IP Guard AMS 1.0. Моніторинг кіберзагроз

12/01/2015

1135р

Рис. 1

 

Усвідомлюючи необхідність захисту інформаційних ресурсів та інформаційно-телекомунікаційних систем нашої держави, враховуючи підвищення рівня складності та інтенсивності кіберзагроз в цілому, а також на виконання Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05.11.2014 № 1135-р (рис. 1-4), фахівцями CERT-UA розроблено та введено в дослідну експлуатацію систему активного моніторингу мережевих загроз IP Guard AMS 1.0.

 

 

scrn_1

Рис.2 

 

scrn_2

 

Рис. 3

 

scrn_3

 

Рис.4 

 

Зазначене технічне рішення має розподілену структуру (центр контролю мережевих аномалій і сенсори (IDS)) і дозволяє в режимі реального часу виявляти уражені шкідливими програмами комп’ютери, вразливості та інші мережеві загрози. Розгортання сенсору не потребує додаткових фінансових витрат*, а фахівці CERT-UA надають необхідну консультативну і практичну допомогу з його налаштування.

 

Зазначимо, що з меж комп’ютерних мереж, де встановлено сенсор, передається лише сигнальна інформація – повідомлення про спрацювання тієї чи іншої сигнатури (правила-ознаки проблеми в мережі). В свою чергу, з центру контролю мережевих аномалій на сенсор передаються сигнатури (ознаки, характерні для шкідливих програм: IP-адреси, доменні імена і/або вразливості та інше). Передавання будь-якої іншої інформації не здійснюється. Відповідальним фахівцям організації, в межах якої встановлено сенсор, надається доступ до перегляду виявлених загроз в режимі реального часу.

 

Розгортання сенсору (-ів), на тих самих умовах, також можливе в комп’ютерних мережах не державних організацій.

 

* * *

 

Наприкінці листопада 2014 року, в процесі пошуку шляхів розбудови системи колективної безпеки інформаційного простору і підвищення рівня захищеності національного Інтернег-сегменту України, фахівцями CERT-UA анонсовано створення і введення в дослідну експлуатацію системи IP Guard – програмно-апаратного рішення, що забезпечує накопичення, обробку і розповсюдження інформації про скомпрометовані IP-адреси. Станом на кінець 2014 року доступ до системи було надано відповідальним представникам більше ніж 130 організацій (державних органів, операторів/провайдерів телекомунікацій, комерційних структур).

 

Поряд із зазначеним CERT-UA продовжувала фіксувати підвищення рівня цільових атак, фактів ураження шкідливими програмами комп’ютерів державних органів, об’єктів критичної інформаційної інфраструктури, стратегічних вітчизняних підприємств і кредитно-фінансових установ, що дозволяло зловмисникам не лише порушувати конфіденційність оброблюваної інформації, викрадати грошові кошти, а й отримувати прихований віддалений доступ до внутрішніх мереж і систем (тобто, займатися шпигунством).

З одного боку нашою командою щоденно отримуються і аналізуються десятки шкідливих програм, в результаті чого визначаються ознаки (індикатори) компрометації (IP-адреси і домени серверів управління бот-мережами, контрольні суми шкідливих файлів та інше), а з іншого боку – ми не маємо (точніше, не мали) дієвого механізму розповсюдження і обробки цієї інформації з метою виявлення мережевих загроз по ознакам компрометації в «державних» масштабах (тобто, в мережах державних органів, об’єктів критичної інформаційної інфраструктури тощо).

 

Усвідомлюючи гостру необхідність в організації та автоматизації процесу глобального виявлення мережевих загроз, фахівцями CERT-UA було розроблено і введено в тестову експлуатацію розподілену систему активного моніторингу мережевих загроз, що отримала назву IP Guard AMS 1.0.

 

Для того щоб зустріти новий 2015 рік з впевненістю в можливості моніторингу мережевих загроз в масштабі держави, фахівцями нашої команди наприкінці грудня 2014 року проведено успішні інсталяції 3 (трьох) мережевих сенсорів (в комп’ютерних мережах як органів державної влади, так і державних та приватних підприємств). Більше того, забезпечено можливість перегляду виявлених мережевих аномалій в режимі реального часу (шляхом інтеграції в IP Guard).

Розгортання перших сенсорів надало відповідальними фахівцям (тих організацій де їх розгорнуто) можливість «на собі» відчути користь системи IP Guard AMS 1.0, а команді CERT-UA – з відчуттям виконаного обов’язку зустріти Новий Рік.

 

Принципова схема системи активного моніторингу загроз IP Guard AMS 1.0 наведена на рис. 5.

 

surr_6

Рис. 5

 

 

Система IP Guard AMS версії 1.0 призначена для роботи в пасивному режимі – тобто, здійснює лише моніторинг загроз, проте не блокує їх. Для організації процесу виявлення мережевих загроз необхідно весь вхідний та вихідний мережевий трафік спрямувати на сенсор. Сам сенсор (окрім підключення до локальної обчислювальної мережі об’єкту моніторингу) підключається до VPN-мережі CERT-UA (центру контролю мережевих аномалій), за допомогою якої розповсюджуються сигнатури і здійснюється отримання, обробка і передавання в кабінет користувача (IP Guard) повідомлень про виявлені загрози. Зовнішній вигляд результатів моніторингу зображено на рисунку 6.

 

 

11

Рис. 6

 

З рисунку 6 вже видно, що в мережі організації є ряд серйозних проблем, серед яких:

— уражені шкідливими програмами комп’ютери (боти), які регулярно підключаються до серверів управління бот-мережами;

— спроби підбору паролю до ssh (що потребує коректного налаштування доступу до серверу по ssh з метою мінімізації загрози вдалого підбору паролю);

— використання протоколів, які не підтримуються шифрування, для передавання автентифікаційних даних (зокрема, паролів);

— використання засобів віддаленого доступу.

Така інформація вже є керівництвом до дії для відповідальних системних адміністраторів та фахівців з інформаційної безпеки.

 

З метою розгортання сенсору, зацікавлена організація повинна звернутися до Держспецзв’язку з відповідним листом (зразок). «Зобов’язаність» щодо розгортання сенсору стосується лише органів державної влади, адже це визначено в дорученні Віце-прем’єр-міністра України – міністра регіонального розвитку, будівництва та житлово-комунального господарства України від 27.11.2014 № 40493/3/1-14. Не державні організації, в свою чергу, приймають рішення щодо розгортання сенсору виходячи із власної необхідності і поточного стану інформаційної безпеки.

 

Після прийняття рішення щодо необхідності розгортання сенсору і перед написанням офіційного листа просимо зв’язуватися з представниками CERT-UA в робочому порядку для вирішення питань що можуть виникати.

 

Будемо вдячні за пропозиції, зауваження та побажання стосовно системи активного моніторингу мережевих загроз IP Guard AMS 1.0. Оновлення щодо змін/додаткових функцій системи будуть зазначатися в цій статті.

 

 

*Зважаючи на багаторічний досвід проведення оцінок стану захищеності інформаційно-телекомунікаційних систем органів державної влади, ми з впевненістю можемо сказати, що в кожному відомстві є бодай один незадіяний сервер/робоча станція (Desktop), які можуть бути використані з користю в якості сенсору.