Максим Ефремов, 24/01/24
До ковидных времен считалось, что вся информация находится внутри периметра организации. Периметр четко соответствует офису, поэтому нужно как можно лучше защитить тот самый “периметр”, тогда корпоративные данные будут надежно защищены. Но как только пользователи массово взяли ноутбуки и перестали работать из офиса, применимость такой концепции устремилась к нулю. Объем информации, которая стала обрабатываться на удаленных рабочих местах, резко возрос. Сейчас данные есть и внутри организации, и на рабочих станциях, расположение и состояние защищенности которых не всегда понятны. Периметр – размылся.
Автор: Максим Ефремов, заместитель генерального директора по информационной безопасности, “ИТ-Экспертиза”
САКУРА (почти аббревиатура от "система автоматизированного контроля и управления рабочими местами") – это комплекс информационной безопасности для контроля рабочих мест, проверки уровня защищенности и активного реагирования на несоответствие профилям безопасности. Данный комплекс позволяет обеспечить защиту рабочих мест, где бы они ни находились: как в привычном периметре организации, так и при удаленном подключении или при использовании облачной и гибридной инфраструктуры.
Комплаенс и безопасность
Безопасность обусловлена постоянной необходимостью защиты от актуальных угроз. Процесс обеспечения безопасности постоянно эволюционирует и никогда не завершается.
Комплаенс – это, с одной стороны, минимальный набор требований, которые должны выполняться максимально эффективно, а с другой – состояние, характеризующее соответствие этим требованиям. По сути, это фундамент, на котором можно выстроить эффективную защиту.
Термин "комплаенс" обычно применяется для обозначения соответствия требованиям внешних регуляторов, но он также актуален и для соблюдения внутренних корпоративных правил. Комплаенс достигается, когда офицер информационной безопасности уверен, что выполнены все предъявленные к инфраструктуре требования – как внутренние, так и внешние, до момента, пока не поступят дополнительные требования.
Требования к информационной безопасности постоянно меняются. Они поступают как от регулирующих органов со стороны государства, так и от внутренних подразделений. Поэтому важна не столько единомоментная проверка состояния комплаенса, сколько постоянный мониторинг соответствия на случай выявления отклонений.
В худшем случае результатами невыполнения комплаенса могут быть административная, а возможно и финансовая ответственность. Например, в случае невыполнения комплаенса для критической информационной инфраструктуры речь может идти даже об уголовной ответственности.
САКУРА для проверки комплаенса
Нельзя контролировать то, что нельзя измерить. Чем больше параметров можно извлекать, оцифровывать и регистрировать, тем больше открывается возможностей для проверки соблюдения стандартов и требований.
САКУРА позволяет контролировать состояние удаленных рабочих мест и других устройств 24 часа в сутки и предотвращать последствия нарушения правил информационной безопасности, мгновенно реагируя на несоответствия эталонам ИБ.
Например, есть конфиденциальная информация, с которой работают сотрудники, в том числе удаленные. При этом они могут работать как с корпоративных рабочих устройств, так и с собственных в рамках концепции BYOD, которая после наступления карантина стала очень популярной.
Если рабочего места осуществляется доступ к чувствительной информации, к нему нужно предъявлять особые требования, то есть собирать все параметры, которые характеризуют состояние рабочей станции, и проверять их на соответствие условиям комплаенса..
Рис 1. Принципиальная схема работы САКУРА
Примеры проверки комплаенса
САКУРА может контролировать очень много параметров, от процессов до устройств и софта, включая телеметрию рабочего места. Делать это можно в том числе с использованием скриптовых языков, которые помогут получать с рабочего места еще более разнообразную информацию, на основании которой можно более гибко предъявлять требования к рабочему месту. Помимо сбора информации скрипты позволяют воздействовать на систему, проводя в ней дополнительные тонкие настройки в интересах безопасности и комплаенса.
Например, если антивирус на рабочем месте сообщает, что в системе присутствуют вирусы, вылечить которые нет возможности, или установленные СЗИ сигнализируют, о том, что на узле есть угрозы, не устраненные на момент проверки, в таком случае САКУРА считает, что комплаенс не обеспечен, и необходимо автоматически выполнить действия, которые могут быть настроены при непрохождении комплаенса. Например, это может быть ограничением доступа ко всем бизнес-приложениям и ресурсам. Резоны понятны: исключение утечек информации, а также недопущение заражения других корпоративных систем и ресурсов.
Другой пример: есть рабочее место, к которому предъявляются требования по наличию антивируса и прохождению аутентификации. Допустим, антивирус обновлен, идентификация осуществлена – проверка пройдена. В результате у рабочего места появляется доступ к локальным и облачным приложениям. Но в какой-то момент появляются дополнительные требования к местоположению, а устройство находилось в Рязани или в Москве и вдруг оказалось в Турции. С этого момента рабочему месту автоматически ограничивается доступ к критичным локальным и облачным приложениям, а статус устройства меняется на "скомпрометировано".
Управление удаленным доступом
Типична ситуация, когда удаленные рабочие места подключаются к корпоративным ресурсам через VPN. В таком случае на устройствах должен быть установлен агент САКУРА, который контролирует прохождение комплаенса.
По умолчанию подключающиеся по VPN рабочие места автоматически помещаются в демилитаризованную зону (ДМЗ), а не в защищенный контур организации. Агент на компьютере сообщает серверу САКУРА о состоянии защищенности рабочего места. Сервер проверяет, что все параметры выполняются, и дает команду VPN-серверу, что рабочее место можно пропустить в защищенный периметр и предоставить доступ к внутренним ресурсам.
Если на рабочем месте требования выполняются лишь частично, VPN-сервер может "на лету" изменить маршрутизацию трафика и предоставлять доступ только к ресурсам, которые не являются критичными, например к электронной почте.
А если на рабочем месте проверка комплаенса не проходит, САКУРА сообщает VPN-серверу, что такое рабочее место нельзя пропускать внутрь сети, и следует оставить его в ДМЗ.
Сервер САКУРА также автоматически сообщает рабочему месту, какие действия ему необходимо предпринять для того, чтобы устранить нарушения. Такими действиями может быть автоматическое обновление операционной системы, проверка файловой системы антивирусом или просто направление пользователя на страницу портала, где указан список необходимых организационных и технических мер.
Все проверки состояния защищенности обязательно должны проводиться в режиме реального времени и в автоматическом (не путать с автоматизированным) режиме, облегчая жизнь офицеру безопасности. То есть, если во время работы в корпоративных информационных системах требования комплаенса на рабочем месте перестали соблюдаться, САКУРА оперативно ограничит доступ такому пользователю или рабочему месту к ресурсам до устранения нарушений.
Аналитика
В комплексе САКУРА внедрена система непрерывной аналитики, которая постоянно мониторит требования, потенциальные угрозы, а также отклонения от комплаенса. Данные могут быть изучены внутри комплекса САКУРА или экспортированы во внешние системы. Например, можно взаимодействовать с SIEM-системами, передавать им данные о нарушениях и инцидентах безопасности, а также при необходимости проводить более глубокий анализ.
Возможности
САКУРА реализует клиент-серверную архитектуру: сервер размещается внутри корпоративной сети, а агенты устанавливаются на каждом рабочем месте, подлежащем проверке. Установленный агент собирает максимально полную информацию о рабочей станции и действиях пользователя, обеспечивая контроль за всеми аспектами работы компьютера и активности пользователя.
Это позволяет системе тщательно контролировать эффективность работы сотрудника и степень защищенности его компьютера. Она также способна определять, выполняет ли пользователь свои служебные обязанности на рабочем месте или занимается делами личного характера, выявлять такие случаи, как установка администратором майнинг-программы на компьютер пользователя в попытке заработка цифровой валюты. Примеры подобных сценариев возникали у пользователей САКУРА и были успешно выявлены.
Одна из самых частых проблем, которая выявляется, – ситуация, когда пользователям запрещен доступ в Интернет, но они пытаются всеми возможными способами получить этот доступ и устанавливают модемы или подключаются к незащищенным Wi-Fi-сетям.
Еще одна весьма распространенная проблема – неактуальное состояние антивирусных баз, хотя это базовое требование информационной безопасности любой компании.
Заключение
САКУРА – решение, которое должно быть установлено, когда информационная безопасность в компании уже обеспечивается. Если в компании банально нет антивируса, САКУРА, к сожалению, не поможет. Она не является средством защиты информации как таковая, но она контролирует, насколько хорошо обеспечивается информационная безопасность. И, замечая любые нарушения, предпринимает оперативные меры и уведомляет администраторов информационной безопасности, а если возможно, может в автоматическом режиме исправить выявленные нарушения.
Система может быть достаточно легко развернута в течение нескольких дней, а результат ее работы будет виден практически сразу после запуска.
САКУРА является полностью российской разработкой и внесена в реестр отечественного ПО. Система совместима как с операционными системами Windows, так и Linux, в том числе Astra Linux, Ред ОС и ALT Linux.
