Обычно компании приобретают услуги аутсорсинга, когда у них нет штатных специалистов необходимой квалификации либо они хотят снизить нагрузку на ключевых инженеров. Как показывает наш опыт эксплуатации WAF и IPS в рамках аутсорсинга, организация рабочего процесса в этих случаях имеет особенности, вызванные относительной сложностью разрабатываемых политик и необходимостью их непрерывной актуализации. В отличие от политик FW и значительной части других СЗИ, политики WAF и IPS гораздо в большей степени зависят от защищаемых прикладных систем и требуют тюнинга при большинстве изменений на их стороне. IPS в целом является простой системой, не требующей постоянного внимания. В основном достаточно периодически актуализировать политики с учетом выпуска новых сигнатур и выявления новых уязвимостей. В большинстве случаев эксплуатацию IPS целесообразно передавать на аутсорсинг для снижения нагрузки на штат и минимизации рисков при выполнении разовых процедур — например, обновлений, для выполнения которых может потребоваться некоторый опыт работы с решением.
Практика показывает, что попытка передать на аутсорсинг процессы без четких регламентов, вовлеченности специалистов заказчика и должного контроля может привести к негативным последствиям.
Инсталляция WAF в большинстве случаев происходит существенно сложнее: система требует пристального внимания, для обеспечения ее работы задействуется большое количество подразделений, начиная с бизнес-подразделений, проверяющих юзабилити веб-приложений, и заканчивая другими подрядчиками (например, при интеграции с облачными DDoS-решениями). В данной статье я расскажу, какие нюансы важно учитывать при передаче IPS и WAF на обслуживание внешнему подрядчику, и поделюсь примерами из практики.
Кейсы
«Слишком долго искали ответственных».
Эксплуатируя IPS одного заказчика, мы регулярно анализировали случаи срабатывания системы на предмет выявления подозрительного трафика. Получив результаты такого анализа, мы решили, что необходимо проверить ряд рабочих станций на предмет заражения. ИБ-специалисты заказчика, которым была направлена эта рекомендация, не смогли оказать содействие в решении вопроса из-за отсутствия необходимых прав доступа и полномочий на администрирование антивируса и конечных узлов. В результате процесс поиска ответственного подразделения затянулся на неделю и привел к подрядчику, который отвечал за пользовательскую инфраструктуру. Расследование показало, что заражение рабочих станций не успело привести к дальнейшему распространению ВПО и каким-либо серьезным последствиям. Тем не менее отсутствие заранее согласованных процессов взаимодействия существенно замедлило решение простейшей проблемы и создало риск практически беспрепятственной активности ВПО на конечном узле в течение длительного времени.
Такая ситуация показала, насколько важно, помимо выполнения контрактных работ, заранее согласовывать процессы взаимодействия.
«Когда в подразделениях согласья нет».
При эксплуатации WAF возникало большое количество ложных срабатываний, в том числе false positive, оказывавших влияние на доступность сервиса. В ходе диагностики причин такого поведения мы выяснили, что на стороне веб-приложения внесены существенные изменения без уведомления администраторов WAF. Такие несогласованные изменения на стороне веб-приложения могут приводить к резкому росту количества ложных срабатываний и увеличению риска успешной атаки.
Поэтому крайне важно включать эксплуатацию WAF в процесс release-менеджмента: об обновлении приложений в обязательном порядке необходимо уведомлять администраторов WAF. В особенности это актуально, когда разработкой веб-приложения и эксплуатацией WAF занимаются различные подрядные организации.
«Каждый по отдельности – молодец, а результата нет».
В одном из контрактов по эксплуатации IPS перед нами стояла задача выдавать рекомендации по устранению уязвимостей, наличие которых можно было выявить на основе срабатываний IPS. Мы составляли рекомендации еженедельно, но при следующей проверке вновь выявляли те же самые уязвимости. В дальнейшем удалось выяснить, что за непосредственное устранение уязвимостей на серверах отвечало ИТ-подразделение заказчика, в то время как рекомендации мы направляли в адрес ИБ-подразделения. Отсутствие налаженных коммуникаций между подразделениями ведет к значительному росту рисков ИБ и неэффективному использованию услуг подрядчика. Аналогичная ситуация возникла в рамках контракта по аутсорсингу SOC, когда во время регулярных пентестов мы выявляли одну и ту же уязвимость на сайте.
Администрированием WAF, обеспечивающего защиту сайта, занимался сам заказчик, но, несмотря на своевременную реакцию со стороны SOC, уязвимость длительное время не закрывалась. Данный случай еще раз подтверждает, что заблаговременное согласование перечня участников, ответственных за реализацию на стороне различных систем, ускорило бы закрытие выявленных уязвимостей.
Основные подходы к аутсорсингу WAF и IPS
Администрирование решений без аналитики и расследования инцидентов ИБ. При таком подходе подрядчик обеспечивает работоспособность СЗИ согласно SLA и выполняет повседневные эксплуатационные задачи: мониторинг загрузки, обновление, проверка бэкапа и т.д. За анализ инцидентов ИБ и формирование требований к политикам безопасности отвечает сам заказчик.
C анализом инцидентов ИБ ситуация довольно простая: сейчас сложно представить себе инсталляцию WAF или IPS без подключения к SIEM-системе, являющейся зачастую компонентом внутреннего или внешнего SOC, в задачи которого входит реагирование на инциденты ИБ и аналитика. А вот с формированием требований к политикам безопасности могут возникнуть сложности. Подрядчик несет ответственность только за администрирование и обеспечение работоспособности решений. И если заказчик не имеет в штате собственных специалистов по WAF и IPS, процесс преобразования общих задач ИБ в конкретные требования к политикам, например, в виде технического задания, может оказаться в «серой» зоне: за него в полной мере не будет отвечать ни заказчик, ни подрядчик. Чтобы этого не произошло, целесообразно заранее обговаривать разграничение зон ответственности.
Администрирование решений, включая аналитику и расследование инцидентов ИБ. В этом случае подрядчик обычно подключает системы заказчика к своему SOC, в котором уже налажены процессы. Объем трудозатрат и, как следствие, стоимость услуг, разумеется, возрастают. Эта схема больше всего подходит для заказчика, у которого в штате отсутствуют собственные специалисты. Исполнитель полностью отвечает за весь процесс эксплуатации решений.
Администрирование решений по запросу для разгрузки штата заказчика. В этом случае крайне важно разграничить зоны ответственности и согласовать процессы взаимодействия, чтобы подрядчик мог эффективно выполнять задачи по эксплуатации и действительно снижать нагрузку на специалистов заказчика, не обременяя их дополнительной работой в виде согласований и оказания помощи в решении организационных вопросов. Эта схема оптимальна при наличии у заказчика в штате своего эксперта по продукту.
Отметим, что, независимо от выбранного подхода, важно заранее четко определить зоны ответственности, зафиксировать состав работ и требования к результату. Аутсорсинг предполагает серьезную двустороннюю работу. Привлекая подрядчика, компания должна понимать, что для достижения успеха выполнять регламенты и своевременно привлекать все необходимые подразделения обязаны обе стороны.
Практика показывает, что попытка передать на аутсорсинг процессы без четких регламентов, вовлеченности специалистов заказчика и должного контроля может привести к негативным последствиям.
Заключение
При эксплуатации WAF и IPS важно заблаговременно наладить процессы взаимодействия между подрядчиком или эксплуатирующим подразделением и подразделениями, ответственными за смежные системы, по следующим направлениям:
- промежуточное сетевое оборудование;
- DDоS-система;
- потоковый антивирус при наличии интеграции;
- защищаемые веб-приложения;
- веб-серверы защищаемых веб-приложений;
- балансировщики.
Отсутствие налаженных процессов взаимодействия может привести к потере целостной картины влияния тех или иных изменений (включение новых политик, обновление) на сервисы и к замедлению реагирования на инциденты ИБ. Аутсорсинг во многих случаях эффективен, но налаживание четко выстроенных процессов взаимодействия между эксплуатирующими подразделениями крайне значимо как в таких случаях, так и при эксплуатации WAF и IPS собственными силами.
Олег Карих
эксперт Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»
Комментарий
Несколько примеров из нашего опыта ИБ-аутсорсинга
Специфика нашей работы заключается в непрерывном контроле, анализе и поддержании высокого уровня ИБ защищаемого сегмента. Без современных и правильно настроенных инструментов реализовать это практически невозможно. Созданию и развитию средств защиты традиционно предшествует появление атак, поэтому такие решения нужно постоянно обновлять. К тому же одного специализированного средства обнаружения и защиты зачастую недостаточно. Пример — антивирусное ПО: каждый производитель использует собственные сигнатурные базы вредоносного ПО (ВПО) и способы обнаружения, что сказывается на эффективности выявления его различных типов. Часть информации мы получаем из профильных СЗИ. При этом дополнительное обогащение инцидентов информацией позволяет провести весьма интересную аналитику.
Поэтому мы никогда не пренебрегаем возможностью проанализировать данные из дополнительных источников. Сегодня я поделюсь двумя кейсами, когда нам удалось выявить инциденты ИБ с помощью данных, полученных с непрофильных СЗИ.
Недобросовестный администратор
Проблема. Сотрудник госучреждения втайне майнил криптовалюту на веб-сервере работодателя. Нарушителю удавалось обходить используемые в организации средства защиты и оставаться незамеченным некоторое время.
Решение. После подключения инфраструктуры организации к нашему сервису мы предложили заказчику протестировать расширенный функционал системы Anti-DDoS, которая на тот момент обеспечивала защиту сервисов госучреждения, доступных из Интернета. В рамках тестирования был проведен дополнительный сигнатурный и поведенческий анализ трафика на наличие признаков вредоносного ПО, участия в ботнет-сетях и подключений из защищаемого сегмента к скомпрометированным ресурсам.
Исследование показало, что один из веб-серверов организации участвовал в информационном обмене анонимной сети TOR (The Onion Router). Это стало основанием для расследования, по итогам которого выяснилось, что сотрудник госучреждения злоупотреблял правами администратора и использовал вычислительные ресурсы сервера для майнинга криптовалюты. При этом нелегитимное ПО на сервере не было обнаружено антивирусом, а межсетевой экран пропускал трафик сети TOR как легитимный https-трафик, характерный для веб-сервисов. Проведя расследование, выполнив ретроспективный анализ действий администратора и изучив log-сообщения веб-сервера, мы восстановили полную хронологию произошедшего. В результате веб-сервер был очищен от нелегально установленного ПО, а руководство учреждения получило полный отчет по инциденту.
Беспечный топ-менеджер
Проблема. Рабочий ноутбук топ-менеджера одного из крупнейших российских банков был заражен вредоносным ПО Citadel, используемым для кражи конфиденциальной информации. Под угрозой оказались не только данные банковской карты владельца устройства, но и учетные данные для входа в личный кабинет тысяч клиентов банка.
Решение. Обнаружение вредоносного ПО — вполне рядовой инцидент для нашей команды. Интересно, что в этом случае зловред был найден не установленным на устройстве антивирусом, а системой обнаружения аномалий и глубокого поведенческого анализа сетевого трафика, которая проходила период опытной эксплуатации. По факту выявления заражения мы сразу предприняли меры по изоляции и попытались изъять зараженный ноутбук для проведения расследования. Последнее оказалось весьма нетривиальной задачей, несмотря на согласованные регламенты действий обеих сторон в случае выявления инцидентов.
Только после наглядного приведения доказательств заражения с участием CISO банка нам удалось снять образы HDD- и RAM-памяти ноутбука. Как выяснилось в ходе расследования, рабочий ноутбук часто использовался вне офиса в личных целях, что и стало причиной заражения вредоносным ПО. Антивирусные базы сильно устарели из-за долгого отсутствия доступа к корпоративному антивирусному серверу обновлений. Своевременное обнаружение заражения и принятые меры по изоляции ноутбука позволили предотвратить утечку конфиденциальных данных.