- Функциональные возможности
- Механизм управления
- Политики безопасности
- Защита входа в систему
- Разграничение доступа
- Отчеты и журналы
- Документация Secret Net
- Версия Secret Net 7 (пакет обновлений 7)
- Дополнительные инструкции для Secret Net 7
- Защита от распространения злоумышленника по сети
- Гибкость при выборе платформы
- Легкость изменений среды
- Сертификация Secret Net Studio и соответствие требованиям законодательства
- Архитектура Secret Net Studio
- Реализация масштабируемости в Secret Net Studio
- Системные требования Secret Net Studio
- Функциональные возможности Secret Net Studio
- Механизмы защиты для противодействия атакующим
- Защита данных от несанкционированного доступа
- Антивирусная защита и обнаружение вторжений
- Шифрование данных
- Централизованное управление и мониторинг событий
- Совместимость
- Выводы
Функциональные возможности
Secret Net Studio — это высокотехнологичный программный продукт, который предлагается в двух версиях:
Модульное решение SNS ориентировано на надежную защиту IT-инфраструктуры на пяти уровнях. Речь идет о защищенности:
Перечень функций Secret Net Studio весьма обширен. Среди них:
Механизм управления
СЗИ от МСД Secret Net Studio может работать как в автономном, так и в сетевом режиме. В первом случае все настройки ПО задаются администратором системы, а управление механизмами безопасности осуществляется локально. При этом определенные параметры работы интегрируются в операционную систему Windows, а потому настраиваются во вкладке проводника.
Что до сетевого режима, то он предусматривает централизованное взаимодействие с событиями безопасности и управление защитными механизмами СЗИ. Это достигается путем формирования двух моделей данных в глобальном каталоге, а именно для ПК с 32-разрядной и 64-разрядной ОС, что позволяет учитывать специфику программного обеспечения разных платформ, установленных на рабочих станциях.
Сервера безопасности Secret Net Studio поддерживают подчиненные иерархические структуры, а также резервирование и разграничение прав администраторов, дают возможность выстраивать сложные инфраструктуры.
Централизованное управление осуществляется в режимах мониторинга и конфигурирования. В первом случае ведется работа с отчетами и событиями, а также политиками механизмов защиты, тогда как во втором – с иерархией систем, находящихся под защитой.
Политики безопасности
Secret Net Studio позволяет проводить инициализацию гибкой системы управления посредством формирования групп серверов или ПК, создания политик безопасности для конкретных групп, серверов безопасности или подразделений:
Рассматриваемые СЗИ проводят сканирование и проверку параметров ИБ по установленному расписанию. При этом все критерии проверки системы задаются администратором.
Если сканирование пропущено, к примеру, из-за выключенного ПК, проверка запускается принудительно сразу после следующего подключения рабочей станции к сети.
Защита входа в систему
Secret Net обеспечивает усиленную защиту входа пользователей в систему, используя как материнские СЗИ, обеспечивающие парольную аутентификацию, так и стороннее ПО, позволяющее формировать двухфакторную аутентификацию. В последнем случае применяются аппаратные идентификаторы вроде Ibutton, eToken, Jakarta, «Рутокен» и т.д.
Идентификаторы получают все пользователи, после чего они могут входить в систему после введения кода безопасности или подключения идентификатора к ПК.
Для обеспечения максимального уровня защиты СКИ блокируют сеть, если компьютер долго не используется. При этом пользователи могут выбрать период включения блокировки самостоятельно при помощи средств ОС, а также установить запрет несанкционированного вызова или вторичного входа в систему. О том, как это делается, написано в инструкции по настройке ПО и применению системы защиты, которая поставляется в сопроводительной документации или в руководстве администратора.
Разграничение доступа
В Secret Net Studio предусмотрено полномочное и дискреционное управление доступом. Второй вариант подразумевает присвоение конкретному пользователю собственных папок, тогда как первый гарантирует контроль сетевых интерфейсов и печати конфиденциальных документов, использование устройств с заданными категориями секретности. При этом задать можно до 16 уровней конфиденциальности.
Строгое соответствие требованиям полномочного доступа обеспечивается активацией контроля потоков конфиденциальной информации в системе.
Отчеты и журналы
Secret Net Studio фиксирует и сохраняет все события безопасности на локальную рабочую станцию. Центр управления осуществляет централизованный сбор журналов по заданным настройкам, что позволяет проводить анализ состояния системы.
Несанкционированный доступ — это критичное событие безопасности, которое попадает в специальную вкладку. Собираются такие события моментально, а не по расписанию. При этом они поступают как сигнал тревоги, что требует от службы безопасности оперативной реакции для отслеживания и фильтрации угроз на серверах в реальном времени.
Работать с событиями НСД одновременно могут несколько администраторов системы Secret Net. Этому способствует реализованный механизм квитирования.
Параллельно с журналом критических событий ведется журнал действий пользователей. В Secret Net есть и механизм отчетов, которые создаются по электронным идентификаторам или ресурсам рабочего места.
Эксперты по ИБ отмечают такие преимущества Secret Net Studio:
Лицензирование Secret Net Studio выполняется по количеству компонентов защиты и ПК в сети, а также периоду действия лицензий. Покупатель может выбрать только необходимые механизмы безопасности, которые лицензируются отдельно. Добавить новые можно в любое время.
Сегодня Secret Net Studio активно используется для аттестации информационных систем финансово-кредитных организаций и банков, а также структур, где требуется обработка персональных данных или иной конфиденциальной информации в соответствии с требованиями ФСБ и ФСТЭК.
Secret Net Studio отвечает требованиям программы импортозамещения, является сертифицированным программно-аппаратным решением, включенным в Единый реестр отечественного ПО для баз данных Минсвязи РФ.
Документация Secret Net
Представленные здесь документы входят в комплект поставки изделия. На них распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании «Код Безопасности» эти документы или их части в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этих документах, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании-разработчика.
Версия Secret Net 7 (пакет обновлений 7)
ReleaseNotes.pdf — Данный документ содержит описание новых возможностей СЗИ Secret Net 7 версии 7.7.635.0 по сравнению с версиями 7.6.604.0, 7.5.586.0, 7.4.577.0, 7.3.562.0, 7.2.515.0, 7.0.460.16, 7.0.460.0 и 6.5.333.53, а также особенностей и ограничений, которые необходимо учитывать при эксплуатации системы.
Дополнительные инструкции для Secret Net 7
Единая политика безопасности масштабируется на все конечные точки сети и снижает вероятность атак, связанных с неправильной настройкой системы защиты.
Защита от распространения злоумышленника по сети
Фильтрация сетевых потоков ограничивает возможности злоумышленника по распространению внутри сети и повышает уровень её защиты.
Гибкость при выборе платформы
За счет отвязки механизмов защиты от операционной системы значительно расширяется набор возможных дистрибутивов для организации рабочих мест и серверов.
Легкость изменений среды
Реализация механизмов безопасности отдельным средством защиты значительно облегчает настройку и обновление отдельных компонентов ОС.
При решении задачи по обеспечению безопасности предприятия одним из основных моментов является вопрос защиты корпоративной сетевой инфраструктуры. Традиционно, сетевая инфраструктура организации включает в себя локальную вычислительную сеть, корпоративную сеть передачи данных между офисами, а также периферийные устройства и компьютеры. К последним в том числе относятся рабочие станции сотрудников и серверы, защита которых зачастую является высокоприоритетной задачей, как и контроль за безопасностью подключений ко внутренним корпоративным системам в целом.
С развитием информационных технологий в мире, традиционное определение корпоративной сети меняется. Теперь важные системы и данные могут располагаться в облаках, причём как в публичных, так и в частных, а сотрудники могут работать удалённо и находиться при этом в любом месте земного шара, где есть доступ в интернет. В последнее десятилетие границы сетевого периметра организации всё больше размываются, и на смену старым подходам к защите ИТ-инфраструктуры приходят более гибкие, позволяющие эффективно адаптироваться к новой реальности и противодействовать широкому спектру угроз.
Так, обновлением классического «периметрального» подхода стала модель «нулевого доверия» (Zero Trust Architecture, Zero Trust Network Access, она же ZTNA). В основе концепции лежит идея «недоверия по умолчанию», то есть отсутствия или минимизации областей «подразумеваемого» доверия или пользователей как внутри корпоративной сети, так и за её пределами.
В прошедшем году мы проводили онлайн-конференцию AM Live «Сетевой доступ с нулевым доверием», где эксперты обсудили как само понятие ZTNA и базовые принципы этого подхода, так и технические аспекты, связанные с его внедрением в действующую инфраструктуру.
Российская компания «Код Безопасности» предлагает собственную систему Secret Net Studio для защиты корпоративной ИТ-инфраструктуры, данных и доступа к сети. Оно разработано с учётом принципов архитектуры «нулевого доверия», описанных в NIST 800-207; в частности, поддерживается синхронизированный, но отделённый от Active Directory каталог пользователей для авторизации, дублирующие механизмы разграничения доступа независимо проверяют права доступа конкретного пользователя к конкретному файлу, обеспечивается постоянный независимый контроль целостности ключевых компонентов ОС, обеспечивается постоянный мониторинг среды и т. д. Для сетевого доступа к защищаемому ресурсу пользователь или устройство сначала проходит процедуру аутентификации, а уже после этого выполняется подключение.
Совместно с «Континентом 4» Secret Net Studio обеспечивает целостную защиту и разграничение доступа в сетевой инфраструктуре.
В 2016 году мы публиковали подробный обзор Secret Net Studio версии 8.1, состоявший из двух частей («Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы», «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга»). В текущем обзоре мы детально рассмотрим новую версию 8.8 и произошедшие в ней изменения.
Сертификация Secret Net Studio и соответствие требованиям законодательства
Secret Net Studio как комплексное средство обеспечения безопасности было включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 3855). В том же году был получен сертификат соответствия ФСТЭК России № 3745 (продлён в 2020 году, действителен до 16 мая 2025 года). Успешное прохождение сертификации позволяет использовать Secret Net Studio для защиты:
Предыдущие версии Secret Net Studio успешно прошли проверку ФСБ России (сертификат СФ/СЗИ-0288) на соответствие требованиям к средствам защиты информации ограниченного доступа, не содержащей сведений составляющих государственную тайну, от несанкционированного доступа по классам защиты АК3. Сейчас новая версия также находится на сертификации ФСБ России, но уже по классу защиты АК5, получение сертификата ожидается весной 2022 года.
Также Secret Net Studio можно использовать на объектах информатизации Министерства обороны России согласно заключению 317/6/610, действующему до декабря 2024 года.
Архитектура Secret Net Studio
Secret Net Studio имеет классическую клиент-серверную архитектуру. Далее мы приведём описание компонентов комплекса.
Клиент — это программа, которая устанавливается на каждое контролируемое устройство (сервер или рабочую станцию) и реализует установленные механизмы защиты как относительно самого устройства, так и в вопросах подключения и использования корпоративных ресурсов.
Клиент на устройстве может работать в двух режимах: автономном, при котором управлять защитными механизмами можно только локально, и сетевом, когда возможно и локальное, и централизованное управление механизмами защиты. Второй режим также предусматривает взаимодействие с центром управления для синхронизации информации о состоянии устройства, его изменения, а также установки различных обновлений.
Сервер безопасности решает задачи по централизованному управлению клиентскими системами при использовании Secret Net Studio в сетевом режиме работы. Так, сервер безопасности отвечает за обработку и хранение информации о состоянии других компонентов системы и клиентов, координирует порядок взаимодействия и работы этих компонентов и реализует функции контроля и управления Secret Net Studio.
Сервер аутентификации реализует механизмы удостоверения подлинности пользователей и контролируемых устройств, а также обеспечивает работу механизмов межсетевого экранирования на клиентских системах и защищаемых ресурсах.
Центр управления — это инструмент администрирования всех компонентов Secret Net Studio, включая серверную часть и клиентские машины. Администратор может управлять пользователями, защищаемыми устройствами и ресурсами, а также просматривать информацию о состоянии контролируемых или защищаемых систем и о различных событиях в инфраструктуре.
Сервер обновлений используется для того, чтобы централизованно отправлять новые антивирусные сигнатуры, дополнения к базам правил и опасных веб-ресурсов (для межсетевых экранов и систем обнаружения вторжений) на клиентские устройства.
Реализация масштабируемости в Secret Net Studio
Для обеспечения хорошей горизонтальной масштабируемости Secret Net Studio можно использовать такие механизмы, как объединение лесов доменов безопасности или иерархия подчинённости сервера безопасности, а также создавать каскады серверов обновлений. Рассмотрим далее эти возможности подробнее.
Объединение лесов безопасности. Secret Net Studio позволяет организовать иерархическую структуру лесов доменов безопасности на основе связанных и несвязанных лесов доменов Windows Active Directory (AD). Леса объединяются родительским сервером и совокупно называются федерацией. Администратору, работающему с сервером, предоставляются следующие возможности по управлению защищаемыми компьютерами из дочерних лесов безопасности:
Иерархия подчинённости серверов безопасности. Сервер безопасности реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены компьютеры с установленным клиентом Secret Net Studio, машины под управлением ОС семейства Linux с установленным ПО Secret Net LSP, а также другие серверы безопасности.
В один лес независимо от количества серверов безопасности в нём рекомендуется включать не более 15 000 функционирующих клиентов. Одному серверу безопасности рекомендуется подчинять не более 1 500 функционирующих клиентов.
Каскадирование серверов обновлений. Внутри компании создаётся каскад серверов, в котором один, корневой, скачивает обновления с сервера компании «Код Безопасности», а остальные, дочерние, — с корневого или с других дочерних. Таким образом с основного сервера снимается нагрузка при обслуживании большого числа клиентов.
Системные требования Secret Net Studio
Подробные требования к аппаратному и программному обеспечению, необходимые для установки компонентов Secret Net Studio, приведены на вкладке «Системные требования» официальной страницы продукта. Отметим, что при развёртывании SNS в сетевом режиме функционирования используемые устройства должны быть введены в домен Active Directory.
Функциональные возможности Secret Net Studio
Поскольку в обзоре 2016 года функциональные возможности Secret Net Studio уже были детально описаны, мы перечислим все основные функции и механизмы защиты, реализованные в новой версии продукта, но подробно рассмотрим только новые возможности и внесённые изменения.
Также мы остановимся на вопросах совместимости с различным программным обеспечением, особенно сторонним, потому что значительная часть изменений и улучшений связана именно с реализацией поддержки и возможностей взаимодействия с продуктами других организаций в сферах информационной безопасности, виртуализации или ИТ в целом.
Весь набор функциональных возможностей, реализуемых Secret Net Studio, разделяется на пять основных логических категорий, о которых мы поговорим далее.
Механизмы защиты для противодействия атакующим
В Secret Net Studio реализованы механизмы защиты, противодействующие активности потенциальных злоумышленников на разных стадиях кибератак. Рассмотрим несколько упрощённую модель атаки. Условно, она состоит из проникновения в инфраструктуру, распространения и продвижения по сети с компрометацией всё большего количества систем и устройств, а также финального этапа, когда атакующий уже достиг своих целей. Последний этап также характеризуется максимальным ущербом для организации, связанным как с репутационными рисками (например, при краже конфиденциальной или секретной информации), так и с финансовыми потерями (очевидный пример здесь — это последствия активности шифровальщиков, которые требуют выкуп за расшифровку данных). Кроме того, хакеры могут вмешиваться в бизнес-процессы, последствия чего предсказать не так просто.
Таблица 1. Механизмы защиты, реализованные в Secret Net Studio, для разных стадий кибератак
По данным компании «Код Безопасности», Secret Net Studio может выявлять кибератаки на любой стадии (в соответствии с глобальной базой знаний MITRE ATT&CK) и в некоторых случаях им противодействовать. Однако заметим, что доля отслеживаемых техник, которые используют атакующие на разных стадиях, не превышает 60 % для каждой из тактик, а для некоторых — даже 10 %.
Рисунок 1. Обнаружение техник злоумышленников на разных стадиях кибератак с помощью Secret Net Studio
Защита данных от несанкционированного доступа
Защита информации от НСД обеспечивается широким набором функций — от ограничения прав доступа (включая различные политики по управлению доступом на основе групп, федераций и меток), различных способов аутентификации контроля устройств и печати до теневого копирования и даже намеренного уничтожения данных.
Антивирусная защита и обнаружение вторжений
В эту категорию включены антивирусное ядро для поиска вредоносных программ и подозрительного сетевого трафика с помощью сигнатурных и поведенческих методов, эмулятор угроз (песочница), почтовый антивирус и средства по обнаружению и предотвращению вторжений. Также реализована автоматическая блокировка узлов, с которых ведётся зафиксированная вредоносная деятельность, что позволяет остановить возможного злоумышленника на начальном этапе.
Шифрование данных
Шифрование данных логически разделено на несколько механизмов по типу того, что нужно защитить. Реализовано шифрование файлов и папок с помощью криптоконтейнеров, то есть специально созданных файлов, подключаемых к системе в качестве логического диска с различными правами: на чтение, на полный доступ к данным и с возможностью управлять самим криптоконтейнером.
Важным нововведением версии Secret Net Studio 8.8 стало полнодисковое шифрование. Обычно при использовании последнего невозможно контролировать целостность объектов жёсткого диска до загрузки ОС. Отличительной особенностью Secret Net Studio 8.8 является возможность интеграции с аппаратно-программным модулем «Соболь» для доверенной загрузки и контроля целостности зашифрованных разделов. При этом доступны четыре варианта полнодискового шифрования в зависимости от того, кто шифрует и где хранится информация для возможности восстановления данных, если по каким-то причинам утерян пароль:
Рисунок 2. Мастер шифрования дисков Secret Net Studio
Рисунок 3. Загрузчик Secret Net Studio (запрос пароля для доступа к зашифрованному диску)
Централизованное управление и мониторинг событий
Централизованное управление и мониторинг событий как категория включает в себя обширный набор функций администрирования всей инфраструктуры, включая серверы безопасности и аутентификации, клиенты Secret Net Studio (системы под управлением операционной системы Windows) и клиенты Secret Net LSP (системы под управлением ОС Linux). Также сюда относятся задачи журналирования событий, отчётность по ним, мониторинг состояния компонентов инфраструктуры и оповещения о подозрительных или нарушающих политики безопасности событиях, правила межсетевого экранирования.
В качестве ключевых функций здесь укажем возможности развёртывать компоненты Secret Net Studio, устанавливать исправления (патчи) и обновления, а также активировать механизм защиты дисков от несанкционированного доступа централизованно. Кроме того, в новой версии на клиентские машины можно отправлять кумулятивные патчи и применять их пакетно (устанавливать сразу набор обновлений, как обычных, так и кумулятивных).
Далее перейдём ко второй части рассматриваемой категории функций: мониторингу событий и возможностям по оперативному реагированию. Начнём с того, что оповещения о событиях «тревоги» (то есть ИБ-событиях разной степени важности) теперь могут отображаться на панели задач Windows, а также отправляться по почте блоками на основе типов событий, а не отдельными сообщениями. Также была переработана основная страница центра управления Secret Net Studio, на которой отображается общая статистика событий тревоги в инфраструктуре.
Рисунок 4. Страница «Статистика» центра управления Secret Net Studio
Также можно самостоятельно создавать шаблоны настроек компонентов Secret Net Studio и параметров безопасности и проверять, соответствуют ли они требованиям регуляторов.
Рисунок 5. Меню «Шаблоны» центра управления Secret Net Studio
Рисунок 6. Предустановленный шаблон для ИСПДн 1 УЗ (центр управления Secret Net Studio)
Рисунок 7. Сравнение созданного шаблона с предустановленным для ИСПДн 1 УЗ (центр управления Secret Net Studio)
Совместимость
Secret Net Studio можно использовать совместно с другими программными решениями и продуктами, дополняя функциональные возможности первого и формируя комплексную систему для защиты инфраструктуры в соответствии с потребностями конкретной организации. Подробная информация о совместимости Secret Net Studio с другим программным обеспечением доступна в документе «Сведения о совместимости с другим ПО» на официальном сайте компании.
Выводы
В новой версии комплексного средства Secret Net Studio 8.8 для защиты данных, серверов и рабочих станций от несанкционированного доступа были обновлены и доработаны как функциональные возможности, так и архитектура.
Среди основных функциональных нововведений Secret Net Studio отметим добавление полнодискового шифрования, совместимого с модулями доверенной загрузки операционных систем; предустановленные шаблоны параметров безопасности для обеспечения соответствия системы требованиям российского законодательства; пакетную установку обновлений на клиентские системы.
Однако значительно доработаны были и другие функции, например в части межсетевого экранирования, администрирования компонентов Secret Net Studio, мониторинга и оперативного реагирования на события в инфраструктуре, а также визуальной составляющей центра управления.
Обновление архитектуры связано с отделением сервера аутентификации от сервера безопасности в составе комплекса. Тем самым были расширены возможности горизонтального масштабирования инфраструктуры за счёт дифференциации функций по нескольким серверам. Таким образом стало возможным внедрение Secret Net Studio в организациях любого размера.