Zip File, мамкины хаЦкеры. Давненько я не выпускал ничего нового на канал. Отпуск как-то в этом году затянулся. Ну ничего. Я отдохнул, а это значит, что готов ебашить видосики по полной программе. В прошлом видео, если мне память не изменяет, мы познакомились с одним из самых важных и востребованных протоколов в Интернете - HTTP. Так же, как и любом другом протоколе, в нем скрывается множество уязвимостей, которыми успешно пользуются киберпреступники. Именно поэтому, сегодня, мы подробнейшим образом остановимся на средствах защиты, которые позволят значительно снизить риски ИБ, в том числе для WEB порталов и приложений.

Так что, если вы заинтересованы в пополнении багажа знаний по данной теме, наливайте себе чего-нибудь освежающего, у меня тут нынче миндальное молочко, вместо водки. Старею, знаете ли. Всё меньше чувствую в себе расеянина.

Ладно. Не будем о грустном. Устраивайтесь по удобней в пропуканых креслах, братцы мои. И будем начинать.

Начнём с понятных всем и каждому простеньких аналогий. Как в обычной жизни, так и в мире информационной безопасности мы с вами защищаем некие активы, которые могут быть представлены в виде важных вещей, документов и данных.

Защищаем мы эти данные разными способами. Так если мы живём в частном доме, вполне логично было бы завести собаку, которая будет определять различную подозрительную активность на вашем участке и незамедлительно лаять, учуяв опасность.

В мире ИБ, такой вот собакой является IPS или IDS. Она же система предотвращения различных вторжений. Она даёт сигнал об опасности и противодействует злоумышленнику, насколько позволяют ресурсы.

Когда у нас есть дом и собака, само собой возникает желание возвести ещё и забор, чтобы никакие подозрительные типы, проходящие мимо, не сглазили нашего хоть и грозного, но тем не менее, очень ранимого в душе пса.

В ИБ такого рода забор представляет собой фаервол. Он же межсетевой экран. Его задача заключается в том, чтобы ограничить периметр нашей организации, либо отдельных её сегментов от посягательств киберпреступников.

Однако, в любом заборе, как это водится бывает калитка, через которую проходят гости и заезжают заниженные приоры. Тут суть в том, чтобы ограничить предельное количество этих гостей и приор, которые могут одновременно ломиться к вам в дом.

Иначе так задудосят, что никакая защита от этой пакости не спасёт. Лучше оставить ворота доступными исключительно для членов семьи и самых близких друзей.

В случае с ИБ, незванные гости могут так забить ваш канал связи, что пользователь, который, как раз таки должен получить штатный доступ к системе, попросту не сможет протиснуться между ними.

Вообще в реальном мире для определения посетителя принято использовать домофон. В IT же существуют специальные системы для аутентификации и дальнейшей авторизации юзверя.

Для тех, кто в теме недавно, напомню, что аутентификация — это процесс удостоверения личности, а авторизация — это процедура определения имеет ли данная личность права для доступа к данной конкретной системе.

Например, гость имеет права разгуливать по дому, но не имеет права ломиться в ваш рабочий кабинет или детскую. На большом предприятии вы свободно можете заходить на общий файловый сервер, но вряд ли сможете заломиться в сегмент бухгалтерии.

Хотя, признаться, бывают и исключения. Ладно. Далее по списку у нас VPN и шифрование данных. По сути, это закрытый туннель, по которому надёжный курьер осуществляет перевозку ваших вещей.

Да так, что в теории, их никто не может перехватить, прочитать или как-либо изменить. В общем всё дико безопасно и круто. На первый взгляд. Однако на любую старуху, как известно, всегда найдётся праруха.

Пса могут усыпить, подсыпав снотворное в колбасу, код от домофона могут загуглить или купить за углом у Ашота универсальный ключ, а может так статься, что в заборе будет попросту здоровенная дырка, которую никто годами не замечал.

Так вот для того, чтобы обезопасить себя от глобального ***деца на предприятиях, заботящихся об ИБ, внедряют так называемые центры мониторинга безопасности (SOC).

В обычной жизни – это как камера, которая позволяет вам осматривать свою территорию 24/7. Само собой делать это самостоятельно никто не будет и гораздо дельней будет нанять для этой цели охранника, который будет пристально мониторить все инциденты.

Удалённая работа и ИБ

Если мы рассмотрим типовую задачу организации удалённого доступа, то она будет выглядеть плюс-минус следующим образом. Есть сотрудник с компьютером, корпоративным или своим личным.

И ему для выполнения служебных обязанностей необходимо подключиться к некой корпоративной системе, в данном случае CRM. Подразумевается, что здесь хранится некая ценная информация о компании.

Данные о клиентах, заказчиках, партнёрах, их персональных данные, какие-то бухгалтерские операции, суммы контрактов, подробности этих контрактов, в общем всё-то что представляет интерес для внешнего злоумышленника.

На рабочей станции у нас есть антивирус. Далее пользователь проходит процедуру идентификации или аутентификации, если всё ок, его пускают по VPN и, если фаервол на заблочил, он получает непосредственный доступ к ресурсам.

Красиво, не правда ли? А вот каким атакам может подвергнуться наша идеальная схема при прохождении сотрудником этого весьма немаленького пути.

Как видите, большая часть из них заточена на воздействие ещё до начала процедуры авторизации. Тот же DNS Redirect. Помните времена Ковида, когда очень много людей из разных структур буквально принудительно перевели на удалённую работу?

Так вот, большинство из сотрудников работали с личных ноутбуков, дома, через отстойные старые роутеры, прошивка на которых не обновлялась с момента первого запуска. И опытные хаЦкеры активненько этим пользовались.

Просто находили в Shodan’е дырявые маршрутизаторы и колдовали над ними так, что люди вместо реальных сайтов отправлялись на подставные фейки и сливали все персоналки практически добровольно.

Сейчас же, сотрудников всё больше кошмарят фишинговыми письмами, косящими под корпоративный стиль. Причём это касается не то только удалёнщиков, а и тех, кто вернулся в офис.

Про вредоносные проги вообще молчу. Хоум юзвери в лучшем случае ставят Avast, дырок в котором больше, чем в модельках на онли фанс. Также злоумышленники частенько используют внешние DDoS-атаки для сокрытия своих действий внутри сети.

И пока служба безопасности активно пытается отбиться от DoSки, с CRM практически напрямую происходит утечка важнейших данных. Но это понимание, как говорится, приходит лишь с опытом.

Благо, что схема показанная ранее лишь типовая и в реально серьёзных компаниях всё же стараются максимально обезопасить работу своих сотрудников с помощью дополнительных средств защиты.

Так на рабочую станцию помимо антивируса можно поставить антималвеер. Это система позволяющая находить уязимости Zero Day. Т.е. то что уже появилось, но пока ещё не определяется антивирусом, как угроза.

Защита ДНС, персональный фаервол, встроенного в систему к слову вполне хватает, если его адекватно настроить можно обезопасить и процессы внутри системы и сделать комфортным сетевое взаимодействие.

Системы поучер ацессмент позволяют перед подключением к ВПНу чекнуть включен ли у вас антивирус, установлены ли все необходимые патчи внутри операционки, есть ли на компьютере потенциально подозрительный софт и т.д.

После подключения к VPN в крупных корпорациях ставят различные защиты от DDoSов, SSL дескрипторы. Это устройства позволяющие расшифровывать HTTTPs трафик, для того чтобы другие средства защиты могли с ним нормально работать.

Уже упомянутые чуть ранее IPS, геофильтры, сетевые средства защиты на подобии антималвеера, сбор логов, SIEM, он же знакомый нам SOC. DLP – это защита от утечек. Тоже может помочь в некоторых ситуациях.

Проблема тут только в том, что на практике, даже крупные фирмы пренебрегают покупкой средств для защиты. А если и не пренебрегают, то экономят на спецах, могущих всё это дело нормально настраивать.

В итоге, конечная картина, в лучшем случае выглядит следующим образом. Обидно, досадно, но тем не менее, это далеко не самых худший вариант по защите для удалённых пользователей корпоративной сети.

Межсетевые экраны

Давайте поговорим подробнее о типовых системах защиты, которые вы точно встретите во всех существующих компаниях, сколь бы то ни было заботящихся о своей безопасности.

И первое средство защиты, о котором вы уже сто процентов слышали миллион раз – это межсетевые экраны. Классический фаервол представляет собой программный или аппаратно-программный элемент компьютерной сети,
осуществляющий контроль и фильтрацию трафика в соответствии с заданными правилами.

Это одно из самых старых и хорошо зарекомендовавших себя средств для защиты. По классификации МЭшки бывают 3 видов. Пакетный фильтр, который не поднимается выше 4 уровня подели OSI. Например, iptables.

Вслед за ним появился динамический фаервол. Имеющий доступ вплоть до 7 уровня и работающий с трафиком сложных протоколов. Например, тот же FTP выбирает нужный порт из определённого диапазона портов.

А держать их все одновременно в открытом виде, сами понимаете, не безопасно. Поэтому стэйтфул, фаервол с сохранением сессии видит, что осуществляется обмен скажем по 21 порту и на сервере в данный момент откроется 1228 порт.

Дальше, в реальном времени вся эта история автоматически заносится в правила политики безопасности. А сразу после того, как пользователь скачает файл, порт точно также динамически закрывается.

Ну и NGF. Новое поколение, оснащённое в довесок ко всему перечисленному IPS’ом, сетевым антивирусом, веб-фильтром и прочими плюшками. Прикол данных фаерволов в том, что их правила могут привязываться не только к IP адресам, но непосредственно к пользователям.

Теперь касательно установки экранов. Как правило, их устанавливают между интернетом, демилитаризованной зоной и корпоративной сетью. Это прям типовой пример.

Также бывает, что с их помощью разграничивают периметр сетки. Например, между корпоративной и промышленной. Либо между гостевым и корпоративным сегментом. Короче, тут всё зависит от масштабов и серьёзности предприятия.

Антивирусная защита

Помимо фаервола, одним из самых известных средств для защиты является антивирус. Как все помнят с уроков инфы, эта штука отлично борется с шифровальщиками, червями, троянами и прочими зловредными программулинами.

Существует 2 принципа, по которым работают средства антивирусной защиты. Первый это классический сигнатурный. Когда антивирь имеет некую базу известных вирусов от разработчика.

Минус такого подхода в том, что с распространением Open Source порталов, любой желающий может отыскать вредоносный код и сделать на его основе более хитроумную модификацию.

Именно поэтому современные антивирусы помимо существующих баз используют так называемый «поиск аномалий». На форумах его ещё называют песочницей или SendBox.

Суть в том, что любой сколь бы то ни было подозрительный объект, в том числе отсутствующий в существующей базе, помещается в изолированном виртуальном пространстве, где тщательно анализируется на предмет содержания угрозы.

Это конечно тоже не даёт 100% гарантий, но тем не менее. Функционировать антивирус может, как непосредственно на хосте, так и на сетевых устройствах. Например, в рамках того же межсетевого экрана.

Защита ВЕБ-трафика

Касательно полноценных систем обнаружения вторжений, в ИБ наиболее распространены IPS и IDS. IPS тупо откидывает зловредный трафик без лишних разговоров куда подальше.

Такие системы обычно грешат огромный количеством ложных срабатываний. Поэтому в промышленности, а в частности во всём что как-либо касается АСУ ТП не используются от слова совсем.

IDS же не отбрасывает траф, а сообщает об этом специалисту, который уже принимает дальнейшее решение по его обработке. Ну и там уже его либо точно также отбросят, либо пропустят.

Вообще большую часть трафика в корпоративных сетях сейчас составляет WEB-трафик, который бывает двух типов. Исходящий - когда сотрудники компании выходят в Интернет.

И входящий – когда пользователи из этого Интернета подключаются к публикуемым WEB порталам. Для защиты исходящего трафика ставят прокси-серверы, призванные обезопасить пользователей от вредоносного ПО из глобальной сети.

Принцип работы этой штуковины выглядит следующим образом. Пользователь инициирует подключение к сайту через промежуточный прокси-сервер.

Который со своей стороны идёт к DNSу и определяет IP-адрес искомого сервера. Далее прокси отправляет от своего имени запрос на веб-сервер и возвращает его, опять же от своего имени на комп пользователя.

Таким образом весь трафик передаётся через этот прокси сервер. Он видит его в открытом виде. Он может определять URL категории, т.е. фильтровать этот трафик.

Может работать с файлами, например пропускать доковские файлы, а excel и pdf блочить. Ну и в каких-то случаях может успешно определять вредоносное ПО в передаваемых файлах.

Что касается защиты входящего трафика, когда мы с вами публикуем какой-то контент в интернете. Допустим есть какое-то веб-приложение, пусть это будет сайт предприятия, который мы хотим выставить в глобальную сеть.

И есть легитимные клиенты. И атакующие. Для защиты от последних используют отдельный класс решений под названием Web Application Firewall. Этот фаервол дополняет функционал классического межсетевого экрана.

Обеспечивает комплексную защиту от атак на веб-приложения. Учитывает логику их работы. Предоставляет защиту от SQL-инъекций, межсайтового скриптинга, небезопасных конфигураций и т. д.

Системы защиты от DDoS

Страшные и ужасные DDoS-атаки в природе встречаются аж двух видов. Занятие канала (волюметрические) и исчерпание ресурсов на сервере (атаки уровня application).

Суть последнего типа заключается в том, что даже маленький запрос может привести к эффекту, когда сервер тратит огромное количество вычислительных ресурсов на его обработку.

Несколько запросов соответственно ещё больше увеличивает число этих самых ресурсов, ну и т.д. по нарастающей, вплоть до не самого радостного финала. Это атаки реально скиллованых пацанов.

Ибо в отличие от волюметрических, они не такие топорные. Ведь при занятии канала идёт банальное увеличение запросов с разных железок в надежде на том, что пропускная способность канала тупо не вывезет.

В корпорациях для защиты от подобных атак создают целые структурные подразделения. Тот же SOC, о котором я сегодня уже говорил. Это группа людей, процессов и технологий, которые направлены на обеспечение безопаности.

Также есть такое понятие, как SIEM. По сути, это технологическая основа SOC. SIEM собирает разнородные данные, приводит их к одному формату и коррелирует для определения инцидентов ИБ.

Типовая архитектура безопасности

Говоря об архитектуре безопасности, нельзя ещё раз не вспомнить про DMZ. Как вы помните, демилитаризованная зона - отдельный сетевой сегмент, который позволяет безопасно разместить сервисы, публикуемые в Интернет.

Наиболее безопасной считается схема, когда между инетом и DMZхой установлен firewall одного вендора, а между DMZ и Internal сеткой - firewall другого. Это прям оч круто.

В ситуации, когда злоумышленник каким-то образом всё же попал в вашу зону, нанести вред он сможет исключительно по горизонтали и остальные сегменты сети никак не затронет.

Компании обычно выделяют следующие сегменты. Интернет-история с серваками, в которую кидают почтовый сервер, веб-морду и прочее.

Рядом с ним, как правило располагается интернет edge с прокси-сервером, VPN-шлюзом и антивирусом.

Бывает, что отдельно делают сегмент внутренних серверов с IRP-системами, внутренним сайтом, файлопомойкой. А между ними для безопасности ставят дополнительно МЭшку.

Само собой сегмент корпоративной сети для сотрудников. Ну и если фирма связана с большим бабулесом, создают ещё супер-защищённый анклав с IDSкой, модулями доверенной нагрузки, криптографией и прочими серьёзными штуками.

Напишите кстати в комментах, если кто работает в банке и шарит за то, что такое модуль доверенной нагрузки. Интересно узнать сколько из моих зрителей держали в руках подобные платы.

ИБ в бизнесе

Ну и раз уж мы затронули финансовые компании, давайте поговорим об особенностях данной сферы. Данная отрасль исторически одна из самых регулируемых, т.е. есть в ней есть большое количество требований по обеспечению ИБ.

В отличие от того же ритейла или промышленных корпораций. В банках обычно есть сегмент для обработки платежей и данных держателей банковских карт. 

Антифрод-системы для определения и блокировки мошеннических транзакций. Вы с ней наверняка сталкивались, когда в некоторых магазинах даже при совершении крупной покупки у вас не запрашивался пин-код.

Это значит, что банк посчитал транзакцию безоговорочно безопасной. Отдельно выделены АРМ Клиента Банка России, SWIFT сегмент. Хотя эта история сейчас наверно осталась только в Райфайзене.

Ну и самые важные системы само собой Интернет-банк и мобильный банк. Без них в наше время уже никуда. Теперь что касается промышленных производств. Нефтянка, электроэнергетика, металлургия и прочие вещи.

Данные отрасли очень сильно, я бы даже сказал кардинально отличаются от финансовой сферы. Хотя бы потому, что всё взаимодействие там заточено не наружу, а внутрь компаний.

Ибо особую ценность представляет именно внутренний производственный технологический сегмент. Вышки по выкачиванию нефти, печи для плавки стали, помпа по перекачиванию водных масс из залива.

Если хоть, что то из этого встанет из-за атаки, то последствия могут быть поистине ужасающими. Вплоть до летальных человеческих жертв, катастрофы для экологии, экономики и т.д.

Про финансовые потери я уж молчу. Именно поэтому в России, да и в мире, существует законодательная база и Критической Информационной Инфраструктуре. ФЗ-187, если не ошибаюсь.

Почитайте непременно, если планируете устроиться или уже устроены в пром. сегмент. Самый главный актив для промки, это, как уже говорил АСУ ТП. Основной фокус на доступность и целостность.

Т.е. система безопасности не должна негативно влиять на производительность систем, отвечающих за технологические процессы. Проще говоря, если Касперский сожрал всю оперативку на компе в сталелитейном цеху, компания либо заменит комп, либо сменит к чертям антивирь во всей корпорации.

На Аваст **ять. Ладно это всё шуточки. Вообще, если как-то связаны с промкой, обязательно изучите материалы про Индустрию 4.0. Как минимум, будет полезно мозги размять и осознать, что мир на месте то не стоит.

А как максимум, проникнитесь любовью к реальному производству. Всё-таки не ВК и не Яндексом IT ограничивается. Много крутых вакансий в Северстали, ЛМК, Газпроме, Роснефти, Алросе в конце концов.

Короче, там, где есть какая-то действительно производственная работа, а не тупое рисование новых картиночек и перекладывание бумажечек в комфортабельном офисе.

Окей, друзья. Я что-то уже за**зделся. Нынче мы рассмотрели основы сетевой безопасности. Узнали какие угрозы есть для компаний из разных отраслей, какие средства для их защиты существуют и применяются.

Помните, что каждая компания в плане ИБ стремится к комплексному подходу, т.е. нет какой-то одной системы безопасности, которая “спасет” от всех атак. Требуется осознанная комбинация средств защиты.

Для закрепления темы, я по традии, приготовил для вас домашнее задание. Оно уже доступно по ссылке в описании. В нём по легенде вы являетесь экспертом ИБ в крупной ритейл компании и вам предстоит обеспечить её безопасность.

Обязательно переходите и выполняйте. Там же есть и другие уроки и задания к ним. Всё разбито по главам и в итоге через некоторое время сформируется полноценный курс по ИБ.

И кстати всё абсолютно бесплатно, во всяком случае пока что. Так что не упускайте возможность попрактиковаться в материалах от Денчика. Ну и само собой не забывайте поставить лайки и оформить подписку, если по каким-то нелепым причинам ещё не сделали этого ранее.

Не совершайте таких ошибок. Один парень помню не подписался и на всю жизнь гомосеко, простите, программистом остался. Если остались вопросы – пишите их в комментариях. Авось кто-нибудь да ответит.

На сим всё, с вами, как обычно был Денчик. До новых встреч мои кайфные друже. Всем пока.