8 (3462) 70-02-80 Время работы: Пн-Пт 08-20

Ideco Security 2.0

Ideco Security 2.0

Мы рады представить вам вторую версию сервиса проверки сетевой безопасности security.ideco.ru. Вы сможете узнать больше о вашей сети и оценить необходимость ее защиты.

Что проверяет сервис?

Доступ к сайтам 15 опасных категорий из вашей сети (проверяется более 120 URL)
Браузер сделает запросы к безопасному контенту данных сайтов. В случае возможности доступа к ним, запишет эти данные в отчёт. Вы можете посмотреть, какие проверки проводятся в «инспекторе» браузера (см. «инструменты разработчика» в Chrome или Firefox).

Проникновение тестовых образцов вирусов и pdf-эксплойтов через браузер
Этот тест может вызвать срабатывание локального антивируса - в таком случае ваша защита ограничивается лишь рабочей станцией, на сетевом уровне «вирус» не обнаружил препятствий. Мы используем стандартные безопасные тестовые образцы EICAR-Test-File, которые детектируются антивирусными программами, но не представляют опасности.

Торрент-файлы скаченные с вашего IP-адреса за последний месяц
По специальным образом собранной базе данных мы проверяем скаченные файлы с популярных торрент-трекеров. Если провайдер предоставил вам динамический или «серый» IP-адрес, либо вы используете мобильную сеть для выхода в интернет, в списке могут присутствовать файлы скаченные не из вашей сети.

Наличие IP-адреса в черных списках DNSBL
По пяти самым авторитетным спискам. Как правило в списки попадают IP-адреса, рассылающие спам или являющиеся частью ботнетов. Наличие в них — серьезный симптом нарушения безопасности сети.

Открытые порты и ответы сервисов на внешнем интерфейсе вашего интернет-шлюза
Злоумышленники пользуются этими данными для массированных нецелевых атак на уязвимые устройства. Желательно минимизировать наличие в ответах сервиса версий ПО, прошивок и названий вендоров.

Как работает security.ideco.ru?

Тестирование производится с помощью функций JavaScript выполняемых на странице сервиса: скачивание тестовых файлов, загрузка изображений или другой информации с доменов плохой репутации. Действия нашего сайта и ресурсов, к которым он обращается, не могут повредить вашему устройству или сети - используется только безопасное содержимое и тестовые версии эксплойтов и вирусов, без возможности их выполнения.

  1. Зайдите на сайт: security.ideco.ru и нажмите кнопку «Запустить тест». Вы можете использовать любую операционную систему, в т.ч. мобильные устройства. Но выходите в интернет через локальную сеть, т.к. тест проверят уровень защиты, обеспечиваемый средством защиты сетевого периметра.
  2. Ваш браузер будет обмениваться данными с сервисом для анализа открытых ему возможностей. Если антивирус на вашем компьютере выдал предупреждение, значит сработали средства защиты конечного устройства. Правильная настройка защиты периметра не должна допустить потенциально опасный трафик до вашего компьютера.
  3. Заполните форму и сервис проведет дополнительные проверки вашего IP-адреса и проверит ваш e-mail и телефон на наличие в базах данных злоумышленников.
  4. В отчёт включены данные сканирования вашего внешнего IP-адреса и ответы служб вашего сервера.
    Обратите внимание на упоминания вендеров и конкретных версий ПО - их наличие не желательно из-за возможности массовых нецелевых атак в случае обнаружения уязвимостей в решениях вендеров. По-возможности не должно быть открытых UDP-портов (53 DNS, 123 NTP), т.к. они могут быть использованы злоумышленниками для усиления DDoS-атак (ваш сервер будет их невольным участником).
  5. Пример отчёта вы можете скачать по ссылке (файл в формате PDF).
    Мы развиваем сервис, поэтому результаты отчётов вашей проверки могут выглядеть по-другому и включать дополнительные параметры.

Тестирование доступа к веб-ресурсам

Как правило веб-трафик свободно проходит через большинство межсетевых экранов и устаревших интернет-шлюзов. Но даже наличие современных средств защиты сетевого периметра не означает, что они настроены оптимально.

Мы провели исследования по средней доле трафика данных ресурсов на основе данных из полутора тысяч сетей, содержащих от 50 до 5000 хостов с доступом в интернет. В среднем подобные ресурсы утилизируют около 40% интернет-канала компаний.

Высокий уровень опасности

В данном разделе мы проверяем следующие категории сайтов:

  • Анонимайзеры
    Их используют пользователи для обхода настроек контентной фильтрации, доступа к сайтам, запрещенным Роскомнадзором. И, что более опасно, они часто используются ботнет-клиентами для соединения со своими командными центрами, либо отправки конфиденциальной информации.
  • Ботнеты
    Командные центры ботнетов. Современные браузеры содержат встроенные элементы защиты от соединений с известными хостами злоумышленников, поэтому тест может пройти успешно даже без наличия средства защиты сетевого периметра. Однако, их блокировка на уровне сети обязательна, т.к. вредоносное ПО обращается к подобным ресурсам напрямую, без использования браузеров.
  • Вирусы
    Для проверки используется тестовый образец EICAR-Test-File.
  • Фишинговые сайты
    Аналогично ботнетам, браузеры используют облачную БД и могут блокировать сайты этой категории самостоятельно. Как правило, это спасает лишь от уже известных фишинговых сайтов. Новейшие сайты эффективнее блокируются специальным ПО для контентной фильтрации.
  • Эксплойты в PDF-файлах
    Часто используются злоумышленниками из-за регулярно находимых уязвимостей в браузерах и ПО для просмотра PDF-формата.

Потенциально опасные ресурсы

  • Онлайн-казино
    Часть данных ресурсов использует нелегальные баннерные сети для показа рекламы, контент которых может быть фишинговым или вредоносным.
  • Порнографические сайты
    Не совместимы с рабочим процессом организаций, в них может быть вредоносное содержимое или ссылки на опасные и фишинговые ресурсы.
  • Сети стран третьего мира
    Проверяемые ресурсы не содержат опасности, но наличие доступа к вашему серверу с IP-адресов стран третьего мира потенциально опасно из-за большого количества нецелевых и DDoS-атак из данных стран.
  • Федеральный список Минюста
    Доступ к сайтам из данной категории должен быть закрыт в образовательных учреждениях согласно 139 и 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию".

Пожиратели времени

Данные ресурсы не представляют опасность с точки зрения информационной безопасности, но приводят к нецелевому расходу трафика и рабочего времени пользователями сети.

По данным нашего исследования, на данные ресурсы уходит до 11,5% интернет-трафика в компаниях. Мы проверяем доступ к следующим категориям:

  • Астрология и гороскопы
  • Знакомства (включая Tinder и другие современные мобильные приложения).
  • Компьютерные игры
  • Мультфильмы, аниме и комиксы
  • Развлекательные новости и сайты про знаменитостей

Пожиратели трафика

Данные ресурсы также не представляют непосредственной опасности, но, например, с помощью торрентов, в сеть может проникнуть вредоносное ПО (содержащиеся в зараженном пиратском ПО, активаторах и кейгенах), а криптомайнеры могут незаконно использовать вычислительные мощности компьютеров и серверов компании, приводя к повышению расходов на электричество.

По данным исследования, трафик данных ресурсов составляет до 25% от всего используемого. Сервис проверит доступ к следующим категориям сайтов:

  • Майнинг криптовалют
  • Рекламные сети
    Могут блокироваться расширениями браузеров (AdBlock), но эффективнее блокировать рекламу на интернет-шлюзе. Тогда она будет заблокирована у всех пользователей и на мобильных устройствах.
  • Торренты и P2P сети
    Сервис проверяет доступ к сайтам торрент-трекеров. Какие торренты скачивают ваши пользователи (если это происходит), вы можете увидеть в разделе дополнительных проверок.

Дополнительные проверки

Сервис выполнит проверки вашего IP-адреса. Обратите внимание, что проверка релевантна только при использовании внешнего статического IP-адреса, принадлежащего вам или вашей организации.

Информация о скаченных торрентах

В отчете представлена таблица загруженных с вашего IP торрент-файлах за последний месяц с популярных торрент-трекеров.

Заблокировать торренты может помочь компонент «Контроль приложений» шлюза безопасности Ideco UTM.

Наличие IP-адреса в черных списках

Мы проверим наличие вашего IP в списках Barracuda BBL, Sorbs.net, South Korean NBL, Spamcop и Spamhaus.

Открытые порты

В таблице отчёта представлены открытые порты на вашем внешнем интерфейсе и ответы служб на них.

Не рекомендуем открывать DNS и NTP порты по протоколу UDP, так как данные службы часто используются для усиления DDoS атак на сторонние ресурсы. При публикации веб-приложений (порты 80 и 443) лучше использовать Web Application Firewall (есть в составе Ideco UTM), в целях защиты от атак на веб-ресурсы.

Проверка e-mail на наличие в базах злоумышленников

Введенный вами в форму электронный адрес будет проверен по базе содержащей более 7 млрд записей. Если мы найдем в них пароли, связанные с вашим адресом, то вышлем их в отчёте, чтобы вы могли проверить их релевантность и по необходимости заменить.

Аналогичным образом в будущих версиях будет проверен телефон (если вы использовали его где-то в качестве логина, и он был скомпрометирован).

()
Ссылка на источник: https://ideco.ru/company/blog/ideco-security-2.0
24 января 2020

Возврат к списку