Чего мы ждем от облачных услуг информационной безопасности

В нашей стране нет пока готового облачного решения, которое отвечало бы всем пожеланиям специалистов по информационной безопасности. Часто компании, предоставляющие сервисы облачных вычислений, в дополнение к ним предлагают сервисы сторонних производителей для защиты от DDoS-атак (на 3-м и 4-м уровнях OSI), а также WAF, защиту от ботов и защиту API.

Коротко напомню: сетевая модель OSI имеет семь уровней, иерархически расположенных от большего к меньшему. Самый верхний — седьмой (прикладной), а самый нижний — первый (физический). Нас интересуют три уровня:

Про защиту 3-го и 4-го уровней уже написано много, поэтому здесь только напомню, что в одном из самых крупных операторов связи работала система Arbor Peakflow SP для мониторинга всех входящих потоков и значимых исходящих потоков. Кроме того, оператор предоставлял своим клиентам услуги защиты от DDoS-атак, основанные на облачном решении Cloud Signalling, которое обеспечивало взаимодействие системы защиты корпоративного уровня Pravail и операторского продукта Peakflow. Сейчас многие российские решения копируют эту технологию.

Сегодня искусственный интеллект (ИИ) широко используется во многих отраслях для более быстрой интерпретации больших наборов данных. Как мы помним, облачный WAF должен защищать от веб-атак на 7-м уровне, от взлома и использования уязвимостей, которые невозможно пока закрыть на самом защищаемом сервере. С этой точки зрения интересна так называемая позитивная ИИ-модель. Обученная ИИ-модель позволяет в автоматическом режиме изучать поведение легитимного пользователя, постоянно оценивая примененную политику безопасности, исключая ложные срабатывания и аккуратно блокируя любые действия, которые нарушают ранее записанную и изученную модель поведения пользователя. 

Комбинация «негативной» и «позитивной» моделей обеспечивает достаточный уровень защиты от угроз из списка OWASP Top 10 и атак нулевого дня (zero-day). Напомню, что атака нулевого дня – это атака, в которой используется программная уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы. Для уязвимостей нулевого дня еще не выпущены «патчи», что повышает шансы этой атаки на успех.

С точки зрения безопасности API (application programming interface — программный интерфейс приложения) необходимо обратить внимание на то, чтобы решение позволяло в автоматическом режиме обеспечивать защиту приложений, API, платформ разработки и инфраструктуры. Система должна отображать поверхность атаки, используя специальный алгоритм для изучения API доступа конечных точек и структуру запросов API. Система при изучении должна сгенерировать специальную политику безопасности для блокирования атак в реальном времени. Напомню, API — это набор правил, по которым различные программы общаются между собой и обмениваются данными. Все эти взаимодействия происходят с помощью функций, классов, методов, структур, а иногда констант одной программы, к которой обращаются другие. Это основной принцип работы API.

Система защиты API должна постоянно в автоматическом режиме осуществлять маппинг бизнес-логики, по которой идет взаимодействие по API. Должна обеспечивать создание алертов и блокировать атаки на API с учетом «изученной» бизнес-логики. Также желательно, чтобы система использовала комбинацию защиты в рамках списков доступа, защиты от утечки данных, управление ботами и защиту от атак на 7-й уровень с учетом рекомендаций OWASP Top 10.

Подсистема управления ботами должна обеспечивать детектирование и различение «плохих» и «хороших» ботов и усиливать защиту на уровне веб-приложений, мобильных приложений, а также API с учетом работы ИИ. Подсистема должна управлять ботами с учетом веб-трафика, мобильных приложений и API. Обычно используется ИИ-модель с тремя уровнями: упреждающая защита, поведенческое обнаружение, расширенное «смягчение» последствий. Подсистема должна блокировать попытки подключения «ненужных» идентификаторов, использовать такие возможности, как кросс-корреляция на основе ИИ, проверка JavaScript, а также мобильная привязка для устройств Android и IOS. Система должна блокировать атаки ботов на веб-приложения и мобильные приложения до проникновения злоумышленника в саму защищаемую инфраструктуру. Защита должна основываться на работе ИИ-модели и учитывать модели поведения самого бота (резкой смены IP-адресов или идентификаторов), производить детектирование распределенных атак, аномалий и изучать «отпечатки» самих устройств.

Также подсистема должна уметь обнаруживать сторонние сервисы CAPTCHA-farm. Ферма CAPTCHA — это автоматизированная служба с использованием пула людей (часто в развивающихся странах), к которой разработчики ботов могут обратиться для решения CAPTCHA вместо ботов. Фермы CAPTCHA заполняют «зазор» между операторами ботов и сайтом, к которому они хотят получить доступ через форму CAPTCHA. По сути, бот будет интегрирован со сторонним API, так что при доступе к тесту CAPTCHA запрос будет отправлен на ферму CAPTCHA и выполнен реальным человеком. Сгенерированный человеком правильный ответ затем отправляется боту, который сможет успешно решить тест CAPTCHA в веб-приложении и подтвердить свою «человечность».

Подсистема управления ботами защищает от таких угроз из списка OWASP 21 Top Automated Threats, как захват аккаунта, подмена учетных данных, взлом прямым перебором (brute force), отказ в инвентаризации, DDoS-атака, платежный фрод, веб-скрейпинг и т.д. Веб-скрейпинг (web scraping) — это технология получения веб-данных путем извлечения их со страниц веб-ресурсов. Веб-скрейпинг может быть сделан вручную пользователем компьютера, однако термин обычно относится к автоматизированным процессам, реализованным с помощью кода, который выполняет GET-запросы на целевой сайт.

Сегодня зарубежные производители для снижения мощности атак ботов стали использовать блокчейн.

Обычно система защиты строится на системах машинного обучения, которые сравнивают легитимный и нелегитимный трафик, автоматически генерируют защищающие правила в реальном масштабе времени с учетом защиты от атак нулевого дня. Сюда также входят защита от атак типа HTTP flood и HTTP bomb, атак прямым перебором, разрушительных веб-DDoS-«цунами» и т.п.

Это направление новое для нашего рынка. Часто защита на стороне клиента (client-side protection) обеспечивает соответствие PCI DSS 4.0 и защиту данных конечного пользователя при взаимодействии с любыми сторонними службами в цепочке поставки приложений. Она быстро блокирует запросы к подозрительным сервисам третьей стороны и обеспечивает защиту данных. Предлагается защита от атак на стороне клиента типа formjacking, skimming/magecart. Система в автоматическом режиме исследует внешние сервисы и детально показывает активность (алерты, различные индикаторы, домены, откуда идет атака и т.п.). Защита от утечек данных обеспечивается путем блокирования неизвестных направлений или получения сообщения, что источник законный, а вот передаваемые данные — нет, например, DOM based XSS. DOM based XSS, или XSS на основе DOM (или, согласно некоторым текстам, XSS типа 0) — это XSS-атака, при которой полезная нагрузка атаки выполняется в результате изменения «среды» DOM в браузере жертвы, используемом исходной клиентской стороной.

Экспертная поддержка. Иногда компании, предоставляющие облачные услуги кибербезопасности, предлагают дополнительные услуги, например, экспертную поддержку группы реагирования на чрезвычайные ситуации (Emergency Response Team, ERT). EPT — это группа экспертов по безопасности, которая обеспечивает круглосуточную поддержку и защиту клиентов от широкого спектра DDoS-атак на уровне приложений (7-й уровень) и сетей (3-й и 4-й уровни). В состав ERT обычно входят наиболее опытные инженеры по кибербезопасности, которые оказывают срочную помощь и предлагают специализированные методы защиты для организаций, сталкивающихся с DoS- или DDoS-атаками или с атаками вредоносного программного обеспечения. ERT дополняет способность организации бороться с кибератаками, используя как экспертные знания в области безопасности, так и службы разведки угроз в реальном времени. Аналитики и инженеры по безопасности ERT помогают отразить распространенные и новые атаки, а также смягчить их последствия и быстро восстановить работу системы.

Еще одна дополнительная услуга безопасности — изучение угроз (Threat Intelligence Service, TIS). TIS есть в продуктовой линейке и линейке услуг некоторых российских компаний в области кибербезопасности. TIS призвана кардинально изменить подход организаций к кибербезопасности. Предоставляя в режиме реального времени действенные аналитические данные и возможности бесшовной интеграции, эта служба позволяет группам SOC принимать обоснованные решения, улучшать обнаружение угроз и поддерживать непрерывность бизнеса.

Один из российских облачных провайдеров предлагает очень интересную услугу — модуль контроля данных (Data Security Posture Management, DSPM). Она предназначена для обнаружения и контроля чувствительных данных в инфраструктуре, подобно облачной DLP. Поддерживается поиск ФИО, адресов электронной почты, номеров СНИЛС и других персональных данных, а также ключей доступа, паролей, токенов, SSH-ключей и других учетных данных. DSPM — это инструмент, помогающий оперативно обнаруживать сохраненную в облаке чувствительную информацию, с тем чтобы своевременно принять необходимые меры для ее защиты от несанкционированного доступа или утечки (настроить политики доступа, обезличить данные и т.п.). При наличии соответствующей интеграции DSPM может работать в режиме предотвращения утечек, блокируя передачу или сохранение конфиденциальной информации.

* * *

Как мы видим, представляют интерес направления облачной безопасности, охватывающие защиту веб-приложений и API (Web Application and API Protection, WAAP), которые позволяют работать с межсетевым экраном WAF 7-го уровня, обеспечивать защиту API, управление ботами, защиту от DDoS-атак на 7-м уровне и защиту на стороне клиента. Также есть смысл обратить внимание на дополнительные услуги кибербезопасности: экспертную поддержку, изучение угроз и контроль данных.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!