Открытые решения для информационной безопасности

© Игорь Белявский, UBS, 3 августа 2016

FinCERT, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России, отпраздновал год своей работы и выпустил по этому поводу отчет, в котором поделился успехами, а еще основными типами атак на финансовые организации и причинами, по которым эти атаки были успешными. Наверняка все заинтересованные уже скачали и прочли отчет. В целом, ничего нового в плане причин успешности атак нет. Рекомендации FinCERT по мерам защиты условно разделяются на две категории: улучшение сетевой безопасности и повышение осведомленности сотрудников.

В качестве технических мер предотвращения атак FinCERT предлагает сегментирование сети, контроль трафика, использование систем предотвращения вторжений, тестирование на аномалии, проверку и ограничение прав доступа в соответствии с выполняемой сотрудниками работой, проверки записей, использование средств антивирусной защиты и т.п. В этом кратком обзоре предложим вашему вниманию новинки, которые помогут в выполнении рекомендаций FinCERT и представлены на проходящей сейчас в США конференции Black Hat 2016. Все они выходят под свободными лицензиями и будут доступны для тестирования и использования в ближайшие дни.

В качестве одной из причин успешности атак, FinCERT указывает отсутствие антивируса, или то, что он не срабатывает из-за устаревших баз. Антивирус может не срабатывать и по другим причинам. В ответ на динамический анализ вредоносного программного обеспечения авторы вредоносных программ ответили созданием кода, который пытается избежать обнаружения себя. При обнаружении характерных особенностей работы антивируса (включая Kaspersky, AVG, VBA32, BitDefender), например, «неправильное» поведение API ОС, временные расхождения, и эмулированные "красные таблетки" (“red pills”), вредоносный код меняет «поведение». Для борьбы с этим, реверс-инжиниринг является сложным, тестирование как «черный ящик» - медленным, неудобным и часто неэффективным. Новый метод тестирования антивирусов как «черных ящиков» - поиск “отпечатков” (“fingertips”) при работе коммерческих антивирусов, может быть использован как для анализа атаки, так и оборонительных возможностей. Через API AVLeak, в частности, можно провести оценку работы антивирусов через “состязательное тестирование”.

При исследовании уязвимостей, если что-то пошло не так, как предусматривалось, бывает очень сложно определить корневую причину изменений. В дополнение к «классическому» статическому анализу ПО, есть средство определения «недокументированных особенностей» по известным сэмплам – Ablation, которое позволяет упростить и визуализировать процесс. Компания Cylance планирует выпустить под открытой лицензией Pintool: Ablation на днях.

Использование мобильных устройств в корпоративной среде – еще один источник угроз, даже при наличии установленного решения EMS (Enterprise Mobile Security). Swizzler, который выходит после конференции, позволяет автоматизировать большое количество типов атак, в ходе которых реализуется обход защиты для атаки серверов во внутренней сети организации. Особенно полезно, если в организации практикуется BYOD.

И раз уж речь зашла о проактивной защите организации от атак (попробовать “мыслить как злоумышленник”!) – тестировании на проникновение, еще пара решений в этом стиле. Infection Monkey, инструмент для тестирования на проникновение для ЦОДов (подойдет и для банков), помогает визуализировать векторы атак и выявить уязвимые сегменты сети: в случайных частях ЦОДов устанавливаются зараженные виртуальные машины для проверки потенциальных “слепых пятен” в общей системе безопасности сети. Для программно-определяемых сетей (SDN) есть проект DELTA – интегрированный пакет, который генерирует известные сценарии атак для различных случаев и методами нечеткой логики позволяет вскрывать неизвестные проблемы с безопасностью.

Как уже было отмечено, все эти продукты выходят под свободными лицензиями. Отдельно FinCERT выделяет атаки на устройства самообслуживания. Для таких устройств тоже выходят новые продукты для обеспечения безопасности, в том числе для IoT, но тема большая, и мы расскажем об этом в новых выпусках.


Комментарии к статье принимаются по адресу info@ubs.ru. При использовании материалов сайта ссылка на первоисточник (сайт компании UBS) обязательна.