Денис, расскажите почему возникла необходимость в запуске проекта?

Весной 2022 года Центр информационной безопасности начал фиксировать повышенную аномальную активность на периметре сети НИУ ВШЭ. Ее цель заключалась в том, чтобы нарушить конфиденциальность информации, собрать данные будущих целей, выявить «слабые места» или сделать недоступными сервисы Вышки для пользователей. Такую аномальную активность мы, конечно, встречали и ранее, но в этом сезоне количество подобных запросов возросло, а их интенсивность увеличилась примерно в 10 раз.

Объясните, в чем заключается такая «аномальная активность»?

В основном это сканирование сетей, попытки перебора паролей учетных записей пользователей, DDoS-атаки разных уровней и попытки эксплуатации несложных WEB-уязвимостей.

В условиях современного мира, когда информация находится в открытом доступе, хакингом по сути может заниматься любой человек. Для этого необходимо обладать набором базовых знаний, желанием навредить и наличием свободного времени. Таким образом, перед нами встала задача, отсеивать подобных «пионеров хакинга», которые только-только начинают пробовать свои силы.

Так, кстати, у проекта появилось говорящее название – «Сетевая инквизиция». Сначала мы использовали его, как рабочее, а потом оно «прижилось» и мы решили его оставить. Сетевая – потому, что блокировка идет на сетевом уровне L3. Инквизиция – как упорядоченная совокупность мер, направленных на борьбу с угрозой.  

Как проходила подготовка к запуску проекта?

Проект стал логичным продолжением развития Вышкинской системы мониторинга. Ее работу мы запустили еще в 2021 году. Теперь она стала проактивной, а не просто мониторит, выявляет аномальные события и ждет реакции ИБ-аналитика.

Если мы видим, что с какого-то адреса осуществляется подозрительная активность и он находится в нашем блэк-листе, есть высокая вероятность того, что с него может быть предпринята хакерская атака. Блек-листы мы непрерывно актуализируем, внимательно следим за ИБ-новостями и насыщаем перечень низкорепутационных источников в процессе ручного анализа и расследования инцидентов. На данный момент система содержит несколько десятков тысяч низкорепутационных источников, расположенных по всему миру. Мы собираем информацию о бот-сетях, адресах спамеров, адресах атакающих легитимные WEB-ресурсы, а также адреса атакующих Honeypots, адреса сканеров, брутфорсеров и пр.

Как работает сервис?

Система мониторинга интегрирована с оборудованием сетевой безопасности, которое по ее команде блокируют подозрительную активность и оставляет только легитимный трафик. Ложных блокировок с момента запуска проекта не зафиксировано. При этом среднее количество блокировок в сутки пока составляет порядка 2 500.

Какие еще информационные системы защищает сервис?

Систему мониторинга можно использовать для защиты любой Вышкинской системы, при этом необязательно, чтобы она находилась внутри периметра сети университета. Мы также можем произвести подключение ИС, расположенных в облачных сервисах. На данный момент мы подключили почтовые серверы и WEB-серверы, обслуживающие корпоративные системы, которые хостятся на собственной инфраструктуре.

Что в планах по развитию проекта?

Мы начали работу над проектом в начале сентября текущего года, а уже в октябре запустили сервис в опытно-промышленную эксплуатацию. На сегодняшний день он успел себя успешно зарекомендовать и существенно облегчил работу ИБ-аналитиков. На данный момент наша задача заключается в том, чтобы поддерживать и улучшать работу сервиса. Кроме того, в будущем мы планируем помогать нашим коллегам из сторонних образовательных учреждений и делиться нашей базой данных низкорепутационных источников.