Обзор Secret Net Studio 8.8, средства для защиты данных и конечных точек сети

2. Описание решения

3. Архитектура решения

4. Описание защитных механизмов

4.1. Защита от несанкционированного доступа

4.1.1. Защита входа в систему

4.1.2. Идентификация и аутентификация пользователей

4.1.3. Блокировка компьютера

4.1.4. Функциональный контроль подсистем

4.1.5. Контроль целостности

4.1.6. Дискреционное управление доступом к ресурсам файловой системы

4.1.7. Полномочное управление доступом

4.1.8. Затирание данных

4.1.9. Замкнутая программная среда

4.1.10. Контроль подключения и изменения устройств компьютера

4.1.11. Контроль печати

4.1.12. Теневое копирование выводимых данных

4.2. Защита дисков и шифрование контейнеров

4.3. Защита информации на локальных дисках

4.4. Шифрование данных в криптоконтейнерах

4.5. Персональный межсетевой экран

4.6. Обнаружение и предотвращение вторжений

4.8. Шифрование сетевого трафика

Введение

Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).

Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.

Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.

Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.

Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.

Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.

Описание решения

СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.

В рамках данного продукта решаются следующие задачи:

  1. Защита от внешних угроз:
  • защита рабочих станций и серверов от вирусов и вредоносных программ;
  • защита от сетевых атак;
  • защита от подделки и перехвата сетевого трафика внутри локальной сети;
  • защищенный обмен данными с удаленными  рабочими станциями.
  1. Защита от внутренних угроз:
  • защита информации от несанкционированного доступа*;
  • контроль утечек и каналов распространения защищаемой информации;
  • защита от действий инсайдеров;
  • защита от кражи информации при утере носителей.
  1. Соответствие требованиям регуляторов:
  • Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).

*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.

Архитектура решения

Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:

  • автономный вариант — предусматривает только локальное управление защитными механизмами;
  • сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:

  • Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
  • Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
  • Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.

В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:

  • Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
  • Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
  • Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).

Описание защитных механизмов

В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:

Рисунок 1. Уровни защиты и соответствующие им защитные механизмы

Уровни защиты и соответствующие им защитные механизмы

Лицензируются следующие компоненты системы:

Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio

Централизованное управление защитными компонентами Secret Net Studio

Защита от несанкционированного доступа

Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.

Защита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:

  • средства для идентификации и аутентификации пользователей;
  • средства блокировки компьютера;
  • аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).

Идентификация и аутентификация пользователей

Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему

Политики в Secret Net Studio. Настройка входа в систему

В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:

  • средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
  • устройство Secret Net Card;
  • программно-аппаратный комплекс (ПАК) «Соболь».

Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio

Настройка электронных идентификаторов для пользователей в Secret Net Studio

Блокировка компьютера

Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:

  • блокировка при неудачных попытках входа в систему;
  • временная блокировка компьютера;
  • блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
  • блокировка компьютера администратором оперативного управления.

Рисунок 5. Настройка средств блокировки в Secret Net Studio

Настройка средств блокировки в Secret Net Studio

Функциональный контроль подсистем

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.

В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.

Контроль целостности

Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).

Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio

Создание нового задания для контроля целостности в Secret Net Studio
Создание нового задания для контроля целостности в Secret Net Studio

При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.

Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio

Создание модели данных для контроля целостности в Secret Net Studio

Дискреционное управление доступом к ресурсам файловой системы

В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:

  • разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
  • контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
  • запрет доступа к объектам в обход установленных прав доступа;
  • независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio

Настройка дискреционных прав доступа в Secret Net Studio
Настройка дискреционных прав доступа в Secret Net Studio

Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.

Полномочное управление доступом

Механизм полномочного управления доступом обеспечивает:

  • разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
  • контроль подключения и использования устройств с назначенными категориями конфиденциальности;
  • контроль потоков конфиденциальной информации в системе;
  • контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
  • контроль печати конфиденциальных документов.
Читать также:  Поддельный сертификат о вакцинации от COVID-19 можно купить всего за 1,5 тысячи

Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом

Политики в Secret Net Studio. Настройка полномочного управлении доступом

Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.

Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio

Программа настройки подсистемы полномочного управления доступом в Secret Net Studio

Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.

Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio

Назначение уровней допуска и привилегий пользователям в Secret Net Studio

Затирание данных

Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.

Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных

Политики в Secret Net Studio. Настройка механизма затирания данных

Замкнутая программная среда

Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:

  • файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
  • сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.

На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.

Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio

Создание модели данных для замкнутой программной среды в Secret Net Studio

Контроль подключения и изменения устройств компьютера

Механизм контроля подключения и изменения устройств компьютера обеспечивает:

  • своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
  • поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.

Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.

Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера

Политики в Secret Net Studio. Настройка политики контроля устройств компьютера

При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.

На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.

Контроль печати

Механизм контроля печати обеспечивает:

  • разграничение доступа пользователей к принтерам;
  • регистрацию событий вывода документов на печать в журнале Secret Net Studio;
  • вывод на печать документов с определенной категорией конфиденциальности;
  • автоматическое добавление грифа в распечатываемые документы (маркировка документов);
  • теневое копирование распечатываемых документов.

Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати

Политики в Secret Net Studio. Настройка контроля печати

Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».

Рисунок 16. Редактирование маркировки распечатываемых документов

Редактирование маркировки распечатываемых документов

Теневое копирование выводимых данных

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.

Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования

Политики в Secret Net Studio. Настройка теневого копирования

При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.

Теневое копирование поддерживается для устройств следующих видов:

  • подключаемые по USB жесткие диски, флешки и др. накопители;
  • дисководы CD- и DVD-дисков с функцией записи;
  • принтеры;
  • дисководы гибких дисков.

Защита дисков и шифрование контейнеров

В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.

Защита информации на локальных дисках

Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.

Шифрование данных в криптоконтейнерах

Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.

Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.

Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.

Рисунок 18. Управление криптографическими ключами пользователей

Управление криптографическими ключами пользователей

Персональный межсетевой экран

Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:

  • фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
  • фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
  • фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
  • фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
  • фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
  • фильтрация с учетом полей сетевых пакетов;
  • фильтрация по дате / времени суток.

Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана

Политики в Secret Net Studio. Настройка межсетевого экрана

Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).

Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.

События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.

Обнаружение и предотвращение вторжений

В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.

Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений

Политики в Secret Net Studio. Настройка механизма обнаружения вторжений

Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.

Антивирус

Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.

Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.

Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.

Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).

Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.

Рисунок 21. Политики в Secret Net Studio. Настройка антивируса

Политики в Secret Net Studio. Настройка антивируса

Шифрование сетевого трафика

В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.

При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.

Рисунок 22. Подключение «Континент-АП» через Secret Net Studio

Подключение «Континент-АП» через Secret Net Studio

При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.

Рисунок 23. Настройка «Континент-АП» в Secret Net Studio

Настройка «Континент-АП» в Secret Net Studio

Выводы

Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые  для этого модули.  Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.

Читать также:  Как ускорить процесс получения и регистрации сертификата электронной подписи для 1С-Отчетность?

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).

О механизмах централизованного управления и мониторинга читайте во второй части статьи.

  1. Введение
  2. Сертификация Secret Net Studio и соответствие требованиям законодательства
  3. Архитектура Secret Net Studio
  4. Системные требования Secret Net Studio
  5. Функциональные возможности Secret Net Studio
  6. Выводы

Введение

При решении задачи по обеспечению безопасности предприятия одним из основных моментов является вопрос защиты корпоративной сетевой инфраструктуры. Традиционно, сетевая инфраструктура организации включает в себя локальную вычислительную сеть, корпоративную сеть передачи данных между офисами, а также периферийные устройства и компьютеры. К последним в том числе относятся рабочие станции сотрудников и серверы, защита которых зачастую является высокоприоритетной задачей, как и контроль за безопасностью подключений ко внутренним корпоративным системам в целом.

С развитием информационных технологий в мире, традиционное определение корпоративной сети меняется. Теперь важные системы и данные могут располагаться в облаках, причём как в публичных, так и в частных, а сотрудники могут работать удалённо и находиться при этом в любом месте земного шара, где есть доступ в интернет. В последнее десятилетие границы сетевого периметра организации всё больше размываются, и на смену старым подходам к защите ИТ-инфраструктуры приходят более гибкие, позволяющие эффективно адаптироваться к новой реальности и противодействовать широкому спектру угроз.

Так, обновлением классического «периметрального» подхода стала модель «нулевого доверия» (Zero Trust Architecture, Zero Trust Network Access, она же ZTNA). В основе концепции лежит идея «недоверия по умолчанию», то есть отсутствия или минимизации областей «подразумеваемого» доверия или пользователей как внутри корпоративной сети, так и за её пределами.

В прошедшем году мы проводили онлайн-конференцию AM Live «Сетевой доступ с нулевым доверием», где эксперты обсудили как само понятие ZTNA и базовые принципы этого подхода, так и технические аспекты, связанные с его внедрением в действующую инфраструктуру.

Российская компания «Код Безопасности» предлагает собственную систему Secret Net Studio для защиты корпоративной ИТ-инфраструктуры, данных и доступа к сети. Оно разработано с учётом принципов архитектуры «нулевого доверия», описанных в NIST 800-207; в частности, поддерживается синхронизированный, но отделённый от Active Directory каталог пользователей для авторизации, дублирующие механизмы разграничения доступа независимо проверяют права доступа конкретного пользователя к конкретному файлу, обеспечивается постоянный независимый контроль целостности ключевых компонентов ОС, обеспечивается постоянный мониторинг среды и т. д. Для сетевого доступа к защищаемому ресурсу пользователь или устройство сначала проходит процедуру аутентификации, а уже после этого выполняется подключение.

Совместно с «Континентом 4» Secret Net Studio обеспечивает целостную защиту и разграничение доступа в сетевой инфраструктуре.

В 2016 году мы публиковали подробный обзор Secret Net Studio версии 8.1, состоявший из двух частей («Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы», «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга»). В текущем обзоре мы детально рассмотрим новую версию 8.8 и произошедшие в ней изменения.

Сертификация Secret Net Studio и соответствие требованиям законодательства

Secret Net Studio как комплексное средство обеспечения безопасности было включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 3855). В том же году был получен сертификат соответствия ФСТЭК России № 3745 (продлён в 2020 году, действителен до 16 мая 2025 года). Успешное прохождение сертификации позволяет использовать Secret Net Studio для защиты:

  • автоматизированных систем (АС) до класса 1Г включительно (то есть систем, в которых циркулирует служебная тайна),
  • значимых объектов критической информационной инфраструктуры (ЗО КИИ) до 1-й категории включительно,
  • информационных систем персональных данных (ИСПДн) до 1-го уровня значимости,
  • государственных информационных систем (ГИС) до 1-го класса включительно,
  • автоматизированных систем управления технологическими процессами (АСУ ТП) до 1-го класса включительно.

Предыдущие версии Secret Net Studio успешно прошли проверку ФСБ России (сертификат СФ/СЗИ-0288) на соответствие требованиям к средствам защиты информации ограниченного доступа, не содержащей сведений составляющих государственную тайну, от несанкционированного доступа по классам защиты АК3. Сейчас новая версия также находится на сертификации ФСБ России, но уже по классу защиты АК5, получение сертификата ожидается весной 2022 года.

Также Secret Net Studio можно использовать на объектах информатизации Министерства обороны России согласно заключению 317/6/610, действующему до декабря 2024 года.

Архитектура Secret Net Studio

Secret Net Studio имеет классическую клиент-серверную архитектуру. Далее мы приведём описание компонентов комплекса.

Клиент — это программа, которая устанавливается на каждое контролируемое устройство (сервер или рабочую станцию) и реализует установленные механизмы защиты как относительно самого устройства, так и в вопросах подключения и использования корпоративных ресурсов.

Клиент на устройстве может работать в двух режимах: автономном, при котором управлять защитными механизмами можно только локально, и сетевом, когда возможно и локальное, и централизованное управление механизмами защиты. Второй режим также предусматривает взаимодействие с центром управления для синхронизации информации о состоянии устройства, его изменения, а также установки различных обновлений.

Сервер безопасности решает задачи по централизованному управлению клиентскими системами при использовании Secret Net Studio в сетевом режиме работы. Так, сервер безопасности отвечает за обработку и хранение информации о состоянии других компонентов системы и клиентов, координирует порядок взаимодействия и работы этих компонентов и реализует функции контроля и управления Secret Net Studio.

Сервер аутентификации реализует механизмы удостоверения подлинности пользователей и контролируемых устройств, а также обеспечивает работу механизмов межсетевого экранирования на клиентских системах и защищаемых ресурсах.

Центр управления — это инструмент администрирования всех компонентов Secret Net Studio, включая серверную часть и клиентские машины. Администратор может управлять пользователями, защищаемыми устройствами и ресурсами, а также просматривать информацию о состоянии контролируемых или защищаемых систем и о различных событиях в инфраструктуре.

Сервер обновлений используется для того, чтобы централизованно отправлять новые антивирусные сигнатуры, дополнения к базам правил и опасных веб-ресурсов (для межсетевых экранов и систем обнаружения вторжений) на клиентские устройства.

Реализация масштабируемости в Secret Net Studio

Для обеспечения хорошей горизонтальной масштабируемости Secret Net Studio можно использовать такие механизмы, как объединение лесов доменов безопасности или иерархия подчинённости сервера безопасности, а также создавать каскады серверов обновлений. Рассмотрим далее эти возможности подробнее.

Объединение лесов безопасности. Secret Net Studio позволяет организовать иерархическую структуру лесов доменов безопасности на основе связанных и несвязанных лесов доменов Windows Active Directory (AD). Леса объединяются родительским сервером и совокупно называются федерацией. Администратору, работающему с сервером, предоставляются следующие возможности по управлению защищаемыми компьютерами из дочерних лесов безопасности:

  • получение информации о состоянии защищаемых компьютеров,
  • отправка команд оперативного управления на защищаемые компьютеры,
  • получение оповещений о событиях тревоги и сбор локальных журналов с защищаемых компьютеров,
  • управление параметрами безопасности этих компьютеров посредством групповых политик, заданных на родительском сервере безопасности.

Иерархия подчинённости серверов безопасности. Сервер безопасности реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены компьютеры с установленным клиентом Secret Net Studio, машины под управлением ОС семейства Linux с установленным ПО Secret Net LSP, а также другие серверы безопасности.

В один лес независимо от количества серверов безопасности в нём рекомендуется включать не более 15 000 функционирующих клиентов. Одному серверу безопасности рекомендуется подчинять не более 1 500 функционирующих клиентов.

Каскадирование серверов обновлений. Внутри компании создаётся каскад серверов, в котором один, корневой, скачивает обновления с сервера компании «Код Безопасности», а остальные, дочерние, — с корневого или с других дочерних. Таким образом с основного сервера снимается нагрузка при обслуживании большого числа клиентов.

Системные требования Secret Net Studio

Подробные требования к аппаратному и программному обеспечению, необходимые для установки компонентов Secret Net Studio, приведены на вкладке «Системные требования» официальной страницы продукта. Отметим, что при развёртывании SNS в сетевом режиме функционирования используемые устройства должны быть введены в домен Active Directory.

Функциональные возможности Secret Net Studio

Поскольку в обзоре 2016 года функциональные возможности Secret Net Studio уже были детально описаны, мы перечислим все основные функции и механизмы защиты, реализованные в новой версии продукта, но подробно рассмотрим только новые возможности и внесённые изменения.

Также мы остановимся на вопросах совместимости с различным программным обеспечением, особенно сторонним, потому что значительная часть изменений и улучшений связана именно с реализацией поддержки и возможностей взаимодействия с продуктами других организаций в сферах информационной безопасности, виртуализации или ИТ в целом.

Весь набор функциональных возможностей, реализуемых Secret Net Studio, разделяется на пять основных логических категорий, о которых мы поговорим далее.

Читать также:  Если вы использовали мои подарочные карты для совершения покупки, могу ли я получить возмещение?

Механизмы защиты для противодействия атакующим

В Secret Net Studio реализованы механизмы защиты, противодействующие активности потенциальных злоумышленников на разных стадиях кибератак. Рассмотрим несколько упрощённую модель атаки. Условно, она состоит из проникновения в инфраструктуру, распространения и продвижения по сети с компрометацией всё большего количества систем и устройств, а также финального этапа, когда атакующий уже достиг своих целей. Последний этап также характеризуется максимальным ущербом для организации, связанным как с репутационными рисками (например, при краже конфиденциальной или секретной информации), так и с финансовыми потерями (очевидный пример здесь — это последствия активности шифровальщиков, которые требуют выкуп за расшифровку данных). Кроме того, хакеры могут вмешиваться в бизнес-процессы, последствия чего предсказать не так просто.

Таблица 1. Механизмы защиты, реализованные в Secret Net Studio, для разных стадий кибератак

По данным компании «Код Безопасности», Secret Net Studio может выявлять кибератаки на любой стадии (в соответствии с глобальной базой знаний MITRE ATT&CK) и в некоторых случаях им противодействовать. Однако заметим, что доля отслеживаемых техник, которые используют атакующие на разных стадиях, не превышает 60 % для каждой из тактик, а для некоторых — даже 10 %.

Рисунок 1. Обнаружение техник злоумышленников на разных стадиях кибератак с помощью Secret Net Studio

Обнаружение техник злоумышленников на разных стадиях кибератак с помощью Secret Net Studio

Защита данных от несанкционированного доступа

Защита информации от НСД обеспечивается широким набором функций — от ограничения прав доступа (включая различные политики по управлению доступом на основе групп, федераций и меток), различных способов аутентификации контроля устройств и печати до теневого копирования и даже намеренного уничтожения данных.

Антивирусная защита и обнаружение вторжений

В эту категорию включены антивирусное ядро для поиска вредоносных программ и подозрительного сетевого трафика с помощью сигнатурных и поведенческих методов, эмулятор угроз (песочница), почтовый антивирус и средства по обнаружению и предотвращению вторжений. Также реализована автоматическая блокировка узлов, с которых ведётся зафиксированная вредоносная деятельность, что позволяет остановить возможного злоумышленника на начальном этапе.

Защита сетевого взаимодействия

Защита сетевого взаимодействия представлена следующими механизмами:

  • Межсетевое экранирование с возможностью фильтрации трафика на трёх уровнях: сети, сессий и приложений. Также можно гибко настраивать правила (включая время их действия по дням недели или даже времени суток) и шаблоны.
  • Авторизация сетевых соединений, обеспечивающая аутентификацию узлов сети с использованием сертификатов для защиты от перехвата данных (атак типа «Man-in-the-Middle»).
  • Программная сегментация сети без изменения топологии (используются оверлейные сети). Обеспечивает в том числе шифрование трафика между двумя сетевыми узлами.

Шифрование данных

Шифрование данных логически разделено на несколько механизмов по типу того, что нужно защитить. Реализовано шифрование файлов и папок с помощью криптоконтейнеров, то есть специально созданных файлов, подключаемых к системе в качестве логического диска с различными правами: на чтение, на полный доступ к данным и с возможностью управлять самим криптоконтейнером.

Важным нововведением версии Secret Net Studio 8.8 стало полнодисковое шифрование. Обычно при использовании последнего невозможно контролировать целостность объектов жёсткого диска до загрузки ОС. Отличительной особенностью Secret Net Studio 8.8 является возможность интеграции с аппаратно-программным модулем «Соболь» для доверенной загрузки и контроля целостности зашифрованных разделов. При этом доступны четыре варианта полнодискового шифрования в зависимости от того, кто шифрует и где хранится информация для возможности восстановления данных, если по каким-то причинам утерян пароль:

  • локальное шифрование пользователем с локальным хранением данных для восстановления,
  • локальное шифрование пользователем с централизованным хранением данных для восстановления,
  • локальное шифрование администратором (при этом пользователю передаётся временный пароль для доступа, который он меняет при первом входе в систему), восстановить данные может только администратор,
  • централизованное шифрование администратором для группы устройств одновременно (пользователи сами устанавливают пароль на своей машине, применяется для группы устройств одновременно).

Рисунок 2. Мастер шифрования дисков Secret Net Studio

Мастер шифрования дисков Secret Net Studio

Рисунок 3. Загрузчик Secret Net Studio (запрос пароля для доступа к зашифрованному диску)

Загрузчик Secret Net Studio (запрос пароля для доступа к зашифрованному диску)

Централизованное управление и мониторинг событий

Централизованное управление и мониторинг событий как категория включает в себя обширный набор функций администрирования всей инфраструктуры, включая серверы безопасности и аутентификации, клиенты Secret Net Studio (системы под управлением операционной системы Windows) и клиенты Secret Net LSP (системы под управлением ОС Linux). Также сюда относятся задачи журналирования событий, отчётность по ним, мониторинг состояния компонентов инфраструктуры и оповещения о подозрительных или нарушающих политики безопасности событиях, правила межсетевого экранирования.

В качестве ключевых функций здесь укажем возможности развёртывать компоненты Secret Net Studio, устанавливать исправления (патчи) и обновления, а также активировать механизм защиты дисков от несанкционированного доступа централизованно. Кроме того, в новой версии на клиентские машины можно отправлять кумулятивные патчи и применять их пакетно (устанавливать сразу набор обновлений, как обычных, так и кумулятивных).

Далее перейдём ко второй части рассматриваемой категории функций: мониторингу событий и возможностям по оперативному реагированию. Начнём с того, что оповещения о событиях «тревоги» (то есть ИБ-событиях разной степени важности) теперь могут отображаться на панели задач Windows, а также отправляться по почте блоками на основе типов событий, а не отдельными сообщениями. Также была переработана основная страница центра управления Secret Net Studio, на которой отображается общая статистика событий тревоги в инфраструктуре.

Рисунок 4. Страница «Статистика» центра управления Secret Net Studio

Страница «Статистика» центра управления Secret Net Studio

Существенным нововведением стали шаблоны параметров безопасности, которые облегчают и упрощают процесс настройки механизмов защиты таким образом, чтобы система соответствовала требованиям законодательства России. Так, в версии 8.8 появились предустановленные шаблоны политик для:

  • ИСПДн 4-го уровня защищённости (УЗ),
  • информационных систем финансовых организаций до 1-го уровня защищённости в соответствии с ГОСТ 57580.1-2017,
  • АСУ ТП до 1-го класса защищённости,
  • ЗО КИИ до 1-й категории значимости,
  • ИС для обработки биометрических персональных данных как для стандартного уровня защиты информации (ЕБС-2), так и для усиленного (ЕБС-1).

Также можно самостоятельно создавать шаблоны настроек компонентов Secret Net Studio и параметров безопасности и проверять, соответствуют ли они требованиям регуляторов.

Рисунок 5. Меню «Шаблоны» центра управления Secret Net Studio

Меню «Шаблоны» центра управления Secret Net Studio

Рисунок 6. Предустановленный шаблон для ИСПДн 1 УЗ (центр управления Secret Net Studio)

Предустановленный шаблон для ИСПДн 1 УЗ (центр управления Secret Net Studio)

Рисунок 7. Сравнение созданного шаблона с предустановленным для ИСПДн 1 УЗ (центр управления Secret Net Studio)

Сравнение созданного шаблона с предустановленным для ИСПДн 1 УЗ (центр управления Secret Net Studio)

Совместимость

Secret Net Studio можно использовать совместно с другими программными решениями и продуктами, дополняя функциональные возможности первого и формируя комплексную систему для защиты инфраструктуры в соответствии с потребностями конкретной организации. Подробная информация о совместимости Secret Net Studio с другим программным обеспечением доступна в документе «Сведения о совместимости с другим ПО» на официальном сайте компании.

Выводы

В новой версии комплексного средства Secret Net Studio 8.8 для защиты данных, серверов и рабочих станций от несанкционированного доступа были обновлены и доработаны как функциональные возможности, так и архитектура.

Среди основных функциональных нововведений Secret Net Studio отметим добавление полнодискового шифрования, совместимого с модулями доверенной загрузки операционных систем; предустановленные шаблоны параметров безопасности для обеспечения соответствия системы требованиям российского законодательства; пакетную установку обновлений на клиентские системы. Однако значительно доработаны были и другие функции, например в части межсетевого экранирования, администрирования компонентов Secret Net Studio, мониторинга и оперативного реагирования на события в инфраструктуре, а также визуальной составляющей центра управления.

Обновление архитектуры связано с отделением сервера аутентификации от сервера безопасности в составе комплекса. Тем самым были расширены возможности горизонтального масштабирования инфраструктуры за счёт дифференциации функций по нескольким серверам. Таким образом стало возможным внедрение Secret Net Studio в организациях любого размера.

  • Сертифицирован по требованиям ФСТЭК России по 4-му уровню доверия.
  • Наличие сертификата ФСБ России по классу АК3, ожидается получение сертификата по классу АК5.
  • Хорошая масштабируемость (один сервер безопасности поддерживает до 1,5 тысяч подключённых клиентов, один лес — 15 тысяч). Крупнейшая инсталляция — более 100 тыс. пользователей в рамках единой структуры.
  • Используемые механизмы защиты позволяют выявлять кибератаки на любой стадии (по классификации MITRE ATT&CK).
  • Возможности по быстрой настройке систем в соответствии с требованиями регуляторов в части обеспечения безопасности информационных систем с помощью предустановленных шаблонов.
  • Подробная техническая документация.
  • Обязательная привязка к службе каталогов Microsoft Active Directory.
  • Клиент для устройств под управлением ОС Linux отстаёт в функциональности от клиента под Windows-системы, а клиент для устройств под управлением macOS отсутствует.
  • Нет планов по сертификации криптографии, используемой в Secret Net Studio.

Сертификаты соответствия ФСТЭК России, действие которых было приостановлено или прекращено.

Дата актуализации сведений из реестра ФСТЭК России: 22.04.2022


Действие сертификата соответствия прекращено 20 апреля 2022 г. (1 шт

  • №4216 от 04.02.2020
    программное обеспечение «ESET NOD32 Secure Enterprise Pack» (версия 6)Соответствует требованиям документов: Требования к САВЗ, Профиль защиты САВЗ(А четвертого класса защиты. ИТ.САВЗ.А4.ПЗ), Профиль защиты САВЗ(Б четвертого класса защиты. ИТ.САВЗ.Б4.ПЗ), Профиль защиты САВЗ(В четвертого класса защиты. ИТ.САВЗ.В4.ПЗ), Профиль защиты САВЗ(Г четвертого класса защиты. ИТ.САВЗ.Г4.ПЗ)
    Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: АО «Лаборатория ППШ», заявитель: ООО «ИСЕТ Софтвеа».

Действие сертификата соответствия прекращено 18 апреля 2022 г. (1 шт

  • №4513 от 19.01.2022
    программное обеспечение SAP S/4HANA, версия 1909Соответствует требованиям документов: Требования доверия(6), ТУ
    Схема сертификации: серия, испытательная лаборатория: ООО «Газинформсервис», орган сертификации: ООО «ЦБИ», заявитель: ООО «САП СНГ».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *