Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах

Дата: 14.07.2022. Автор: Kaspersky. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах

Ни для кого не секрет, что за последние месяцы большое количество иностранных компаний прекратили работу в России. В этот список попал и ряд производителей сетевого оборудования, включая весьма популярные на нашем рынке Cisco, Fortinet и Palo Alto – по оценкам аналитиков, в совокупности они занимали до 60% процентов рынка устройств для защиты периметра в РФ.

Прекращение работы иностранных вендоров повлияло не только на продажи новых устройств и лицензий, но и на поддержку купленных ранее. Клиентам из РФ перестали продлевать текущие лицензии, оказывать техническую поддержку и предоставлять доступ к дополнительным сервисам. Среди них оказались и решения для защиты от киберугроз.

Большинство производителей устройств класса NGFW, IPS, UTM предоставляют своим клиентам возможность получать информацию об опасных объектах, например IP-адресах и URL вредоносных хостов, в виде регулярно обновляемых блок-листов. У Cisco такой сервис называется Cisco Talos, у Fortinet – FortiGuard. И тот, и другой оказались заблокированы для российских клиентов, скачать обновления блок-листов больше невозможно. И несмотря на то, что сами устройства продолжают работать, российские клиенты, по сути, лишились одного из рубежей защиты своей сети.

Возможные пути решения

Эта проблема вынудила многих клиентов задуматься о переходе на устройства отечественных производителей, таких как UserGate и «Код Безопасности». Однако процесс миграции требует больших материальных и временных затрат, а бизнес, как и угрозы, ждать не будет. Сетевые и ИБ-специалисты начали рассматривать возможные варианты замены отключенных сервисов для восстановления защиты сети. К счастью, многие сетевые устройства поддерживают подключение сторонних фидов в дополнение к тем, что предоставляет «из коробки» производитель. Такая опция имеется у всех основных вендоров: Cisco, Fortinet, PaloAlto – все они предоставляют такую возможность.
Подключенные источники информации об угрозах можно в дальнейшем использовать для формирования блок-листов, чтобы автоматически блокировать доступ к сетевым ресурсам, представляющим угрозу. Такие списки могут содержать в себе вредоносные IP-адреса, домены, URL, а также хэши файлов. Получение этой информации возможно в двух форматах:

  1. В виде CSV-файлов, загружаемых с HTTP/HTTPS сервера.
  2. В формате STIX* по протоколу TAXII**.

* STIX – машиночитаемый формат данных для передачи информации о киберугрозах.

** TAXII – это стандарт транспортного протокола, который определяет формат передачи данных в формате STIX через HTTPS-соединение.

Реализация этой функциональности у разных вендоров схожа, но некоторые нюансы все же имеются. Давайте рассмотрим их более подробно.

Fortinet

Устройства Fortinet FortiGate могут получать сторонние блок-листы через платформу Fortinet Security Fabric, которая включает в себя поддержку потоков данных об угрозах – Threat Feeds.
Блок-листы скачиваются автоматически с заданным интервалом с HTTP/HTTPS-сервера в формате CSV (plain-text), либо с TAXII-сервера в формате STIX. В дальнейшем загруженные списки индикаторов могут быть использованы в профилях политик для блокировки доступа к опасным веб-сайтам, IP-адресам, хэшам.
Поддерживается подключение 4 типов блок-листов:

1. Категории FortiGuard (FortiGuard Category).
Списки должны содержать один URL на строку. После добавления этот список можно использовать в профиле Web Filter в качестве Remote Category.
Примеры записей:

  • http://example/com.url
  • https://example.com/url
  • http://example.com:8080/url

2. IP-адреса.
Списки должны содержать один IP-адрес/диапазон/подсеть на строку. Индикаторы из списков могут быть применены в качестве External IP Block List в профиле DNS-фильтра, а также в качестве Source/Destination в политиках IPv4, IPv6 и прокси-сервера.
Примеры записей:

  • 192.168.2.100
  • 172.200.1.4/16
  • 172.16.1.2/24
  • 172.16.8.1-172.16.8.100

3. Домены.
Списки должны содержать один домен на строку. Блок-лист можно добавить в качестве Remote Category в профиле DNS Filter.
Примеры записей:

  • mail.*.example.com
  • *-special.example.com
  • www.*example.com
  • Example.com

4. Хэши.
Списки должны содержать один хэш на строку, опционально после хэша может быть добавлено текстовое описание. Поддерживаются хэши в форматах MD5, SHA1 и SHA256. Загруженные индикаторы можно добавить в профиль антивируса (Antivirus profile).
Примеры:

  • 292b2e6bb027cd4ff4d24e338f5c48de
  • dda37961870ce079defbf185eeeef905 Trojan-Ransom.Win32.Locky.abfl

Ограничения

  1. Размер внешнего блок-листа не может превышать 10 МБ или 131 072 записи.
  2. Использовать TAXII-серверы в качестве источников можно, начиная с версии FortiOS 7.0.

Cisco

У Cisco имеется решение Threat Intelligence Director (Cisco TID), с помощью которого можно загружать данные об угрозах (индикаторы компрометации) из сторонних источников. Cisco TID — это бесплатное расширение системы управления Cisco Firepower Management Center версии 6.2.2 и выше. Оно позволяет подключить различные источники и использовать индикаторы, получаемые из них, для автоматической блокировки и создания инцидентов. Система может работать с устройствами Cisco Firepower (NGFW, NGIPS), а также Cisco AMP.
Поддерживается подключение как источников с CSV-файлами (Flat File), так и в формате STIX. Также есть возможность загрузить список индикаторов вручную. Система может автоматически загружать списки через заданный интервал, а также предоставляет выбор дальнейшего действия при обнаружении угрозы — можно ограничиться созданием инцидента (Action = Monitor) либо блокировать соединение (Action = Block).
Из ограничений стоит отметить следующее:

  1. Cisco Threat Intelligence Director не доступен на устройствах Firepower Management Center с объемом памяти менее 15 Гб.
  2. Размер загружаемых блок-листов в формате CSV — не более 500 Мб.
Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Пример добавления нового источника в Cisco Threat Intelligence Director

Palo Alto

Как и в устройствах Cisco и Fortigate, у Palo Alto есть аналогичная функциональность External Dynamic Lists (EDL), с помощью которой возможно загружать внешние блок-листы. Поддерживаются 3 типа блок-листов: IP-адреса, URL и домены вредоносных ресурсов. Формат блок-листов аналогичен Fortinet: это должен быть текстовый файл со списком индикаторов, по одному индикатору на строку. Загрузка блок-листов производится автоматически с HTTP/HTTPS-сервера по заданному расписанию.

Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Добавление блок-листа в Palo Alto

Источники информации об угрозах

OSINT (Open Source Intelligence)

Блок-листы можно сформировать на основе открытых бесплатных фидов. Например, организация Abuse.ch предлагает фиды, содержащие IP-адреса командных центров ботнетов (Abuse.ch Botnet C2 IP Blacklist). Помимо бесплатного распространения этот фид сразу доступен в подходящем для загрузки в сетевые устройства формате – это CSV-файл со списком IP-адресов, по одному индикатору на строку.

Однако при использовании бесплатных источников стоит помнить, что зачастую они предоставляются без каких-либо гарантий. Такие фиды могут обновляться нерегулярно, в них может оказаться большое количество ложноположительных записей (False Positive), а в какой-то момент попытка скачать фид может закончиться неудачей.

Коммерческие фиды

Многие вендоры ИБ, как зарубежные, так и отечественные, предлагают клиентам коммерческие фиды, содержащие различные типы угроз. Так как мы говорим об импортозамещении, хотелось бы выделить крупных игроков отечественного рынка ИБ, у которых есть в портфолио Threat Intelligence сервисы – это «Лаборатория Касперского», Group-IB, Positive Technologies, R-Vision.
Например, Касперский предлагает клиентам ряд фидов, которые содержат индикаторы различных видов и типов угроз:

  • Хосты и URL-адреса вредоносных сайтов.
  • IP-адреса вредоносных серверов (включая вредоносное ПО, фишинг и C&C ботнетов).
  • Хэши вредоносных файлов.

Эти фиды обновляются в среднем каждые 30 минут и содержат информацию о наиболее актуальных угрозах, с которыми сталкиваются пользователи по всему миру. Такие фиды кроме индикаторов содержат также дополнительный контекст, который может быть полезен при расследовании инцидентов, но не может быть загружен в сетевые устройства. Поэтому для использования фидов в качестве блок-листов производится дополнительная автоматическая конвертация, в результате которой на выходе получаются блок-листы, готовые к загрузке в целевые системы.

Производитель оборудованияПоддерживаемые устройстваПоддерживаемые блок-листы «Лаборатории Касперского»
CISCO Все модели NGFW, работающие под управлением Cisco Firepower Management Center версии 6.2.3 и выше, с модулем Threat Intelligence Director.IP-адреса подозрительных и вредоносных хостов.URL командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.
  FortinetNGFW FortiGate с FortiOS версии 6.0 и вышеIP-адреса подозрительных и вредоносных хостов.URL и хосты командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.URL фишинговых сайтов.URL сайтов, распространяющих программы-вымогатели (Ransomware).Хэши вредоносных файлов.
 Palo Alto NetworksPA-220, VM-50, VM-50 (Lite), VM-100, VM-1000-HV.Серия PA-7000.Серии PA-850, PA-820, PA-3200.Серии PA-850, PA-820, PA-3200.Серии PA-5200 Series, PA-7000IP-адреса подозрительных и вредоносных хостов.URL командных серверов ботнетов (Botnet C&C).URL вредоносных сайтов.URL фишинговых сайтов.URL сайтов, распространяющих программы-вымогатели (Ransomware).

Подкючение внешнего блок-листа в FortiGate

Рассмотрим более подробно подключение блок-листа в FortiGate на основе фида IP-адресов вредоносных серверов «Лаборатории Касперского». Данный фид поставляется в формате JSON и содержит в себе множество записей, которые включают в себя как индикаторы (IP-адреса), так и дополнительный контекст, который в данном случае нам не требуется. Чтобы скачать и сконвертировать фид в блок-лист для FortiGate, необходимо развернуть небольшой Linux- или Windows-сервер, на котором будет установлена утилита Kaspersky Feed Utility и HTTP-сервер. Kaspersky Feed Utility производит автоматическую загрузку и конвертацию фида, согласно требованиям. В результате её работы на выходе мы получаем файл в формате CSV, где содержится список IP-адресов, выделенных из фида. Для регулярного обновления блок-листа запуск утилиты настраивается на каждые 30 минут в «Планировщике задач» или cron.

Чтобы полученный блок-лист можно было загрузить в FortiGate, необходимо установить любой HTTP-сервер, который будет раздавать блок-листы в FortiGate.

Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Принципиальная схема загрузки блок-листа в устройство FortiGate

Далее необходимо добавить блок-лист в FortiGate: добавление нового источника производится в разделе Security Fabric > Fabric Connectors > Threat Feeds > IP Address.
В настройках источника задаются следующие параметры:

  1. Name – название источника.
  2. URI of external resource – адрес сервера, где расположен блок-лист.
  3. HTTP basic authorization – настройка авторизации, если сервер требует.
  4. Refresh rate – интервал скачивания блок-листа (рекомендуется установить 15-30 минут).
  5. Comments – комментарий (опционально).
Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Добавление нового блок-листа в FortiGate

Если загрузка блок-листа прошла успешно, можно посмотреть список загруженных индикаторов, нажав на кнопку “View Entries”.

Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Просмотр загруженных индикаторов в FortiGate

Как только индикаторы загрузились, блок-лист можно применить в политике DNS-фильтра или IPv4 Policy. В случае IPv4 Policy блок-лист выбирается в политике в качестве Source или Destination Address. В результате применения политик будут заблокированы все входящие и исходящие соединения с вредоносными серверами из блок-листа.

Когда друг оказался вдруг. Как импортозаместить блок-листы в сетевых устройствах
Добавление блок-листа в адрес назначения в IPv4-политике в FortiGate

Выводы

Несмотря на отказ производителей сетевого оборудования от работы с пользователями из РФ, всё ещё сохраняются возможности по замещению части функциональности с помощью данных об угрозах от сторонних ИБ-компаний. Реализация этого подхода не требует капитальных вложений и поддержки со стороны производителей «железа». В то же время следует признать, что это скорее временное решение, направленное на поддержку клиентов в течение перехода на оборудование других производителей с полноценной поддержкой.

Автор – Олег Ковжун, эксперт по интеграции «Лаборатории Касперского».

Об авторе Kaspersky

«Лаборатория Касперского» – международная компания, работающая в сфере информационной безопасности с 1997 года.
Читать все записи автора Kaspersky

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *