# Хостовые и комплексные средства защиты. Base-уровень # Антивирусное программное обеспечение (АВПО) Антивирусное программное обеспечение (АВПО) - Cпециализированная программа для обнаружения компьютерных вирусов, а также нежелательных программ и профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом. АВПО можно разделить на несколько видов по способу развертывания: 1. Endpoint - устанавливается на конечных устройствах (АРМ и серверах); 3. Управляющий сервер (например, Kaspersky Security Center [KSC]). Используется в крупных организациях, для управления всеми антивирусами на всех хостах в сети Компании, а также для возможности удаленной установки средств АВПО. Позволяет производить логически организовывать машины в группы, для выполнения общих задач одновременно. Так же позволяет создавать правила и исключения. 1. Облачные (например, Kaspersky Security Network [KSN]). Облачные антивирусы являются комплексами из клиентского приложения и веб-сервиса. Такая структура позволяет снизить нагрузку на компьютеры пользователей. Также под облачными антивирусами часто имеют в виду антивирусы, обеспечивающие безопасность на облачных платформах. Существует несколько основных способов обнаружения вирусного программного обеспечения: 1. Сигнатурный. Основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. 1. Эвристический. Работа эвристического анализатора основана на поиске характерных для вирусов и шпионских программ особенностей (фрагментов программного кода, определенных ключей реестра, файлов и процессов). Кроме того, эвристический анализатор пытается оценить степень похожести исследуемого объекта на известные вирусы. 1. Метод эмуляции (имитации). Технология эмуляции позволяет запускать приложение в изолированной среде, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором. 4. Поведенческий анализ. Можно отнести к разновидности вероятностного анализа — как это и следует из названия данного метода, антивирусная программа следит за поведением приложений и, если оно кажется ей подозрительным, блокирует работу потенциально опасной программы. # Средства криптографической защиты информации Средства криптографической защиты информации (СКЗИ) используются для шифрования документов (файлов) и генерации электронной подписи, а также обеспечения многофакторной аутентификации Шифрование != кодирование (подход один, но разные цели: кто угодно может прочитать текст в кодировке UTF-8, но не все могут прочитать шифротекст AES, только те, у кого есть секретный ключ для расшифровки) По методу установки можно выделить 2 типа СКЗИ: 1. Программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту; 1. СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Шифрование и расшифровка данных производятся внутри носителя. СКЗИ используют для защиты информации от НСД (например при передаче файла по открытым каналам связи, чтобы исключить возможность компрометации информации - информацию в файле шифруют, принимающая сторона для прочтения информации должна обладать секретным ключом), а также для подтверждения подлинности информации (что информация не была изменена за время ее передачи). Как и было освещено выше, СКЗИ используется для обеспечения целостности и конфиденциальности информации, данные задачи ИБ также выполняет и электронная подпись (ЭП) Электронная подпись (ЭП) - реквизит документа, позволяющий подтвердить принадлежность ЭП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания Важной операцией при подписании документов ЭП является хэширование - одностороннее необратимое преобразование текста. Однако некоторые алгоритмы хеширования недостаточно криптостойкие, и поэтому подвержены взлому (чаще всего путем перебора). Одностороннее преобразование текста означает, что по определенному алгоритму можно преобразовать текст в последовательность букв и чисел, однако из данной последовательности уже нельзя получить исходный текст. Сертификат электронной подписи - необходим для проверки подлинности электронной подписи, он подтверждает принадлежность ключа проверки электронной подписи владельцу сертификата Каждый сертификат имеет срок действия, который необходим для поддержания актуальных данных об организации и владельце ЭП. Любой сертификат ЭП можно проверить на едином портале Электронных подписей, который хранит все актуальные данные о сертификате. По методу создания/получению сертификаты можно разделить на 2 типа: 1. Выданные удостоверяющим центром; 1. Самоподписанные сертификаты. Используются для обмена зашифрованными или подписанными документами между людьми, доверяющими друг другу, например, друзьями или коллегами. Самоподписанный сертификат - это сертификат, изданный самим пользователем (возможно вами) без обращения к Удостоверяющему центру. Самоподписанный сертификат является одновременно личным и корневым (устанавливается в Личное хранилище сертификатов и Доверенные корневые центры сертификации). Многие законы РФ и постановления регуляторов (ФСТЭК, ФСБ, ЦБ РФ) требуют обязательного использования СКЗИ при работе с важной информацией. Например, персональными данными, платёжными поручениями, приказами и так далее Также использование СКЗИ требуется для организации юридически-значимого электронного документооборота (ЭДО). Даже неквалифицированная электронная подпись может считаться равноценной подписи от руки. Но, конечно же, квалифицированная и усиленная электронная подпись обеспечивают большую целостность, нежели неквалифицированная. # Средства защиты информации от несанкционированного доступаСредства защиты информации от несанкционированного доступа Средства защиты от несанкционированного доступа (СЗИ от НСД) - программные, технические или программно-технические средства, предназначенные для предотвращения или существенного затруднения несанкционированного доступа к информации. **Автономный вариант.** В данном варианте установки можно провести аналогию с автономным средством АВПО Kaspersky Internet Security (KIS), который также устанавливается на хост и работает без связи с другими АВПО в сети. **Сетевой вариант.** В данном варианте установки можно провести аналогию с управляющим сервером АВПО Kaspersky Security Center (KSC), который способен управлять конечными АВПО Kaspersky Endpoint Security (KES), при условии, что на хосте установлен агент управления Kaspersky. Наиболее известными средствами защиты от НСД являются программные продукты: **Secret Net Studio** - комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования; **DALLAS LOCK** - Продуктовая линейка Центра защиты информации компании "Конфидент" представлена современными средствами защиты информации для платформ Windows и Linux. # Host-based intrusion detection system (HIDS) Целью хостовой системы обнаружения вторжений (СОВ или англ. IDS) является слежение за всеми событиями, происходящими в компьютерной системе, и проверка их на соответствие модели безопасности. В то время, как сетевая СОВ отслеживает проходящие сетевые пакеты, хостовая СОВ проверяет, какая программа к каким ресурсам обращается и может обнаружить, что, например, текстовый процессор вдруг начал менять системную базу паролей. **HIDS** - Система обнаружения вторжений, которая мониторит и обрабатывает события, происходящие на хосте. Можно сказать, что хостовая СОВ — это агент, наблюдающий за тем, чтобы никто не смог нарушить (снаружи или изнутри системы) установленную политику безопасности операционной системы. HIDS следит за: * Процессами; * Файлами; * Реестром; * Пользовательской активностью в целом (UBA); * Сетевой активностью на хосте. HIDS представляет собой программный продукт. Данные системы способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать сомнительные процессы, разрывать или блокировать сетевое соединение, по которому идет атака на базы данных или сервисы. Примерами подобных систем можно назвать: * OSSEC; * Tripwire; * Samhain; * Splunk. # Endpoint Detection & Response (EDR) EDR способен детектировать атаки различного вида, сопоставлять их между собой, выявлять взаимосвязи между активностью, записывать в базу индикаторы, которые указывают на то, что АРМ был скомпрометирован. **Endpoint Detection and Response**- платформа, способная обнаруживать сложные и целевые атаки на рабочие станции, серверы, любые компьютерные устройства (конечные точки) и оперативно на них реагировать. EDR позволяет проводить наблюдение за всеми действиями конечных точек, например: * установка нового программного обеспечения; * скачивание файлов; * повышение уровня привилегий учетных записей; * изменения в запущенных процессах; * изменения в сетевой активности; * изменения в поведении пользователей; Принцип работы EDR Детальный мониторинг всех процессов, запущенных на рабочих станциях и серверах, а также их взаимодействие, например, с исполняемыми файлами и корпоративными приложениями, позволяет организациям получать наглядную картину всего происходящего. А именно отслеживать подозрительное поведение, фиксировать несанкционированный доступ и иные злонамеренные действия. # Data Leak Prevention (DLP) DLP системы могут анализировать: * Электронную почту; * Мессенджеры; * Внешние запоминающие устройства; * Печать на принтеры; * Флеш-накопители; * Desktop-приложения; **Data Leak Prevention (DLP)** - программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится на анализе потоков данных, выходящих за пределы корпоративной сети.  * DLP-системы применяются для решения следующих не основных для себя задач: * контроль использования рабочего времени и рабочих ресурсов сотрудниками; * мониторинг общения сотрудников с целью выявления саботажа, организованных злонамеренных действий, которые могут навредить организации; * контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.); * выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность; * контроль повседневной активности пользователей. В современных DLP системах реализован функционал User and Entity Behavior Analytics (UEBA), данное решение позволяет оценить текущую активность пользователя по ранее собранному профилю. И если есть отклонения от профиля, то вероятно, что либо логин/пароль пользователя скомпрометировали, либо он что-то затеял. Но также возможны ситуации, когда работник просто выполняет нестандартную рабочую задачу. Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя. Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают, а только сигнализируют об обнаруженном факте. DLP системы представляют собой серверы, которые подключают к различным системам компании (почтовые серверы, хосты Компании). # Honeypot **Honeypot (горшочек с медом)** - приманка для потенциального злоумышленника, которая представляет из себя выделенный сервер, который представляется критичным и незащищённым и однозначно привлечёт внимание взломщика **Принцип работы honeypot** Есть ресурс, на котором не производятся никакие действия, никто им не пользуется, находится он в сети Компании. Любое воздействие на него можно считать хакерской активностью, потому что хакеры не только атакуют известные ресурсы Компании, а также ищут лазейки внутри сети, исследуя её. Задача Honeypot: подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит не только узнать о факте присутствия злоумышленника в сети, но и изучить стратегию злоумышленника, определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. # СКУД **Системы Контроля и Управления Доступом (СКУД)** - электронная система, физически ограничивающая доступ куда-либо, к примеру, вход и выход из охраняемой области. Можно сказать, что самый банальный пример СКУД из обычной жизни - это охранник (контроллер и считыватель) рядом с которым стоит дверь (преграждающее устройство), когда вы подходите к двери, вахтер смотрит на ваше лицо (идентификатор) и если он вас знает, то вы проходите в охраняемое помещение, если охранник вас не помнит, то и в помещение не пустит. Описывая формальным языком, СКУД - совокупность программно-аппаратных технических средств контроля и средств управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории. Например, можно создать правило корреляции на SIEM, которое будет отслеживать события входа в дверь помещения на СКУД и события входа пользователя в ОС Windows внутри этого помещения. Таким образом, мы можем отслеживать компрометацию пользователей в случаях, когда они логинятся на хосте, но не проходят через дверь помещения. # Зачем нужно так много СЗИ? Существует множество СЗИ. В данной статье перечислены основные классы средств защиты. В каждом классе существует множество разработанных продуктов. Наверняка вы заметили, что иногда мы описываем разные средства защиты одними и теми же словами, и у вас возник вопрос – а зачем так много? Это чтобы денег выручить больше? Не совсем так. Каждый вендор старается внести в свой продукт максимальный функционал, сделать свой продукт наиболее “умным” и удобным для потребителя. Именно поэтому стали появляться универсальные роутеры с функциями VPN, Proxy, аудита соединений, интеграцией с RADIUS, Wi-Fi и так далее. А ведь раньше это были железки, единственная задача которых была – маршрутизировать трафик. Тоже самое и с АВПО, HIDS, СЗИ от НСД. Но всегда необходимо помнить, что можно установить сколько угодно СЗИ, вложить в них сколько угодно денег, и весь этот комплекс мер защиты не будет корректно работать, если СЗИ не настроены грамотным специалистом ИБ с учетом особенности системы, а также с учетом других СЗИ. Или пользователи могут быть просто не осведомлены о мерах гигиены ИБ.