Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ ООО "НПП "ИТБ"
 

ООО "НПП "ИТБ"

Операции с документом

Разработчик инновационных решений в области защиты информации.

Blog Entry Надежная защита от вирусов шифровальщиков 17-01-2018 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

шифр

Прошлый год ознаменовался всплеском атак вирусов шифровальщиков. Прогнозы подобных атак на 2018 год выглядят еще более устрашающе. Особенно чувствительны потери компаний при реализации соответствующих целевых атак, основанных на использовании подобных вирусов.

Целевые атаки (а точнее, целенаправленные, т.к. любой атакой преследуются какие-либо цели) – это хорошо подготовленные атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств, особенностью которых является отсутствие в большинстве случаев возможности их детектирования и детектирования используемых при реализации атаки вредоносных компонентов существующими система защиты.

Именно при реализации целевых атак упрощаются возможности по использованию фишинга - у злоумышленников имеются в распоряжении большие возможности по использованию различных  методов социальной инженерии, т.к. атака направлена на конкретное предприятие, на сайте которого можно получить достаточно информации для последующего использования методов социальной инженерии.  

Надежная защита от вирусов шифровальщиков, в том числе, и от целевых атак – активная, а не проактивная защита, реализована в КСЗИ «Панцирь+» (разработчик и поставщик ООО «НПП «ИТБ») http://npp-itb.ru/images/docs/alldocs/slides.pdf

Основу защиты составляет реализация запатентованного технического решения, реализующего контроль доступа к создаваемым объектам, в данном случае, к файлам.

Идея метода состоит в автоматической разметке (в альтернативном потоке) всех создаваемых файлов – ими наследуются учетные данные создающего файл субъекта доступа, определяемого парой сущностей – пользователь, процесс.

При последующих запросах доступа к созданным подобным образом файлам реализуется разграничительная политика доступа (заданные правила доступа), определяющая каким субъектам и какой доступ разрешен к файлам, созданным иными субъектами.

Задачи, решаемые данным механизмом защиты из состава КСЗИ «Панцирь+»:

- запрет исполнения, в том числе и с системными правами, всех создаваемых файлов;

- запрет чтения создаваемых файлов командными интерпретаторами;

- запрет доступа к создаваемым интерактивными пользователями файлам с системными правами и с правами администратора;

- реализация изолированной обработки данных различными интерактивными пользователями;

- запрет доступа браузеров (которые могут наделяться вредоносными свойствами без записи вируса в файл – за счет прочтения страницы с активным содержимым с инфицированного сайта) к файлам, создаваемым иными приложениями (в общем случае это касается не только браузеров);

- запрет доступа к созданным файлам приложениям, получившим  данные из ненадежных источников (например, при чтении файла, вложенного в письмо);

- и т.д.

Все эти задачи защиты решаются заданием лишь нескольких правил в интерфейсе системы защиты.

Естественно, что решение многих задач требует реализации эффективной самозащиты системы защиты. Как она реализована в КСЗИ «Панцирь+» изложено здесь: http://npp-itb.ru/images/docs/alldocs/slides.pdf

Для защиты же от шифрования MFT таблицы, защиты от модификации загрузчика, создания именного канала и многого другого используется запатентованное техническое решение из состава КСЗИ «Панцирь+», реализующее контроль доступа к статичным объектам, где права доступа назначаются субъектам, а не присваиваются в качестве атрибутов объектам http://npp-itb.ru/images/docs/alldocs/slides.pdf

Важнейшей особенностью реализованной подобным образом активной защиты является минимальное влияние на загрузку вычислительного ресурса, поскольку защита не требует какого-либо детектирования чего-либо, а в журналах аудита при этом могут регистрироваться только отказы в доступе, т.е. непосредственно факты атак –не требуется какого-либо поведенческого анализа, основанного на анализе и регистрации множества событий, отнесенных по тем или иным причинам к аномальным.

 

Как видим, при использовании такого, как КСЗИ «Панцирь+», инновационного средства защиты (основные реализованные технические решения запатентованы), достаточно просто может быть реализована надежная защита от киберугрозы №1 – от атак, в том числе, целевых, вирусов шифровальщиков!

Blog Entry Как управлять защитой «облака» в условиях кибератак? 09-01-2018 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

cloud

Как известно, основу построения «облаков» составляют системы виртуализации.

Системы виртуализации отличаются тем, что задачи администрирования их безопасности могут решаться несколькими администраторами безопасности, в общем случае, с различными целями.

Задачей администратора безопасности системы виртуализации, в частности, «публичного» облака, в первую очередь, является обеспечение его функционирования и корректности  функционирования.

Задачей же администратора безопасности  предприятия, арендующего «ресурсы облака», является защита своих данных обрабатываемых в «облаке». При этом может быть осуществлена атака,  как из виртуальной машины на хост-машину, так  и, наоборот, из хост-машины на виртуальную машину.

С учетом этого, естественно, что администратор безопасности системы виртуализации должен знать, что происходит с безопасностью виртуальных машин, а администратор безопасности виртуальной машины (сети виртуальных машин) - что происходит с безопасностью хост-машины.

Все эти вопросы позволяет решать КСЗИ «Панцирь+», с учетом реализованных в ней моделей  иерархического администрирования системы защиты http://npp-itb.ru/images/docs/alldocs/MAP.pdf

Использование КСЗИ «Панцирь+» на хост-машине мало чем отличается от ее использования на виртуальной машине.

Например, виртуальные машины Hyper-V представляют собою процесс "Рабочий процесс виртуальной машины» vmwp.exe, исполнимый файл которого хранится в папке System32, который работает в контексте создаваемого при запуске машины пользователя. Этот пользователь нигде не фигурирует в оснастках ОС, т.е. представляет собою такого же "псевдо пользователя», как SYSTEM, LOCAL SERVICE и т.п. Имя этого пользователя в системе выглядит как фиксированный домен "NT VIRTUAL MACHINE" и некий уникальный идентификатор вида GUID. SID такого "пользователя" начинается так "S-1-5-83-…", тогда как SID обычного, интерактивного, пользователя начинается с "S-1-5-21-…".

Это позволяет реализовать единую сетевую защиту средства виртуализации, в которой клиенты  КСЗИ «Панцирь+» устанавливаются, как на хост-машине, так и на виртуальных машинах, в следующих режимах:

-          единый администратор безопасности;

-          различные администраторы безопасности для хост-машины и сетей виртуальных машин;

-          совместное администрирование, при котором администратор хост-машины является ведущим для администраторов виртуальных машин – любая настройка клиентской части КСЗИ «Панцирь+» на виртуальных машинах ступает в силу только после его утверждения администратором безопасности хост-машины;

-          совместное администрирование, при котором настройки безопасности виртуальных машин вступают в силу после их утверждения администратором безопасности виртуальных машин и т.д.

При этом различные администраторы безопасности могут использовать сервер аудита (реального времени) для текущей оценки безопасности системы виртуализации.

Отметим, что КСЗИ «Панцирь+» - это сетевая система защиты информации, реализующая клиент-серверную архитектуру, в состав которой входят клиентские части (устанавливаются на объектах защиты - непосредственно решают задачи защиты информации), серверы безопасности, обеспечивающие удаленное администрирование клиентских частей КСЗИ «Панцирь+», интерактивный режим обработки журналов аудита событий безопасности, и серверы аудита (удаленный аудит событий безопасности в реальном времени).

Архитектурными особенностями реализации сетевой КСЗИ «Панцирь+» является следующее:

-          любая клиентская часть может взаимодействовать с любым числом серверов безопасности и серверов аудита;

-          для серверов безопасности реализована возможность построения полноценной иерархической системы удаленного администрирования клиентских частей КСЗИ «Панцирь+».

Подробнее с реализуемой КСЗИ «Панцирь+» технологией защит можно ознакомиться в презентации, представленной по следующей ссылке: http://www.npp-itb.ru/images/docs/alldocs/slides.pdf

 

В этом же документе можно посмотреть, как КСЗИ «Панцирь+» позволяет усекать возможности, реализую политику совместного администрирования, и контролировать действия системного администратора администратором безопасности.

Blog Entry Проведено тестирование на проникновение (жарг. Пентест) КСЗИ «Панцирь+» для оценки эффективности реализованной защиты от целевых атак и наличия уязвимостей в системе защиты 27-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

pentest

КСЗИ «Панцирь+» - это сертифицированная ФСТЭК России СЗИ НСД, одна из задач которой является эффективная защита  корпоративных информационных систем от целевых атак. С возможностями в части решения этой ключевой задачи защиты информации, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта в этой части защиты, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

Были проведены испытания, подтверждающие все изложенные в презентации возможности системы защиты информации, при этом использовались соответствующие утилиты, позволяющие осуществить имитацию атаки.

Проведенные испытания и их результаты изложены в документе, размещенном по ссылке: http://www.npp-itb.ru/images/docs/alldocs/ZUCA.pdf

 

Отметим, что данный материал будет полезен и для ознакомления с наиболее актуальными сегодня угрозами целевых атак, которые не могут быть не включены в модель актуальных угроз, с возможностями их реализации.

Blog Entry Возможности усечения прав и контроля действий системного администратора средствами защиты КСЗИ «Панцирь+» 25-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

админ

Атаки на информационную систему инсайдером администратором, либо с правами системного администратора, наиболее критичны, ввиду практически неограниченного его доступа к защищаемым ресурсам.

КСЗИ «Панцирь+» позволяет значительно усекать права доступа и контролировать действия системного администратора:

- может быть предотвращена возможность доступа к файлам, создаваемым интерактивными пользователями (к обрабатываемым данным);

- может быть реализована возможность администрирования только с использованием соответствующих штатных оснасток Windows, в том числе инсталлятора (из папки System 32, которые можно запретить модифицировать), можно запретить использование командных интерпретаторов, либо ограничить для них чтение командных файлов;

-  можно запретить, либо контролировать (регистрировать соответствующие действия в журналах аудита), установку системных драйверов, динамических библиотек, служб и процессов, командных файлов, запуск администратором исполнимых файлов.

В общем случае КСЗИ «Панцирь+» позволяет реализовать администратором безопасности для системного администратора любую разграничительную политику его доступа к объектам информационной системы и любую политику контроля  (регистрирования в журналах аудита) его действий.

Такая возможность обеспечивается реализацией эффективной самозащиты КСЗИ «Панцирь».

Реализованная  в КСЗИ «Панцирь+» технология самозащиты предполагает невозможность несанкционированного доступа к защищаемым обрабатываемым данным и к системным объектам – к которым запрещен доступ соответствующему субъекту с любыми правами в субъекта системе, без предварительного осуществления успешной атаки на КСЗИ «Панцирь+», что обеспечивается следующим.

1. Задача самозащиты реализована на уровне ядра ОС – решается не системной службой, а системными драйверами из состава КСЗИ «Панцирь+».

2. Драйверы КСЗИ «Панцирь+» выполнены как не выгружаемые из системы, их нельзя выгрузить даже системным процессом или службой.

3. Службу КСЗИ «Панцирь+» нельзя остановить с правами администратора.

4. Системные объекты (файловые объекты и объекты реестра) КСЗИ «Панцирь+» защищены разграничительной политикой доступа, реализуемой драйверами КСЗИ «Панцирь+».

5. Основной драйвер КСЗИ «Панцирь+» отслеживает активность службы с ее автоматическим перезапуском при несанкционированном останове, при невозможности перезапуска службы автоматически перезагружается компьютер.

6. Разграничительная политика доступа продолжает реализовываться драйверами КСЗИ «Панцирь+» и при автоматическом останове службы.

7. Именованные объекты устройств, созданные драйверами, доступны для открытия только определенным программа из состава КСЗИ «Панцирь+».

8. В драйверы КСЗИ «Панцирь+» не могут попасть блоки памяти, расположенные в пользовательском адресном пространстве или на выгружаемых страницах памяти.

9. Предпринят и ряд иных мер, защищающих драйверы КСЗИ «Панцирь+» от атак со стороны администратора, системных процессов и служб.

 

Более подробно с изложенной технологией защиты, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

Blog Entry Эффективная защита корпоративной информационной системы от вирусных атак, реализованная в КСЗИ «Панцирь+» 20-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

вирус

Задачи защиты домашних компьютеров и компьютеров в составе корпоративной информационной системы принципиально различны собственно в своей постановке.

Особенности постановки задачи защиты домашних компьютеров.

  1. Пользователь обрабатывает свою собственную информацию, являясь ее владельцем.
  2. Система защиты не должна ограничивать пользователя в его действиях, в том числе, связанных с установкой ПО – должна максимально способствовать в этих условиях безопасной работе пользователя.
  3. В первую очередь, системой защиты должны защищаться системные объекты, поскольку обрабатываемые данные не обладают высокой ценностью для потенциального злоумышленника.
  4. Пользователь в общем случае не имеет необходимой для решения сложных задач защиты информации квалификации в области информационной безопасности. Принятие решений должно автоматически осуществляться средством защиты.

Особенности постановки задачи защиты компьютеров в составе корпоративной информационной системы.

  1. Пользователь обрабатывает корпоративную информацию, не являясь ее владельцем. Как следствие, система защиты должна максимально ограничивать пользователя в его действиях, в том числе, связанных с установкой и использованием ПО – должна реализовываться ролевая модель контроля доступа – предоставляться ресурсы, необходимые пользователю для выполнения функциональных обязанностей в системе. Пользователь должен полностью исключаться из схемы администрирования.
  2. В первую очередь, системой защиты должны защищаться обрабатываемые в информационной системе данные, поскольку именно несанкционированный доступ к ним является основной целью потенциального злоумышленника.
  3. Сложные задачи защиты информации в корпоративной системе решаются (должны решаться) квалифицированным в области информационной безопасности специалистом.

Эти отличия решаемых задач в полной мере учтены решением защиты от вирусных атак, реализованным в КСЗИ «Панцирь+». КСЗИ «Панцирь+» - это сертифицированная СЗИ НСД, предназначенная для использования в корпоративных приложениях. Реализованный подход к защите от вирусных атак является не поиск вирусов в исполнимых и командных файлах, которые могут устанавливаться на компьютере пользователями, что реализуется антивирусными решениями, а предотвращение самой возможности внедрения подобных файлов на защищаемый компьютер. В случае же их несанкционированного внедрения – предотвращение возможности запуска исполнимых файлов и доступа к создаваемым файлам командным интерпретаторам. Такая возможность предотвращается для интерактивных и системных пользователей. Права же системного администратора в части установки исполнимых и командных файлов могут существенно усекаться, а его действия полностью контролироваться. Защита же от вирусов, загружаемых непосредственно в память компьютера без их сохранения на диске, осуществляется средствами защиты от фишинговых атак из состава КСЗИ «Панцирь+», реализующих запрет доступа к обрабатываемым данным процессам при условии высокой вероятности их заражения, например, при прочтении вложенного в письмо файла.

С реализованными возможностями защиты от вирусных атак, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf 

Blog Entry Проактивная и активная защита корпоративной информационной системы, и что такое КСЗИ «Панцирь+»? 18-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

панцирь

Задачи защиты домашних компьютеров и компьютеров в составе корпоративной информационной системы принципиально различны собственно в своей постановке.

Особенности постановки задачи защиты домашних компьютеров.

  1. Пользователь обрабатывает свою собственную информацию, являясь ее владельцем.
  2. Система защиты не должна ограничивать пользователя в его действиях, в том числе, связанных с установкой ПО – должна максимально способствовать в этих условиях безопасной работе пользователя.
  3. В первую очередь, системой защиты должны защищаться системные объекты, поскольку обрабатываемые данные не обладают высокой ценностью для потенциального злоумышленника.
  4. Пользователь в общем случае не имеет необходимой для решения сложных задач защиты информации квалификации в области информационной безопасности. Принятие решений должно автоматически осуществляться средством защиты.

Особенности постановки задачи защиты компьютеров в составе корпоративной информационной системы.

  1. Пользователь обрабатывает корпоративную информацию, не являясь ее владельцем. Как следствие, система защиты должна максимально ограничивать пользователя в его действиях, в том числе, связанных с установкой и использованием ПО – должна реализовываться ролевая модель контроля доступа – предоставляться ресурсы, необходимые пользователю для выполнения функциональных обязанностей в системе. Пользователь должен полностью исключаться из схемы администрирования.
  2. В первую очередь, системой защиты должны защищаться обрабатываемые в информационной системе данные, поскольку именно несанкционированный доступ к ним является основной целью потенциального злоумышленника.
  3. Сложные задачи защиты информации в корпоративной системе решаются (должны решаться) квалифицированным в области информационной безопасности специалистом.

На первый взгляд, это может показаться странным, но задача защиты корпоративных компьютеров идеологически проще и понятней задачи защиты домашних компьютеров (отметим, что в технической реализации механизмов защиты решение этой задачи на порядки сложнее).

Как известно, под проактивными технологиями защиты понимается совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты — блокирование легитимных программ (ложные срабатывания). В результате компромисс между эффективностью защиты и удобством эксплуатации!

Принципиальным отличием защиты компьютеров в корпоративной  информационной системе является то, что в данных приложениях установка программ интерактивными пользователями (либо несанкционированно, под их учетными записями) должна априори запрещаться. Санкционированно же установленные на компьютер программы  можно с использованием средств аудита КСЗИ «Панцирь+» проверить – какими системными вызовами и как они пользуются. В результате чего для них можно реализовать соответствующую разграничительную политику доступа, в том числе запретив потенциально опасные запросы доступа (если это не скажется на корректности функционирования соответствующих программ), такие как использование сервисов олицетворения с правами иного пользователя, прямой доступ к дискам (в обход разграничения прав доступа к объектам файловой системы), инжектирование кода в процесс иной программы, установку глобальных ловушек и т.д..

Как видим, это совсем иная постановка задачи защиты, требующая принципиально иных решений!

В корпоративных приложениях требуется запрещать саму возможность установки программ интерактивными пользователями, а также саму возможность воздействия под их учетными записями на санкционированно установленное системное и прикладное ПО.

Такую защиту в общем виде - без необходимости детектирования чего-либо на соответствие каким-либо исходно заданным шаблонам, мы  называем «активной».

Эти отличия решаемых задач в полной мере учтены решениями, реализованными в КСЗИ «Панцирь+». КСЗИ «Панцирь+» - это сертифицированная СЗИ НСД, предназначенная для использования в корпоративных приложениях.

С реализованными возможностями защиты корпоративных информационных систем, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

 

Название продукта «Панцирь» не случайно. Нашей системой защиты предотвращается любое вмешательство извне в работу защищаемой корпоративной информационной системы, обеспечивается надежная защита от внешних, в том числе, целевых атак.

Blog Entry Книги по информационной безопасности от сотрудников ООО «НПП «ИТБ» в 2017 году 13-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

книги

В этом году сотрудниками нашей компании опубликованы две книги по информационной безопасности.

1.    Монография. Щеглов А.Ю., Щеглов К.А. Анализ и построение защиты информационных систем. Контроль доступа к компьютерным ресурсам. Методы, модели, технические решения. – СПб: Издательство Профессиональная Литература, 2017 - 416 с. http://www.profliteratura.ru/product.php?id=24

В этой книге систематизировано изложены новые технологии защиты информации и запатентованные авторами технические решения. Все изложенные  в книге технологии и решения апробированы в КСЗИ «Панцирь+» http://npp-itb.ru/images/docs/alldocs/slides.pdf, разработанной и поставляемой ООО «НПП «ИТБ».

2. Учебник. Щеглов А.Ю., Щеглов К.А. Защита информации: основы теории: учебник для бакалавриата и магистратуры – М.: Издательство Юрайт, 2017. – 309 с. – (Серия: Бакалавр и магистр. Академический курс) http://urait.ru/catalog/407615

В этой книге изложены математические основы теории защиты информации. В частности рассмотрен математический аппарат, позволяющий моделировать угрозы атак для количественной оценки их актуальности, без использования каких-либо экспертных оценок.

Об авторах:

Щеглов А.Ю. – д.т.н., проф., генеральный директор ООО «НПП «ИТБ», профессор кафедры ВТ Университета ИТМО.

 

Щеглов К.А. – исполнительный директор ООО «НПП «ИТБ», аспирант кафедры ВТ Университета ИТМО.

Blog Entry КСЗИ «Панцирь+» в финале национальной премии IT-проектов «Цифровые вершины» 11-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

кубок

В очередной раз эксперты в области информационной безопасности высоко оценили возможности инновационной системы защиты информации КСЗИ «Панцирь+», разработанной и поставляемой ООО «НПП «ИТБ». На этот раз продукт выдвинут в финал национальной премии IT-проектов «Цифровые вершины» в номинации «Лучшее решение для повышения информационной безопасности».

Финал премии «Цифровые вершины», на котором будет проведена презентация КСЗИ «Панцирь+», состоится 14 декабря в технопарке «Сколкового» http://digital-summit.ru/

Напомним, что КСЗИ «Панцирь+» – это сертифицированная ФСТЭК России СЗИ НСД, реализующая эффективную защиту от наиболее актуальных сегодня угроз атак, в том числе, от угроз целевых атак.

С возможностями КСЗИ «Панцирь+» в части защиты от целевых атак, а также с особенностями реализованных архитектурных решений, можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

 

 

Blog Entry В КСЗИ «Панцирь+» внедрена эффективная технология защиты обрабатываемых в корпоративных информационных системах данных от фишинговых атак 04-12-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

fishing

КСЗИ «Панцирь+» – это сертифицированная ФСТЭК России СЗИ НСД, одной из задач которой является эффективная защита  корпоративных информационных систем от целевых атак.

Целевые атаки – это хорошо подготовленные атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств, особенностью которых является отсутствие в большинстве случаев возможности их детектирования и детектирования используемых при реализации атаки вредоносных компонентов существующими система защиты.

Именно угрозы фишинговых целевых атак, как наиболее просто реализуемых на практике, наиболее опасны. Именно применительно к конкретным информационным системам (угрозы целевых атак) у злоумышленников имеются в распоряжении большие возможности по использованию различных  методов социальной инженерии.   В результате – миллиардные зафиксированные потери от подобных атак, и потенциальная угроза их стремительного роста!

Фишиговая атак в большинстве случаев реализуется через почтовое вложение, в котором либо передается зараженный файл, либо ссылка на зараженный сайт. В первом случае, приложение, после прочтения вредоносного файла, реализует заложенные в нем действия, во втором случае, с зараженного файла в память компьютера загружается вредоносная активная страница, в результате чего, браузер наделяется соответствующими вредоносными функциями.

Основу построения анти-фишинговой защиты в КСЗИ «Панцирь» составляет использования запатентованного технического решения, реализующего контроль доступа к создаваемым файлам. Каждый файл при создании автоматически размечается, в его альтернативный поток помещаются учетные данные создавшего файл субъекта доступа, в данном случае процесса. Разграничительной политикой доступа определяется, какому субъекту к  файлам, созданным каким субъектом, разрешает доступ, и какой доступ – чтение, запись, исполнении и т.д. Актуальность данного механизма защиты обусловливается тем, что именно в создаваемых файлах хранятся обрабатываемые данные, и именно в создаваемых файлах размещаются записываемые на компьютер вирусы – исполнимые и командные файлы.

Возможности КСЗИ «Панцирь+» в части защиты от фишинговых атак весьма широки, и главным при этом является то, что задача защиты решается в общем виде – не требуется какого-либо детектирования чего-либо, что мало актуально для защиты от целевых атак.

Рассмотрим некоторые из этих возможностей.

1.    Любому субъекту доступа (любому процессу) запрещается исполнение любого создаваемого файла, а командным интерпретаторам и чтение любого создаваемого файла.

2.    Браузеру запрещается любой доступ к созданным на компьютере данным иными приложениями.

3.    Только требуемым приложениям разрешается доступ к сохранению и/или открытию почтовых вложений, т.к. существуют приложения с потенциально опасными возможностями, например, архиватор WinRar сохраняет вместе с файлом альтернативный поток, в котором может быть размещен исполнимый, либо командный файл, не видимый пользователю. Целесообразно запретить доступ к почтовым вложения различных приложений.

Это, своего рода, статичные «песочницы» для корпоративных информационных систем, предполагающие реализацию ограничений на обработку данных потенциально опасными приложениями.

Реализация в КСЗИ «Панцирь+» динамической песочницы состоит в следующем.

Ограничивается доступ к созданным (размеченным) файлам, т.е. к обрабатываемым данным, при открытии приложением  с высокой вероятностью зараженного файла (критичного файла), например, полученного по электронной почте в виде вложения. Процесс, открывающий такой файл, автоматически помещается в песочницу – ему запрещается доступ ко всем, в том числе и им же,  созданным ранее всеми приложениями доверенным размеченным файлам (к обрабатываемым данным). При сохранении файла, обрабатываемого в песочнице, его разметка не изменяется (при следующем прочтении соответствующий процесс опять же будет помещаться в песочницу). Таким образом, приложение, зараженное прочтением критичного файла, не получит доступ к доверенным файлам.

Режимы обработки файлов в песочнице.

1.    При открытии критичного файла,  доступ к доверенным файлам становится невозможен. Критичные файлы обрабатываются изолированно – имеют доступ только к критичным файлам.

2.    При открытии доверенного файла, далее может быть открыт как доверенный, так и критичный файл (эти документы можно обрабатывать вместе, в том числе копировать текст между документами). При открытии критичного, доступ к доверенным запрещается, при сохранении любого открытого файла, будет предложено создать новый файл, который унаследует разметку критичного файла.

Зараженное при прочтении критичного фала приложение не сможет получить доступ к обрабатываемым  доверенным данным.

Отметим, что реализация контроля доступа к создаваемым файлам позволяет легко предотвратить доступ к создаваемым интерактивными пользователями файлам (к обрабатываемым ими данным) процессам, запущенным как с правами системного администратора, так и с правами системы (системным процессам и службам).

Как видим, никакого детектирования чего-либо не требуется, что позволяет говорить о возможности эффективной защиты от новых (не известных) угроз атак.

 

Более подробно с реализованной технологией защиты от целевых атак, в том числе, фишинговых, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта в этой части защиты, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

Blog Entry Награды инновационной системы защиты информации КСЗИ «Панцирь+» в 2017 году 27-11-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

КСЗИ «Панцирь+» - это сертифицированная ФСТЭК России СЗИ НСД, решающая в комплексе множество наиболее актуальных современных задач защиты информации, в том числе, она позволяет обеспечить эффективную защиту корпоративных информационных систем от угроз целевых атак, причем в общем виде – без какого-либо детектирования кода, поведения и т.п., что имеет смысл лишь при реализации защиты от массовых атак.

С реализованной технологией защиты от угроз целевых атак, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

КСЗИ «Панцирь+» - это инновационная система защиты, в ней внедрены 8 патентов на изобретение нашей компании.

Как инновационный проект, КСЗИ «Панцирь+» в 2017 году приняла участие и победила в двух престижных конкурсах инновационных проектов.  В обоих случаях жюри по достоинству оценило инновационность и функциональные возможности нашего продукта.

Первый из них - это конкурс «Лучшие 10 ИТ-проектов для нефтегазовой отрасли», проведенный в рамках III ФЕДЕРАЛЬНОГО ИТ-ФОРУМА НЕФТЕГАЗОВОЙ ОТРАСЛИ РОССИИ. КСЗИ «Панцирь+» победила в номинации "Информационная безопасность».

диплом1  

 

Второй конкурс -  это конкурс лучших инновационных проектов в сфере науки и высшего профессионального образования Санкт-Петербурга в 2017 году, который проходил в рамках Петербургского международного инновационного форума 2017 года. Победа одержана в номинации "Лучший инновационный продукт».

 диплом2

 

Страница продукта КСЗИ «Панцирь+» КСЗИ «Панцирь+» КСЗИ «Панцирь+» КСЗИ «Панцирь+» на нашем сайте: http://npp-itb.ru/products/armourp

По ссылке http://npp-itb.ru/images/docs/alldocs/ZUCA.pdf расположен документ с итогами проведенных испытаний КСЗИ «Панцирь+» (пентест), позволяющий оценить все преимущества этой системы защиты информации. Также этот документ может быть полезен компаниям при разработке модели актуальных угроз атак, поскольку в нем рассмотрены наиболее актуальные современные угрозы атак на корпоративную информационную систему.

Blog Entry ООО «НПП «ИТБ» разработала и реализовала новую технологию защиты от целевых атак 23-11-2017 | Комментарии: 0 | Автор: Щеглов Андрей Юрьевич

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так:

1.    Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.

2.    Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.

3.    Эти атаки не носят массовый характер и готовятся достаточно длительный период.

4.    Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.

5.    Для реализации атаки могут использоваться уязвимости нулевого дня.

6.    Как правило, целевые атаки используются для кражи информации, которую легко монетизировать,  либо для нарушения доступности к критически важной информации.

7.    При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.

8.    После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.

Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:

1.    Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.

2.    Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации, что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.

3.    В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.

4.    После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.

Следствие. Детекторы аномалий не позволяют решать задачу защиты  от целевых атак в общем виде, поскольку применительно к целевым (неизвестным)  атакам ими решается задача идентификации этих атак по факту их реализации, уже  с последующей  возможностью защиты от них, но уже как от массовых атак. Защита данными средствами реализуется  не от целевых,  а от массовых атак!

Альтернативный способ защиты, реализуемый современными СЗИ НСД, основан на разграничении прав доступа пользователей к объектам.

Однако использование существующих СЗИ НСД для решения задачи защиты от целевых атак не имеет особого смысла, исходя из того, что угрозу атаки в данном случае несет в себе программа (процесс), а не пользователь. Вместе с тем, именно реализация разграничительной политики доступа (а не детектирование аномалий и вирусов) – это единственный  подход к реализации защиты, который потенциально может обеспечить решение рассматриваемой задачи защиты в общем виде защиту от неизвестных, т.е. целевых, атак.

Именно такой подход к защите реализован в нашем продукте КСЗИ «Панцирь+». Не смотря на то, что КСЗИ «Панцирь+» - это сертифицированная СЗИ НСД, она практически не имеет ничего общего с альтернативными продуктами. Большинство реализованных технических решений, причем именно тех, которые позволяют обеспечивать защиту от целевых атак, компанией запатентовано (внедрены 8 патентов на изобретение).

 

С реализованной технологией защиты, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

human

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex