Эволюция веб-прокси: от регистрации событий к визуализированному веб-мониторингу

Эволюция веб-прокси: от регистрации событий к визуализированному веб-мониторингу

С ростом потребляемого сотрудниками веб-трафика увеличивается интерес организаций к тому, как он расходуется. Компании хотят понимать, какими веб-ресурсами пользуются их сотрудники, не посещают ли сайты с запрещенным или ненадлежащим контентом (экстремистские, распространяющие порнографию, наркотики и т.п.), не пользуются ли в рабочее время развлекательными ресурсами, правильно ли расходуют веб-трафик, не скачивают ли из сети контент, содержащий вредоносное ПО и т.п. Анализ этой информации вручную по всей компании – задача трудоемкая. Помочь ее решить могут современные шлюзы веб-безопасности. Но все ли они одинаково полезны?

Запрет на все

Раньше в большинстве компаний модель доступа была построена по принципу запрета. Пакеты трафика стоили дорого, а необходимости использовать интернет для выполнения бизнес-процессов практически не было. Компании настраивали маршруты пользовательских запросов в сеть, и все эти маршруты были ограничены глухими «заборами».

С развитием инфраструктуры и появлением облачных сервисов начала расти необходимость ослабления политик, границы сегментов сети сильно размылись. Так стали появляться исключения, а «заборы» обросли «калитками». Нерегламентированных доступов стало настолько много, что модель запретов потеряла всякий смысл. Это привело к тому, что окончательно исчезла потребность в «заборах». Фокус администраторов безопасности и веб-администраторов начал перемещаться в сторону наблюдения за событиями безопасности.

Тем не менее большинство решений веб-безопасности по-прежнему сосредоточены на маршрутизации. Конечно, функции наблюдения в той или иной степени реализованы во всех продуктах, ведь все системы формируют отчеты. Но эти отчеты в большинстве случаев предоставляются администраторам в виде журналов регистрации событий, где отсутствует обобщение и визуализация результатов. Чтобы получить необходимую информацию, администратору нужно потратить много времени, разбираясь в записях. Стоит ли говорить, что ожидает человека без технических компетенций, когда он открывает подобный отчет?

Визуализация vs журналирование

Что обычно видит пользователь, открывая лог межсетевых экранов? IP 111.111.111.111 подключился к IP 222.222.222.222, путь, по которому пошел пользователь, и, если система запретила запрос, иногда указана причина. Но не всегда, а чаще выдается запись:«Source IP – Destination IP:порт – параметры запроса (в зависимости от того, что система умеет) – итог запроса (код состояния)».

Именно так выглядят отчеты стандартных шлюзов безопасности, которые сфокусированы на выполнении функций маршрутизации. В большинстве случаев этого оказывается достаточно только сетевым администраторам. При этом данные веб-прокси являются кладезю полезной информации. При наличии более системного отчета отдел ИТ сможет получить анализ по структуре расходов на веб-трафик, служба ИБ – использовать данные из логов для защиты сети, отдел кадров – для оценки эффективности сотрудников.

Предположим, администратор хочет проанализировать, как циркулирует трафик внутри компании, – понять, есть ли подозрительный трафик, по каким путям он перемещается между сетями, каков его объем (полтора пакета в день или 300 Мб/с), что за информация в нем содержится и какие из приложений им обмениваются. Возможно, это защищенное соединение по протоколу TLS между двумя хостами, и тогда блокировать доступ не нужно. Напротив, может быть, это вредоносное ПО, и запросы необходимо заблокировать.

Таким образом, чтобы увидеть полную картину и принять решение о блокировке доступа, недостаточно обычного журнала.

Что делают компании, чтобы систематизировать данные из логов

Одни компании строят визуализацию с помощью Excel, перенося данные вручную и формируя графики, но на это уходит много времени.

Другие – прибегают к установке дополнительного программного обеспечения. С задачами мониторинга и отчетности справляются специальные сетевые сканеры, но их установка требует дополнительного бюджета. Сканер мониторит открытые и закрытые сети, порты и строит карту циркуляции трафика.

Еще один вариант – использование SIEM-систем или open source приложений, например, связки Elasticsearch и Kibana. Такой подход требует соответствующих компетенций у ИТ.

Некоторые западные вендоры, в чьих портфелях есть решения с компонентами по анализу, добавили эту функциональность в качестве дополнительной платной опции в межсетевые экраны. Как правило, это производительные вычислительные системы, доступ к которым стоит дорого и работе с которыми нужно обучаться. Не каждый сетевой администратор или администратор безопасности сможет управлять подобной системой и корректно задавать параметры мониторинга без прокачки знаний.

При этом дополнительные финансовые и временные инвестиции не всегда оправданы, ведь задачи у администраторов обычно довольно стандартные. Если приходит уведомление о срабатывании политики, важно понять, как часто поступают запросы на этот url, есть ли подобные запросы с других рабочих станций и т.д.

Как это повлияло на систему отчетов Solar webProxy

Рост потребности заказчиков в мониторинге и понимание конъюнктуры рынка позволили «Ростелеком-Солар» сформировать уникальное предложение на рынке шлюзов веб-безопасности. Прежде чем выпустить на рынок Solar webProxy в качестве самостоятельного решения, бизнес-аналитики провели глубокий аудит работы и потребностей системных администраторов и администраторов безопасности российских компаний.

Интерфейс и навигация системы Solar webProxy стали результатом опроса различных групп сотрудников, которые используют шлюзы веб-безопасности в ежедневной практике. Специалисты ИТ и ИБ рассказали, для чего используют систему, какие первые шаги предпринимают, с чего начинают проверку событий безопасности, какие срезы данных хотят увидеть и др.

Кроме анализа потребностей сотрудников ИТ и ИБ, «Ростелеком-Солар» также выяснил у линейных менеджеров, что они со своей стороны хотят видеть в отчетах системы. Во многих компаниях руководители запрашивают статистику у сисадмина, чтобы понять, как сотрудники пользовались интернетом, насколько эффективно они работали и какие ресурсы для этого использовали.

По результатам исследования бизнес-аналитики «Ростелеком-Солар» сделали следующие выводы:

1. Отсутствие качественной агрегации данных оказалось существенным недочетом многих межсетевых экранов. При этом у рынка сформировался запрос на зрелые технические решения, одним из самых главных требований к которым являются наглядные отчеты.

2. Данные систем маршрутизации востребованы не только администраторами, но и другими сотрудниками, которые не обладают техническими знаниями, и поэтому необходима понятная аналитика и логика построения отчетов.

Именно на этих аспектах разработчики Solar webProxy сфокусировали свое внимание, создавая систему отчетности. Шлюз безопасности предоставляет наглядную визуализацию по всем основным срезам, которые необходимы специалистам ИТ, ИБ и менеджерам для работы.

Что может делать пользователь веб-консоли:

• просматривать статус подключения к интернету и список подключенных пользователей в онлайн-режиме;

• управлять политикой безопасности, в том числе списками ресурсов;

• управлять пользователями;

• настраивать и просматривать отчеты;

• настраивать систему и управлять правами доступа администраторов на основе ролевой модели.

Interface-as-a-Feature

Наглядность. Визуализация разных срезов данных

Все отчеты в Solar webProxy формируются в виде графиков. Стандартное представление – это таймлайн с распределением запросов по времени. Помимо этого, можно настроить статистику по нагрузке, по самым популярным источникам или категориям ресурсов.

Топ источников

С шлюзом веб-безопасности разработки «Ростелеком-Солар» на любой обмен данными можно посмотреть с разных сторон:

· С точки зрения отработки правил политики

При получении уведомления о том, что политика безопасности сработала и не позволила пользователю перейти на подозрительный сайт, можно проверить, кто еще пытался на него зайти, когда, что это за ресурс, через какое приложение был отправлен запрос.

График отработки правил политики безопасности

· С точки зрения пользователя

Если администратор видит срабатывание политики безопасности, он может в режиме реального времени проверить, какие еще ресурсы сотрудник посещал, какие из них являются подозрительными, какова сфера интересов работника. Вся эта информация доступна в карточке персоны, которая автоматически заводится на каждого сотрудника в разделе «Досье», при синхронизации с AD или другим LDAP-каталогом.

Запросы пользователя

Кроме того, в Solar webProxy реализована интеграция досье сотрудников с DLP-системой Solar Dozor (при модификации информации в одном из
продуктов изменения отображаются в другом).

Пример карточки сотрудника в Solar webProxy после синхронизации с AD

Обновление в реальном времени

· С точки зрения отдела

С помощью мониторинга можно получить данные, как подразделение пользуется интернетом, есть ли подозрительная активность в профиле поведения сотрудников этого отдела, посещали ли они какие-либо сомнительные ресурсы, пользовались ли интернетом, в каком объеме он им нужен.

Статистика по выбранному отделу

Запросы отдела

· С точки зрения сетевой активности

Этот срез данных показывает, что еще происходило в сети компании в момент пиковой сетевой активности, кто какие ресурсы посещал, какова была нагрузка, в какое время суток, какие приложения были запущены и т.д.

Таким образом, администратор выявляет время наибольшей активности пользователей

Обнаружив всплеск, сотрудник выделяет его курсором мыши и график масштабируется до нужного промежутка

Наглядно показано, какие ресурсы и какими пользователями посещались в момент пиковой нагрузки

Систематизация результатов позволяет посмотреть, какие ресурсы использует сотрудник, отдел или подразделение, кто еще посещает эти ресурсы, насколько часто это происходит, были ли к этим сайтам запросы ранее, кто к ним обращался, какие приложения к этим ресурсам обращаются и т.п. Таким образом, Solar webProxy дает возможность получить исчерпывающую информацию, проанализировать, является ли активность отклонением, и сделать вывод, как на нее необходимо реагировать.

Удобство. Переходы между отчетами разного уровня

Когда администратор заполняет параметры, формирует отчет и находит подозрительную активность, чтобы детализировать ее в стандартной системе, ему необходимо скопировать параметры интересующей его записи и построить новый отчет. Только пройдя этот путь, он может получить подробную информацию о событии безопасности. Но в этом случае контекст старого отчета теряется, и чтобы вернуться к нему, нужно заново настраивать параметры поиска.

В Solar webProxy реализована функция интерактивных переходов между отчетами разного уровня (drill down). Если администратор обнаружил в журнале подозрительную активность, он может проверить ее, не меняя параметров общего поиска. Продукт позволяет детализировать любую активность с помощью нажатия на нее в общем отчете: можно увидеть, какие ресурсы посещал сотрудник, к какой категории относится подозрительный сайт, сколько времени пользователь на нем провел. После изучения этих данных можно углубиться еще сильнее: например, если кто-то еще посещал этот ресурс, посмотреть, кто именно, изучить его профиль или вернуться к прежнему виду и продолжить работу с общими результатами. Особенно удобно, что углубление в данные и возврат к исходному отчету происходит мгновенно.

Общая статистика по ТОП ресурсам

Выбран пользователь, действия которого требуют анализа. Переход осуществлен по принципу «drill down» кликом на иконке «Посмотреть ТОП по персоне» рядом с ФИО пользователя

Статистика запросов пользователя к ресурсу trinixy.ru

Статистика запросов других пользователей к ресурсу trinixy.ru. При помощи «drill down» можно посмотреть, кто еще из сотрудников проявляет интерес к этому ресурсу

Одно из преимуществ шлюза Solar webProxy состоит в том, что система имитирует мыслительную цепочку человека, поэтому все переходы в отчетах понятны и логичны. Шаги разбора и анализа информации связаны и не требуют переключения между разными мониторингами или изменения параметров поиска.

Доступность. Результаты понятны не только ИТ-специалистам

Система отчетности Solar webProxy позволяет сотруднику безопасности не иметь компетенций бизнес-аналитика, чтобы построить отчет, а линейному руководителю – чтобы понять его без помощи ИТ-специалистов. Информация доступна пользователям любого уровня знаний о сети.

Данные доступны в разных видах визуального представления (таймлайн, столбчатая диаграмма, таблица и др.). При этом каждый отчет можно получить в версии для печати в виде сверстанного .pdf, а с версии Solar webProxy 3.5 появилась возможность отдельной выгрузки содержимого таблиц. Все фильтры автоматически загружаются в шапку отчета, а ниже представлены результаты (графики и детализации). Если есть информация, которая не нужна, отчет можно открыть в офисном пакете и внести соответствующие изменения.

Отчет в PDF по ресурсу trinixy (график запросов)

Отчет в PDF по ресурсу trinixy (посетители ресурса)

Отчет в PDF по ресурсу trinixy. IP адреса посетителей ресурса

Часто менеджмент просит сисадминов с определенной периодичностью делиться мониторингом активности отделов. Для этого разработчики Solar webProxy добавили возможность автоматической отправки любых видов отчетов по расписанию. Отправка отчетов по расписанию настраивается непосредственно из окна с уже сформированным отчетом. Нужно сформировать отчет по интересующим пользователя параметрам (например, какие ресурсы популярны среди сотрудников), нажать кнопку сохранить в правом верхнем углу экрана. В открывшемся окне выбрать вкладку «Настройки отправки» и там уже настроить отправку уведомлений, настроив фильтры, вид, интервал времени и круг получателей.

Настройка расписания отправки отчетов

Письмо с отчетом по ресурсам. Отчет можно просмотреть, не выходя из почтового приложения

Выводы

В Solar webProxy реализован удобный и понятный веб-интерфейс, разработанный с
учетом пользовательского опыта заказчиков и современных тенденций в дизайне. Он имеет много общего с интерфейсом DLP-системы Solar Dozor — одним из самых
проработанных на российском рынке.

Solar webProxy позволяет строить подробные отчеты с широким набором параметров. Отчеты интерактивны — их можно динамически перестраивать, изменяя диапазон
времени прямо на графиках, а также оперативно переходить к просмотру детальной
информации (drill down).

Шлюз веб-безопасности Solar webProxy отражает философию «Ростелеком-Солар», согласно которой достичь эффективной защиты можно только через непрерывный мониторинг и удобное управление системами защиты. Реализованная в решениях компании концепция People-Centric Security – «Безопасность с фокусом на человеке» - позволяет службе информационной безопасности перейти от разбора сотен и тысяч уведомлений об инцидентах к анализу действий сотрудников, выявлению отклонений и предотвращению инцидентов.

Автор: Ольга Исаева, ведущий аналитик «Ростелеком-Солар»