Сергей Петренко: «От перехода на отечественное ПО зависит безопасность критической инфраструктуры государства»

Руководителям российских компаний надо переходить на отечественные, функционально зрелые решения кибербезопасности

В настоящее время импортозамещение в информационной безопасности является одним из приоритетных направлений государственной политики, так как от перехода на безопасное отечественное оборудование и доверенное ПО существенно зависит безопасность критической информационной инфраструктуры государства. Поэтому еще с 15 апреля 2014 года успешно выполняется государственная программа «Развитие промышленности и повышение ее конкурентоспособности», которая утвердила планы импортозамещения для каждого вида промышленности до 2024 года. На достижение целей упомянутой госпрограммы ежегодно выделяются миллиарды рублей (например, в 2021 году — более 330 млрд рублей).

Минцифра России с 2016 года ведет Единый реестр российских программ для электронных вычислительных машин и баз данных, который был создан в соответствии со статьей 12.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и защите информации». Основная цель создания этого реестра — расширение использования российских программ для электронных вычислительных машин и баз данных, подтверждение их происхождения из Российской Федерации, а также оказание их правообладателям мер государственной поддержки. Так, разработчики, зарегистрировавшие свой продукт в Реестре, освобождены от уплаты 20% НДС, а компаниям при покупке отечественного ПО государство компенсирует 50% финансовых затрат. По состоянию на конец июня 2022 года в названном реестре зарегистрировано более 13 тысяч программ от более 4 тысяч правообладателей, в том числе продуктов кибербезопасности. Здесь следует заметить, что вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК), а также ФСБ России. Например, ФСТЭК России определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа и контролю недекларированных возможностей (программных закладок), проводит сертификацию средств по обеспечению безопасности сведений в информационных системах. ФСТЭК России также ведет государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00.

В 2022 году Госдумой РФ был разработан пакет законопроектов для увеличения и укрепления импортозамещения, налаживания отечественной промышленности. В настоящее время актуален следующий перечень законодательных актов об импортозамещении:

• Установление приоритета российского ПО, входящего в специальный реестр, при госзакупках. Федеральный закон № 188-ФЗ от 29.06.2015 г.
• Установление приоритета отечественных товаров перед импортными при осуществлении закупок с помощью конкурса, аукциона или других способов закупок. Постановление № 925 от 16.09.2016 г.
• Установление запрета на госзакупки зарубежных промтоваров. Постановление № 616 от 30.04 2020 г.
• Установление обязанности заказчиков делать закупки отечественных товаров в обязательной минимальной доле. Размер доли зависит от вида товара. Постановление № 2014 от 03.12.2020 г.
• Введение упрощенной схемы госзакупки медицинского оборудования — через электронный запрос котировок. Постановление Правительства РФ № 297 от 06.03.2022 г.
• Внесение изменений в некоторые законодательные акты, предусматривающие меры поддержки российского бизнеса и граждан. Федеральный закон № 46-ФЗ от 08.03.2022 г. В частности, законом введен мораторий на плановые проверки малого и среднего бизнеса в 2022 г., на плановые проверки аккредитованных IT-организаций до конца 2024 г., компаниям предоставлена возможность менять условия контрактов и другое.
• Увеличение доли государственного финансирования в грантах на создание отечественных аналогов комплектующих для различных отраслей промышленности. Постановление № 522 от 31.03.2022 г.

1 мая 2022 года вышел указ президента России №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», согласно которому вводится ряд организационных и технических требований, среди которых — запрет на использование госорганами, госкомпаниями и субъектами КИИ с 2025 года средств защиты информации, произведенных в недружественных странах или подконтрольных им. К основным рискам отнесены: отказ западных вендоров от поддержки ИБ-продуктов и предоставления сервисов по кибербезопасности, частичное или полное отключение защитного функционала, аннулирование лицензий и договоров, ненулевая вероятность использования деструктивных программных или аппаратных закладок и пр.

В сложившейся ситуации ИТ/ИБ-руководителям российских компаний и организаций можно порекомендовать выработать стратегию перехода на отечественные, функционально зрелые решения кибербезопасности. Например, рассмотрим возможную стратегию импортозамещения в части межсетевых экранов прикладного уровня (L7) Web Application Firewall (WAF).

Что такое Web Application Firewall?

В начале 2020-х гг. схемы интеграции информационных систем, использующие протокол HyperText Transfer Protocol (HTTP) в качестве транспорта, уверенно заняли де факто лидирующую позицию в различных приложениях. Важную роль в этом сыграли: скачкообразно выросшая доля распределенных приложений, построенных с использованием микросервисной архитектуры; стандартизация и массовое внедрение протоколов обмена прикладными сообщениями на базе форматов XML и JSON, использующими на транспортном уровне протокол HTTP; продолжающееся увеличение уровня вычислительных ресурсов, доступных для обработки единичного сообщения (как на стороне отправителя, так и на стороне получателя), и полосы пропускания сетевой инфраструктуры, что позволило использовать в качестве транспорта протокол HTTP, несмотря на высокие накладные расходы его кодирования/декодирования и высокоизбыточное представление при передаче по сети по сравнению с другими транспортными протоколами.

Фактически, в ходе данного процесса сам протокол HTTP претерпел качественные изменения и в настоящее время несет две качественно различимые функции: как непосредственной доставки разнородного контента от сервера к клиенту в асимметричной схеме, так и практически симметричного протокола обмена сообщениями между двумя равноправными участниками информационного взаимодействия. Данная ситуация привела к появлению новой точки возможного контроля исполнения вычислительных процессов, которой не преминули воспользоваться разработчики программных систем защиты информации, в результате чего появились новая технология и соответствующий класс программных продуктов — межсетевые экраны прикладного уровня (L7) Web Application Firewall (WAF).

Заметим, что контроль исполнения вычислительных процессов по их внешнему обмену (сетевое взаимодействие, файловая подсистема, разделяемые объекты в оперативной памяти и т. п.) возможен на различных уровнях, характеризующихся различной глубиной декодирования наблюдаемой информации. Для сетевого обмена, исторически обладающего отчетливой системой уровней взаимодействия, это наиболее показательно:

• на сетевом уровне возможен контроль взаимодействующих сущностей, их локаций, характеристик частного канала обмена в глобальной информационной сети (фрагментация, приоритизация и т. п.),
• на транспортном уровне возможен анализ характеристик потока,
• на уровне представления и прикладном уровне — форматный и частично — логический контроль сообщений.

С переходом на каждый последующий уровень количество параметров, поддающихся анализу, и сложность правил качественно возрастает, что несомненно сказывается на стоимости разработки и поддержки решения, но одновременно позволяет эффективно противодействовать все более широким классам несанкционированных воздействий. Предельным уровнем является собственно контроль инвариантов логики самого вычислительного процесса, однако в общем случае затраты на разработку подобной системы контроля могут сравниться или превосходить затраты на разработку защищаемого приложения (исключения будут приведены далее).

С учетом вышеизложенного контроль на прикладном уровне (протокол HTTP как транспорт и протоколы обмена прикладными сообщениями) расценивается экспертами в области защиты приложений как оптимальное отношение совокупной стоимости приобретения и содержания средств защиты к спектру контролируемых классов несанкционированных воздействий, что и привело к бурному развитию WAF в последние 5 лет.

Согласно известной аналитической компании Gartner, среди зарубежных решений класса WAF лидерами (leaders) являются — решения Akamai, Imperva, претендентами (challengers) — CloudFlare, F5, Fastly, Amazon Web Services, Barracuda, провидцами (visionaries) — Fortinet, Microsoft и нишевыми игроками (niche players) — Radware, ThreatX.

Информация о способности WAF обнаруживать и противодействовать некоторым наиболее распространенным классам атак сведена в таблице.

Как следует из таблицы, наиболее прогнозируемое и успешное функционирование WAF происходит в отношении атак, в наименьшей степени связанных со спецификой конкретного приложения. Так, например, все лидеры рынка данных средств защиты успешно противостоят атакам из списка OWASP Top10 (2022). Данный факт в первую очередь свидетельствует о зрелости данного класса СЗИ. Соответственно, основная конкурентная борьба в части функциональных возможностей систем WAF разворачивается в отношении атак, эксплуатирующих специфичные уязвимости прикладных систем, включая:

• уязвимости используемой архитектуры,
• уязвимости распространенных сторонних библиотек и/или компонентов,
• уязвимости конкретных программных реализаций.

Наличие технологии перемещает процесс формирования модели защищаемого приложения внутрь периметра компании заказчика

Исследования в области построения средств защиты информации, формирующих модель исполнения вычислительного процесса по наблюдаемому внешнему информационному обмену (модель «черного ящика», «серого ящика»), велись практически с первых лет возникновения компьютерной безопасности как отрасли. Web Application Firewalls взяли на вооружение данную технологию. К тому же этап бурного развития данных СЗИ совпал с периодом качественных изменений в области алгоритмов Machine Learning, что неминуемо привело к включению поведенческих алгоритмов практически во все передовые продукты класса WAF.

Применение алгоритмов машинного обучения позволило в некоторой степени преодолеть проблемную ситуацию прикладного характера, заключающуюся в том, что в условиях постоянного нарастания сложности атак и соответственно правил их обнаружения/противодействия, только достаточно небольшая часть организаций пользователей СЗИ может позволить себе иметь сотрудников с очень узкой специализацией. На примере систем обнаружения вторжений (чьи функции весьма близко пересекаются с функциями WAF) это можно продемонстрировать тем фактом, что подавляющее большинство компаний, несмотря на очень гибкие возможности подсистемы построения правил, практически не формируют их самостоятельно. Так, наиболее часто встречаются следующие схемы применения:

• Уже на этапе выбора продукта компания осуществляет отбор решения с максимально предустановленным набором правил/сигнатур (при этом из-за использования различными решениями различных алгоритмов кодирования данных правил непосредственное количественное сравнение на самом деле непоказательно), а затем отключает часть из них по факту выявления ложных срабатываний в ходе тестирования или продуктивной эксплуатации. Здесь стоит отметить, что производители WAF, формирующие сигнатуры мелкой гранулярности оказываются де факто в преимущественном положении в ситуациях, когда сотрудники компании-пользователя, ответственные за управление подсистемой правил, отключают в случаях ложных срабатываний сигнатуры целиком вместо надлежащего редактирования предикатов, входящих в них.
• На этапе внедрения продукта приобретается предпроектное обследование защищаемых приложений, позволяющее сформировать достаточно точный фиксированный поведенческий профиль силами сотрудников внедряющей компании, обладающих достаточным уровнем компетенций. Точность сформированного профиля зависит от репрезентативности материалов (входных и выходных данных) и сценариев работы приложений, предоставленных заказчиком. Недостатком подхода является статичность набора правил/сигнатур, что начинает выражаться в постепенно ухудшающихся со временем показателях обнаружений/ложных срабатываний. Скорость этого процесса, как правило, зависит от частоты внесения изменений в само защищаемое приложение.
• Заказчик приобретает обслуживание сигнатурной модели обнаружения как сервис. При очевидных наиболее высоких характеристиках качества данный подход является наиболее дорогостоящим для потребителя, и кроме того, может быть применен только при наличии на рынке организаций, предоставляющих услуги для выбранного WAF-продукта.

Во всех перечисленных случаях не рассматриваются обновления баз сигнатур, отражающие новые схемы атак и уязвимости, ставшие известными после внедрения продукта, что у подавляющего большинства разработчиков расценивается как услуги по базовому техническому сопровождению приобретенного продукта по схеме ежегодной подписки.

Возвращаясь к качественно новому подходу решения описанной проблемы, предлагаемому машинным обучением, стоит отметить, что наличие данной технологии в некотором смысле перемещает процесс формирования модели защищаемого приложения внутрь периметра компании заказчика, замещая услуги внешнего высококвалифицированного персонала и во многих случаях увеличивая скорость адаптации данной модели к изменениям в защищаемом продукте. Основными потенциальными рисками применения данной технологии является труднопрогнозируемый уровень ложных срабатываний, а также постепенно появляющиеся исследования в области методик обхода алгоритмов машинного обучения, основывающиеся на специфике их архитектуры.

В целом развитие методов обхода правил и моделей WAF не является чем-то специфичным только для модулей, основанных на машинном обучении. Практически одновременно с процессом становления данного класса СЗИ стал формироваться целый спектр способов вывода атакующих воздействий из-под правил обнаружения WAF. Во многом для этих целей были задействованы уже применявшиеся ранее подходы сокрытия вредоносного кода от сигнатурных антивирусов. Как и ранее, основной принцип заключается в поиске различий реализации стандартов обработки (например, декодирования уровня представления и прикладного уровня) сообщений между WAF и атакуемым приложением. Целью является преобразовать вредоносный вектор таким образом, чтобы атакуемое приложение восприняло его аналогично оригинальному (т. е. произошла бы реализация целевой уязвимости), а межсетевой экран прикладного уровня в процессе обработки вектора не смог сформировать его ключевые атрибуты.

Например, на уровне представления широко используется внедрение специальных символов, экранирование (зачастую многократное), редко используемые соглашения по кодированию символов, а также знание специфики реализации процесса декодирования конкретными библиотеками, используемыми атакуемым приложением. Данный аспект заставляет обратить внимание при выборе WAF-решения на скорость реакции производителя на сведения о новых способах обхода фильтрации, разрабатываемых злоумышленниками, а также (в случае наличия SLA в части доступности защищаемого сервиса) на организацию процесса обновления экрана прикладного уровня, обеспечивающую минимальный простой продуктивной среды.

С учетом описанной выше ситуации при фактически равных базовых возможностях состоявшихся WAF-решений следует выделить следующие характеристики, которые остаются специфичными для отдельных продуктов и могут иметь ключевое влияние на их выбор в зависимости от требований к процессу защиты:

• гранулярность предустановленных сигнатур/правил;
• схема обновления сигнатур, предлагаемая производителем (а также ее стоимостная политика);
• алгоритмы обнаружения повторяющихся (автоматизированных) активностей, в том числе вероятностного (fuzzy) подбора параметров вектора атаки;
• принцип работы алгоритмов построения поведенческого профиля защищаемого приложения, в том числе схема обучения модели;
• схема применения обученной модели к продуктивной среде;
• возможности (гранулярность, оперативность) внесения корректив в примененную модель с целью отключения ложных срабатываний, выявленных на продуктивной среде;
• своевременность выпуска критичных обновлений продукта в случае обнаружения способов обхода фильтрации;
• возможность обновления компонентов решения с минимальным временем простоя продуктивной среды;
• схема подключения к инспектируемому потоку, в том числе схема обмена информацией (обнаружение корреляций между воздействиями) в случае защиты приложений с балансировкой сетевой нагрузки;
• возможность интеграции с внешними сервисами, в том числе антивирусными решениями;
• системами противодействия утечкам информации (DLP);
• репутационными сервисами;
• системами управления событиями информационной безопасности (SIEM).

Возможно ли импортозамещение WAF?

В сложившейся геополитической ситуации директорам отечественным служб безопасности рекомендуется обратить внимание на лучшие российские импортзамещающие решения класса WAF:

• Positive Technologies WAF+ PT NAD (Network Attack Discovery);
• Межсетевой экран UserGate F с подсистемой обнаружения и предотвращения вторжений (сертификат ФСТЭК виды А, Б, Д, СОВ 4-го класса);
• Интеллектуальный сетевой экран для защиты веб-приложений SolidWall.

Так, например, решение SolidWall представляет собой классический комплексный сетевой экран для веб-приложений, включая в себя:

• модуль сигнатурного анализа;
• модуль построения поведенческой модели защищаемого приложения на базе алгоритмов машинного обучения;
• модуль обнаружения автоматизированных атак;
• модуль обнаружения атак на подсистемы идентификации, аутентификации и авторизации участников информационного обмена.

Набор базовой функциональности содержит:

• валидацию протоколов, в том числе терминирование TLS-трафика;
• разбор данных распространенных фреймворков;
• противодействие атакам OWASP Top10;
• контроль сессий пользователей веб-приложений;
• построение поведенческой модели защищаемого приложения.

Решение поддерживает как наиболее востребованную схему подключения к информационному потоку «в разрыв» (на базе обратного прокси), так и анализ зеркалированного трафика, обеспечивая во втором варианте нулевое воздействие на передаваемые данные в процессе анализа. Узлы маршрутизации поддерживают балансировку сетевой нагрузки по схемам Active-Passive и Active-Active, а само решение позволяет осуществлять интеграцию в условиях широкого спектра масштабируемых конфигураций защищаемых приложений, в том числе с выборочной установкой модулей анализа. Несомненно, подобная гибкость архитектуры невозможна без модуля централизованного управления установленными компонентами и единого рабочего места оператора комплекса.