Уровень защищенности информационных систем Вышки стал выше
Денис, расскажите почему возникла необходимость в запуске проекта?
Весной 2022 года Центр информационной безопасности начал фиксировать повышенную аномальную активность на периметре сети НИУ ВШЭ. Ее цель заключалась в том, чтобы нарушить конфиденциальность информации, собрать данные будущих целей, выявить «слабые места» или сделать недоступными сервисы Вышки для пользователей. Такую аномальную активность мы, конечно, встречали и ранее, но в этом сезоне количество подобных запросов возросло, а их интенсивность увеличилась примерно в 10 раз.
Объясните, в чем заключается такая «аномальная активность»?
В основном это сканирование сетей, попытки перебора паролей учетных записей пользователей, DDoS-атаки разных уровней и попытки эксплуатации несложных WEB-уязвимостей.
В условиях современного мира, когда информация находится в открытом доступе, хакингом по сути может заниматься любой человек. Для этого необходимо обладать набором базовых знаний, желанием навредить и наличием свободного времени. Таким образом, перед нами встала задача, отсеивать подобных «пионеров хакинга», которые только-только начинают пробовать свои силы.
Так, кстати, у проекта появилось говорящее название – «Сетевая инквизиция». Сначала мы использовали его, как рабочее, а потом оно «прижилось» и мы решили его оставить. Сетевая – потому, что блокировка идет на сетевом уровне L3. Инквизиция – как упорядоченная совокупность мер, направленных на борьбу с угрозой.
Как проходила подготовка к запуску проекта?
Проект стал логичным продолжением развития Вышкинской системы мониторинга. Ее работу мы запустили еще в 2021 году. Теперь она стала проактивной, а не просто мониторит, выявляет аномальные события и ждет реакции ИБ-аналитика.
Система собирает статистику о том, где хакеры уже успели навредить, формирует свои блэк-листы и начинает работать на опережение: в дополнение к существующим моделям фильтрации трафика, система автоматически блокирует «нехорошие» источники в том случае, если с этих источников была зафиксирована аномальная активность. В ИБ-сообществе такие источники называются низкорепутационными.
Если мы видим, что с какого-то адреса осуществляется подозрительная активность и он находится в нашем блэк-листе, есть высокая вероятность того, что с него может быть предпринята хакерская атака. Блек-листы мы непрерывно актуализируем, внимательно следим за ИБ-новостями и насыщаем перечень низкорепутационных источников в процессе ручного анализа и расследования инцидентов. На данный момент система содержит несколько десятков тысяч низкорепутационных источников, расположенных по всему миру. Мы собираем информацию о бот-сетях, адресах спамеров, адресах атакающих легитимные WEB-ресурсы, а также адреса атакующих Honeypots, адреса сканеров, брутфорсеров и пр.
Как работает сервис?
Система мониторинга интегрирована с оборудованием сетевой безопасности, которое по ее команде блокируют подозрительную активность и оставляет только легитимный трафик. Ложных блокировок с момента запуска проекта не зафиксировано. При этом среднее количество блокировок в сутки пока составляет порядка 2 500.
Какие еще информационные системы защищает сервис?
Систему мониторинга можно использовать для защиты любой Вышкинской системы, при этом необязательно, чтобы она находилась внутри периметра сети университета. Мы также можем произвести подключение ИС, расположенных в облачных сервисах. На данный момент мы подключили почтовые серверы и WEB-серверы, обслуживающие корпоративные системы, которые хостятся на собственной инфраструктуре.
Что в планах по развитию проекта?
Наша цель накрыть как зонтиком все важные опубликованные ресурсы Вышки, включая ресурсы филиалов.
Мы начали работу над проектом в начале сентября текущего года, а уже в октябре запустили сервис в опытно-промышленную эксплуатацию. На сегодняшний день он успел себя успешно зарекомендовать и существенно облегчил работу ИБ-аналитиков. На данный момент наша задача заключается в том, чтобы поддерживать и улучшать работу сервиса. Кроме того, в будущем мы планируем помогать нашим коллегам из сторонних образовательных учреждений и делиться нашей базой данных низкорепутационных источников.
Отдел цифрового стратегического развития и партнерства: Руководитель проекта
Все новости автора
Дарьютин Денис Владимирович
Отдел методологии и безопасности информационных систем: Руководитель проекта