Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ ООО "НПП "ИТБ" В КСЗИ «Панцирь+» внедрена эффективная технология защиты обрабатываемых в корпоративных информационных системах данных от фишинговых атак
Навигация
 

В КСЗИ «Панцирь+» внедрена эффективная технология защиты обрабатываемых в корпоративных информационных системах данных от фишинговых атак

Автор: Щеглов Андрей Юрьевич опубликовано: 04-12-2017 последнее изменение: 04-12-2017

fishing

КСЗИ «Панцирь+» – это сертифицированная ФСТЭК России СЗИ НСД, одной из задач которой является эффективная защита  корпоративных информационных систем от целевых атак.

Целевые атаки – это хорошо подготовленные атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств, особенностью которых является отсутствие в большинстве случаев возможности их детектирования и детектирования используемых при реализации атаки вредоносных компонентов существующими система защиты.

Именно угрозы фишинговых целевых атак, как наиболее просто реализуемых на практике, наиболее опасны. Именно применительно к конкретным информационным системам (угрозы целевых атак) у злоумышленников имеются в распоряжении большие возможности по использованию различных  методов социальной инженерии.   В результате – миллиардные зафиксированные потери от подобных атак, и потенциальная угроза их стремительного роста!

Фишиговая атак в большинстве случаев реализуется через почтовое вложение, в котором либо передается зараженный файл, либо ссылка на зараженный сайт. В первом случае, приложение, после прочтения вредоносного файла, реализует заложенные в нем действия, во втором случае, с зараженного файла в память компьютера загружается вредоносная активная страница, в результате чего, браузер наделяется соответствующими вредоносными функциями.

Основу построения анти-фишинговой защиты в КСЗИ «Панцирь» составляет использования запатентованного технического решения, реализующего контроль доступа к создаваемым файлам. Каждый файл при создании автоматически размечается, в его альтернативный поток помещаются учетные данные создавшего файл субъекта доступа, в данном случае процесса. Разграничительной политикой доступа определяется, какому субъекту к  файлам, созданным каким субъектом, разрешает доступ, и какой доступ – чтение, запись, исполнении и т.д. Актуальность данного механизма защиты обусловливается тем, что именно в создаваемых файлах хранятся обрабатываемые данные, и именно в создаваемых файлах размещаются записываемые на компьютер вирусы – исполнимые и командные файлы.

Возможности КСЗИ «Панцирь+» в части защиты от фишинговых атак весьма широки, и главным при этом является то, что задача защиты решается в общем виде – не требуется какого-либо детектирования чего-либо, что мало актуально для защиты от целевых атак.

Рассмотрим некоторые из этих возможностей.

1.    Любому субъекту доступа (любому процессу) запрещается исполнение любого создаваемого файла, а командным интерпретаторам и чтение любого создаваемого файла.

2.    Браузеру запрещается любой доступ к созданным на компьютере данным иными приложениями.

3.    Только требуемым приложениям разрешается доступ к сохранению и/или открытию почтовых вложений, т.к. существуют приложения с потенциально опасными возможностями, например, архиватор WinRar сохраняет вместе с файлом альтернативный поток, в котором может быть размещен исполнимый, либо командный файл, не видимый пользователю. Целесообразно запретить доступ к почтовым вложения различных приложений.

Это, своего рода, статичные «песочницы» для корпоративных информационных систем, предполагающие реализацию ограничений на обработку данных потенциально опасными приложениями.

Реализация в КСЗИ «Панцирь+» динамической песочницы состоит в следующем.

Ограничивается доступ к созданным (размеченным) файлам, т.е. к обрабатываемым данным, при открытии приложением  с высокой вероятностью зараженного файла (критичного файла), например, полученного по электронной почте в виде вложения. Процесс, открывающий такой файл, автоматически помещается в песочницу – ему запрещается доступ ко всем, в том числе и им же,  созданным ранее всеми приложениями доверенным размеченным файлам (к обрабатываемым данным). При сохранении файла, обрабатываемого в песочнице, его разметка не изменяется (при следующем прочтении соответствующий процесс опять же будет помещаться в песочницу). Таким образом, приложение, зараженное прочтением критичного файла, не получит доступ к доверенным файлам.

Режимы обработки файлов в песочнице.

1.    При открытии критичного файла,  доступ к доверенным файлам становится невозможен. Критичные файлы обрабатываются изолированно – имеют доступ только к критичным файлам.

2.    При открытии доверенного файла, далее может быть открыт как доверенный, так и критичный файл (эти документы можно обрабатывать вместе, в том числе копировать текст между документами). При открытии критичного, доступ к доверенным запрещается, при сохранении любого открытого файла, будет предложено создать новый файл, который унаследует разметку критичного файла.

Зараженное при прочтении критичного фала приложение не сможет получить доступ к обрабатываемым  доверенным данным.

Отметим, что реализация контроля доступа к создаваемым файлам позволяет легко предотвратить доступ к создаваемым интерактивными пользователями файлам (к обрабатываемым ими данным) процессам, запущенным как с правами системного администратора, так и с правами системы (системным процессам и службам).

Как видим, никакого детектирования чего-либо не требуется, что позволяет говорить о возможности эффективной защиты от новых (не известных) угроз атак.

 

Более подробно с реализованной технологией защиты от целевых атак, в том числе, фишинговых, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта в этой части защиты, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex