.1, состоявший из двух частей («Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы», «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга»). В текущем обзоре мы детально рассмотрим новую версию 8.8 и произошедшие в ней изменения.
Сертификация Secret Net Studio и соответствие требованиям законодательства
Secret Net Studio как комплексное средство обеспечения безопасности было включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 3855). В том же году был получен сертификат соответствия ФСТЭК России № 3745 (продлён в 2020 году, действителен до 16 мая 2025 года). Успешное прохождение сертификации позволяет использовать Secret Net Studio для защиты:
- автоматизированных систем (АС) до класса 1Г включительно (то есть систем, в которых циркулирует служебная тайна),
- значимых объектов критической информационной инфраструктуры (ЗО КИИ) до 1-й категории включительно,
- информационных систем персональных данных (ИСПДн) до 1-го уровня значимости,
- государственных информационных систем (ГИС) до 1-го класса включительно,
- автоматизированных систем управления технологическими процессами (АСУ ТП) до 1-го класса включительно.
Предыдущие версии Secret Net Studio успешно прошли проверку ФСБ России (сертификат СФ/СЗИ-0288) на соответствие требованиям к средствам защиты информации ограниченного доступа, не содержащей сведений составляющих государственную тайну, от несанкционированного доступа по классам защиты АК3. Сейчас новая версия также находится на сертификации ФСБ России, но уже по классу защиты АК5, получение сертификата ожидается весной 2022 года.
Также Secret Net Studio можно использовать на объектах информатизации Министерства обороны России согласно заключению 317/6/610, действующему до декабря 2024 года.
Архитектура Secret Net Studio
Secret Net Studio имеет классическую клиент-серверную архитектуру. Далее мы приведём описание компонентов комплекса.
Клиент — это программа, которая устанавливается на каждое контролируемое устройство (сервер или рабочую станцию) и реализует установленные механизмы защиты как относительно самого устройства, так и в вопросах подключения и использования корпоративных ресурсов.
Клиент на устройстве может работать в двух режимах: автономном, при котором управлять защитными механизмами можно только локально, и сетевом, когда возможно и локальное, и централизованное управление механизмами защиты. Второй режим также предусматривает взаимодействие с центром управления для синхронизации информации о состоянии устройства, его изменения, а также установки различных обновлений.
Сервер безопасности решает задачи по централизованному управлению клиентскими системами при использовании Secret Net Studio в сетевом режиме работы. Так, сервер безопасности отвечает за обработку и хранение информации о состоянии других компонентов системы и клиентов, координирует порядок взаимодействия и работы этих компонентов и реализует функции контроля и управления Secret Net Studio.
Сервер аутентификации реализует механизмы удостоверения подлинности пользователей и контролируемых устройств, а также обеспечивает работу механизмов межсетевого экранирования на клиентских системах и защищаемых ресурсах.
Центр управления — это инструмент администрирования всех компонентов Secret Net Studio, включая серверную часть и клиентские машины. Администратор может управлять пользователями, защищаемыми устройствами и ресурсами, а также просматривать информацию о состоянии контролируемых или защищаемых систем и о различных событиях в инфраструктуре.
Сервер обновлений используется для того, чтобы централизованно отправлять новые антивирусные сигнатуры, дополнения к базам правил и опасных веб-ресурсов (для межсетевых экранов и систем обнаружения вторжений) на клиентские устройства.
Реализация масштабируемости в Secret Net Studio
Для обеспечения хорошей горизонтальной масштабируемости Secret Net Studio можно использовать такие механизмы, как объединение лесов доменов безопасности или иерархия подчинённости сервера безопасности, а также создавать каскады серверов обновлений. Рассмотрим далее эти возможности подробнее.
Объединение лесов безопасности. Secret Net Studio позволяет организовать иерархическую структуру лесов доменов безопасности на основе связанных и несвязанных лесов доменов Windows Active Directory (AD). Леса объединяются родительским сервером и совокупно называются федерацией. Администратору, работающему с сервером, предоставляются следующие возможности по управлению защищаемыми компьютерами из дочерних лесов безопасности:
- получение информации о состоянии защищаемых компьютеров,
- отправка команд оперативного управления на защищаемые компьютеры,
- получение оповещений о событиях тревоги и сбор локальных журналов с защищаемых компьютеров,
- управление параметрами безопасности этих компьютеров посредством групповых политик, заданных на родительском сервере безопасности.
Иерархия подчинённости серверов безопасности. Сервер безопасности реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены компьютеры с установленным клиентом Secret Net Studio, машины под управлением ОС семейства Linux с установленным ПО Secret Net LSP, а также другие серверы безопасности.
В один лес независимо от количества серверов безопасности в нём рекомендуется включать не более 15 000 функционирующих клиентов. Одному серверу безопасности рекомендуется подчинять не более 1 500 функционирующих клиентов.
Каскадирование серверов обновлений. Внутри компании создаётся каскад серверов, в котором один, корневой, скачивает обновления с сервера компании «Код Безопасности», а остальные, дочерние, — с корневого или с других дочерних. Таким образом с основного сервера снимается нагрузка при обслуживании большого числа клиентов.
Системные требования Secret Net Studio
Подробные требования к аппаратному и программному обеспечению, необходимые для установки компонентов Secret Net Studio, приведены на вкладке «Системные требования» официальной страницы продукта. Отметим, что при развёртывании SNS в сетевом режиме функционирования используемые устройства должны быть введены в домен Active Directory.
Функциональные возможности Secret Net Studio
Поскольку в обзоре 2016 года функциональные возможности Secret Net Studio уже были детально описаны, мы перечислим все основные функции и механизмы защиты, реализованные в новой версии продукта, но подробно рассмотрим только новые возможности и внесённые изменения.
Также мы остановимся на вопросах совместимости с различным программным обеспечением, особенно сторонним, потому что значительная часть изменений и улучшений связана именно с реализацией поддержки и возможностей взаимодействия с продуктами других организаций в сферах информационной безопасности, виртуализации или ИТ в целом.
Весь набор функциональных возможностей, реализуемых Secret Net Studio, разделяется на пять основных логических категорий, о которых мы поговорим далее.
Механизмы защиты для противодействия атакующим
В Secret Net Studio реализованы механизмы защиты, противодействующие активности потенциальных злоумышленников на разных стадиях кибератак. Рассмотрим несколько упрощённую модель атаки. Условно, она состоит из проникновения в инфраструктуру, распространения и продвижения по сети с компрометацией всё большего количества систем и устройств, а также финального этапа, когда атакующий уже достиг своих целей. Последний этап также характеризуется максимальным ущербом для организации, связанным как с репутационными рисками (например, при краже конфиденциальной или секретной информации), так и с финансовыми потерями (очевидный пример здесь — это последствия активности шифровальщиков, которые требуют выкуп за расшифровку данных). Кроме того, хакеры могут вмешиваться в бизнес-процессы, последствия чего предсказать не так просто.
Таблица 1. Механизмы защиты, реализованные в Secret Net Studio, для разных стадий кибератак
Начальное проникновение | Распространение по сети | Достижение целей атаки и нанесение ущерба |
Межсетевое экранирование Средства обнаружения и предотвращения вторжений Антивирусная защита Авторизация сетевых соединений Контроль клиентских устройств Усиленный вход в систему | Разграничение доступа Замкнутая программная среда Контроль целостности Шифрование данных и ресурсов (в том числе полнодисковое) Теневое копирование | Оповещение о подозрительной или вредоносной активности администратора Детализированный аудит систем Централизованная активация механизмов защиты и управление пользовательскими сессиями |
По данным компании «Код Безопасности», Secret Net Studio может выявлять кибератаки на любой стадии (в соответствии с глобальной базой знаний MITRE ATT&CK) и в некоторых случаях им противодействовать. Однако заметим, что доля отслеживаемых техник, которые используют атакующие на разных стадиях, не превышает 60 % для каждой из тактик, а для некоторых — даже 10 %.
Рисунок 1. Обнаружение техник злоумышленников на разных стадиях кибератак с помощью Secret Net Studio
Защита данных от несанкционированного доступа
Защита информации от НСД обеспечивается широким набором функций — от ограничения прав доступа (включая различные политики по управлению доступом на основе групп, федераций и меток), различных способов аутентификации контроля устройств и печати до теневого копирования и даже намеренного уничтожения данных.
Антивирусная защита и обнаружение вторжений
В эту категорию включены антивирусное ядро для поиска вредоносных программ и подозрительного сетевого трафика с помощью сигнатурных и поведенческих методов, эмулятор угроз (песочница), почтовый антивирус и средства по обнаружению и предотвращению вторжений. Также реализована автоматическая блокировка узлов, с которых ведётся зафиксированная вредоносная деятельность, что позволяет остановить возможного злоумышленника на начальном этапе.
Защита сетевого взаимодействия
Защита сетевого взаимодействия представлена следующими механизмами:
- Межсетевое экранирование с возможностью фильтрации трафика на трёх уровнях: сети, сессий и приложений. Также можно гибко настраивать правила (включая время их действия по дням недели или даже времени суток) и шаблоны.
- Авторизация сетевых соединений, обеспечивающая аутентификацию узлов сети с использованием сертификатов для защиты от перехвата данных (атак типа «Man-in-the-Middle»).
- Программная сегментация сети без изменения топологии (используются оверлейные сети). Обеспечивает в том числе шифрование трафика между двумя сетевыми узлами.
Шифрование данных
Шифрование данных логически разделено на несколько механизмов по типу того, что нужно защитить. Реализовано шифрование файлов и папок с помощью криптоконтейнеров, то есть специально созданных файлов, подключаемых к системе в качестве логического диска с различными правами: на чтение, на полный доступ к данным и с возможностью управлять самим криптоконтейнером.
Важным нововведением версии Secret Net Studio 8.8 стало полнодисковое шифрование. Обычно при использовании последнего невозможно контролировать целостность объектов жёсткого диска до загрузки ОС. Отличительной особенностью Secret Net Studio 8.8 является возможность интеграции с аппаратно-программным модулем «Соболь» для доверенной загрузки и контроля целостности зашифрованных разделов. При этом доступны четыре варианта полнодискового шифрования в зависимости от того, кто шифрует и где хранится информация для возможности восстановления данных, если по каким-то причинам утерян пароль:
- локальное шифрование пользователем с локальным хранением данных для восстановления,
- локальное шифрование пользователем с централизованным хранением данных для восстановления,
- локальное шифрование администратором (при этом пользователю передаётся временный пароль для доступа, который он меняет при первом входе в систему), восстановить данные может только администратор,
- централизованное шифрование администратором для группы устройств одновременно (пользователи сами устанавливают пароль на своей машине, применяется для группы устройств одновременно).
Рисунок 2. Мастер шифрования дисков Secret Net Studio
Рисунок 3. Загрузчик Secret Net Studio (запрос пароля для доступа к зашифрованному диску)
Централизованное управление и мониторинг событий
Централизованное управление и мониторинг событий как категория включает в себя обширный набор функций администрирования всей инфраструктуры, включая серверы безопасности и аутентификации, клиенты Secret Net Studio (системы под управлением операционной системы Windows) и клиенты Secret Net LSP (системы под управлением ОС Linux). Также сюда относятся задачи журналирования событий, отчётность по ним, мониторинг состояния компонентов инфраструктуры и оповещения о подозрительных или нарушающих политики безопасности событиях, правила межсетевого экранирования.
В качестве ключевых функций здесь укажем возможности развёртывать компоненты Secret Net Studio, устанавливать исправления (патчи) и обновления, а также активировать механизм защиты дисков от несанкционированного доступа централизованно. Кроме того, в новой версии на клиентские машины можно отправлять кумулятивные патчи и применять их пакетно (устанавливать сразу набор обновлений, как обычных, так и кумулятивных).
Далее перейдём ко второй части рассматриваемой категории функций: мониторингу событий и возможностям по оперативному реагированию. Начнём с того, что оповещения о событиях «тревоги» (то есть ИБ-событиях разной степени важности) теперь могут отображаться на панели задач Windows, а также отправляться по почте блоками на основе типов событий, а не отдельными сообщениями. Также была переработана основная страница центра управления Secret Net Studio, на которой отображается общая статистика событий тревоги в инфраструктуре.
Рисунок 4. Страница «Статистика» центра управления Secret Net Studio
Существенным нововведением стали шаблоны параметров безопасности, которые облегчают и упрощают процесс настройки механизмов защиты таким образом, чтобы система соответствовала требованиям законодательства России. Так, в версии 8.8 появились предустановленные шаблоны политик для:
- ИСПДн 4-го уровня защищённости (УЗ),
- информационных систем финансовых организаций до 1-го уровня защищённости в соответствии с ГОСТ 57580.1-2017,
- АСУ ТП до 1-го класса защищённости,
- ЗО КИИ до 1-й категории значимости,
- ИС для обработки биометрических персональных данных как для стандартного уровня защиты информации (ЕБС-2), так и для усиленного (ЕБС-1).
Также можно самостоятельно создавать шаблоны настроек компонентов Secret Net Studio и параметров безопасности и проверять, соответствуют ли они требованиям регуляторов.
Рисунок 5. Меню «Шаблоны» центра управления Secret Net Studio
Рисунок 6. Предустановленный шаблон для ИСПДн 1 УЗ (центр управления Secret Net Studio)
Рисунок 7. Сравнение созданного шаблона с предустановленным для ИСПДн 1 УЗ (центр управления Secret Net Studio)
Совместимость
Secret Net Studio можно использовать совместно с другими программными решениями и продуктами, дополняя функциональные возможности первого и формируя комплексную систему для защиты инфраструктуры в соответствии с потребностями конкретной организации. Подробная информация о совместимости Secret Net Studio с другим программным обеспечением доступна в документе «Сведения о совместимости с другим ПО» на официальном сайте компании.
Выводы
В новой версии комплексного средства Secret Net Studio 8.8 для защиты данных, серверов и рабочих станций от несанкционированного доступа были обновлены и доработаны как функциональные возможности, так и архитектура.
Среди основных функциональных нововведений Secret Net Studio отметим добавление полнодискового шифрования, совместимого с модулями доверенной загрузки операционных систем; предустановленные шаблоны параметров безопасности для обеспечения соответствия системы требованиям российского законодательства; пакетную установку обновлений на клиентские системы. Однако значительно доработаны были и другие функции, например в части межсетевого экранирования, администрирования компонентов Secret Net Studio, мониторинга и оперативного реагирования на события в инфраструктуре, а также визуальной составляющей центра управления.
Обновление архитектуры связано с отделением сервера аутентификации от сервера безопасности в составе комплекса. Тем самым были расширены возможности горизонтального масштабирования инфраструктуры за счёт дифференциации функций по нескольким серверам. Таким образом стало возможным внедрение Secret Net Studio в организациях любого размера.
Достоинства:
- Сертифицирован по требованиям ФСТЭК России по 4-му уровню доверия.
- Наличие сертификата ФСБ России по классу АК3, ожидается получение сертификата по классу АК5.
- Хорошая масштабируемость (один сервер безопасности поддерживает до 1,5 тысяч подключённых клиентов, один лес — 15 тысяч). Крупнейшая инсталляция — более 100 тыс. пользователей в рамках единой структуры.
- Используемые механизмы защиты позволяют выявлять кибератаки на любой стадии (по классификации MITRE ATT&CK).
- Возможности по быстрой настройке систем в соответствии с требованиями регуляторов в части обеспечения безопасности информационных систем с помощью предустановленных шаблонов.
- Подробная техническая документация.
Недостатки:
- Обязательная привязка к службе каталогов Microsoft Active Directory.
- Клиент для устройств под управлением ОС Linux отстаёт в функциональности от клиента под Windows-системы, а клиент для устройств под управлением macOS отсутствует.
- Нет планов по сертификации криптографии, используемой в Secret Net Studio.