Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах

Ни для кого не секрет, что за последние месяцы большое количество иностранных компаний прекратили работу в России. В этот список попал и ряд производителей сетевого оборудования, включая весьма популярные на нашем рынке Cisco, Fortinet и Palo Alto – по оценкам аналитиков, в совокупности они занимали до 60% процентов рынка устройств для защиты периметра в РФ.

Прекращение работы иностранных вендоров повлияло не только на продажи новых устройств и лицензий, но и на поддержку купленных ранее. Клиентам из РФ перестали продлевать текущие лицензии, оказывать техническую поддержку и предоставлять доступ к дополнительным сервисам. Среди них оказались и решения для защиты от киберугроз.

Большинство производителей устройств класса NGFW, IPS, UTM предоставляют своим клиентам возможность получать информацию об опасных объектах, например IP-адресах и URL вредоносных хостов, в виде регулярно обновляемых блок-листов. У Cisco такой сервис называется Cisco Talos, у Fortinet – FortiGuard. И тот, и другой оказались заблокированы для российских клиентов, скачать обновления блок-листов больше невозможно. И несмотря на то, что сами устройства продолжают работать, российские клиенты, по сути, лишились одного из рубежей защиты своей сети.

Возможные пути решения

Эта проблема вынудила многих клиентов задуматься о переходе на устройства отечественных производителей, таких как UserGate и «Код Безопасности». Однако процесс миграции требует больших материальных и временных затрат, а бизнес, как и угрозы, ждать не будет. Сетевые и ИБ-специалисты начали рассматривать возможные варианты замены отключенных сервисов для восстановления защиты сети. К счастью, многие сетевые устройства поддерживают подключение сторонних фидов в дополнение к тем, что предоставляет «из коробки» производитель. Такая опция имеется у всех основных вендоров: Cisco, Fortinet, PaloAlto – все они предоставляют такую возможность.
Подключенные источники информации об угрозах можно в дальнейшем использовать для формирования блок-листов, чтобы автоматически блокировать доступ к сетевым ресурсам, представляющим угрозу. Такие списки могут содержать в себе вредоносные IP-адреса, домены, URL, а также хэши файлов. Получение этой информации возможно в двух форматах:

1. В виде CSV-файлов, загружаемых с HTTP/HTTPS сервера.
2. В формате STIX* по протоколу TAXII**.

* STIX – машиночитаемый формат данных для передачи информации о киберугрозах.

** TAXII – это стандарт транспортного протокола, который определяет формат передачи данных в формате STIX через HTTPS-соединение.

Реализация этой функциональности у разных вендоров схожа, но некоторые нюансы все же имеются. Давайте рассмотрим их более подробно.

Fortinet

Устройства Fortinet FortiGate могут получать сторонние блок-листы через платформу Fortinet Security Fabric, которая включает в себя поддержку потоков данных об угрозах – Threat Feeds.
Блок-листы скачиваются автоматически с заданным интервалом с HTTP/HTTPS-сервера в формате CSV (plain-text), либо с TAXII-сервера в формате STIX. В дальнейшем загруженные списки индикаторов могут быть использованы в профилях политик для блокировки доступа к опасным веб-сайтам, IP-адресам, хэшам.
Поддерживается подключение 4 типов блок-листов:

1. Категории FortiGuard (FortiGuard Category).
Списки должны содержать один URL на строку. После добавления этот список можно использовать в профиле Web Filter в качестве Remote Category.
Примеры записей:

• http://example/com.url
• https://example.com/url
• http://example.com:8080/url

2. IP-адреса.
Списки должны содержать один IP-адрес/диапазон/подсеть на строку. Индикаторы из списков могут быть применены в качестве External IP Block List в профиле DNS-фильтра, а также в качестве Source/Destination в политиках IPv4, IPv6 и прокси-сервера.
Примеры записей:

• 192.168.2.100
• 172.200.1.4/16
• 172.16.1.2/24
• 172.16.8.1-172.16.8.100

3. Домены.
Списки должны содержать один домен на строку. Блок-лист можно добавить в качестве Remote Category в профиле DNS Filter.
Примеры записей:

• mail.*.example.com
• *-special.example.com
• www.*example.com
• Example.com

4. Хэши.
Списки должны содержать один хэш на строку, опционально после хэша может быть добавлено текстовое описание. Поддерживаются хэши в форматах MD5, SHA1 и SHA256. Загруженные индикаторы можно добавить в профиль антивируса (Antivirus profile).
Примеры:

• 292b2e6bb027cd4ff4d24e338f5c48de
• dda37961870ce079defbf185eeeef905 Trojan-Ransom.Win32.Locky.abfl

Ограничения

1. Размер внешнего блок-листа не может превышать 10 МБ или 131 072 записи.
2. Использовать TAXII-серверы в качестве источников можно, начиная с версии FortiOS 7.0.

Cisco

У Cisco имеется решение Threat Intelligence Director (Cisco TID), с помощью которого можно загружать данные об угрозах (индикаторы компрометации) из сторонних источников. Cisco TID — это бесплатное расширение системы управления Cisco Firepower Management Center версии 6.2.2 и выше. Оно позволяет подключить различные источники и использовать индикаторы, получаемые из них, для автоматической блокировки и создания инцидентов. Система может работать с устройствами Cisco Firepower (NGFW, NGIPS), а также Cisco AMP.
Поддерживается подключение как источников с CSV-файлами (Flat File), так и в формате STIX. Также есть возможность загрузить список индикаторов вручную. Система может автоматически загружать списки через заданный интервал, а также предоставляет выбор дальнейшего действия при обнаружении угрозы — можно ограничиться созданием инцидента (Action = Monitor) либо блокировать соединение (Action = Block).
Из ограничений стоит отметить следующее:

1. Cisco Threat Intelligence Director не доступен на устройствах Firepower Management Center с объемом памяти менее 15 Гб.
2. Размер загружаемых блок-листов в формате CSV — не более 500 Мб.

Palo Alto

Как и в устройствах Cisco и Fortigate, у Palo Alto есть аналогичная функциональность External Dynamic Lists (EDL), с помощью которой возможно загружать внешние блок-листы. Поддерживаются 3 типа блок-листов: IP-адреса, URL и домены вредоносных ресурсов. Формат блок-листов аналогичен Fortinet: это должен быть текстовый файл со списком индикаторов, по одному индикатору на строку. Загрузка блок-листов производится автоматически с HTTP/HTTPS-сервера по заданному расписанию.

Источники информации об угрозах

OSINT (Open Source Intelligence)

Блок-листы можно сформировать на основе открытых бесплатных фидов. Например, организация Abuse.ch предлагает фиды, содержащие IP-адреса командных центров ботнетов (Abuse.ch Botnet C2 IP Blacklist). Помимо бесплатного распространения этот фид сразу доступен в подходящем для загрузки в сетевые устройства формате – это CSV-файл со списком IP-адресов, по одному индикатору на строку.

Однако при использовании бесплатных источников стоит помнить, что зачастую они предоставляются без каких-либо гарантий. Такие фиды могут обновляться нерегулярно, в них может оказаться большое количество ложноположительных записей (False Positive), а в какой-то момент попытка скачать фид может закончиться неудачей.

Коммерческие фиды

Многие вендоры ИБ, как зарубежные, так и отечественные, предлагают клиентам коммерческие фиды, содержащие различные типы угроз. Так как мы говорим об импортозамещении, хотелось бы выделить крупных игроков отечественного рынка ИБ, у которых есть в портфолио Threat Intelligence сервисы – это «Лаборатория Касперского», Group-IB, Positive Technologies, R-Vision.
Например, Касперский предлагает клиентам ряд фидов, которые содержат индикаторы различных видов и типов угроз:

• Хосты и URL-адреса вредоносных сайтов.
• IP-адреса вредоносных серверов (включая вредоносное ПО, фишинг и C&C ботнетов).
• Хэши вредоносных файлов.

Эти фиды обновляются в среднем каждые 30 минут и содержат информацию о наиболее актуальных угрозах, с которыми сталкиваются пользователи по всему миру. Такие фиды кроме индикаторов содержат также дополнительный контекст, который может быть полезен при расследовании инцидентов, но не может быть загружен в сетевые устройства. Поэтому для использования фидов в качестве блок-листов производится дополнительная автоматическая конвертация, в результате которой на выходе получаются блок-листы, готовые к загрузке в целевые системы.

Производитель оборудования	Поддерживаемые устройства	Поддерживаемые блок-листы «Лаборатории Касперского»
CISCO	Все модели NGFW, работающие под управлением Cisco Firepower Management Center версии 6.2.3 и выше, с модулем Threat Intelligence Director.	IP-адреса подозрительных и вредоносных хостов.URL командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.
Fortinet	NGFW FortiGate с FortiOS версии 6.0 и выше	IP-адреса подозрительных и вредоносных хостов.URL и хосты командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.URL фишинговых сайтов.URL сайтов, распространяющих программы-вымогатели (Ransomware).Хэши вредоносных файлов.
Palo Alto Networks	PA-220, VM-50, VM-50 (Lite), VM-100, VM-1000-HV.Серия PA-7000.Серии PA-850, PA-820, PA-3200.Серии PA-850, PA-820, PA-3200.Серии PA-5200 Series, PA-7000	IP-адреса подозрительных и вредоносных хостов.URL командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.URL фишинговых сайтов.URL сайтов, распространяющих программы-вымогатели (Ransomware).

Подкючение внешнего блок-листа в FortiGate

Рассмотрим более подробно подключение блок-листа в FortiGate на основе фида IP-адресов вредоносных серверов «Лаборатории Касперского». Данный фид поставляется в формате JSON и содержит в себе множество записей, которые включают в себя как индикаторы (IP-адреса), так и дополнительный контекст, который в данном случае нам не требуется. Чтобы скачать и сконвертировать фид в блок-лист для FortiGate, необходимо развернуть небольшой Linux- или Windows-сервер, на котором будет установлена утилита Kaspersky Feed Utility и HTTP-сервер. Kaspersky Feed Utility производит автоматическую загрузку и конвертацию фида, согласно требованиям. В результате её работы на выходе мы получаем файл в формате CSV, где содержится список IP-адресов, выделенных из фида. Для регулярного обновления блок-листа запуск утилиты настраивается на каждые 30 минут в «Планировщике задач» или cron.

Чтобы полученный блок-лист можно было загрузить в FortiGate, необходимо установить любой HTTP-сервер, который будет раздавать блок-листы в FortiGate.

Далее необходимо добавить блок-лист в FortiGate: добавление нового источника производится в разделе Security Fabric > Fabric Connectors > Threat Feeds > IP Address.
В настройках источника задаются следующие параметры:

1. Name – название источника.
2. URI of external resource – адрес сервера, где расположен блок-лист.
3. HTTP basic authorization – настройка авторизации, если сервер требует.
4. Refresh rate – интервал скачивания блок-листа (рекомендуется установить 15-30 минут).
5. Comments – комментарий (опционально).

Если загрузка блок-листа прошла успешно, можно посмотреть список загруженных индикаторов, нажав на кнопку “View Entries”.

Как только индикаторы загрузились, блок-лист можно применить в политике DNS-фильтра или IPv4 Policy. В случае IPv4 Policy блок-лист выбирается в политике в качестве Source или Destination Address. В результате применения политик будут заблокированы все входящие и исходящие соединения с вредоносными серверами из блок-листа.

Выводы

Несмотря на отказ производителей сетевого оборудования от работы с пользователями из РФ, всё ещё сохраняются возможности по замещению части функциональности с помощью данных об угрозах от сторонних ИБ-компаний. Реализация этого подхода не требует капитальных вложений и поддержки со стороны производителей «железа». В то же время следует признать, что это скорее временное решение, направленное на поддержку клиентов в течение перехода на оборудование других производителей с полноценной поддержкой.

Автор – Олег Ковжун, эксперт по интеграции «Лаборатории Касперского».