Защита сетевого периметра от вирусных атак

Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.

В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.

Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.

Можно выделить следующие основные угрозы информационной безопасности:

• Шифровальщики
• Ботнеты
• Фишинг
• Атаки на веб-приложения
• Уязвимости в популярных операционных системах
• Уязвимости в прикладном ПО (офисные приложения, браузеры и др.)
• Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или "черными поисковиками")
• Таргетированные (целевые) атаки

Подробнее о них мы писали в статье "От Zeus до WannaCry: современные угрозы и новые средства защиты".

Эшелонированная оборона

Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).

Эволюция средств защиты

Естественно, для борьбы с современными угрозами необходимы современные средства защиты.

Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.

Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.

Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.

На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функционалом, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.

Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).

Различие между UTM и NGFW - вопрос дискуссионный. Основное их отличие от устаревших типов решений - наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях - и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпромитированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.

Каким должно быть решение для защиты периметра

Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в сеть Интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.

Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:

• Решение должно быть безопасным.
  Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса.
• Оно должно быть современным.
  Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в Интернет операционную систему Windows: она наиболее уязвима для различного вида атак - и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro.
• Решение должно быть простым.
  С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика.
• Оно должно быть комплексным.
  Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.

Рекомендации по защите

Антивирусная проверка веб-трафика

Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.

В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от "Лаборатории Касперского" предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.

Блокирование анонимайзеров и TOR

Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.

Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.

В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.

Контентная фильтрация трафика

Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.

Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других - они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.

При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:

• Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации)
• Ботнеты
• Взлом (веб-сайты, содержащие хакерское ПО и утилиты)
• Тайный сбор информации (блокирует активность adware и шпионского ПО)
• Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей)
• Центры распространения вредоносного ПО
• Центры управления и контроля (командные центры ботнетов)
• Фишинг/мошенничество
• Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты)
• Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы)

Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.

Предотвращение вторжений

Один из важнейших модулей глубокого анализа трафика, позволяющий заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, а также ведущий журналирование инцидентов безопасности и различных аномалий.

Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:

• Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров)
• Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности)
• Блокировку известных IP-адресов злоумышленников, "хакерских" хостингов и зараженных хостов по обновляемой базе IP Reputation

Активация данного модуля существенно повышает общую безопасность сети и сервера.

Контроль приложений

Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.

Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.

Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.

Фильтрация спама

Email-адреса сотрудников, как правило, очень легко ищутся на сайтах компании, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.

Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:

• Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
• Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
• Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
• Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).

В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.

DNS-фильтрация

Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет действительно заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.

На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками уже на уровне резолвинга DNS-адреса, и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.