Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты.
- Как проверить, что межсетевой экран настроен достаточно безопасно?
- Нужен ли потоковый антивирус и отрабатывает ли IPS?
- Защищена ли почта?
Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test).
Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.
Check Point CheckMe
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.
Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.
КАК РАБОТАЕТ CHECKME?
- Выберите пункт Network и нажмите Check Security Now
- Ваш браузер обменяется данными с сервисом CheckMe для анализа безопасности вашей сети (без какого-либо реального риска для вашей сети)
Нажав на кнопку «GET FULL REPORT» в нижней части, вы получите подробный отчет с результатами и руководством по исправлению на вашу электронную почту (будет отправлено от «CheckMe@checkpoint.com» с темой «CheckMe Report»)
КАКИЕ УГРОЗЫ ПРОВЕРЯЮТСЯ?
CheckMe имитирует различные сценарии, которые могли бы стать отправной точкой для следующих векторов атак:
1. ПО для вымогательства
Это вредоносное программное обеспечение, которое шифрует файлы пользователей и требует выкуп за их расшифровку.
2. Кража личных данных/ Фишинговые атаки
Похищение личной информации используя поддельные веб-сайты, которые выглядят как настоящие.3Атаки нулевого дня
Использует элемент неожиданности и использует дыру в программном обеспечении, которая неизвестна разработчику.
4. Боты
Выполняют злонамеренные атаки, которые позволяют злоумышленникам получить полный контроль над зараженным компьютером.
5. Атака на браузер
Внедрение вредоносного скрипта на веб-сайты, чтобы украсть cookies жертв с целью выдать себя за жертву.
6. Анонимный веб серфинг
Позволяет пользователям скрывать свою сетевую активность. Он может открывать бреши в сети организации.
7. Утечка данных
Передача секретной или конфиденциальной информации за пределы сети организации путем кражи или случайного воздействия.
FORTINET Test Your Metal
Также будет интересна проверка, которую предоставляет Fortinet. Тест не такой комплексный и в общем смысле проверяет различные способы доставки тестового вируса (eicar).
Проверяется возможность скачивания файла eicar в открытом виде, в виде архивов различной степени вложенности (архив в архиве — до 10 степеней вложенности). Сами архивы нескольких видов: zip, rar, tar, cab, 7zip. Также есть запароленный архив. По результатам вы сможете увидеть с каким типом угроз ваши системы не справляются.
EICAR В АРХИВЕ ЧЕРЕЗ HTTPS
Почти большинство антивирусных тестов используют файл Eicar. Поэтому можно не обращаться к сторонним сервисам (многие не доверяют тестам вендоров) и воспользоваться непосредственно сайтом eicar.org.
Здесь мы также можем скачать тестовый файлик и возможны следующие варианты:
Как видим, тут есть eicar файлик в открытом виде, в виде архива. Отличительная особенность — возможность скачать файл через https протокол. Т.е. если на вашем межсетевом экране (будь то Cisco, CheckPoint, Fortinet и любой другой) не настроена https инспекция, то файл будет скачан без особых проблем.
Он наверняка будет заблокирован операционной системой (по крайней мере в Winodws 10), однако это уже серьезный "звоночек", т.к. большинство современных ресурсов давно перешли на https, а это значит, что без https инспекции ваши средства защиты просто ничего не видят и будут пропускать вирусы как воду через решето.
ONLINE ПЕСОЧНИЦЫ (SANDBOX)
Основная задача песочниц — запустить файл и посмотреть, что после этого будет. По результатам выдается вердикт о вредоносности этого файла.
Песочницы помогают бороться с зловредами, которые обычные антивирусы никак не определяют. Есть несколько online сервисов, где вы можете проверить файлы в песочнице:
Данные сервисы весьма полезны для проверки вашего потокового антивируса. К примеру можно скачать в Tor-сетях какой-нибудь вирусный файл, прогнать его через свой антивирус (лучше на макете, а не в рабочей среде) и проверить в онлайн песочнице. Затем сравнить результаты и убедиться, что антивирусной защиты уже недостаточно.
ONLINE АНТИВИРУС
Здесь можно было бы привести десятки ссылок, т.к. почти каждый уважающий себя антивирус имеет online сканер. Однако почти все эти ссылки можно заменить одной — VirusTotal
Ресурс позволяет сканировать файлы и ссылки на предмет зараженности. При этом анализ производится с помощью множества антивирусов и можно видеть вердикт по каждому из них.
Очень интересен функционал проверки url. С помощью него вы сможете проверить эффективность вашего Proxy или средства защиты Web-трафика. Найдите вирусный сайт, проверьте его в virustotal, а затем посмотрите откроется ли он через ваш proxy.
ONLINE FIREWALL И PORT SCANNERS
Эти инструменты могут также пригодится при тесте своей сети:
ONLINE ANTI-SPAM И EMAIL SECURITY SCANNERS
Данный ресурс позволит проверить защищенность вашего почтового сервера. Для этого будет отправлено несколько писем с тестовыми вирусными файлами, которые упакованы различными способами. Если любое из этих писем вы все же получили, то это повод задуматься над безопасностью вашего email-сервера.
ЧТО ДАЛЬШЕ?
Воспользовавшись приведенными сервисами можно сделать некоторые выводы относительно эффективности существующих средств защиты. Обратите внимание не только на эффективность защиты, но и на процесс обнаружения инцидентов.
Вы должны быть максимально информированы о всех ИБ событиях. Достигается это либо с помощью встроенных средств (email alert, dashboard-ы устройств и т.д.) либо сторонних (SIEM или Log-managment системы).
Следующим логичным шагом будет проведение аудита сетевой безопасности. Это можно сделать как с помощью CheckPoint, так и с помощью Fortinet, причем бесплатно. Более подробно об этом можно почитать здесь и здесь. Мы уже частично описали архитектуру решений Check Point и в следующих постах опишем, как с его помощью сделать бесплатный аудит безопасности сети.
P.S. Если вы используете Check Point, но тест все равно не прошли, то здесь можно посмотреть, как усилить свою защиту, так сказать «закрутить гайки».
