“”/
актуальные новости и полезные материалы в telegram канале
 
Вход
28 декабря 2023


Статья 1. Обзор Secret Net Studio 8.10 и функциональные возможности продукта

Цикл «Знакомство с SNS и SN LSP»
Введение
Приветствуем вас в новом цикле статей «Знакомство с SNS и SN LSP» на образовательном портале TS University! Первая статья будет посвящена обзору продукта от отечественного разработчика Код Безопасности: Secret Net Studio, предназначенного для защиты и контроля безопасности конечных точек.

В этом материале мы будем рассматривать актуальную сертифицированную версию Secret Net Studio 8.10.

Данное решение осуществляет защиту рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийных устройств.

Secret Net Studio обеспечивает:
  • Защиту рабочих станций и серверов от вирусов и вредоносных программ;
  • Защиту от сетевых атак;
  • Защиту от подделки и перехвата сетевого трафика внутри локальной сети;
  • Защиту информации от несанкционированного доступа;
  • Разграничение доступа к конфиденциальной информации;
  • Защиту от кражи информации при утере носителей;
  • Контроль утечек и каналов распространения защищаемой информации;
  • Защиту от действий инсайдеров
Соответствие требованиям регуляторов
Продукт Secret Net Studio 8.10 имеет сертификат ФСТЭК России и соответствует требованиям:
  • 5 класс защищенности СВТ;
  • 4 класс контроля НДВ;
  • 4 класс защиты СКН;
  • 4 класс защиты САВЗ;
  • 4 класс защиты СОВ;
  • 4 класс защиты МЭ тип «B»

Соответствие этим требованием обеспечивает использование данного решения для защиты следующих информационных систем:
  • ЗОКИИ до 1 категории включительно;
  • ГИС до К1 включительно;
  • ИСПДн до УЗ1 включительно;
  • АСУ ТП до К1 включительно

Использование Secret Net Studio 8.10 позволяет выполнять требования:
  • Более 60% всех мер защиты ЗОКИИ (Приказ ФСТЭК России № 239)
  • Более 50% всех требований по защите ГИС (Приказ ФСТЭК России № 17)
  • Более 50% всех требований по защите ИСПДн (Приказ ФСТЭК России № 21)

В решении реализованы шаблоны настроек, позволяющие в короткие сроки привести систему в соответствие требованиям законодательства РФ.

Шаблоны можно назначать централизованно: как для группы однотипных объектов (серверы безопасности в одном домене или клиенты, подчиненные одному и тому же серверу), так и для определенных хостов.

Имеется возможность сравнить текущее состояние системы с шаблонами для анализа соответствия требованиям регуляторов:
Помимо шаблонов на соответствие требованиям регуляторов и шаблона по умолчанию, Secret Net Studio также может создавать собственные шаблоны на основании настроек для конкретного объекта управления.
Лицензирование
В Secret Net Studio предусмотрена система лицензирования по уровням защиты:

  • Оптимальная защита: присутствуют модули «Защита от НСД», «Контроль устройств», «Антивирус», «Обнаружение и предотвращение вторжений» (лицензия на 1 или 3 года);
  • Постоянная защита: включены модули «Защита от НСД», «Контроль устройств», «Защита дисков и шифрование контейнеров», «Персональный межсетевой экран», «Песочница», «Полнодисковое шифрование» (Бессрочная лицензия);
  • Дополнительная защита: включены модули «Антивирус», «Обнаружение и предотвращение вторжений» (лицензия на 1 или 3 года, может быть приобретена только в дополнение к другому набору лицензий);
  • Максимальная защита: включены все модули (лицензия на 1 или 3 года)
Функциональные возможности Secret Net Studio 8.10
  1. Защита данных
В программном комплексе Secret Net Studio защита данных может обеспечиваться с помощью их шифрования в криптоконтейнерах. В создаваемых криптоконтейнерах могут размещаться конфиденциальные документы, которые будут защищены от утечек информации при попытках несанкционированного доступа.

Реализован механизм полнодискового шифрования, предотвращающий попытки несанкционированного доступа к конфиденциальной информации, хранящейся на этих дисках. Поддерживается шифрование системных и несистемных разделов жестких дисков со структурой разделов GPT и режимом загрузки UEFI, а также шифрование несистемных разделов жестких дисков со структурой разделов MBR.

В продукт включен механизм контроля печати, позволяющий разграничивать доступ пользователей к принтерам, выводить на печать документы только с определенной категорией конфиденциальности и автоматически добавлять им грифы. Это предотвращает несанкционированный вывод конфиденциальных документов на печать.
Помимо этого, для защиты данных может применяться механизм теневого копирования, который создает дубликат данных, выводимых на съемные носители информации. Теневое копирование может использоваться для расследования инцидентов, а также быстрого восстановления данных в случае их удаления. Оно поддерживается для подключаемых сменных дисков, дисководов, гибких дисков, дисководов оптических дисков с функцией записи и принтеров.

Дубликаты сохраняются в защищенном хранилище теневых копий, доступ к которому имеют только уполномоченные пользователи, с помощью Локального центра управления. Сам механизм настраивается администратором в Центре управления. При настройке определяется контроль заполнения хранилища, а также включение или отключение действия механизма для устройств и принтеров.

Для исключения возможности доступа к конфиденциальной информации, оставшейся в памяти или на временно используемых носителях, предусмотрено использование механизма затирания удаляемой информации. Гарантированное уничтожение достигается путем записи случайных последовательностей чисел на место удаленной информации в освобождаемой области памяти.

Варианты затирания информации:
  • Автоматическое затирание данных с устройств;
  • Затирание по команде из контекстного меню для файловых объектов, выбранных пользователем;
  • Затирание всех данных на локальных дисках и сменных носителях, подключенных к защищаемому компьютеру, по команде из контекстного меню Secret Net Studio в панели задач Windows
Для разграничения доступа пользователей к конфиденциальной информации применяются механизмы дискреционного и полномочного разграничения доступа.

Дискреционное управление доступом к ресурсам файловой системы разграничивает доступ пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа. Права доступа для файлового объекта могут быть заданы явно или наследоваться от вышестоящего элемента. Настройку механизма можно проводить как централизованно через групповые политики, так и локально.

По умолчанию в механизме полномочного управления доступом используются следующие категории конфиденциальности: "Неконфиденциально", "Конфиденциально" и "Строго конфиденциально". При необходимости количество и названия категорий конфиденциальности можно изменить, исходя из потребностей организации. Максимально возможное количество категорий — 16.

Доступ пользователя к ресурсам разрешается, если его категория конфиденциальности не ниже категории конфиденциальности ресурса. Наивысший уровень допуска позволяет открывать файлы с любой категорией конфиденциальности.

Подсистема полномочного управления доступом может работать в режиме контроля потоков. В этом случае использование устройств определяется уровнем конфиденциальности сессии, который устанавливается при входе пользователя в систему и не может превышать уровень допуска пользователя.

Все пользователи работают в рамках своих сессий с определенным уровнем конфиденциальности. Выполнение операций с документами приводит к присвоению документу категории конфиденциальности, равной уровню сессии. Таким образом предотвращается несанкционированное копирование или перемещение конфиденциальной информации.

2.Защита системы

Механизм контроля устройств позволяет настроить использование только разрешенных и проверенных устройств, включенных в списки. Эталонный список устройств создается после установки ПО Secret Net Studio во время первой загрузки ОС. Он хранится в локальной базе данных системы Secret Net Studio и загружается в локальной политике каждого из объектов
.
В списке устройства делятся на классы, которые, в свою очередь, входят в группы устройств. Применять параметры можно как для отдельных устройств, так и для классов и групп. В некоторых случаях классы могут разбиваться по моделям устройств, поэтому в продукте есть возможность управлять устройствами одной модели без настройки параметров по отдельности каждого из устройств.

Контроль устройств поддерживается для следующих групп:
  • Локальные устройства:включает в себя фиксированные устройства компьютера, для которых не предполагается ограничивать подключение (процессор, оперативная память, последовательные и параллельные порты);
  • Устройства USB;
  • Устройства PCMCIA;
  • Устройства IEEE1394;
  • Устройства Secure Digital;
  • Сеть: включает в себя устройства, являющиеся сетевыми интерфейсами (адаптеры)
Для контроля состава и целостности ПО, установленного на компьютерах, используется механизм «Паспорт ПО». Его принцип основан на сканировании исполняемых файлов и расчета их контрольных сумм. Распознавание осуществляется по расширениям имен. Сканирование может выполняться по расписанию или по команде пользователя.

После сканирования полученные данные о состоянии программной среды защищаемого компьютера загружаются на сервер безопасности и получают статус проекта паспорта для компьютера. При необходимости проект паспорта можно утвердить, а также собрать новые данные, которые будут сравниваться с утверждённым ранее паспортом.

За неизменность контролируемых объектов отвечает механизм контроля целостности. При его настройке рассчитываются эталонные значения. Действие механизма основано на сравнении этих значений с текущими значениями контролируемых параметров проверяемых ресурсов. При обнаружении несоответствия текущих значений эталонным система оповещает администратора о нарушении целостности ресурсов и выполняет заданные при настройке действия.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра, а также секторы дисков, PCI-устройства и структуры SMBIOS (только при использовании ПАК "Соболь"). Каждый тип объектов имеет свой набор контролируемых параметров.
Настройка механизма выполняется в программе «Контроль программ и данных». Она может работать в централизованном и локальном режимах.

Кроме того, помимо контроля целостности ресурсов, в ней можно настраивать работу механизма замкнутой программной среды. Данный механизм разрешает доступ только к заранее определенным программам, ограничивая использование ПО на компьютере. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки, сценарии. Запуск других ресурсов блокируется с регистрацией события НСД в журнале Secret Net Studio.

В продукте реализован механизм обнаружения и предотвращения вторжений, который может настраиваться с помощью групповых и локальных политик.

В его функции входят:

  • Детекторы сетевых атак
    Блокируют внешние атаки, фильтруя входящий трафик. Функционируют на канальном, сетевом и транспортном уровнях
  • Сигнатурный анализ
    Контролируют входящий и исходящий сетевой трафик на наличие элементов, зарегистрированных в базе решающих правил или базе опасных веб-ресурсов
  • Блокировка телеметрии Windows
    Блокирует сбор данных о системе средствами ОС Windows
  • Контроль сетевых адаптеров
    Осуществляет контроль включения неразборчивого режима
Компонент «Антивирус» проверяет файлы сигнатурными и эвристическими методами поиска вредоносного ПО. Сканируются жесткие диски компьютера, внешние запоминающие устройства, сетевые папки и другие объекты при выборе соответствующего профиля сканирования. Имеется возможность запустить сканирование из контекстного меню проводника Windows, а также задать расписание проверок.

Механизм Безопасной среды позволяет запускать недоверенное программное обеспечение в изолированной среде. На основании проведенного анализа работы программы она добавляется в черный или белый список. Неизвестное ПО может запускаться как пользователями, так и администраторами в программе «Безопасная среда».

3.Защита сетевого доступа

Подсистема межсетевого экранирования обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях.
Фильтрация трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi- Fi (IEEE802.11b/g/n).

Среди функций механизма реализовано:
  • Фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
  • Фильтрация пакетов служебных протоколов, необходимых для диагностики и управления работой сетевых устройств;
  • Фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
  • Фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
  • Фильтрация на прикладном уровне запросов к прикладным сервисам;
  • Фильтрация с учетом полей сетевых пакетов;
  • Фильтрация с учетом даты/времени суток

Если включен механизм авторизации соединений, то к сетевым пакетам добавляется специальная служебная информация, обеспечивающая целостность и аутентичность передаваемых данных. Авторизация осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n).

Подсистема авторизации сетевых соединений обеспечивает:
  • Получение с сервера авторизации правил авторизации соединений (список параметров соединений, в которые добавляется служебная информация);
  • Получение с сервера авторизации сессионных данных для добавления служебной информации;
  • Добавление в сетевой трафик специальной служебной информации для пакетов, удовлетворяющих правилам авторизации;
  • Разбор специальной служебной информации во входящих пакетах и передачу информации о контексте удаленного пользователя в подсистему межсетевого экранирования для фильтрации по правилам
4.Централизованное управление и мониторинг

Системой защиты можно управлять централизованно и локально. Локальное управление осуществляется непосредственно на компьютере пользователя. Централизованное управление осуществляется с рабочего места администратора на компьютере с установленными средствами централизованного управления (Центр управления, Программы «Управление пользователями» и «Контроль программ и данных»).

Для настройки параметров защищаемых компьютеров применяются групповые и локальные политики.

Параметры групповых политик задаются в Центре управления.

Локальная политика имеет наименьший приоритет, в которой по умолчанию заданы стандартные параметры. В дополнение к ней можно централизованно настроить общие параметры для всех компьютеров в политиках домена, организационного подразделения или сервера безопасности.

Из Центра управления администратор безопасности может настраивать параметры защиты и управлять как централизованно, так и индивидуально каждым защищаемым компьютером.

Администратору доступно выполнение команд оперативного управления. В Центре управления на каждом компьютере можно просматривать информацию о текущих пользовательских сессиях и при необходимости завершать их. Включенные компьютеры могут удаленно блокироваться администратором. На них так же можно удаленно обновлять групповые политики.

На вкладке «Состояние» каждого компьютера отображается состояние активности защитных механизмов. Из Центра управления их можно оперативно включать и выключать, а также выполнять дополнительные настройки. Кроме того, для защищаемых компьютеров можно удаленно утверждать изменения их аппаратной конфигурации и запускать процессы передачи локальных журналов в базу данных сервера безопасности.

В разделе «Статистика» Центра управления расположены виджеты, дающие сведения об общем состоянии защищенности системы:
Виджеты можно добавлять, перемещать и удалять, а также редактировать их параметры. В Центре управления администратор безопасности информируется о событиях тревоги. Далее их можно квитировать, добавив комментарии, в которые можно включить описание причин и принятые меры
.
Secret Net Studio может интегрироваться с программно-аппаратным комплексом «Соболь» который обеспечивает дополнительную защиту от несанкционированного доступа к ресурсам компьютера. При этом ПАК «Соболь» может функционировать совместно в Secret Net Studio, а также отдельно в автономном режиме. В режиме совместного использования часть функций управления комплексом переходит на средства администрирования Secret Net Studio.

Преимущества продукта
  • Сокращение издержек на администрирование СЗИ и обучение персонала;
  • Высокая масштабируемость, поддержка распределенных инфраструктур;
  • Централизованная настройка системы в соответствии с требованиями регуляторов: применение шаблонов настроек.
  • Централизованное управления клиентами Secret Net LSP на платформе Linux. С компьютеров, на которых установлено средство защиты информации Secret Net LSP версии 1.7 и выше, можно получать локальные журналы, отслеживать события в мониторинге и централизованно управлять ими

Новые функциональные возможности продукта значительно упрощают его использование в корпоративной сети. Решение можно развернуть на большое количество рабочих мест, используя централизованное управление.
Заключение
В первой статье мы с вами увидели подробный обзор решения Secret Net Studio, позволяющего легко масштабировать систему и централизованно управлять большим количеством рабочих станций. В следующих же статьях цикла мы более подробно остановимся на архитектуре и механизмах защиты продукта.

Оставайтесь с нами!

Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution