Интервью с Денисом Батранковым (Palo Alto Networks)

Дата: 15.10.2020. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности

Мы пообщались с Денисом Батранковым, советником по информационной безопасности компании Palo Alto Networks, о влиянии коронавирусной инфекции на информационную безопасность, о росте киберпреступности в этот непростой период, от текущей роли CISO, а также затронули множество других актуальных вопросов.

Как пандемия коронавируса повлияла на процесс обеспечения информационной безопасности?

Денис Батранков: Архитектура удаленного доступа сильно зависит от зрелости заказчиков. Опыт не приходит за один день. В основном администраторы делали все быстро и из того инструментария, что был. Поэтому ошибки были: кто-то выставил наружу свои уязвимые сервисы, кто-то — думал, что опубликовал RDP безопасно. И, естественно, они были взломаны.

Мы помогли защититься, где успели. Записали несколько вебинаров по правильной архитектуре: рассказали, почему нужен VPN и так важна двухфакторная аутентификация. Архитектурно нельзя VPN-клиентов сразу приземлять в корпоративную сеть без дополнительной фильтрации. Многие из тех, кто в марте делал все в спешке, сейчас переделывают архитектуру для уменьшения площади атаки.

Какие отрасли и компании оказались наиболее уязвимы для кибератак во время пандемии?

В основном небольшие компании, где никогда не было фокуса на безопасность. Кибератаки, в общем, остались те же: фишинг, подбор и кража паролей, заражение и удаленное управление рабочими станциями, а затем проход через них в другие сегменты сети и повышение привилегий.

Теперь каждый сотрудник стал для компании облачным сервисом. Как известно, на 600% вырос просмотр порносайтов, — это говорит о том, что люди посещали все, что можно, целыми днями и заражались.

Также сложности были у организаций, где по регламенту не предполагался удаленный доступ и не сложилась культура информационной безопасности при работе из дома. А тут еще возникли организационные проблемы: не все документы можно передавать обычным курьером, не все документы можно обрабатывать из дома, согласно законодательству и внутренним корпоративным требованиям.

Больно читать про атаки криптолокеров на производственные компании — это все следствие удаленки.

Клиенты стали тратить больше денег на приобретение средств защиты информации после режима самоизоляции?

Мы работаем с крупными заказчиками, бюджеты были выделены заранее, поэтому особых изменений в проектах не произошло. Выросла плотность задач, поскольку часть проектов, которые должны были состояться в конце года, перенесли на весну, — именно из-за удаленки и ожидания роста курса доллара. Нужно было защищать рабочие станции, а это проекты для таких систем защиты, как XDR, UEBA, VPN и NGFW.

Занятно, что обыденные вкусности современных клиентов VPN с функцией проверки защиты клиентского устройства (GlobalProtect HIP) и VPN без установки клиента люди распробовали только в это время.

Роль CISO возросла во время пандемии?

Нельзя говорить за всех. Меня озадачило, что в большинстве случаев оказалось, что за VPN отвечают ИТ-сотрудники. ИТ-служба давала доступ и отрабатывала кейсы в helpdesk по ошибкам настройки. Безопасники, по сути, продолжали анализировать атаки так, будто бы люди остались внутри компании.

Самые продвинутые компании провели пентесты, обучения и даже учения по безопасности, когда моделируются различные кейсы из жизни: заражение криптолокером, кража пароля админа, падение VPN-шлюза и др.

Верно ли, что наибольшая утечка конфиденциальной информации происходит из-за человеческого фактора? Как правильно выстроить процесс повышения осведомленности по вопросам ИБ сотрудников компании?

Да, человек — это главный вектор атаки и он же — главная угроза компании. Инсайдерам стало проще — они теперь сидят дома. Причем виновником утечки человек может стать ненамеренно.

Существуют готовые программы повышения осведомленности сотрудников, и я рекомендую их купить. Также существуют готовые тесты сотрудников по различным темам, например по идентификации фишинговых писем. Тестовые письма для проверки (кликнет ли человек на фишинговую ссылку?) неплохо рассылать всем сотрудникам раз в квартал, чтобы держать их в тонусе.

И самое интересное — проведите киберучения, где вы сможете смоделировать типовые события при взломе: все файлы зашифрованы и с вас требуют выкуп, один из сервисов для ведения бизнеса упал, сеть компании недоступна и др. Слаженная работа ваших сотрудников, а также анализ информации, знают ли они, что нужно делать, — это результат тренировок.

Можно ли, используя алгоритмы машинного обучения для бессигнатурного блокирования вредоносного кода, в 10-й версии NGFW от Palo Alto Networks защитить от взлома вебсайты с устаревшей версией php и наличием уязвимостей в исходном коде?

Мы всегда относились к нашему устройству, не просто как к межсетевому экрану, а как к платформе, на которой всегда можно добавить новые функции. Именно поэтому мы используем перепрограммируемые чипы ускорения FPGA и раздельный management и data plane.

С каждым обновлением операционной системы появляются новые сетевые функции, такие, как SD-WAN, и новые функции безопасности, такие, как защита от фишинга и корреляция событий.

Встроенный Machine Learning перевел защиту в NGFW на новый уровень: он в реальном времени позволяет находить zero-day в файлах, проверять фишинговые URL и DNS. К плюсам можно отнести следующее: если мы обнаруживаем атаку, сразу блокируем ее.  Раньше мы узнавали о zero-day атаке постфактум, когда «песочница» завешала свой анализ. Мы теперь можем автоматически проверять любые DNS-запросы и даже автоматически определять в сети устройства Интернет вещей: например можем отличить видеокамеру от «умных часов».

Поэтому сегодня ваша платформа защиты блокирует еще больше угроз. Если говорить про уязвимости, атаки на них известны, и они блокируются механизмом IPS. Однако от уязвимостей в логике работы скриптов и настроек сайта NGFW не защищает — для этого нужны WAF, статический и динамический анализ кода на самом сайте. Меня часто спрашивают, чем WAF отличается от NGFW. NGFW и WAF по-разному оценивают атаки по HTTP и HTTPS. Видимо, нужно написать статью про это.

Нужно ли использовать отдельно решения класса WAF, AntiDDoS или достаточно NGFW?

Есть разные типы угроз, и не все методики защиты можно объединить в одно устройство. Да, наверное, хотелось бы иметь одну коробку, которая делает все, но чудес не бывает. NGFW содержит IPS и, соответственно, часть функционала для защиты веб-сайтов, например для обнаружения атак типа php file include или sql injection. Однако часть атак требует наличия WAF, как я уже сказал выше.

То же самое с DDoS. В NGFW встроены статистические и логические методы защиты от выведения сайта из строя через уязвимости, от различного флуда и сканирований (например, техника syn cookies). Это хорошо для защиты небольших атак, но в таких случаях обычно применяют специализированные выделенные устройства, которые состоят из нескольких компонент.

А еще в сети нужны сканеры безопасности — это еще одно отдельное решение.

Расскажите про нововведения в функционале Threat prevention в 10-й версии ОС. IPS или IDS? Обнаруживать или предотвращать? Что лучше?

Конечно, нужно блокировать атаки! Совмещение в одном устройстве функционала для распознавания приложений и IPS сильно уменьшает число ложных срабатываний. Часть атак использует туннелирование и шифрование, которое отдельно стоящий IPS не видит. Современные атаки стали использовать DoT и DoH, туннелирование трафика и команд C&C через DNS запросы, используют DGA домены для обхода DNS Sinkholing, и, соответственно, все больше методик атак требуют полноценного распознавания протокола SSL/TLS и контроля SNI.

Мы создали подробный журнал ошибок при расшифровке соединений TLS — это мечта любого администратора, но пока никто этого еще не реализовал. А также мечта многих заказчиков — автоматически исключать из расшифровки сервисы, которые прекращают работать, если пытаешься вскрыть SSL. Мы сейчас делаем такой список исключений автоматически. 50% посещаемых сайтов сейчас используют ssl pinning и проверяют клиентские сертификаты, поэтому добавлять их вручную проблематично.

Также мы сделали Machine Learning, который может проверить и DNS-запросы, и URL, и файлы на лету, не ожидая ответа от «песочницы», от которых мы раньше зависели, когда говорили про защиту от zero-day атак.

Мы продолжаем расширять правила корреляции и создания специализированных отчетов. Мы — конечно, не SIEM, но уже можем прислать готовый список зараженных сотрудников в отчете по бот-сетям.

Нас спрашивали про масштабирование. Мы сделали кластер NGFW до 16 устройств: если у вас текущее устройство уже работает на максимуме, вы можете поставить рядом еще одно устройство и разбалансировать трафик между ними.

Многие наши уникальные фишки нравятся заказчикам: единообразное управление всеми устройствами, встроенный поиск индикаторов в нашей базе Threat Intelligence Autofocus, защита от фишинга, оптимизация существующих политик NGFW, подсказка как писать правила на основе анализа журналов функционалом Machine Learning в утилите Expedition, проверка ваших настроек NGFW на соответствие лучшим мировым практикам утилитой Best Practice Assessment (BPA). Удобное написание правил по пользователям и по приложениям, расширились новым понятием Device-ID, поскольку теперь мы работаем с IoT.

Как часто нужно обновлять настройки NGFW, чтобы снизить вероятность проникновения в инфраструктуру?

Приложения меняются каждый день. Если движки анализа приложений NGFW не обновлять, через какое-то время все техники обхода, которые использует TOR, Browsec, TCP-over-DNS, Skype и даже множество легитимных приложений, будут проходить через открытые 443 и 53 порт. Мы рекомендуем получать новые обновления для движка APP-ID раз в сутки. Также мы следим за тем, чтобы новые сигнатуры приложений не испортили работу старых правил — это важно, чтобы ваша инфраструктура была надежно защищена.

Если говорить про сигнатуры, например, для «песочницы» мы рекомендуем получать их из облака Wildfire раз в минуту, потому что вы проверяете наличие новых zero-day в нашей глобальной базе. И знание о новой эпидемии WannaCry может спасти вашу компанию просто потому, что вы вовремя об этом узнали. А мы делаем это автоматически: и обновления, и блокировки.

Можно ли автоматизировать процесс корректировки политик безопасности, чтобы снизить затраты на сопровождение NGFW?

Palo Alto Networks NGFW имеет встроенный графический оптимизатор политики безопасности. В оптимизаторе вы можете увидеть правила, где администраторы забыли указать L7-приложения, и все 300 разных приложений ходят по одному открытому порту. Можно увидеть правила, которые давно не работают. Можно автоматически вписать приложения, которыми пользуется сотрудник в нужное ему правило.

Кроме того, имеющийся механизм Best Practice Assessment проверяет, где забыли включить функции безопасности: IPS, антивирус, URL-фильтрацию, DNS-Sinkholing, журналирование или USER-ID.

А также наша утилита Expedition позволяет использовать Machine Learning, чтобы изучить трафик, который ходит по вашим готовым правилам и показать, как можно сжать 10 правил в одно, т.е. сокращает время на настройку всем администраторам.

Можно ли на базе Panorama построить NOC/SOC?

Действительно встроенные диаграммы из нашей панели Application Command Center (ACC) я часто вижу на экранах SOC. При этом Panorama не создает инциденты и не управляет процессом расследования. Мы предлагаем отдельный продукт Cortext XSOAR, который делает это и также объединяет все продукты безопасности в единую консоль и автоматизирует их взаимодействие. В серьезной компании может быть 40 различных производителей безопасности, поэтому всегда требуется отдельный оркестратор, всем управляющий, — XSOAR.

Задача Panorama — централизованно собирать журналы и хранить конфигурации всех NGFW, чтобы с единой консоли можно было проводить все действия по управлению всей сетью, просмотру событий и созданию отчетов.

Расскажите про функционал для защиты IoT-устройств. Как происходит их идентификация и как обеспечивается их защита?

Типов IoT огромное количество: «умные часы» и розетки, медицинские устройства, бытовая техника, веб-камеры, игровые консоли. И это не все, ведь есть еще Industial IoT (IIoT, OT устройства для ICS/SACDA), в которых определение типа устройства очень важно аналитикам SOC. Когда мы научились различать более 12 миллионов устройств, мы поняли, что нужно перейти на новый уровень, и разделили устройства по типам (например, камеры), по производителю и по конкретной модели. Мы запатентовали технологию многослойного Machine Learning для распознавания устройств IoT, и она используется в NGFW. ML бывает двух типов: supervised и unsupervised.

Мы используем уже готовые обученные модели, которые называются supervised. Однако наши заказчики могут тренировать ML на основе своего трафика, эти модели называются unsupervised. У нас появился новый критерий в политике безопасности — Device-ID. Теперь на своем межсетевом экране вы можете ограничивать возможности для ваших кофе-машин и «умных розеток», которые подключаются по Wi-Fi. На самом деле здесь важна идентификация по поведению трафика, а не по сигнатурам. И вы можете увидеть, какие устройства есть в ваше сети, и даже применить политику к ним, чтобы случайно не стать частью бот-сети Mirai.

Каковы особенности обеспечения безопасности 5G-устройств?

Мы много внимания обращаем на новые технологии. 5G, CIoT, NB-IoT, LPWAN сегодня используются все больше, и это приносит новые угрозы. Исследовательская лаборатория Unit42 должна постоянно работать, чтобы знать эти новые протоколы и их уязвимости, а также защищать от всех угроз.

У нас есть специализированный межсетевой экран K2. Он создавался специально для телеком-операторов, которым нужно контролировать трафик на больших скоростях.

Как правильно выбрать NGFW? На какие характеристики нужно обратить внимание при сравнении с конкурентами? Нужно ли тратить время на пилотные проекты?

В вашей сети порядка 200–400 различных приложений. Каждое приложение особое, каждое требует разных процессорных мощностей: HTTP, FTP, SMB, Skype, Slack, Telegram, TOR, teamviewer, RDP, яндекс.диск и т.д. Рекордсменом была компания, в которой я увидел 735 различных приложений, и всеми ими пользовались сотрудники. Проблема выбора NGFW заключается в том, что ваши приложения постоянно находятся в движении и в разном процентном соотношении заполняют трафик.

Если брать чистый HTTP, устройство может анализировать одну скорость, а если брать SMB, устройству уже сложнее, и оно может просесть в 10 раз по скорости, чтобы увидеть файлы и проверить их антивирусом. Поэтому верно поставить предполагаемую модель в вашу сеть и посмотреть загрузку процессора хотя бы в течение одной недели — нужно, чтобы при всех включенных функциях защиты data plane не загружался до 100%. Это значит, что устройство подходит. Не думаю, что неделя тестов критична при выборе устройства, учитывая, что это позволяет реально оценить качество продукта, попробовать написать правила в политике безопасности, посмотреть, какие еще функции есть: VPN, QoS, DDoS, SSL Decrypt.

Все datasheet пишутся под трафик в лаборатории, которого точно нет в вашей сети, как и функции безопасности чаще всего включаются не все: когда вы читаете datasheet, были ли включены все 100% сигнатур IPS и антивируса, модули анализа файлов в SMB, FTP и других протоколах, а также URL-фильтрация, IPS или «песочница»? Когда измеряют производительность устройств для datasheet, часто безопасность выключают, чтобы сделать вид, что устройство быстрое, а на самом деле после покупки вы не сможете включить все заявленные функции одновременно, поскольку это остановит весь трафик.

Например, сейчас я встречаю фразу в datasheet «инспекция HTTPS», однако в сносках написано, что в тестах была выключена URL фильтрация, антивирус и даже проверка сертификатов – какая же это инспекция?

Если у клиента стоит NGFW от одной компании, насколько практично ему покупать NGFW от другой компании? Не усложнит ли эта покупка процесс эксплуатации средств защиты?

Обычно NGFW прозрачно пропускают трафик через себя и наличие других NGFW не влияет. Иногда вижу, как безопасники намеренно используют двух производителей для многоэшелонированной защиты.

Какой подход нужно использовать при выборе аппаратной платформы? Когда лучше использовать «железо», а когда VM или облачное решение?

Чаще всего это зависит от архитектуры сети. Аппаратные ускорители на чипах FPGA и ASIC позволяют ускорить часть функций безопасности. В программных платформах эти возможности исчезают, а на первый план выходит оптимальность и грамотность построения архитектуры самого программного продукта, который уже работает на обычных процессорах, пусть и многоядерных. При этом у нас виртуальные межсетевые экраны могут работать на некоторых гипервизорах со скоростью 16 Гбит/с — этого вполне хватает даже высокопроизводительному ЦОД. И тренд в развитии сетевой защиты намечается в сторону виртуализации и контейнеризации.

Мы выпустили межсетевой экран в виде контейнера под названием CN-серия. Он позволяет контролировать среду контейнеризации и сам может масштабироваться. Для среды контейнеризации мы также предлагаем продукт Prisma, а для микросегментации — продукт Aporeto.

С какими решениями лучше всего интегрировать продукты Palo Alto Networks для комплексной безопасности сети передачи данных? SkyboxSecurity, Firemon?

В принципе, у Palo Alto Networks великолепный REST API — интеграция осуществляется как с перечисленными, так и со многими другими продуктами класса SIEM и SOAR.

Достаточно ли Prisma Access для обеспечения безопасности мобильных устройств или необходимо использовать специализированные MDM-решения?

Prisma Access — это продукт класса SASE, по терминологии Gartnet, что является облачным слоем защиты удаленного доступа сотрудников в корпоративную сеть и в облачные приложения SaaS. В задачу продукта входят только VPN и аутентификация, защита IPS, антивирусом, URL и другими уровнями. А вот для того чтобы устанавливать продукты на мобильные телефоны, как это делает MDM, или запускать приложения в контейнере, лучше использовать сторонние решение: лидером по мнению Gartner тут является AirWatch, который теперь принадлежит VMware.

Насколько актуальна проблема защиты контейнеров, которую вы упомянули?

Судя по тому, что у нас в офисе DDoS атака от проектов по защите контейнеризации – очень актуально! Все крупные заказчики давно используют контейнеры Docker и Kubernetes для разработки и до сих пор у них не было средств, чтобы визуализировать что в них происходит и блокировать атаки, которые там уже идут. В среде Kubernetes каждый контейнер видит все другие по-умолчанию. Также интересно, что уже есть требования по compliance для таких сред, много контейнеров содержат уязвимости и использование таких контейнеров нужно предотвращать. Продукт Prisma создан специально, чтобы упростить жизнь безопасникам: строит модель взаимодействия между контейнерами и позволяет сразу же блокировать все аномальные взаимодействия, которые не попали в модель. Функций защиты много, и мы проводим сейчас большое количество пилотов, чтобы их продемонстрировать.

Дайте 5 простых рекомендаций для защиты бизнеса.

Сегодня мы говорили про удаленный доступ, поэтому скажу про него. Три самые важные вещи для защиты:

– дать доступ в сеть своим сотрудникам только через VPN для контроля их действий и защиты приложений компании;

– приземлять доступ по VPN внутрь сети только через межсетевой экран нового поколения (NGFW) с включенными профилями защиты для защиты компании в том случае, если сотрудник заходит в сеть с зараженного устройства;

– обязательно включить двухфакторную аутентификацию для минимизации угрозы кражи пароля.

После того как выстроены процессы удаленного доступа, делаем еще две простые вещи:

– обучаем сотрудников культуре посещения сайтов, установки приложений, чтения писем и кликов на ссылки и запуска сторонних программ;

– посылаем им тренировочные фишинговые письма, чтобы проверить, как они усвоили азы безопасности.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *