Verum Crypto — новая крипто платформа 2020

Лучшие брокеры бинарных опционов за 2020 год:
  • БИНАРИУМ
    БИНАРИУМ

    1 место в народном рейтинге! Честный и надежный брокер бинарных опционов. Бесплатное обучение для новичков! Получите бонус за регистрацию:

(831) 215-12-18

Пресса о госзаказе

«Русполимет» рассчитывает поставлять оборудование для Нижегородской АЭС

ОАО «Русполимет» (Кулебаки, Нижегородская область) рассчитывает поставлять оборудование для Нижегородской АЭС. Об этом генеральный директор ОАО «Русполимет» Юрий Луканин сообщил на встрече с журналистами

Шанцев поручил главам МСУ возобновить работу комиссий по борьбе с «теневой» зарплатой в Нижегородской области

Губернатор Нижегородской области Валерий Шанцев поручил главам местного самоуправления (МСУ) возобновить работу комиссий по борьбе с «теневой» зарплатой в регионе. Об этом губернатор заявил в ходе совещания с главами МСУ в четверг

Правительство РФ готово выделить 480 млн. рублей на компенсацию затрат нижегородцев на тушение лесных пожаров

Правительство РФ готово выделить 480 млн. рублей в качестве компенсации затрат населения и предприятий Нижегородской области на тушение лесных пожаров. Об этом и.о. министра экологии и природных ресурсов Нижегородской области Юрий Гагарин сообщил на совещании губернатора с главами местного самоуправления (МСУ) в четверг

Строительство второго ФОКа в Н.Новгороде начнется в 2020 году – Шанцев

Следующий ФОК будет строиться в рамках 50%-ного софинансирования из областного и городского бюджетов

В Нижнем Новгороде направлено в суд уголовное дело страхового брокера, обвиняющегося в растрате 1,5 млн. руб.

В Нижнем Новгороде направлено в суд уголовное дело в отношении директора фирмы, предоставляющей брокерские услуги в сфере страхования автомобилей, обвиняющегося в растрате 1,5 млн. руб. Об этом РБК сообщили в управлении внутренних дел по Нижнему Новгороду

Нижегородскому Лукойлу придется заплатить за неадекватные цены на автозаправках

Цены на бензин Лукойл-Волганефтепродукта явно не успевали за падающими ценами на нефть

Кризис на исходе

Об этом уверенно заявили в ходе пресс-конференции 21 сентября в Нижнем Новгороде начальник Главного управления Центробанка по Нижегородской области Станислав Спицын и президент АКБ «Саровбизнесбанк» Ирина Алушкина

Комитет нижегородского Заксобрания по бюджету одобрил соглашение между облправительством и компанией «ТРМ»

Комитет по бюджету и налогам Законодательного собрания Нижегородской области (ОЗС) рекомендовал региональному парламенту принять в двух чтениях закон «Об утверждении инвестиционного соглашения между правительством Нижегородской области и ООО «ТРМ» (совместное предприятие (СП) «RM Systems» (100% дочернее предприятие холдинга «Русские машины») и японской компании T.RAD Ltd.)

В Нижегородской области 50-60% малоэтажного жилья застраховано — страховая компания

В Нижегородской области 50-60% малоэтажного жилья, в том числе дачные домики, застраховано. Об этом директор филиала ООО «Росгосстрах» в Нижегородской области Сергей Котов сообщил на брифинге во вторник

ТОП русскоязычных брокеров бинарных опционов за 2020 год:
  • БИНАРИУМ
    БИНАРИУМ

    1 место в народном рейтинге! Честный и надежный брокер бинарных опционов. Бесплатное обучение для новичков! Получите бонус за регистрацию:

Нижегородские судебные приставы «обрабатывают» 30 тысяч должников за услуги ЖКХ

400 млн рублей жилищно-коммунальных долгов подлежат взысканию судебными приставами Нижегородской области. Об этом сообщила «ФедералПресс» 17 сентября пресс-служба регионального управления ФССП

Программа «Город-сад» помогла улучшить условия проживания 200 тыс. нижегородцам

В Нижнем Новгороде за время реализации муниципальной программы комплексного благоустройства «Город-сад» улучшили условия проживания 200 тыс. нижегородцев. Как сообщает корреспондент ИА REGNUM Новости, такая информация была озвучена в ходе оперативного совещания в мэрии 20 сентября

Три предприятия «Оборонпрома» получат 752 млн. рублей на высокотехнологичные программы

ОАО «Казанский вертолетный завод» (КВЗ), ОАО «Уфимское моторостроительное производственное объединение» (УМПО) и самарское ОАО «Кузнецов» (все три предприятия входят в корпорацию «Оборонпром») вошли в число 57 победителей конкурса, проводимого министерством образования и науки РФ, на право получения субсидий на реализацию комплексных проектов по созданию высокотехнологичного производства, говорится в пресс-релизе «Оборонпрома»

В Нижегородской области за 8 месяцев объем сельхозпроизводства снизился более чем на 16% — Нижегородстат

Производственные показатели сельского хозяйства в регионах России

Verum Crypto — новая крипто платформа 2020

Константин Виноградов, Лилия Виноградова, «Комиздат»

Как реализовать методы криптографической защиты информации при помощи подручных средств – Windows и Delphi

Часть 1

Мы вступили в цифровой век. На смену бумажным документам пришли электронные, а личные контакты все чаще уступают место переписке по e-mail. Поэтому «шпионские штучки» вроде паролей и шифровок становятся все более привычными и необходимыми инструментами безопасности.

Криптографические возможности Windows

Сразу договоримся, что никакая система защиты информации не может быть абсолютно надежной. Речь может идти лишь о некоторой степени надежности и рисках, связанных со взломом защиты. Поэтому с практической точки зрения есть смысл оценить важность данных и экономно подстелить соломку на случай неудачи. В наших приложениях, например, мы выдаем кредит доверия операционной системе Windows, несмотря на закрытость ее кода.

Итак, ОС мы доверяем. Чтобы криптозащиту нельзя было «обойти» с другой стороны — к примеру, перехватить из незащищенной области памяти секретные пароли — криптографические функции должны быть частью операционной системы. В семействе Windows, начиная с Windows 95, обеспечивается реализация шифрования, генерации ключей, создания и проверки цифровых подписей и других криптографических задач. Эти функции необходимы для работы операционной системы, однако ими может воспользоваться и любая прикладная программа — для этого программисту достаточно обратиться к нужной подпрограмме так, как предписывает криптографический интерфейс прикладных программ (CryptoAPI).

Разумеется, по мере совершенствования Windows расширялся и состав ее криптографической подсистемы. Помимо базовых операций, в настоящее время в CryptoAPI 2.0 поддерживается работа с сертификатами, шифрованными сообщениями в формате PKCS #7 и пр.

Описание функций CryptoAPI, помимо специальных книг, можно найти в MSDN Library.

Взаимодействие с CryptoAPI

Функции CryptoAPI можно вызвать из программы, написанной на любимом многими (в том числе и авторами) языке С++. Тем не менее, Pascal де-факто признан стандартом в области обучения программированию. (Не будем спорить о том, хорошо это или плохо, чтобы не ввязываться в драку, пусть даже и виртуальную.) Кроме того, в ряде отечественных компаний Delphi является базовым средством разработки. Поэтому все примеры были реализованы в среде Delphi. Хотя в качестве инструмента можно было бы выбрать и MS Visual C++.

Код функций криптографической подсистемы содержится в нескольких динамически загружаемых библиотеках Windows (advapi32.dll, crypt32.dll). Для обращения к такой функции из прикладной программы на Object Pascal следует объявить ее как внешнюю. Заголовок функции в интерфейсной части модуля будет выглядеть, например, так:

а в исполняемой части вместо тела функции нужно вписать директиву extern с указанием библиотеки, в которой содержится функция, и, возможно, ее имени в этой библиотеке (если оно отличается от имени функции в создаваемом модуле), например:

Таким образом, имея описание функций CryptoAPI, можно собрать заголовки функций в отдельном модуле, который будет обеспечивать взаимодействие прикладной программы с криптографической подсистемой. Разумеется, такая работа была проделана программистами Microsoft, и соответствующий заголовочный файл (wincrypt.h) был включен в поставку MS Visual C++. К счастью, появилась и Delphi-версия (wcrypt2.pas). Ее можно найти здесь. Подключив модуль к проекту, вы сможете использовать не только функции CryptoAPI, но и мнемонические константы режимов, идентификаторы алгоритмов и прочих параметров, необходимых на практике.

И последнее замечание перед тем, как опробовать CryptoAPI в деле. Ряд функций был реализован только в Windows 2000. Но и на старушку Windows 98 можно найти управу: при установке Internet Explorer 5 интересующие нас библиотеки обновляются, позволяя использовать новейшие криптографические возможности. Нужно лишь задать для Delphi-проекта параметр условной компиляции NT5, после чего вызовы функций, появившихся лишь в Windows 2000, будут нормально работать.

Знакомство с криптопровайдерами

Функции CryptoAPI обеспечивают прикладным программам доступ к криптографическим возможностям Windows. Однако они являются лишь «передаточным звеном» в сложной цепи обработки информации. Основную работу выполняют скрытые от глаз программиста функции, входящие в специализированные программные (или программно-аппаратные) модули — провайдеры (поставщики) криптографических услуг (CSP — Cryptographic Service Providers), или криптопровайдеры (рис. 1).

Программная часть криптопровайдера представляет собой dll-файл, подписанный Microsoft; периодически Windows проверяет цифровую подпись, что исключает возможность подмены криптопровайдера.

Криптопровайдеры отличаются друг от друга:

  • составом функций (например, некоторые криптопровайдеры не выполняют шифрование данных, ограничиваясь созданием и проверкой цифровых подписей);
  • требованиями к оборудованию (специализированные криптопровайдеры могут требовать устройства для работы со смарт-картами для выполнения аутентификации пользователя);
  • алгоритмами, осуществляющими базовые действия (создание ключей, хеширование и пр.).

По составу функций и обеспечивающих их алгоритмов криптопровайдеры подразделяются на типы. Например, любой CSP типа PROV_RSA_FULL поддерживает как шифрование, так и цифровые подписи, использует для обмена ключами и создания подписей алгоритм RSA, для шифрования — алгоритмы RC2 и RC4, а для хеширования — MD5 и SHA.

В зависимости от версии операционной системы состав установленных криптопровайдеров может существенно изменяться. Однако на любом компьютере с Windows можно найти Microsoft Base Cryptographic Provider, относящийся к уже известному нам типу PROV_RSA_FULL. Именно с этим провайдером по умолчанию будут взаимодействовать все программы.

Использование криптографических возможностей Windows напоминает работу программы с графическим устройством. Криптопровайдер подобен графическому драйверу: он может обеспечивать взаимодействие программного обеспечения с оборудованием (устройство чтения смарт-карт, аппаратные датчики случайных чисел и пр.). Для вывода информации на графическое устройство приложение не должно непосредственно обращаться к драйверу — вместо этого нужно получить у системы контекст устройства, посредством которого и осуществляются все операции. Это позволяет прикладному программисту использовать графическое устройство, ничего не зная о его аппаратной реализации. Точно так же для использования криптографических функций приложение обращается к криптопровайдеру не напрямую, а через CryptoAPI. При этом вначале необходимо запросить у системы контекст криптопровайдера.

Первым делом, хотя бы из любопытства, выясним, какие же криптопровайдеры установлены в системе. Для этого нам понадобятся четыре функции CryptoAPI (выходные параметры выделены жирным шрифтом, а входные — курсивом):

  • CryptEnumProviders (i, резерв, флаги, тип, имя, длина_имени) — возвращает имя и тип i-го по порядку криптопровайдера в системе (нумерация начинается с нуля);
  • CryptAcquireContext (провайдер, контейнер, имя, тип, флаги) — выполняет подключение к криптопровайдеру с заданным типом и именем и возвращает его дескриптор (контекст). При подключении мы будем передавать функции флаг CRYPT_VERIFYCONTEXT, служащий для получения контекста без подключения к контейнеру ключей;
  • CryptGetProvParam (провайдер, параметр, данные, размер_данных, флаги) — возвращает значение указанного параметра провайдера, например, версии (второй параметр при вызове функции — PP_VERSION), типа реализации (программный, аппаратный, смешанный — PP_IMPTYPE), поддерживаемых алгоритмов (PP_ENUMALGS). Список поддерживаемых алгоритмов при помощи этой функции может быть получен следующим образом: при одном вызове функции возвращается информация об одном алгоритме; при первом вызове функции следует передать значение флага CRYPT_FIRST, а при последующих флаг должен быть равен 0;
  • CryptReleaseContext (провайдер, флаги) — освобождает дескриптор криптопровайдера.

Каждая из этих функций, как и большинство других функций CryptoAPI, возвращает логическое значение, равное true, в случае успешного завершения, и false — если возникли ошибки. Код ошибки может быть получен при помощи функции GetLastError. Возможные значения кодов ошибки приведены в упоминавшейся выше документации. Например, при вызове функции CryptGetProvParam для получения версии провайдера следует учесть возможность возникновения ошибок следующим образом: см. Лист 1

Текст процедуры, выводящей в Memo-поле FileMemo формы информацию об установленных в системе криптопровайдерах, приведен в Лист 2. Предполагается, что процедура вызывается при выборе соответствующего элемента в главном меню формы. Для краткости в тексте программы опущены фрагменты, выполняющие обработку ошибок.

На рис. 2 показан пример отчета, выдаваемого приведенным выше кодом, выполненным в среде Windows 98.

Шифрование с использованием паролей

После того как мы узнали кое-что о структуре CryptoAPI, можно воспользоваться ею в практических целях. Пожалуй, самым ожидаемым действием криптографической подсистемы является шифрование файлов — так, чтобы лишь пользователь, знающий определенный пароль, мог получить к ним доступ.

Для шифрования данных в CryptoAPI применяются симметричные алгоритмы. Симметричность означает, что для шифрования и расшифровки данных используется один и тот же ключ, известный как шифрующей, так и расшифровывающей стороне. При этом плохо выбранный ключ шифрования может дать противнику возможность взломать шифр. Поэтому одной из функций криптографической подсистемы должна быть генерация «хороших» ключей либо случайным образом, либо на основании некоторой информации, предоставляемой пользователем, например пароля.

В случае создания ключа на основании пароля должно выполняться следующее обязательное условие: при многократном повторении процедуры генерации ключа на одном и том же пароле должны получаться идентичные ключи. Ключ шифрования имеет, как правило, строго определенную длину, определяемую используемым алгоритмом, а длина пароля может быть произвольной. Даже интуитивно понятно, что для однозначной генерации ключей нужно привести разнообразные пароли к некоторой единой форме. Это достигается с помощью хеширования.

Хешированием (от англ. hash — разрезать, крошить, перемешивать) называется преобразование строки произвольной длины в битовую последовательность фиксированной длины (хеш-значение, или просто хеш) с обеспечением следующих условий:

  • по хеш-значению невозможно восстановить исходное сообщение;
  • практически невозможно найти еще один текст, дающий такой же хеш, как и наперед заданное сообщение;
  • практически невозможно найти два различных текста, дающих одинаковые хеш-значения (такие ситуации называют коллизиями).

При соблюдении приведенных условий хеш-значение служит компактным цифровым отпечатком (дайджестом) сообщения. Существует множество алгоритмов хеширования. CryptoAPI поддерживает, например, алгоритмы MD5 (MD — Message Digest) и SHA (Secure Hash Algorithm).

Итак, чтобы создать ключ шифрования на основании пароля, нам нужно вначале получить хеш этого пароля. Для этого следует создать с помощью CryptoAPI хеш-объект, воспользовавшись функцией CryptCreateHash (провайдер, ID_алгоритма, ключ, флаги, хеш), которой нужно передать дескриптор криптопровайдера (полученный с помощью CryptAcquireContext) и идентификатор алгоритма хеширования (остальные параметры могут быть нулями). В результате мы получим дескриптор хеш-объекта. Этот объект можно представить себе как черный ящик, который принимает любые данные и «перемалывает» их, сохраняя внутри себя лишь хеш-значение. Подать данные на вход хеш-объекта позволяет функция CryptHashData (дескриптор, данные, размер_данных, флаги).

Непосредственно создание ключа выполняет функция CryptDeriveKey (провайдер, ID_алгоритма, хеш-объект, флаги, ключ), которая принимает хеш-объект в качестве исходных данных и строит подходящий ключ для алгоритма шифрования, заданного своим ID. Результатом будет дескриптор ключа, который можно использовать для шифрования (рис. 3).

Следует обратить внимание, что при работе с CryptoAPI мы все время имеем дело не с самими объектами или их адресами, а с дескрипторами — целыми числами, характеризующими положение объекта во внутренних таблицах криптопровайдера. Сами таблицы располагаются в защищенной области памяти, так что программы-«шпионы» не могут получить к ним доступ.

Алгоритмы шифрования, поддерживаемые CryptoAPI, можно разделить на блочные и поточные: первые обрабатывают данные относительно большими по размеру блоками (например, 64, 128 битов или более), а вторые — побитно (теоретически, на практике же — побайтно). Если размер данных, подлежащих шифрованию, не кратен размеру блока, то последний, неполный блок данных, будет дополнен необходимым количеством случайных битов, в результате чего размер зашифрованной информации может несколько увеличиться. Разумеется, при использовании поточных шифров размер данных при шифровании остается неизменным.

Шифрование выполняется функцией CryptEncrypt (ключ, хеш, финал, флаги, данные, рамер_данных, размер_буфера):

  • через параметр ключ передается дескриптор ключа шифрования;
  • параметр хеш используется, если одновременно с шифрованием нужно вычислить хеш-значение шифруемого текста;
  • параметр финал равен true, если шифруемый блок текста — последний или единственный (шифрование можно осуществлять частями, вызывая функцию CryptEncrypt несколько раз);
  • значение флага должно быть нулевым;
  • параметр данные представляет собой адрес буфера, в котором при вызове функции находится исходный текст, а по завершению работы функции — зашифрованный;
  • следующий параметр, соответственно, описывает размер входных/выходных данных,
  • последний параметр задает размер буфера — если в результате шифрования зашифрованный текст не уместится в буфере, возникнет ошибка.

Для расшифровки данных используется функция CryptDecrypt (ключ, хеш, финал, флаги, данные, рамер_данных), отличающаяся от шифрующей функции только тем, что размер буфера указывать не следует: поскольку размер данных при расшифровке может только уменьшиться, отведенного под них буфера наверняка будет достаточно.

Приведем лишь фрагменты программы, реализующей шифрование файла с использованием заданного пароля, опустив громоздкие проверки успешности выполнения криптографических операций (что в реальной программе делать крайне нежелательно).

Полный пример приложения в формате Delphi 4 можно взять здесь.

Конечно, шифрование вами всех файлов одним и тем же паролем облегчает «противнику» задачу их расшифровки, запоминание огромного числа паролей сильно усложняет жизнь, а их записывание в незашифрованном виде создает опасность раскрытия всей системы. CryptoAPI может предложить на этот случай ряд решений. О них поговорим ниже.

Часть 2

В арсенале защиты должны быть не только методы, обеспечивающие секретность передачи информации (о них мы говорили в первой части статьи). Не менее важными инструментами безопасности являются процедуры, позволяющие убедиться в целости и аутентичности данных. Кроме того, необходимо решать проблемы безопасного хранения и распределения ключей.

Проблема распределения ключей

В прошлый раз при помощи CryptoAPI мы решали такую «классическую» задачу как шифрование на основе пароля. Напомним, что пароль использовался для создания ключа шифрования какого-либо симметричного алгоритма. В таком случае расшифровать файл может лишь тот, кто знает пароль. А значит, для обеспечения конфиденциальности нужно держать пароль в строжайшем секрете — желательно, чтобы его знали лишь отправитель и получатель информации. (А еще лучше, если отправитель и получатель — одно и то же лицо.)

Предположим, что отправитель и получатель при личной встрече договорились использовать для конфиденциальной переписки определенный пароль. Но если они будут шифровать все свои сообщения одним и тем же ключом, то возможный противник, перехватив корреспонденцию, будеть иметь хорошие шансы взломать шифр: при современных методах криптоанализа наличие нескольких шифртекстов, полученных путем использования одного и того же ключа, почти гарантирует успешный результат. Поэтому при использовании симметричных алгоритмов шифрования настоятельно рекомендуется не применять один и тот же ключ дважды!

Однако помнить отдельный пароль для каждого зашифрованного сообщения — задача достаточно трудоемкая. А для корреспондентов, не имеющих возможности встретиться лично для согласования ключей шифрования, конфиденциальный обмен сообщениями вообще становится недоступным. Такая практическая трудность называется проблемой распределения ключей.

Спасительный способ, позволяющий шифровать сообщения, обмениваясь ключами по открытым каналам связи, был придуман в середине 70-х годов прошлого столетия, а в начале восьмидесятых появился первый реализующий его алгоритм — RSA. Теперь пользователь может сгенерировать два связанных между собой ключа — ключевую пару. Один из этих ключей по несекретным каналам рассылается всем, с кем пользователь хотел бы обмениваться конфиденциальными сообщениями (рис. 4). Этот ключ называют открытым (англ. public key). Зная открытый ключ пользователя, можно зашифровать адресованное ему сообщение, но вот расшифровать его позволяет лишь вторая часть ключевой пары — закрытый ключ (private key). При этом открытый ключ не дает «практической» возможности вычислить закрытый: такая задача, хоть и разрешима в принципе, но при достаточно большом размере ключа требует многих лет машинного времени. Для сохранения конфиденциальности получателю необходимо лишь хранить в строгом секрете свой закрытый ключ, а отправителю — убедиться, что имеющийся у него открытый ключ действительно принадлежит адресату.

Так как для шифрования и расшифровки используются различные ключи, алгоритмы такого рода назвали асимметричными. Наиболее существенным их недостатком является низкая производительность — они примерно в 100 раз медленнее симметричных алгоритмов. Поэтому были созданы криптографические схемы, использующие преимущества как симметричных, так и асимметричных алгоритмов (рис. 5):

  • для шифрования файла или сообщения используется быстрый симметричный алгоритм, причем ключ шифрования генерируется случайным образом с обеспечением «хороших» статистических свойств;
  • небольшой по размерам симметричный ключ шифрования шифруется при помощи асимметричного алгоритма с использованием открытого ключа адресата и в зашифрованном виде пересылается вместе с сообщением;
  • получив сообщение, адресат своим закрытым ключом расшифровывает симметричный ключ, а с его помощью — и само сообщение.

Описанная схема реализована и в CryptoAPI.

Целостность и аутентичность информации

Как удостовериться в том, что пришедшее сообщение действительно отправлено тем, чье имя стоит в графе «отправитель»? Асимметричные схемы шифрования дают нам элегантный способ аутентификации. Если отправитель зашифрует сообщение своим закрытым ключом, то успешное расшифровывание убедит получателя в том, что послать корреспонденцию мог только хозяин ключевой пары, и никто иной (рис. 6). При этом расшифровку может выполнить любой, кто имеет открытый ключ отправителя. Ведь наша цель — не конфиденциальность, а аутентификация.

Чтобы избежать шифрования всего сообщения при помощи асимметричных алгоритмов, используют хеширование: вычисляется хеш-значение исходного сообщения, и только эта короткая последовательность байтов шифруется закрытым ключом отправителя. Результат представляет собой электронную цифровую подпись. Добавление такой подписи к сообщению позволяет установить:

  • аутентичность сообщения — создать подпись на основе закрытого ключа мог только его хозяин;
  • целостность данных — легко вычислить хеш-значение полученного сообщения и сравнить его с тем, которое хранится в подписи: если значения совпадают, значит, сообщение не было изменено злоумышленником после того, как отправитель его подписал.

Таким образом, асимметричные алгоритмы позволяют решить две непростые задачи: обмена ключами шифрования по открытым каналам связи и подписи сообщения. Чтобы воспользоваться этими возможностями, нужно сгенерировать и сохранить две ключевые пары — для обмена ключами и для подписей. В этом нам поможет CryptoAPI.

Контейнеры ключей

Каждый криптопровайдер располагает базой данных, в которой хранятся долговременные ключи пользователей. База данных содержит один или более контейнеров ключей (рис. 7). Пользователь может создать несколько контейнеров с различными именами (именем контейнера по умолчанию является имя пользователя в системе).

Подключение к контейнеру производится одновременно с получением контекста криптопровайдера при вызове функции CryptAcquireContext — имя контейнера ключей передается функции вторым ее аргументом. Если второй аргумент содержит пустой указатель (nil), то используется имя по умолчанию, т. е. имя пользователя. В том случае, если доступ к контейнеру не нужен, можно передать в последнем аргументе функции флаг CRYPT_VERIFYCONTEXT; при необходимости создать новый контейнер используется флаг CRYPT_NEWKEYSET; а для удаления существующего контейнера вместе с хранящимися в нем ключами — CRYPT_DELETEKEYSET.

Каждый контейнер может содержать, как минимум, две ключевые пары — ключ обмена ключами и ключ подписи. Ключи, используемые для шифрования симметричными алгоритмами, не сохраняются. Как мы уже говорили, такие ключи не рекомендуется применять более одного раза, поэтому их называют сеансовыми (англ. session key).

Создание ключевых пар

После создания контейнера ключей необходимо сгенерировать ключевые пары обмена ключами и подписи. Эту работу в CryptoAPI выполняет функция CryptGenKey (провайдер, алгоритм, флаги, ключ):

  • провайдер — дескриптор криптопровайдера, полученный в результате обращения к функции CryptAcquireContext;
  • алгоритм — указывает, какому алгоритму шифрования будет соответствовать создаваемый ключ. Информация об алгоритме, таким образом, является частью описания ключа. Каждый криптопровайдер использует для обмена ключами и подписи строго определенные алгоритмы. Так, провайдеры типа PROV_RSA_FULL, к которым относится и Microsoft Base Cryptographic Provider, реализуют алгоритм RSA. Но при генерации ключей знать это не обязательно: достаточно указать, какой ключ мы собираемся создать — обмена ключами или подписи. Для этого используются мнемонические константы AT_KEYEXCHANGE и AT_SIGNATURE;
  • флаги — при создании асимметричных ключей управляет их размером. Используемый нами криптопровайдер позволяет генерировать ключ обмена ключами длиной от 384 до 512 бит ** , а ключ подписи — от 512 до 16384 бит. Чем больше длина ключа, тем выше его надежность, поэтому трудно найти причины для использования ключа обмена ключами длиной менее 512 бит, а длину ключа подписи не рекомендуется делать меньше 1024 бит ** . По умолчанию криптопровайдер создает оба ключа длиной 512 бит. Необходимую длину ключа можно передать в старшем слове параметра флаги;
  • ключ — в случае успешного завершения функции в этот параметр заносится дескриптор созданного ключа.

Рассмотрим пример создания ключевых пар при помощи формы, показанной на рис. 8. В поле «Контейнер» можно указать имя контейнера ключей; если оставить это поле пустым, будет использован контейнер по умолчанию. Назначение остальных элементов управления должно быть интуитивно понятным. После генерации ключа в memo-поле выводится отчет о его параметрах. Для этого используется функция CryptGetKeyParam (ключ, параметр, буфер, размер, флаги). Чтобы получить информацию о требуемом параметре, нужно через второй аргумент функции передать соответствующую константу: KP_ALGID — идентификатор алгоритма, KP_KEYLEN — размер ключа, и т. д. См. текст процедуры генерации ключей без операторов обработки ошибок.

Обмен ключами

Теперь мы располагаем набором ключей, однако все они останутся мертвым грузом, до тех пор пока мы не получим возможности обмена с другими пользователями открытыми ключами. Для этого необходимо извлечь их из базы данных ключей и записать в файл, который можно будет передать своим корреспондентам. При экспорте данные ключа сохраняются в одном из трех возможных форматов:

  • PUBLICKEYBLOB — используется для сохранения открытых ключей. Поскольку открытые ключи не являются секретными, они сохраняются в незашифрованном виде;
  • PRIVATEKEYBLOB — используется для сохранения ключевой пары целиком (открытого и закрытого ключей). Эти данные являются в высшей степени секретными, поэтому сохраняются в зашифрованном виде, причем для шифрования используется сеансовый ключ (и, соответственно, симметричный алгоритм);
  • SIMPLEBLOB — используется для сохранения сеансовых ключей. Для обеспечения секретности данные ключа шифруются с использованием открытого ключа получателя сообщения.

Экспорт ключей в CryptoAPI выполняется функцией CryptExportKey (экспортируемый ключ, ключ адресата, формат, флаги, буфер, размер буфера):

  • экспортируемый ключ — дескриптор нужного ключа;
  • ключ адресата — в случае сохранения открытого ключа должен быть равен нулю (данные не шифруются);
  • формат — указывается один из возможных форматов экспорта (PUBLICKEYBLOB, PRIVATEKEYBLOB, SIMPLEBLOB);
  • флаги — зарезервирован на будущее (должен быть равен нулю);
  • буфер — содержит адрес буфера, в который будет записан ключевой BLOB (Binary Large OBject — большой двоичный объект);
  • размер буфера — при вызове функции в этой переменной должен находиться доступный размер буфера, а по окончании работы в нее записывается количество экспортируемых данных. Если размер буфера заранее не известен, то функцию нужно вызвать с параметром буфер, равным пустому указателю, тогда размер буфера будет вычислен и занесен в переменную размер буфера.

Экспорт ключевой пары целиком, включая и закрытый ключ, может понадобиться для того, чтобы иметь возможность подписывать документы на различных компьютерах (например, дома и на работе), или для сохранения страховочной копии. В этом случае нужно создать ключ шифрования на основании пароля и передать дескриптор этого ключа в качестве второго параметра функции CryptExportKey.

Запросить у криптопровайдера дескриптор самого’ экспортируемого ключа позволяет функция CryptGetUserKey (провайдер, описание ключа, дескриптор ключа). Описание ключа — это либо AT_KEYEXCHANGE, либо AT_SIGNATURE.

Экспорт асимметричных ключей во всем возможном многообразии можно осуществить при помощи формы, показанной на рис. 9.

В Листинге приведены наиболее важные фрагменты программы

Экспортированные таким образом открытые части ключей понадобятся нам для проверки подписи и расшифровки сеансового ключа.

Импорт ключевых пар во вновь созданный контейнер — это самостоятельная процедура. Необходимо запросить у пользователя название контейнера и пароль, подключиться к провайдеру, создать на основании пароля ключ, считать из файла импортируемые данные в буфер, после чего воспользоваться функцией CryptImportKey (провайдер, буфер, длина буфера, ключ для расшифровки, флаги, импортируемый ключ). Если нужно обеспечить возможность экспорта импортируемой ключевой пары впоследствии, то в параметре флаги необходимо передать значение CRYPT_EXPORTABLE; в противном случае вызов для данной ключевой пары функции CryptExportKey приведет к ошибке.

Мы уже обсуждали, что при работе с асимметричными алгоритмами важно убедиться, что открытый ключ действительно принадлежит тому, кого вы считаете его хозяином, и не был подменен злоумышленником. Простейшим способом обеспечить аутентичность ключа является побайтная сверка с оригиналом, хранящимся у его хозяина. Для этого можно просто позволить пользователю просмотреть экспортированные данные в шестнадцатеричном виде — например, открыть файл, в который был записан открытый ключ, и вывести его содержимое в окно просмотра. Примерный результат показан на рис. 10.

Электронная цифровая подпись

Для создания электронной цифровой подписи необходимо вычислить хеш заданного файла и зашифровать этот «цифровой отпечаток сообщения» своим закрытым ключом — «подписать». Чтобы подпись впоследствии можно было проверить, необходимо указать, какой алгоритм хеширования использовался при ее создании. Поэтому подписанное сообщение должно иметь структуру, показанную на рис. 11.

Подписать вычисленный хеш в CryptoAPI позволяет функция CryptSignHash (хеш, описание ключа, комментарий, флаги, подпись, длина подписи). Вторым параметром может быть либо AT_KEYEXCHANGE, либо AT_SIGNATURE (в нашем случае логичнее использовать ключ подписи). Третий параметр в целях безопасности настоятельно рекомендуется оставлять пустым (nil). Флаги в настоящее время также не используются — на месте этого аргумента должен быть нуль. Готовую электронную подпись функция запишет в буфер, адрес которого содержится в предпоследнем параметре, последний же параметр будет содержать длину подписи в байтах.

На рис. 12 показана форма, позволяющая подписать заданный файл. См. процедуру, реализующую процесс подписания; результатом ее работы является файл, имеющий структуру, показанную на рис. 11.

Чтобы проверить правильность подписи, получатель подписанного сообщения должен иметь файл с открытым ключом подписи отправителя. В процессе проверки подписи этот ключ импортируется внутрь криптопровайдера. Проверка выполняется функцией CryptVerifySignature (хеш, подпись, длина подписи, открытый ключ, комментарий, флаги). О последних двух аргументах можно сказать то же, что и о параметрах комментарий и флаги функции CryptSignHash, назначение же остальных должно быть понятно. Если подпись верна, функция возвращает true. Значение false в качестве результата может свидетельствовать либо о возникновении ошибки в процессе проверки, либо о том, что подпись оказалась неверной. В последнем случае функция GetLastError вернет ошибку NTE_BAD_SIGNATURE. Для примера приведем наиболее значимые фрагменты программы проверки подписи: См. Листинг

Полный Delphi-проект примера можно найти здесь.

Часть 3

Для конфиденциального обмена информацией с корреспондентом в любой точке земного шара приходится использовать целый арсенал современных криптографических инструментов: симметричные и асимметричные алгоритмы шифрования, механизмы генерирования криптографических ключей и случайных последовательностей, специфические режимы работы шифров и пр. Продолжая тему, начатую в первой и второй частях статьи, рассмотрим реализацию этих инструментов в CryptoAPI и воспользуемся ими для шифрования файла случайным ключом.

Цифровые конверты

Асимметричные алгоритмы позволяют легко обменяться ключами шифрования по открытому каналу связи — но работают слишком медленно. Симметричные алгоритмы работают быстро — но для обмена ключами требуют наличия защищенного канала связи и, к тому же, нуждаются в частой смене ключей. Поэтому в современных криптосистемах используются сильные стороны обоих подходов. Так, для шифрования сообщения используется симметричный алгоритм со случайным ключом шифрования, действующим только в пределах одного сеанса,- сеансовым ключом. Чтобы впоследствии сообщение могло быть расшифровано, сеансовый ключ подвергается шифрованию асимметричным алгоритмом с использованием открытого ключа получателя сообщения. Зашифрованный таким образом сеансовый ключ сохраняется вместе с сообщением, образуя цифровой конверт. При необходимости цифровой конверт может содержать сеансовый ключ в нескольких экземплярах — зашифрованный открытыми ключами различных получателей (рис. 13).

Создание сеансовых ключей

CryptoAPI позволяет генерировать сеансовые ключи случайным образом — эту работу выполняет функция CryptGenKey, о которой шла речь ранее. Однако при использовании этой возможности за пределами США и Канады приходится учитывать американские ограничения на экспорт средств «сильной криптографии». В частности, до января 2000 года был запрещен экспорт программного обеспечения для шифрования с использованием ключей длиной более 40 бит. Этим объясняется разработка Microsoft двух версий своего криптопровайдера — базовой и расширенной. Базовая версия предназначалась на экспорт и поддерживала симметричные ключи длиной 40 бит; расширенная же версия (Microsoft Enhanced Cryptographic Provider) работала с «полной» длиной ключа (128 бит). Поскольку алгоритм шифрования, как правило, требует использования ключа строго определенной длины, недостающее количество битв в урезанном «экспортном» ключе могло быть заполнено либо нулями, либо случайными данными, которые предлагалось передавать открыто.

В криптографической практике внесение в состав ключа определенной части несекретных данных, которые сменяются несколько раз в ходе обработки исходного или шифр-текста, используется для того, чтобы воспрепятствовать взлому шифра атакой «по словарю». В английской терминологии такие вставки называются salt values: их назначение — «подсолить» ключ (с учетом нашей ментальности можно перевести как «насолить» противнику). Поскольку этот термин используется и в CryptoAPI, будем употреблять его в транслитерированном виде — солт-значения.

Итак, CryptoAPI, в экспортном исполнении практически вынуждает нас использовать солт-значения, составляющие бОльшую часть ключа — 88 бит из 128-ми для симметричных алгоритмов в RC2; и RC4. Конечно, при такой эффективной длине ключа криптозащита не может считаться достаточно надежной. В реальной ситуации выход один — воспользоваться криптопровайдером, не ограничивающим длину ключа. Обладатели Windows XP могут прибегнуть к услугам расширенных версий провайдера Microsoft (Enhanced или Strong). Пользователям более старых версий Windows, по-видимому, придется воспользоваться продуктами сторонних разработчиков. Например, свои версии криптопровайдеров предлагают российская компания «Крипто-Про» и шведская «StreamSec». В Украине, насколько известно авторам, разработкой национального провайдера криптографических услуг занимается коллектив харьковских ученых под руководством профессора Горбенко, однако до широкого внедрения дело пока не дошло. Тем не менее, благодаря архитектуре CryptoAPI, прикладные программы могут разрабатываться и отлаживаться и с базовым провайдером Microsoft — так как интерфейс взаимодействия остается неизменным. Поэтому вернемся к обсуждению создания случайных сеансовых ключей.

Солт может быть сгенерирован вместе с ключом: для этого нужно в качестве флага передать функции CryptGenKey (или CryptDeriveKey) константу CRYPT_CREATE_SALT. Правда, при сохранении ключа (с помощью функции CryptExportKey) система уже не заботится о солт-значении, перекладывая ответственность на прикладную программу. Таким образом, корректная процедура создания и сохранения симметричного ключа предполагает:

1. при создании ключа функции CryptGenKey передается значение флага CRYPT_EXPORTABLE or CRYPT_CREATE_SALT;

2. с помощью функции CryptGetKeyParam с параметром KP_SALT сгенерированное солт-значение сохраняется в буфере;

3. ключ в зашифрованном виде сохраняется в буфере при помощи функции CryptExportKey, которой передается открытый ключ обмена ключами адресата;

4. зашифрованные ключевые данные сохраняются или передаются адресату вместе с экспортированным на втором шаге солт-значением.

С другой стороны, солт-значение может быть сгенерировано и отдельно от ключа. Для этого используется функция CryptGenRandom (провайдер, длина, буфер). Здесь параметр длина задает размер генерируемой случайной последовательности в байтах, а последний аргумент задает адрес буфера, в который будет записан результат. Полученное таким образом солт-значение может быть внесено в ключ с помощью функции CryptSetKeyParam (ключ, параметр, данные, флаги). Ей вторым аргументом нужно передать KP_SALT, а третьим — адрес буфера, содержащего сгенерированную последовательность. (Последний аргумент функции зарезервирован на будущее и должен быть равен нулю.)

Блочные шифры

Блочные шифры считаются более надежными, нежели поточные, поскольку каждый блок текста подвергается сложным преобразованиям. Тем не менее, одних только этих преобразований оказывается недостаточно для обеспечения должного уровня безопасности — важно, каким образом они применяются к исходному тексту в процессе шифрования.

Наиболее простой и интуитивно понятный способ состоит в том, чтобы разбить исходный текст на блоки соответствующего размера, а затем отдельно каждый блок подвергнуть шифрующему преобразованию. Такой режим использования блочных шифров называют электронной кодовой книгой (ECB — electronic codebook). Его главный недостаток состоит в том, что одинаковые блоки исходного текста при шифровании дадут одинаковые же блоки шифр-текста — а это может существенно облегчить противнику задачу взлома. Поэтому режим ECB не рекомендуется использовать при шифровании текстов, по длине превышающих один блок — в таких случаях лучше воспользоваться одним из режимов, связывающих различные блоки между собой. По умолчанию в CryptoAPI блочные шифры используются в режиме сцепления блоков шифр-текста (CBC — cipher block chaining). В этом режиме при шифровании очередной блок исходного текста вначале комбинируется с предыдущим блоком шифр-текста (при помощи побитового исключающего ИЛИ), а затем полученная последовательность битов поступает на вход блочного шифра (рис. 14). Образующийся на выходе блок шифр-текста используется для шифрования следующего блока. Самый первый блок исходного текста также должен быть скомбинирован с некоторой последовательностью битов, но «предыдущего блока шифр-текста» еще нет; поэтому режимы шифрования с обратной связью требуют использования еще одного параметра — он называется инициализирующим вектором (IV — initialization vector).

Инициализирующий вектор должен генерироваться отдельно с помощью уже известной нам функции CryptGenRandom и, как и солт-значение, передаваться вместе с ключом в открытом виде. Размер IV равен длине блока шифра. Например, для алгоритма RC2, поддерживаемого базовым криптопровайдером Microsoft, размер блока составляет 64 бита (8 байтов).

От слов — к делу

Настало время применить все сказанное на практике, создав приложение, предназначенное для шифрования и расшифровки файлов с использованием случайных сеансовых ключей. Окно приложения показано на рис. 15. Для успешной работы программы нужно создать на компьютере собственный ключевой контейнер, экспортировать из него открытый ключ обмена ключами и обменяться открытыми ключами с адресатом. Все эти операции подробно обсуждались ранее. В простейшем случае «отправитель» сообщения может являться и «получателем» — тогда нужно просто экспортировать свой открытый ключ обмена ключами и сохранить его в каком-нибудь файле на диске.

Шифруемый файл помещается в цифровой конверт. Как мы знаем, вместе с ключом необходимо сохранить солт-значение, а при использовании блочного шифра — еще и инициализирующий вектор. В соответствии с этим наш цифровой конверт будет иметь структуру, показанную на рис. 16.

Приведем основные фрагменты процедуры, осуществляющей шифрование и расшифровку файла (обработка ошибок опущена): См. пример

В рассмотренной нами процедуре обмена шифрованными сообщениями остается одно слабое звено — обмен открытыми ключами. Ведь при этом мы не обеспечиваем подлинность полученного ключа — во время пересылки его может подменить злоумышленник. CryptoAPI для решения этой проблемы предполагает использование сертификатов. Но об этом — в следующий раз.

Полный Delphi-проект можно взять здесь.

Продолжение статьи, посвященное сертификатам (часть 4) — здесь

MaxPatrol SIEM

Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата последнего релиза: 2020/03/19
Технологии: ИБ — Межсетевые экраны, ИБ — Предотвращения утечек информации, ИБ — Управление информацией и событиями в системе безопасности (SIEM)

Содержание

MaxРatrol — система контроля защищенности и соответствия стандартам, разработанная компанией Positive Technologies, позволяет получать оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы.

Загрузка пакета с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников

19 марта 2020 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен очередной (пятнадцатый) пакет экспертизы с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников. Правила детектирования нацелены на обнаружение многофункциональных инструментов — фреймворков, часто используемых злоумышленниками, в том числе в целевых атаках. Пакет экспертизы поможет пользователям MaxPatrol SIEM выявлять активные действия злоумышленников в сети до достижения ими целей атаки.

Злоумышленники используют фреймворки для выполнения задач на разных этапах атаки, от получения доступа в сеть до кражи данных и воздействия на ИТ-инфраструктуру. Для этого фреймворки могут задействовать встроенные утилиты операционных систем или запускать собственные зловредные модули.

Правила в составе пакета экспертизы детектируют активность отдельных модулей распространенных инструментов. В частности, среди этих инструментов Cobalt Strike (используется злоумышленниками для скрытой коммуникации, проведения фишинговых атак и атак через веб-приложения, для закрепления на ресурсах и развития присутствия внутри сети; группировка Cobalt с его помощью атаковала банки), Koadic и Sliver (свободно распространяемое ПО с большим набором функций, от удаленного выполнения команд до повышения привилегий), SharpSploit (набор инструментов для постэксплуатации), SharpWMI (ПО, которое использует механизм Windows Management Instrumentation для удаленного выполнения команд через подписки на события WMI), Rubeus (инструмент для атак на инфраструктуру, использующую протокол Kerberos для аутентификации).

Наши исследования хакерских фреймворков показывают, что в одном инструменте могут сочетаться несколько подходов, которые усложняют детектирование его работы. Один из популярных методов атак — living off the land, когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Второй метод, набирающий популярность, — bring your own land, когда атакующие создают и доставляют на взломанный узел свои собственные инструменты. Мы учли эти методы при разработке правил детектирования, которые выявляют активность хакерских инструментов на разных этапах, в том числе в момент запуска их модулей или отправки команд,

MaxPatrol SIEM 5.1

12 марта 2020 года компания Positive Technologies выпустила обновленную версию системы для выявления инцидентов MaxPatrol SIEM. Обновление до MaxPatrol SIEM 5.1 позволит специалистам по ИБ снизить время реагирования на похожие инциденты, гибко управлять ролями пользователей и увеличить скорость обработки данных.

Со слов разработчика, переход на седьмую версию базы данных Elasticsearch увеличил скорость работы продукта более чем на треть. Предыдущая версия MaxPatrol SIEM обрабатывала до 30 тысяч событий в секунду (events per second – EPS), в обновленной версии показатель EPS превышает 40 тысяч на одной инсталляции. За счет архитектуры базы данных Elasticsearch пользователи MaxPatrol SIEM 5.1 могут оперативно извлекать архивные данные и работать с ними без потребности восстановления событий из резервных копий.

В MaxPatrol SIEM 5.1 появилась гибкая модель управления ролями пользователей. Если ранее в системе можно было задать две роли — «Администратор» или «Оператор», то в представленной версии SIEM-администраторы смогут создавать дополнительные роли, предоставляя или ограничивая доступ к определенным разделам продукта. Такая функциональность особенно актуальна для компаний с иерархической или географически распределенной инфраструктурой, когда необходимо дать возможность пользователям работать только с теми данными, которые относятся к их области мониторинга, считают в Positive Technologies.

Согласно заявлению разработчика, в обновленной версии MaxPatrol SIEM появился еще один способ обнаружить атаку, которая произошла в прошлом. Ранее система ретроспективно выявляла инциденты с помощью индикаторов компрометации, теперь это также возможно по правилам корреляции (правилам детектирования угроз). Так, создав новое правило или загрузив очередной пакет экспертизы, пользователи могут проверять полученные ранее события на наличие в них угроз безопасности.

Использование и загрузка пакетов экспертизы стали удобнее. Для установки пакета из базы знаний достаточно двух кликов, а описание состава пакета с рекомендациями по настройке и реагированию на инциденты доступно прямо в интерфейсе продукта, подчеркнули в Positive Technologies.

Чтобы помочь пользователям снизить трудозатраты на реагирование на схожие подозрительные события, в MaxPatrol SIEM была реализована возможность настройки их агрегации в один инцидент (ранее инциденты объединялись только автоматически). Для этого пользователю нужно задать условия агрегации по любым параметрам событий. К примеру, несколько последовательных срабатываний на попытки подбора пароля к одной учетной записи можно задать как один инцидент.

Для анализа и обработки событий ИБ из разных систем события нужно привести к единому формату. Для этого в SIEM-системах используются формулы нормализации. Ранее пользователи MaxPatrol SIEM видели только события, уже приведенные к единому формату. С обновленной версией им доступна возможность просмотра «сырых» событий до их нормализации. Это важно, поскольку системы, подключенные к SIEM, регулярно обновляются, что может повлиять на формат передаваемых данных. Анализ «сырых» событий поможет пользователям MaxPatrol SIEM выявить ошибки и учесть их в формулах нормализации, чтобы получать все необходимые данные для выявления инцидентов в полном объеме, утверждают в Positive Technologies.

Для перехода на MaxPatrol SIEM 5.1 необходимо обратиться к партнерам Positive Technologies или в техническую поддержку.

Загрузка пакета детектирования 15 популярных техник разведки

Пользователи системы MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Об этом 28 января 2020 года сообщила компания Positive Technologies. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK [1] .

После получения постоянного доступа к сети жертвы злоумышленникам требуется определить, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время разведки атакующие собирают данные о скомпрометированной системе и внутренней сети, и это помогает им сориентироваться, чтобы решить, как действовать дальше. Для этого злоумышленники часто используют встроенные инструменты операционных систем.

Обновленный пакет экспертизы [2] включает в себя правила детектирования 15 популярных техник разведки. Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто. Если злоумышленники действуют под учетной записью реального пользователя и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Данный пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений,

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления способов обнаружения атак [3] . Так, одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Загрузка пакета экспертизы для выявления атак в операционных системах семейства Linux

26 ноября 2020 года компания Positive Technologies сообщила, что в систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы для выявления атак в операционных системах семейства Linux. Он помогает обнаружить подозрительную сетевую активность приложений и учетных записей, что позволит предотвратить развитие атаки.

Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследованиякомпании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 миллионов доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить ее безопасность, эксперты Positive Technologies разработали способы обнаружения популярных угроз.

Linux-системы часто выступают в роли интернет-серверов, в том числе крупных организаций. Этим объясняется интерес к ним злоумышленников: взлом Linux на периметре нередко приводит атакующего во внутреннюю сеть предприятия. Более того, штатные средства типичной Linux-системы весьма удобны для дальнейшего развития атаки. Чтобы помешать злоумышленникам, мы разработали серию правил детектирования для MaxPatrol SIEM,

Добавленный пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на ИТ-активах с операционной системой семейства Linux. Они позволяют выявить применение нескольких техник по матрице MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, правила обнаруживают:

  • запуск средств удаленного подключения web shell, reverse shell, bind shell, которые используются злоумышленниками для управления целевой системой на этапе закрепления;
  • активность утилит от имени служебных учетных записей, которые атакующие могут применять для получения информации о скомпрометированном узле и его сетевом окружении на этапе разведки;
  • системные вызовы, характерные для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).

Следующие пакеты экспертизы под Linux выйдут в 2020 году и позволят выявлять злоумышленников по подозрительным изменениям системных объектов и действиям пользователей.

Выпуск пакета экспертизы для выявления атак на систему управления предприятием SAP ERP

28 октября 2020 года компания Positive Technologies выпустила пакет экспертизы MaxPatrol SIEM, предназначенный для выявления атак на систему управления предприятием SAP ERP. Правила, вошедшие в него, помогут детектировать подозрительную активность пользователей в системе. Это позволит обнаружить присутствие злоумышленника в SAP ERP до того, как он украдет критически важные бизнес-данные или деньги.

Поскольку ERP-системы всегда являются объектом повышенного интереса злоумышленников, мы сформировали экспертную команду, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них. Специалисты этой группы глубоко погружены в архитектуру всех популярных бизнес-систем, в том числе и SAP ERP, они знают, как злоумышленники «ломают» такие системы, отслеживают изменения в сценариях взлома и появление нового инструментария. На основе этих знаний они и создают специализированные пакеты экспертизы.

В пакет вошли 13 правил корреляции событий ИБ. Они позволяют выявить активность злоумышленников в SAP ERP, которая выглядит как легитимные действия пользователей, а на самом деле позволяет атакующим максимально замаскироваться в системе, повысить привилегии учетной записи, получить права администратора или доступ к конфиденциальной информации. Среди таких действий:

  • использование для входа в SAP временно разблокированной учетной записи,
  • назначение пользователем или администратором привилегий самому себе,
  • копирование конфиденциальной информации из отчетов или таблиц,
  • выпуск отчета c конфиденциальной информацией,
  • вход в SAP под именем учетной записи уволенного сотрудника,
  • скачивание большого объема данных из отчета или таблицы.

Одновременно с выходом очередного пакета экспертизы предыдущий пакет правил для выявления атак на SAP ERP пополнился еще 12 правилами детектирования. Они помогут выявить следующие угрозы:

  • атака типа «отказ в обслуживании»;
  • сбор злоумышленниками информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;
  • попытки зарегистрировать вредоносную программу;
  • выполнение злоумышленником команд ОС без авторизации в системе;
  • отключение журналирования событий (приводит к невозможности выявить активность злоумышленника);
  • перенаправление трафика к серверу SAP на сервер подставной системы.

В MaxPatrol SIEM можно настроить правила с учетом классов систем в SAP ERP, что позволит снизить число ложных срабатываний. Например, правило для уведомления об использовании для входа в SAP временно разблокированной учетной записи рекомендовано активировать для систем класса тестирования и продуктивного класса и не использовать для систем класса разработки.

Начиная с февраля 2020 года, пользователи MaxPatrol SIEM уже получили восемь пакетов экспертизы, которые позволяют оперативно выявлять попытки брутфорса, аномалии в активности пользователей, атаки на критически важные бизнес-системы, применение атакующими тактик по модели MITRE ATT&CK.

Загрузка пакета экспертизы для выявления атак на Oracle Database

5 сентября 2020 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен очередной пакет экспертизы [4] : добавленные правила корреляции событий информационной безопасности выявляют подозрительную активность в системах управления базами данных Oracle. Это поможет пользователям оперативно локализовать атаки, не допуская утечки данных или вывода СУБД из строя.

По мнению аналитической компании Gartner, Oracle — лидер мирового рынка систем управления данными. СУБД, как правило, хранят персональные данные сотрудников и клиентов, финансовую и платежную информацию, интеллектуальную собственность; все это может быть интересно злоумышленникам. По итогам анализа актуальных киберугроз за второй квартал 2020 года аналитики Positive Technologies отмечают, что более половины всех киберпреступлений за этот период совершались именно с целью кражи информации. При этом в пятерку наиболее часто похищаемых данных вошли персональные, учетные данные и данные платежных карт, а также коммерческая тайна и медицинская информация. На их долю пришлось 88% всех похищенных данных.

Целью атаки злоумышленника на СУБД может быть не только доступ к конфиденциальным данным, но и вывод системы из строя, для того чтобы скрыть свои действия или же просто нанести ущерб. Поскольку СУБД зачастую подключена ко многим другим системам, нарушение ее работоспособности может привести к полной остановке целого бизнес-процесса. Поэтому критически важно обеспечивать защиту баз данных,

Чтобы не допустить утечек данных и вывода из строя Oracle Database, команда R&D Positive Technologies создала специальный пакет экспертизы с 13 правилами корреляции. С их помощью пользователи MaxPatrol SIEM могут выявить следующие подозрительные действия, каждое из которых требует расследования:

  • определение версии СУБД (это первое действие злоумышленника при атаке на систему);
  • подбор названия баз данных (явно свидетельствует о начале атаки на СУБД);
  • изменение записей в таблице аудита, их удаление или добавление (обман или попытка злоумышленника пустить расследование по ложному следу);
  • операции с аудитом — отключение или удаление аудита, его системных правил, политики детального аудита;
  • аудит действий привилегированных пользователей (SYSDBA);
  • чтение таблиц, содержащих пароли.

MaxPatrol SIEM 5.0

29 июля 2020 года компания Positive Technologies сообщила об обновлении системы выявления инцидентов MaxPatrol SIEM. Версия (5.0) позволяет проводить ретроспективный анализ и мониторинг информационной безопасности в распределенных инфраструктурах. Также в продукте появились конструкторы правил корреляции и отчетов и ряд улучшений, упрощающих работу оператора системы.

Со слов разработчика, одно из ключевых изменений — конструктор правил корреляции: собственные правила пользователь MaxPatrol SIEM может создавать в несколько кликов, не используя какой-либо специальный язык программирования. В конструкторе используются макросы для быстрой подстановки часто применяемых или сложных для самостоятельного написания фрагментов программного кода. Набор предустановленных макросов регулярно пополняется и может расширяться пользователем самостоятельно.

В системе появилась возможность проводить ретроспективный анализ по индикаторам компрометации. С его помощью MaxPatrol SIEM поможет обнаружить атаку, произошедшую в прошлом, и предотвратить ее дальнейшее развитие. Продукт содержит ежедневно пополняемую базу индикаторов Positive Technologies, а также поддерживает индикаторы компрометации, разработанные «Лабораторией Касперского» и Group-IB. Пользователь системы должен разово активировать функцию проверки событий ИБ с помощью индикаторов компрометации, а далее MaxPatrol SIEM в автоматическом режиме запускает ретроспективный анализ при каждом пополнении базы индикаторов, подчеркнули в Positive Technologies.

Расширились возможности мониторинга для компаний с крупной иерархической инфраструктурой: можно получать актуальные данные о состоянии ИБ во всей организации в любой момент и выявлять распределенные атаки на инфраструктуру отдельного подразделения или целого предприятия. Инструментарий системы позволяет визуализировать архитектуру и иерархию развернутых конфигураций MaxPatrol SIEM и настроить прозрачные правила обмена информации между ними, утверждают в Positive Technologies.

Согласно заявлению разработчика, в представленной версии MaxPatrol SIEM пользователи смогут формировать собственные отчеты с данными об активах, событиях и инцидентах в выбранный интервал времени (при этом рекомендованный производителем системы срок хранения данных составляет три месяца, в архивах — до полугода). Информация в отчет подгружается в виде виджетов (доступны стандартные и пользовательские виджеты). Структура и внешний вид отчета настраиваются в удобном конструкторе с привычным интерфейсом, аналогичным Microsoft Word.

Как отметили в Positive Technologies, сделаны и другие улучшения, нацеленные на повышение удобства работы с продуктом. Расшились варианты визуализации данных: появились дополнительные диаграммы и табличная форма представления информации на дашбордах. Упростились наиболее актуальные сценарии работы оператора: например, в представленной версии пользователь может создавать задачи сбора событий и сканирования активов путем копирования уже существующих, что позволило сократить время внедрения SIEM в крупной инфраструктуре почти в два раза. Еще одно дополнение: возможность сравнивать состояния актива, информация о которых была собрана в разные моменты времени, или просмотреть все последовательные изменения его состояния между этим моментами. Это позволит сократить трудозатраты при расследовании инцидентов или анализе причин изменения уровня защищенности, а также уменьшить число необходимых для этого инструментов.

«MaxPatrol SIEM — уже зрелый продукт. Поэтому мы сфокусировались на том, чтобы упростить процессы, которые ранее были сложными и занимали много времени. С этой задачей, например, справляются конструкторы правил корреляции и отчетов, которые появились в обновленной версии»,

Загрузка пакета экспертизы для выявления горизонтального перемещения атакующих в инфраструктуре

16 июля 2020 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK для операционной системы Windows. Благодаря чему пользователи MaxPatrol SIEM могут детектировать активность злоумышленников не только с использованием тактик «Выполнение» и «Обход защиты», но и тактики «Горизонтальное перемещение». Это позволяет обнаружить попытки расширения присутствия атакующих в сети до того, как они получат контроль над инфраструктурой.

Злоумышленники используют техники горизонтального перемещения для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре. Основная цель атакующих — определение администраторов в сети, их компьютеров, ключевых активов и данных, чтобы в конечном счете получить полный контроль над инфраструктурой. В пакет экспертизы вошли 18 правил корреляции, которые помогают выявить наиболее актуальные техники, отметил разработчик.

«Критически важно детектировать активность атакующего на начальных этапах горизонтального перемещения. Если он завладеет административными привилегиями, то сможет получить доступ к любым учетным записям и серверам и таким образом быстро расширить свое присутствие вплоть до контроля над инфраструктурой. Для пользователей MaxPatrol SIEM мы разработали набор правил, который позволяет выявлять самые распространенные шаги злоумышленников»,

Со слов разработчика, загруженный в MaxPatrol SIEM пакет экспертизы позволяет выявить следующие действия злоумышленников в рамках горизонтального перемещения:

  • Нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP).
  • Попытки перехвата сеанса пользователя по протоколу RDP.
  • Использование учетных записей уровня администратора для удаленного доступа к системам через протокол Server Messаge Block (SMB), с тем чтобы передавать файлы и запускать их.
  • Удаленное копирование файлов на систему жертвы для развертывания хакерских инструментов и удаленного их выполнения.
  • Использование связующего программного обеспечения Distributed Component Object Model (DCOM). С его помощью злоумышленники, работающие от имени пользователя с соответствующими привилегиями, могут удаленно выполнять команды.
  • Применение механизма администрирования Windows Remote Management (WinRM) для работы с удаленными системами, например для запуска исполняемого файла, изменения системного реестра или приложений Windows.

Дополнительно в пакет включены правила, которые выявляют техники атакующих, относящиеся по матрице ATT&CK к тактике «Выполнение». Практика расследований, проводимых командой PT Expert Security Center, показывает, что такие техники применяются и для горизонтального перемещения. Например, удаленное создание задач, применение утилиты администрирования WinExec для выполнения команд и расширения присутствия, использование Windows Management Instrumentation (WMI) для управления и доступа к удаленным системам, попытки доступа к файловым ресурсам на удаленных системах.

Как отметили в Positive Technologies, это второй пакет экспертизы из специальной серии, в создании которой участвует команда PT Expert Security Center — для покрытия всех 12 тактик матрицы MITRE ATT&CK. Каждый пакет из серии будет направлен на выявление атак с применением одной или нескольких тактик.

Пакеты экспертизы, загруженные в MaxPatrol SIEM, пополняются правилами по мере появления новых техник, тактик и процедур атак. Так, одновременно с выходом пакета экспертизы для выявления горизонтального перемещения первый пакет из серии дополнен двумя правилами корреляции, подчеркнул разработчик.

Загрузка пакета экспертизы для выявления атак по модели MITRE ATT&CK в ОС Windows

4 июня 2020 года стало известно, что в MaxPatrol SIEM загружен обновленный пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в ИТ-инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее «ловить» на последующих этапах атаки. Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики «Выполнение» и «Обход защиты» по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру,

Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2020 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения техник, тактик и процедур атак.

Загрузка пакета экспертизы для выявления аномалии в активности пользователей в Microsoft Active Directory

10 апреля 2020 года компания Positive Technologies сообщила о загрузке пакета экспертизы в MaxPatrol SIEM, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Такие активности внутри сети могут свидетельствовать о развитии атаки на IT-инфраструктуру организации, что может привести к неограниченному контролю в управлении учетными записями и компьютерами локальной сети.

Появившиеся правила корреляции, вошедшие в пакет экспертизы, выявляют действия злоумышленника с помощью профилирования активности пользователей. Для каждой учетной записи и сетевого узла в инфраструктуре автоматически формируется модель поведения на основе истории легитимных действий. Когда пользователь совершит отклоняющееся от модели действие, MaxPatrol SIEM зарегистрирует аномалию.

На апрель 2020 года реализовано три сценария:

  • вход в систему Windows,
  • обращение к сетевым ресурсам общего доступа и именованным каналам,
  • запрос сессионных билетов для аутентификации через Kerberos.

Если любой из перечисленных выше сценариев выполнен успешно и реализуется от имени учетной записи или с сетевого узла, которые не выполняли таких действий на протяжении длительного времени, оператор MaxPatrol SIEM получит уведомление об инциденте ИБ с описанием типа и ключевых атрибутов аномалии.

Эксперты Positive Technologies планируют постепенно расширять набор правил корреляции для выявления аномальной активности в инфраструктуре. В течение месяца будет добавлено правило для выявления запуска подозрительных для узла процессов от имени учетной записи с максимальными привилегиями в системе.

Повышение точности выявления попыток брутфорса

1 марта 2020 года Positive Technologies сообщил, что в систему выявления инцидентов MaxPatrol SIEM загружен очередной пакет экспертизы, позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля (или методом «грубой силы», англ. brute force). Правила корреляции, вошедшие в пакет, позволили повысить точность выявления инцидентов, связанных с брутфорсом, и снизить потребление памяти системы на 20%.

Специалисты компании Positive Technologies пересмотрели концепцию идентификации брутфорса. В результате написаны правила, которые помогут пользователям MaxPatrol SIEM выявлять попытки взлома, используя минимальное количество информации: данные о попытках аутентификации, объектах и субъектах брутфорса и особенностях инфраструктуры.

Если атака на конкретный субъект или с конкретного объекта продолжительная, MaxPatrol SIEM создаст один инцидент за сутки (частоту создания можно менять), а в самом инциденте сохранит статистику обо всех попытках подбора учетных данных, связанных с участниками атаки. Это снижает число уведомлений, значительно упрощает и ускоряет анализ инцидента.

С представленным пакетом экспертизы появилась возможность создавать белые списки сетевых узлов и пользователей, которые используют техники перебора логина и пароля в легитимных целях, и автоматически отключать срабатывания правил по инцидентам с их участием. Например, в их числе могут оказаться узлы сканеров уязвимостей, разделяемые учетные записи, сетевые узлы в DMZ.

Правила были оптимизированы с целью более равномерного распределения нагрузки между компонентами MaxPatrol SIEM и протестированы на потоке в 30 000 событий в секунду. В итоге потребление памяти снижено на 20% в сравнении с обработкой аналогичного потока событий предыдущими правилами корреляции.

MaxPatrol SIEM сертифицирован для использования в Республике Беларусь

21 июня 2020 года стало известно, что система мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM успешно прошла испытания на соответствие требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2020/027/BY) как серийно выпускаемая продукция.

Теперь MaxPatrol SIEM доступен к приобретению на территории республики. Сертификат действует до 29 мая 2023 года.

В ходе сертификации был испытан сам продукт MaxPatrol SIEM и проанализировано состояние его производства. В частности, было проверено функционирование системы менеджмента качества в разработке и производстве MaxPatrol SIEM, наличие производственных мощностей и испытательной лаборатории, технологическое оборудование и средства контроля, квалификация персонала.

Сертификация продукта позволяет компаниям Беларуси использовать MaxPatrol SIEM для создания систем защиты информации, распространение или предоставление которой ограничено, а также для создания систем безопасности критически важных объектов информатизации и обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Это необходимый шаг по выводу MaxPatrol SIEM на рынок Беларусии. Мы видим серьезный интерес к продукту среди государственных органов, банков, промышленных предприятий и уверены, что MaxPatrol SIEM поможет оперативно выявлять атаки и таким образом повысит уровень их защищенности.

Positive Technologies планирует поэтапно выводить на рынок Беларуссии все экспертные сервисы ― от тестов на проникновение и аудита защищенности до реагирования и расследования инцидентов безопасности, а также полный портфель продуктов компании. На 21 июня 2020 года в Оперативно-аналитическом центре при Президенте Республики Беларусь сертифицировано три продукта Positive Technologies: MaxPatrol 8, MaxPatrol SIEM и PT Application Firewall. На территории республики Positive Technologies представляет официальный дистрибутор — компания Axoft.

Выпуск версии 4.0

Компания Positive Technologies 26 апреля 2020 года представила очередную версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз, сообщили в компании.

Особенностью представленной версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Наборы правил и рекомендаций объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

Регулярно поставляемые в PT KB обновления включают в себя готовые правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, а также рекомендации по тонкой настройке аудита на источниках событий для точного выявления атак и по расследованию выявленных инцидентов.

Механизм был протестирован на предыдущей версии системы, когда в нее были добавлены правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. Пока Positive Technologies планирует выпуск экспертных пакетов не реже одного раза в два месяца. Ожидается, что к концу 2020 года временной зазор между ними сократится до одного месяца. В отдельных случаях предусмотрен оперативный выпуск наборов правил вне графика: например, во время глобальных атак уровня WannaCry или NotPetya.

В MaxPatrol SIEM 4.0 оптимизированы механизмы обогащения данных об активах — ключевых элементах модели ИТ-инфраструктуры в MaxPatrol SIEM. В числе прочего знания об активе теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8.

Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую ИТ-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.

Также обновленная версия системы отличается расширенной функциональностью встроенного компонента Network Sensor, предназначенного для комплексного анализа трафика, в том числе передаваемых по сети файлов. Network Sensor получил собственную базу сигнатур для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся на основании проведенных командой PT Expert Security Center расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса. Благодаря этому пользователь MaxPatrol SIEM 4.0 получает возможность выявлять аномалии, вредоносную активность в сети и источники подозрительного трафика, предупреждать атаки.

Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы показателей и метрик эффективности, что позволяет руководству компании оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ и ИТ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования, отметили в Positive Technologies.

Наконец, в MaxPatrol SIEM 4.0 оптимизирован процесс установки ― по словам разработчиков, минимизирована вероятность возникновения ошибок и на 60% сокращено количество действий, необходимых для развертывания системы.

Выявление продвинутых кибератак на Active Directory

В систему управления ИБ-событиями MaxPatrol SIEM добавлены 26 правил обнаружения инцидентов, позволяющих выявлять продвинутые кибератаки на Microsoft Active Directory, сообщили 16 апреля 2020 года в компании Positive Technologies. Их использование делает возможным выявление атак на самых ранних стадиях, в том числе уже на этапе разведки. В конечном счете, окно присутствия злоумышленника в инфраструктуре может быть сокращено до нескольких часов, утверждают разработчики.

Создание специального пакета правил стало результатом работы экспертного центра безопасности (Expert Security Center) компании Positive Technologies: эксперты проанализировали полный цикл атак на Active Directory и выявили цепочку событий ИБ и запросы в сетевом трафике, которые свидетельствуют о присутствии злоумышленников в инфраструктуре. Далее для автоматического анализа событий на наличие признаков таких атак и для уведомления ИБ-подразделения при помощи MaxPatrol SIEM был разработан пакет с алгоритмами обнаружения аномалий (правила корреляции). Теперь ИБ-специалисты, использующие систему, смогут выявлять атаки на Active Directory на стадии разведки, продвижения внутри сети и удаленного исполнения команд.

Как показывает опыт расследования инцидентов, Microsoft Active Directory — главная цель злоумышленников во время любой атаки на корпоративные информационные системы. Его взлом позволяет получить неограниченный контроль в управлении учетными записями и компьютерами локальной сети. Несмотря на усиление проактивных систем защиты, злоумышленники и профессиональные пентестеры находят новые векторы атак на Active Directory, которые сложно обнаружить в ИТ-инфраструктуре, — отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов. — За счет реализованной нами технологии передачи экспертизы в продукты компании-пользователи могут в режиме реального времени выявлять действия злоумышленника в своей инфраструктуре. В том числе в случае использования ими новейших техник и инструментов для атаки. Теперь же пользователи MaxPatrol SIEM смогут автоматически выявлять и продвинутые атаки на Microsoft Active Directory.

Выпуск модуля расширения PT Security Intelligence Portal

21 ноября 2020 года компания Positive Technologies сообщила о выпуске модуля MaxPatrol SIEM — Security Intelligence Portal.

Инструмент предназначен для работы ИБ-руководителей и визуализации их деятельности в адаптированном для топ-менеджмента виде. Модуль расширяет возможности управления информационной безопасностью на стратегическом, тактическом и операционном уровнях.

PT Security Intelligence Portal на основе данных MaxPatrol SIEM об активах, событиях и инцидентах позволяет выстроить процесс управления информационной безопасностью в соответствии с бизнес-целями компании. С его помощью можно анализировать действующие ИБ-процессы, работу средств защиты и ИБ-подразделения в организации любого масштаба, доступно и наглядно представить результаты анализа топ-менеджменту.

Инструмент поможет ИБ-руководителям оценить защищенность инфраструктуры и достаточность мер защиты. Чтобы сразу начать работать с системой и получить первые результаты, в PT Security Intelligence Portal включен готовый набор показателей эффективности и метрик для их расчета, оценки эффективности систем, персонала и процессов, которые можно настраивать исходя из потребностей организации.

В основу модуля MaxPatrol SIEM заложены знания, накопленные в ходе разработки портала аналитической отчетности для MaxPatrol 8 — PT Reporting Portal, опыт экспертного центра безопасности (PT ESC), результаты сотрудничества с ключевыми клиентами Positive Technologies.

PT Security Intelligence Portal — часть разрабатываемой компанией комплексной технологической платформы.

Интеграция с Solar Dozor

Компании Solar Security и Positive Technologies сообщили в октябре о завершении проекта по интеграции DLP-решения Solar Dozor и MaxPatrol SIEM ― системы, предназначенной для выявления инцидентов ИБ в реальном времени. Теперь Solar Dozor передает данные в MaxPatrol SIEM, благодаря чему офицер безопасности получает полную картину событий и инцидентов ИБ в компании, включая данные о передаче конфиденциальной информации по различным каналам, из одного источника.

Совместимость с Dallas Lock 8.0 редакций «К» и «С»

Компании Positive Technologies и «Конфидент» 17 августа объявили о том, что по итогам проведенных испытаний подтверждена корректность совместной работы системы выявления инцидентов ИБ в режиме реального времени MaxPatrol SIEM cо СЗИ Dallas Lock 8.0 редакций «К» и «С» (включая защитные модули НСД, СКН, МЭ, СОВ).

Интеграция двух решений стала возможной благодаря доработке MaxPatrol SIEM по добавлению нового источника событий, в качестве которого используется база данных событий ИБ Dallas Lock 8.0. Данная функциональность стала доступна конечным заказчикам в последнем релизе продукта.

Теперь пользователи получили возможность реализовать с помощью MaxPatrol SIEM централизованный сбор и корреляцию событий информационной безопасности, генерируемых СЗИ Dallas Lock 8.0 и другими установленными в организации средствами защиты.

Тестирование решений Dallas Lock на совместимость c решениями других производителей СЗИ — важная составляющая деятельности Центра защиты информации. Благодаря интеграции двух решений конечные пользователи получили действенный инструмент для централизованного сбора и анализа событий безопасности, — заявил Егор Кожемяка, директор Центра защиты информации «Конфидент». Мы непрерывно совершенствуем продукт MaxPatrol SIEM, в том числе расширяя число поддерживаемых источников событий как зарубежных, так и российских разработчиков. Благодаря этому конечный пользователь системы получает цельную картину защищенности инфраструктуры в любой момент времени и может выявлять происходящие в ней инциденты ИБ вне зависимости от использующихся средств защиты информации, — подчеркнул Алексей Голдбергс, руководитель направления по работе с технологическими партнёрами Positive Technologies.

СЗИ Dallas Lock сертифицирована ФСТЭК России:

  • в версии 8.0-K — на соответствие 4 уровню контроля отсутствия НДВ, 5 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 4 классу защиты СКН и имеет сертификат соответствия ФСТЭК России № 2720 от 25.09.2020 г., который действителен до 25.09.2020 г.
  • в версии 8.0-С — на соответствие 2 уровню контроля отсутствия НДВ, 3 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 2 классу защиты СКН и имеет сертификат соответствия ФСТЭК России № 2945 от 16.08.2020 г., который действителен до 16.08.2020 г.

MaxPatrol SIEM сертифицирован ФСТЭК России на соответствие 4 уровню контроля отсутствия НДВ и имеет сертификат соответствия ФСТЭК России № 3734 от 12.04.2020 г., действительный до 12.04.2020 г.

Обновленный MaxPatrol SIEM защитит от угроз класса WannaCry и NotPetya

В июле компания Positive Technologies представила очередную версию MaxPatrol SIEM. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya. Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки несмотря на изменения в ИТ-инфраструктуре компании.

«За последние пару месяцев жертвами вирусов-вымогателей стали сотни компаний по всему миру: автозаводы, банки, розничные сети, фармацевтические и судоходные компании. Мы стараемся оперативно реагировать на подобные события, поэтому основные изменения в новой версии MaxPatrol SIEM связаны с обнаружением и локализацией эпидемий криптолокеров. Технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят проще выявлять любые угрозы такого типа. Кроме того, наши эксперты оперативно создали соответствующие правила корреляции для обнаружения атак WannaCry и NotPetya», — рассказал директор по развитию бизнеса в России Positive Technologies Максим Филиппов.

Распознавание активов с новыми параметрами

Новый алгоритм идентификации аппаратных и программных элементов ИТ-инфраструктуры (активов) учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что важно при использовании DHCP-сервера и работе за NAT. Таким образом, MaxPatrol SIEM теперь строит более точную модель ИТ-инфраструктуры и позволяет создавать стойкие правила корреляции.

Локализация очагов эпидемий

Реализованная в новой версии MaxPatrol SIEM технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров либо убедиться, что критической инфраструктуре предприятия эпидемия этого вируса не угрожает.

По словам разработчиков, MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. В свою очередь, это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, для проверки наличия в сети зараженных WannaCry или NotPetya узлов достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).

Группировка активов по сложным правилам

MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логику И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2020-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.

Выявление APT за счет растянутых во времени корреляций

В обновленной системе MaxPatrol SIEM можно создавать табличные списки, которые расширяют возможности привнесения экспертизы Positive Technologies в продукт. Теперь инциденты ИБ могут выявляться на основе сложных корреляций длиной до нескольких лет, что особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.

Помимо новых возможностей по выявлению и анализу инцидентов, система получила множественные улучшения в интерфейсе. Появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии ИТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.

Сертификат ФСТЭК России

MaxPatrol SIEM ─ система, предназначенная для управления инцидентами ИБ в реальном времени ─ прошла сертификационные испытания и получила сертификат соответствия ФСТЭК России №3734 от 12 апреля 2020 года. Полученный сертификат подтверждает, что система управления ИБ и контроля защищенности соответствует требованиям и техническим условиям ФСТЭК России по 4-му уровню контроля на отсутствие недекларированных возможностей и может быть применена в автоматизированных системах, содержащих конфиденциальную информацию, до класса 1Г включительно, а также – в информационных системах персональных данных до 1-го уровня защищенности, государственных информационных системах и АСУ ТП до 1-го класса.

Обновление весны 2020 года MaxPatrol SIEM

13 апреля 2020 года компания Positive Technologies сообщила о выпуске релиза MaxPatrol SIEM. В этой версии продукта увеличена скорость обнаружения активов и построения топологии сети, темпы обработки событий безопасности (нормализация, агрегация, корреляция) выросли на 40%, заявила компания.

В состав модернизированной системы вошли механизмы комплексного анализа сетевого трафика и файловой активности на компьютерах и серверах, собирательные метрики значимости, позволяющие автоматически обеспечивать адресный контроль критически важных рабочих станций.

Комплексный анализ сетевого трафика

С появлением компонента Network Sensor, стал доступен комплексный анализ сетевого взаимодействия на всех уровнях модели OSI — от канального (L2) до уровня приложений (L7). Этот компонент позволяет точнее и быстрее выявлять ИТ-активы и строить топологию сети, видеть актуальную модель ИТ-инфраструктуры в режиме реального времени. Эта информация может использоваться в правилах корреляции для обнаружения широкого спектра атак, выявления нарушений политик сетевого доступа, таких как применение небезопасного протокола Telnet, передача большого объема данных от клиента или сервера, загрузка вредоносных файлов, наличие приложений для удаленного доступа (TeamViewer и др.), неправильное сегментирование внутрисетевых ресурсов и т.п.

Мониторинг файловой активности

Для получения информации об активах, которую невозможно обнаружить аудитом сетевой инфраструктуры, в последней версии системы реализован компонент Endpoint Monitor — агент, функционирующий на уровне драйверов Windows и контролирующий файловую активность в сегментах с критичной для компании информацией – файловых серверах и рабочих станциях.

MaxPatrol SIEM использует целый ряд механизмов для построения наиболее полной картины состояния ИТ-инфраструктуры в динамике, что позволяет увеличить стойкость правил корреляции и оперативно обнаруживать атаки. Это касается и компонентов Network Sensor и Endpoint Monitor, благодаря которым информация о каждом активе постоянно обогащается свежими данными о файловых изменениях, протоколах и приложениях. Функциональность дает возможность создавать более точные правила корреляции и собирать максимум данных об инфраструктуре уже на этапе запуска системы.

Повышенное внимание к ключевым активам

Появление в последней версии MaxPatrol SIEM собирательной (единой) метрики значимости актива позволяет назначить приоритеты инцидентам в соответствии с важностью актива и, как следствие, сократить время реагирования на инцидент.

Автоматизация формирования отчетов

MaxPatrol SIEM поддерживает автоматическое формирование отчетов по расписанию в распространенных форматах (PDF, DOCX, HTML, XLS, CSV, JSON, XML). Это дает руководству и специалистам без доступа в SIEM, но имеющим потребность, получить оперативную информацию из системы. Сформированный отчет может автоматически отправляться администраторам посредством электронной почте по заданному графику.

В этой версии MaxPatrol SIEM добавлены пользовательские виджеты, журналы действий администраторов системы, шаблоны мониторинга компонентов системы и ряд других дополнений.

Интеграция с InfoWatch Traffic Monitor Enterprise

8 декабря 2020 года компания Positive Technologies и группа компаний InfoWatch сообщили о завершении работ по интеграции технологии InfoWatch Traffic Monitor Enterprise 6.1 и системы MaxPatrol SIEM.

Партнеры заявили о начале программы поддержки системой MaxPatrol SIEM последующих версий решения InfoWatch Traffic Monitor.

В следствие интеграции поступающие из DLP-системы InfoWatch Traffic Monitor данные, стали доступны для обработки и анализа в MaxPatrol SIEM. Пользователи SIEM-решения получили возможность отслеживать историю передачи конфиденциальной информации через корпоративную электронную почту и различные веб-ресурсы, системы обмена сообщениями и средства общего доступа к файлам, блокировать несанкционированные действия сотрудников.

Методы действий злоумышленников совершенствуются с каждым днем, поэтому производители средств защиты вынуждены постоянно расширять функциональные возможности своих систем в ответ на современные угрозы. Не является исключением и проблема утечки информации. Зачастую для оперативного выявления таких инцидентов используется связка решений классов SIEM и DLP. На сегодняшний день MaxPatrol SIEM поддерживает средства защиты большинства отечественных производителей, в том числе компании InfoWatch. Мы продолжаем начатую работу по адаптации MaxPatrol SIEM для работы с InfoWatch Traffic Monitor. В частности, мы нацелены на расширение списка поддерживаемых версий DLP-системы, сбор новых типов событий, упрощение этого процесса для конечного пользователя и максимальную его автоматизацию. Основной задачей интеграции InfoWatch Traffic Monitor и MaxPatrol SIEM является защита бизнес-процессов организаций от неправомерных действий злоумышленников на ранней стадии их планирования. Интеграция позволяет службе информационной безопасности компании не только оперативно выявлять распределенные атаки, коррелируя информацию от DLP-решения с другими средствами защиты, но и блокировать целевые атаки, направленные на хищение конфиденциальной информации. Минимизация финансовых, операционных и репутационных потерь клиентов — главный драйвер партнерства InfoWatch и Positive Technologies.

MaxPatrol SIEM Limited Edition

20 сентября 2020 года компания Positive Technologies представила MaxPatrol SIEM Limited Edition (LE) — полнофункциональный программно-аппаратный комплекс для выявления инцидентов информационной безопасности в реальном времени.

Продукт ориентирован на использование в ИТ-инфраструктурах малого и среднего масштаба.

В составе продукта аппаратная платформа, рассчитанная на хранение данных в течение 15 месяцев. Для больших объемов данных и их длительного хранения (до 5 лет) объем хранилища может увеличиваться посредством аппаратной опции архивного хранения.

Новый продукт является наиболее быстрым и доступным способом внедрения SIEM-системы корпоративного уровня. Благодаря поддержке Positive Technologies и реализованным в продукте техническим инновациям миграция с других решений на MaxPatrol SIEM LE осуществляется быстро и безболезненно для бизнес-процессов.

MaxPatrol SIEM LE может использоваться как отдельный комплекс, так и для масштабирования существующей системы MaxPatrol SIEM — устанавливаться в территориальных подразделениях и работать как часть единой системы.

В последние годы наблюдается весьма тревожная тенденция, связанная с ростом внимания хакеров к небольшим и средним компаниям. В среднем три из пяти кибернападений нацелены на инфраструктуры малого бизнеса. Это подтверждают и аналитики Positive Technologies, и специалисты других компаний в области безопасности. Злоумышленников привлекает относительно невысокий уровень защищенности таких предприятий. В России данный тренд хорошо заметен в финансовой сфере, где вместо массовых атак на пользователей злоумышленники все чаще используют сложные целевые атаки против кредитных организаций среднего размера.

Продукт обладает всеми возможностями полной версии MaxPatrol SIEM и имеет ограничения только по масштабируемости. Требования к команде эксплуатации SIEM снижаются благодаря автоматизации процедур администрирования, построению полной модели инфраструктуры и топологии сети, использованию комплексной платформы MaxPatrol вместо множества разнородных ИБ-решений. MaxPatrol SIEM оперирует не отдельными IP-адресами или hostname, но и более высокоуровневыми категориями — активами и динамическими группами активов. В результате работоспособность правил сохраняется даже после изменений инфраструктуры, что является ключевым отличием от других SIEM-систем.

В комплексе MaxPatrol SIEM LE отсутствуют искусственные ограничения по производительности, она полностью определяется характеристиками оборудования.

Продукт поможет обеспечить соответствие действующим отраслевым нормативным требованиям. В частности, в финансовой отрасли − федеральному закону «О национальной платежной системе» 161-Ф3 (Положение Банка России № 382-П), стандарту Банка России СТО БР ИББС 2.5 (п. 6.5.2), федеральному закону 152-ФЗ «О персональных данных». Продукт входит в реестр отечественного ПО.

MaxPatrol 8.0 сертифицирован для использования в Республики Беларусь

Оперативно-аналитический центр при Президенте Республики Беларусь подтвердил соответствие системы требованиям технического регламента ТР 2020/027/BY (СТБ 34.101.1-2020, СТБ 34.101.2-2020 и СТБ 34.101.3-2020). Сертификат соответствия выдан ООО «Аксофтбел» и действителен до 12 июня 2020 года включительно.

Полученный сертификат позволяет использовать MaxPatrol 8.0 на объектах информатизации класса А2, Б2, В2, А3, Б3 и В3, то есть для защиты информационных систем, обрабатывающих или содержащих открытую информацию, данные, распространение и (или) предоставление которых ограничено, а также информацию, охраняемую в соответствии с законодательством Республики Беларусь.

Объем продаж MaxPatrol SIEM по итогам 2020 года составил 180 млн рублей

Объем продаж MaxPatrol SIEM по итогам года составил около 180 млн руб., в 2020 году компания планирует увеличить его до 400 млн, а в 2020 году вывести продукт на европейский рынок.

«Продукт быстро прогрессирует, — отмечает Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Мы научились качественно проводить пилотные проекты, наладили процесс поддержки любых источников заказчика (этого нет ни у кого), сформировали систему разработки мирового уровня и понятные планы развития продукта. Обучили 113 специалистов компаний-партнеров. Наша цель — в 2020 году сравняться с лидерами российского рынка классических SIEM-систем. Мы прогнозируем рост российского рынка в этом сегменте с 2,2 млрд руб. в 2020 году до 3,2 млрд в 2020-м, и ставим перед собой задачу занять на этом рынке лидирующую позицию».

«Продукт такого уровня потребовал трансформации процесса разработки. Для нас это был не только внешний, но и внутренний вызов. Если раньше все наши продукты создавались группой энтузиастов, которые были частично хакерами, частично разработчиками, то столкнувшись с продуктом уровня SIEM, мы поняли, что разработку надо выделять в отдельное направление. Сегодня MaxPatrol SIEM создают 80 разработчиков и инженеров по качеству. Мы перешли на организацию микрокоманд по модели Two Pizza Team, доказавшей свою эффективность в компаниях мирового уровня. Такие команды легко взаимодействуют между собой, быстро принимают решения и реализуют изменения, кардинально улучшая продукт от пользовательского интерфейса до бэкенд-логики», — комментирует Алексей Андреев, директор по разработке MaxPatrol SIEM.

Подход компании Positive Technologies подразумевает создание платформы, ключевым элементом которой является MaxPatrol SIEM. Построенная на активоцентрическом подходе, данная платформа должна быть управляема, адаптируема к динамично изменяющейся инфраструктуре организации и решать ее реальные задачи. В соответствии с уникальным видением развития индустрии SIEM и новой эры решений класса Threat Intelligence сформированы планы развития продукта на ближайшие три года, включающие четыре ключевых релиза ежегодно. Так, к третьему кварталу 2020 года выйдет релиз, в котором появится облачный механизм обновления данных об уязвимостях, а к осени запланировано внедрение механизма автокорреляций на основе моделирования векторов атак. Быстрый выпуск обновлений позволяет оперативно вносить исправления и доработки по результатам пилотных внедрений.

На весну 2020 году завершено 26 и находятся в работе еще 25 «пилотов» MaxPatrol SIEM, реализовано 15 коммерческих проектов. MaxPatrol SIEM используют российские Министерство обороны и Министерство транспорта, энергетическая компания «Россети», Департамент информационных технологий Москвы, Комитет по информатизации и связи Санкт-Петербурга.

В реестр российских программ

Система мониторинга событий информационной безопасности MaxPatrol SIEM и защитный экран уровня приложений PT Application Firewall приказом Минкомсвязи РФ внесены в начале июня 2020 года в единый реестр российских программ для электронных вычислительных машин и баз данных. В соответствии с решением уполномоченного органа с 14 июня 2020 года система PT Application Firewall включена в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия. MaxPatrol SIEM помимо этого включен в класс систем мониторинга и управления и системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных.

С мая 2020 года в единый реестр отечественного ПО также входят сканер уязвимостей XSpider (в классе средств обеспечения ИБ) и флагманское решение компании Positive Technologies – MaxPatrol 8.0 (в классе систем мониторинга и управления информационной безопасностью предприятия).

MaxPatrol SIEM подключён к InfoWatch Traffic Monitor Enterprise

В начале лета 2020 года Positive Technologies сообщила о подключении системы InfoWatch Traffic Monitor Enterprise версии 4.1 в качестве источника событий информационной безопасности для системы MaxPatrol SIEM.

Эксперты Positive Technologies развернули стенд системы контроля утечки данных с воспроизведением типовых событий информационной безопасности, разработали правила преобразования получаемых от DLP-системы данных в формат MaxPatrol SIEM. В результате интеграции пользователи SIEM-системы получили возможность отслеживать на единой панели мониторинга события из DLP-системы. В том числе передачу конфиденциальной информации через корпоративную почту, интернет-ресурсы, средства общего доступа к файлам и системы обмена сообщениями.

MaxPatrol SIEM 2.0 совместима со средствами защиты российских производителей

29 апреля 2020 года компания Positive Technologies сообщила о выходе версии MaxPatrol SIEM 2.0 системы сбора и анализа событий информационной безопасности.

Версию отличают упрощенный подход к формированию корреляционных правил и расширенные возможности по расследованию инцидентов, основанному на ретроспективном мониторинге состояния всех активов ИТ-инфраструктуры. В результате снижается число ложных срабатываний системы при работе с большими объемами данных. Также в MaxPatrol SIEM 2.0 была расширена база знаний о поддерживаемых источниках данных (в том числе отечественных).

MaxPatrol SIEM 2.0 оперирует не только событиями ИБ, но и реальными сущностями инфраструктуры в любой момент времени — аккумулирует информацию о сети, ее узлах и конфигурациях (в том числе о виртуальных машинах), позволяя построить полную модель ИТ-инфраструктуры и видеть всю картину происходящего.

Система позволяет использовать в правилах корреляции информацию об активах (от перечня установленного ПО, прав доступа до списка уязвимостей) и оценивать степень риска каждого инцидента. Благодаря этому в разы снижается частота ложных срабатываний системы, а ИБ-специалисты получают инструмент оперативного расследования инцидентов безопасности с привязкой к конкретным объектам наблюдения.

Обновленный интерфейс системы обеспечивает гибкую работу с данными (включая механизмы сортировки, группировки, фильтрации, поиска, переработанные в соответствии с насущными потребностями ИБ-специалиста) и позволяет формировать отчеты различной сложности, отражающие реальное состояние информационной безопасности (в том числе «из коробки»).

В данной версии реализована возможность создания правил корреляции, в соответствии с которыми разрозненные события объединяются в инциденты, прямо из веб-интерфейса. В результате процесс ручного создания правил в некоторых случаях сократился до нескольких минут.

Продукт обладает базой знаний о поддерживаемых источниках (совместим с оборудованием ведущих зарубежных вендоров, позволяет подключать в качестве источников событий средства защиты большинства отечественных производителей: Dr.Web, Kaspersky Business Space Security,С-Терра СиЭсПи, InfoWatch (ИнфоВотч), Secret Net, ИнфоТеКС (Infotecs)) и имеет более 100 преднастроенных правил корреляции.

MaxPatol SIEM 2.0 является решением enterprise-уровня, соответствующим всем требованиям по стабильности и производительности в условиях высоконагруженных корпоративных систем.

Технические инновации и полностью открытый API MaxPatol SIEM 2.0 позволяют осуществлять его внедрение или переход с других решений класса SIEM практически незаметно для бизнес-процессов организации.

MaxPatrol и DeviceLock

12 апреля 2020 года Positive Technologies и «Смарт Лайн Инк» сообщили о реализации объединения технологических возможностей продуктов MaxPatrol и DeviceLock для защиты корпоративных ресурсов.

В результате совместных действий партнеров MaxPatrol SIEM получила возможность автоматически подключать DeviceLock DLP Suite в качестве источника событий информационной безопасности.

Количество поддерживаемых источников — одна из ключевых характеристик SIEM-системы. Но заказчику важна не сама эта цифра, а уверенность в том, что будут поддержаны источники событий именно его ИТ-инфраструктуры. А для российского заказчика в приоритете поддержка средств защиты информации отечественного производства. Отвечая этим вызовам, MaxPatrol SIEM уже сейчас поддерживает десятки систем отечественных производителей, и мы продолжаем расширять их перечень. Угроза утечки конфиденциальных данных всегда актуальна, и многие компании активно используют DLP-системы — в том числе и пользователи MaxPatrol SIEM. Поэтому мы начали адаптацию MaxPatrol SIEM к нюансам работы DLP-систем, первой из которых стал российский программный комплекс обнаружения и предотвращения утечек конфиденциальных и критически важных данных DeviceLock DLP Suite, широко используемый в государственных учреждениях, в финансовых, энергетических и телекоммуникационных компаниях.

Доработка MaxPatrol SIEM проведена совместно с компанией «Смарт Лайн Инк». Эксперты Positive Technologies развернули тестовый стенд системы контроля утечки данных, воспроизвели события подключения внешних носителей и сделали расшифровку и описание событий в журналах из базы данных DLP-системы.

Специалисты «Смарт Лайна» дали необходимые пояснения о типах и формате событий, генерируемых DLP-системой, обеспечили возможность подключения к БД. По итогам работ были разработаны правила преобразования данных, получаемых от DLP-системы, в формат MaxPatrol SIEM. В результате доработки система мониторинга и корреляции событий информационной безопасности обеспечивает сбор информации из базы DeviceLock DLP Suite, в том числе и событиях присоединения к рабочим компьютерам флэш-накопителей, смартфонов и других устройств.

Ценные корпоративные данные могут быть скопированы с рабочих компьютеров на флэш-накопители, мобильные устройства, в облачные хранилища или переданы третьим лицам по электронной почте и через другие каналы. DeviceLock DLP Suite осуществляет контроль доступа к устройствам хранения и обработки данных, контроль пользовательских каналов коммуникации и фильтрацию содержимого передаваемых файлов. Подключение системы PT MaxPatrol SIEM к DeviceLock DLP Suite позволит выводить на единую панель мониторинга все необходимые корреляции от DLP-системы, что принципиально повысит оперативность реагирования служб безопасности на инциденты, связанные с утечкой информации, и позволит проводить расследования по горячим следам.

SurfPatrol интегрирован с решениями «Крипто-Про»

Весной 2020 года Positive Technologies и «Крипто-Про» объявили о начале сотрудничества. Результатом совместной работы стала интеграция онлайн-сервиса SurfPatrol от Positive Technologies, с помощью которого можно проверять защищенность веб-браузера, и решений «Крипто-Про», предназначенных для формирования электронной подписи — «КриптоПро ЭЦП Browser plug-in», «КриптоПро DSS» и «КриптоПро DSS Lite». Объединение этих технологий позволит клиентам «Крипто-Про» снизить риск подмены подписываемых данных при формировании электронной подписи.

Как отмечается, решения «Крипто-Про» используются для работы с системами электронного документооборота: с помощью электронной подписи заверяются документы на сайтах госуслуг, клиентских порталах, в системах интернет-банкинга, осуществляются закупки на электронных торговых площадках. Так, «КриптоПро ЭЦП Browser plug-in» служит для формирования и проверки электронных подписей на веб-страницах. Программно-аппаратный комплекс «КриптоПро DSS» обеспечивает защищенное хранение закрытых ключей пользователей и предоставляет аутентифицированный доступ к ним для формирования электронной подписи. Его облегченная версия «КриптоПро DSS Lite» предназначена для подписания документов наиболее распространенных форматов на различных платформах в веб-браузере.

Вместе с тем, использование электронной подписи напрямую в веб-браузере влечет за собой потенциальные риски: и браузер, и его расширения часто содержат критически опасные уязвимости, которые злоумышленники могут использовать для подмены подписываемых данных. Цена подобной атаки в случае ее успешной реализации — серьезные репутационные и финансовые потери. Поэтому одна из основных задач, стоящих перед «Крипто-Про» и ее клиентами — контроль защищенности веб-браузера при формировании электронной подписи, указали в компании.

Интеграция онлайн-сервиса SurfPatrol от Positive Technologies в средства формирования электронной подписи «Крипто-Про» обеспечивает защиту от атак, направленных на использование уязвимостей веб-браузера. Теперь при обращении пользователя к «КриптоПро ЭЦП Browser plug-in», «КриптоПро DSS» или «КриптоПро DSS Lite» SurfPatrol автоматически проанализирует работу веб-браузера и его расширений и выдаст вердикт об их защищенности. При обнаружении уязвимостей пользователи будут проинформированы об угрозах безопасности, а также получат рекомендации по их устранению, подчеркнули в Positive Technologies.

MaxPatrol сертифицирована по стандарту ISO 15408

22 июня 2020 года компания Positive Technologies сообщила о завершении сертификации системы контроля защищенности и соответствия стандартам безопасности MaxPatrol по стандарту ISO 15408 в Германии.

Международный сертификат по требованиям безопасности выдан немецким Федеральном ведомством по безопасности в сфере информационных технологий (BSI) — аналог ФСТЭК в России.

Стандарт ISO 15408 «Common Criteria for Information Technology Security Evaluation» (сокращенно Common Criteria или CC) принят в 1999 году, как унифицированный международный стандарт сертификации информационных систем по требованиям безопасности. Стандарт позволяет формировать задания по безопасности — унифицированные документы, с помощью которых могут изложить требования к безопасности продукта, разработчики могут заявить о свойствах безопасности своего продукта, эксперты по безопасности — определить, удовлетворяет ли продукт этим заявлениям, а потребители оценить, пригоден ли продукт для их компьютерных систем. Таким образом, стандарт обеспечивает условия, в которых процесс описания, разработки и проверки продукта на требования по безопасности производится с необходимой скрупулёзностью.

Процедура сертификации, предусмотренная ISO 15408, имеет два важных отличия от других видов оценки соответствия:

  • в отличие, например, от сертификации на соответствие техническим условиям, разработчик сертифицируемого продукта обязан не только декларировать функции безопасности своего решения, но и обосновать достаточность этих функций для противодействия угрозам, характерным для условий, в которых предполагается эксплуатация.
  • в сертификате указывается уровень доверия (Evaluation Assurance Level, EAL), позволяющий потребителю сертифицированного решения судить о том, насколько глубоко это решение исследовано в ходе сертификационных испытаний.

Сертификат системы MaxPatrol подтверждает: функции безопасности системы предотвращают несанкционированный доступ к результатам сканирования, настройкам и иной важной информации, обрабатываемой системой.

Испытания проводились в соответствии с уровнем доверия EAL2, предусматривающим тестирование продукта испытательной лабораторией и детальное изучение проектной документации, процессов разработки и тестирования, поиск уязвимостей в файлах дистрибутива системы.

«Это первая успешная сертификация программного продукта российской компании за рубежом в рамках соглашения CCRA. Не скрою, когда мы только начали эту работу, у нас были некоторые опасения, что политические осложнения помешают ее завершить. Но они, к счастью, не оправдались, — заявил Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Сравнивая опыт зарубежной и российской сертификации, мы не заметили каких-либо существенных различий в работе немецкой и российских испытательных лабораторий. Основной сложностью, пожалуй, оказалась необходимость разработать комплект документации по форме, которая установлена требованиям ISO 15408: состав и содержание документов кардинально отличаются от того, что предписывается российским разработчикам привычными стандартами ЕСПД».

MaxPatrol интегрирован с продуктами «С-Терра»

1 декабря 2020 года компании «С-Терра СиЭсПи» и Positive Technologies сообщили о завершении тестирования возможностей интеграции продуктов С-Терра Шлюз и С-Терра Клиент в систему PT MaxPatrol SIEM.

Пользователи MaxPatrol SIEM получили возможность просмотра событий безопасности от устройств С-Терра вместе с инцидентами от продуктов других производителей.

Теперь системы безопасности, созданные на платформе продуктов С-Терра, интегрируются с универсальной платформой средств безопасности от Positive Technologies, основной элемент которой — MaxPatrol SIEM.

— Совместимость с системой MaxPatrol SIEM компании Positive Technologies — это важный шаг навстречу пользователю, который хочет не только надежно защищать свою сеть продуктами С-Терра, но и контролировать события системы в реальном времени. Интеграция наших продуктов сделала управление информационной безопасностью корпоративной сети еще эффективнее.

Сергей Павлов, директор по сетевым технологиям компании Positive Technologies, отметил:

— Компания Positive Technologies всегда идет навстречу своим клиентам. Известно, что для полноценной защиты любой инфраструктуры требуется поддержка всех средств защиты информации. Продукты С-Терра используются во многих крупных российских компаниях, например, Почта России, ГМК Норильский Никель, СО ЕЭС. Поддержка данных продуктов в MaxPatrol SIEM обеспечивает расширение горизонта видимости атак и корреляцию событий на более высоком уровне.

Согласно заявлению компаний, интеграция РТ MaxPatrol SIEM и продуктов С-Терра Шлюз, С-Терра Клиент обеспечивает возможность выявления инцидентов информационной безопасности, проведения расследования инцидентов и выявления злоумышленников.

Интеграция с IBM Security QRadar SIEM

7 июля 2020 года компания Positive Technologies сообщила об интеграции системы контроля защищенности и соответствия стандартам MaxPatrol с решением IBM Security QRadar SIEM, предназначенным для управления событиями и инцидентами ИБ.

Совместимость этих продуктов поможет облегчить создание системы управления информационной безопасностью.

Разработчики сообщили о корреляции данных, поступающих с сетевых устройств, систем безопасности, серверов, конечных точек, приложений и сканеров уязвимостей, приложением IBM Security QRadar SIEM, после чего оповещает администраторов об инцидентах и помогает службам безопасности и ИТ в принятии решений.

MaxPatrol объединяет механизмы системных проверок, тестирования на проникновение, контроля соответствия стандартам в сочетании с поддержкой анализа сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем и веб-приложений. Система позволяет сформировать непротиворечивые корпоративные стандарты, автоматизировать процессы инвентаризации, контроля изменений, оценивать ИТ- и ИБ-процессы с помощью ключевых показателей эффективности.

Сведения об уязвимостях и соответствии требованиям стандартов, собираемые MaxPatrol, могут автоматически передаваться в QRadar, расширяя возможности этой SIEM.

Positive Technologies получила сертификат SAP

Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная Positive Technologies, прошла сертификационные испытания компании SAP, разработчика ERP-систем и бизнес-приложений, и получила статус SAP Certified Integration with SAP NetWeaver.

Наличие сертификата подтверждает корректную работу MaxPatrol с продуктом SAP NetWeaver (версии 7.0 и выше) и соответствие интеграционным стандартам SAP. Техники и методы получения данных, которые применяются в MaxPatrol, проверены и полностью одобрены специалистами немецкой компании, а Positive Technologies включена в число сертифицированных партнеров SAP AG.

Сотрудничество Positive Technologies и SAP продолжается не первый год. Эксперты Positive Technologies проводят специализированные тесты на проникновения и аудит безопасности ERP-систем и помогают устранять выявленные уязвимости. Все знания, полученные в ходе таких работ, и связанные с ними проверки включаются в базу знаний MaxPatrol, при этом часть недостатков безопасности обнаруживается эвристическими механизмами системы.

Система MaxPatrol еще в 2009 году, одной из первых в своем классе, получила механизмы выявления недостатков безопасности и проверки конфигураций в соответствии с рекомендациями ISACA и SAP Security Guides. В настоящее время MaxPatrol используют более чем в 1000 компаний по всему миру, а крупнейшие инсталляции SAP, защищаемые с помощью продуктов Positive Technologies, насчитывают более 700 экземпляров системы и обеспечивают взаимодействие более чем 400 тысяч пользователей.

Возможности MaxPatrol не ограничиваются проверкой базовых компонентов SAP: новые расширения позволяют контролировать безопасность модулей SAP HCM (Human Capital Management, управление человеческим капиталом), SAP MM (Material Management, управление материалами), SAP SRM (Supplier Relationship Management, управление отношениями с поставщиками) и SAP ERP (Enterprise Resource Planning, управление ресурсами предприятия) и контролировать безопасность важных для бизнеса приложений на всех уровнях, начиная с сетевой инфраструктуры и заканчивая прикладными элементами.

В 2020 году компания Positive Technologies выпустила Application Inspector и Application Firewall — новые продукты, обеспечивающие анализ исходных кодов приложений собственной разработки и проактивную защиту критических приложений от компьютерных атак и фрода. Оба продукта учитывают специфику SAP: PT AI поддерживает анализ приложений на языках SAP ABAP и SAP Java, а PT AF содержит специализированные модули для блокирования атак нулевого дня, направленных на SAP Portal.

MaxPatrol сертифицирован организацией Center for Internet Security

Компания Positive Technologies объявила весной 2020 года о получении системой контроля защищенности и соответствия стандартам MaxPatrol сертификата соответствия CIS Security Software Certification for CIS Security Benchmarks некоммерческой организации Center for Internet Security, которая играет ведущую роль в стандартизации в области информационной безопасности в США. Получение данного сертификата означает, что реализация режима Compliance вMaxPatrol соответствуют требованиям, которые предъявляются CIS к автоматизированным системам контроля конфигураций и анализа защищенности. В настоящее время в поставку MaxPatrol включены проверки по более чем 150 стандартам для широкого спектра различных систем, от сетевого оборудования до АСУ ТП, SAP- и ERP-систем, причем около половины используемых стандартов являются стандартами CIS.

Именно подразделение Security Benchmarks занимается разработкой стандартов и рекомендаций информационной безопасности на основе консенсуса о лучших практиках, который вырабатывается внутри IT-сообщества многочисленными экспертами по ИБ. Эти рекомендации помогают миллионам компаний по всему миру адекватно оценивать степень защищенности своих информационных ресурсов иполучать самую актуальную информацию о безопасной настройке различных систем. Эксперты Positive Technologies активно участвуют в разработке требований безопасности для стандартов CIS.

В июле 2020 года компания-разработчик сообщила, что разработала модуль анализа защищенности и контроля соответствия стандартам для операционной системы HP-UX, систем и приложений на ее основе. Модуль включен в стандартную поставку системы контроля защищенности и соответствия стандартам MaxPatrol.

Использование модуля позволяет снизить издержки на поддержание систем HP-UX в защищенном состоянии, затраты на обеспечение соответствия требованиям отраслевых, государственных и международных стандартов, таких как Федеральный Закон «О персональных данных», PCI DSS, SOX, ISO В текущей реализации система MaxPatrol позволяет обнаруживать и контролировать устранение более 200 ошибок, связанных с управлением обновлениями и настройками системы HP-UX. В режиме Compliance реализован контроль около 100 ключевых параметров конфигурации ОС и приложений, связанных с выполнением требований стандартов.

При разработке системы проверки использовалась среда, предоставленная компанией НР по программе HP Partner Virtualization Program (HP PVP).

Функциональные возможности системы MaxPatrol позволяют обеспечить непрерывный технический аудит защищенности всей информационной системы и отдельных ее компонентов. Основными преимуществами решения MaxPatrol являются:

  • проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности;
  • автоматизированный контроль соответствия системы безопасности отраслевым и международным стандартам;
  • автоматизация процессов управления уязвимостями, инвентаризации ресурсов, контроля соответствия политикам безопасности и контроля изменений;
  • комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформы Windows, Linux, Unix, СУБДMicrosoft SQL, Oracle, сетевые приложения и web-службы собственной разработки;
  • возможность мониторинга информационной системы на соответствие корпоративным требованиям и политикам безопасности.

Решения на базе MaxPatrol поставляется средним и крупным организациям, в которых число автоматизированных рабочих мест превышает 300. В таких компаниях анализ защищенности – трудоёмкий комплекс мероприятий. В него входит инвентаризация оборудования, контроль состава ПО и актуальности его версий, анализ данных об узлах сетевой инфраструктуры, мониторинг уязвимостей и рисков кражи конфиденциальных данных, оценка защищенности веб-приложений и актуальности антивирусных баз, контроль конфигураций сетевых устройств. Все эти мероприятия усложнены необходимостью выполнять требования корпоративных политик безопасности, регуляторов, стандартов безопасности, сравнивать и согласовывать их нормы.

Пользуясь решениями на базе MaxPatrol, компании переходят от решения этого набора задач к системному мониторингу защищенности: формируют непротиворечивые корпоративные стандарты безопасности, автоматизируют процессы инвентаризации, контроля изменений, управления уязвимостями и контроля соответствия, оценивают эффективность ИТ- и ИБ-процессов с помощью установленных показателей. За счет автоматизации множества задач компании смогут уменьшить трудоёмкость мониторинга информационной безопасности и снизить эксплуатационные затраты на поддержание необходимого уровня защищенности ИТ-инфраструктуры.

Основной продукт компании Positive Technologies — система контроля защищенности и соответствия стандартам MaxPatrol — официально сертифицирован в начале 2020 года некоммерческой корпорацией MITRE в качестве CVE-Compatible. Это означает, что MaxPatrol признан совместимым с CVE и удовлетворяет всем требованиям, предъявляемым создателями стандарта.

Общепризнанная классификация уязвимостей Common Vulnerabilities and Exposures (CVE) позволяет участникам рынка информационной безопасности разговаривать на одном языке. В рамках данного проекта каждой уязвимости или угрозе дается имя и краткое описание по строго определенным правилам.

Поддержка идентификаторов CVE открывает перед специалистами в области информационной безопасности широкие возможности для интеграции MaxPatrol с другими системами, а также позволяет предметно сравнить его по эффективности с аналогичными продуктами других производителей — при использовании в рамках одной и той же информационной инфраструктуры — и оценить суммарную эффективность их совместной эксплуатации. Некоммерческая корпорация MITRE с 1999 года поддерживает и развивает единый стандарт CVE, пополняя открытую базу уязвимостей. Данный проект стал ответом на неразбериху, долгое время царившую в сфере информационной безопасности, при которой у разных производителей ИБ-контента одна и та же уязвимость могла иметь совершенно различные наименования. Зная CVE-идентификатор конкретной уязвимости и используя любой из продуктов, имеющих статус CVE-Compatible, можно получить информацию о данной проблеме безопасности. С момента запуска стандарта количество организаций, поддерживающих CVE, быстро растет; сегодня их более 150. Полный список таких организаций и их разработок представлен на официальном сайте стандарта.

Самые надежные платформы для торговли бинарными опционами:
  • БИНАРИУМ
    БИНАРИУМ

    1 место в народном рейтинге! Честный и надежный брокер бинарных опционов. Бесплатное обучение для новичков! Получите бонус за регистрацию:

Добавить комментарий