На первый взгляд фирма Balabit примечательна двумя вещами: во-первых, там создали популярную систему сбора логов syslog-ng, во-вторых, это успешная компания, которая занимается информационной безопасностью в Венгрии — стране, известной скорее кулинарией, чем ИТ. Однако, помимо syslog-ng, в Balabit делают и другие интересные продукты. На них-то нас и позвали посмотреть.

Два десятка журналистов со всех стран собрались за длинным столом. Два места в центре занимают хозяева — Золтан Дьёркё и Балаж Шайдлер. Они рассказывают о том, как уже двадцать лет назад, еще когда были студентами, задумали создать свою компанию. «Так вышло, что информационная безопасность оказалась для нас самой близкой темой», — рассказывает Дьёркё.

Первым продуктом Balabit стал syslog-ng — средство агрегации логов UNIX, по сути улучшенная версия демона syslogd. Продукт оказался успешным; к двухтысячному году компания выросла, и свет увидел второй ее продукт — файрвол Zorp.

Сегодня Balabit может похвастаться солидными клиентами со всего мира и филиалами в пяти странах, помимо Венгрии. «Открыть немецкий рынок нам помог контракт с Deutsche Telekom», — рассказывает Золтан Дьёркё. В России с Balabit сотрудничают МТС, банк «Тинькофф» и Университет Сколково.

Однако самым важным рынком, как и для любой компании, работающей в сфере ИБ, остаются США. Выйти на него, по словам Дьёркё, оказалось непросто, однако недавний контракт с Adobe вселяет в руководство компании надежду на то, что и он постепенно поддастся.

Известность пришла к Balabit благодаря syslog-ng: как говорит Дьёркё, «Опенсорс — это копье!». Возможно, на венгерском этот лозунг звучит менее необычно, но смысл кристально ясен.

 

Shell Control Box

Три столпа корпоративной безопасности — это файрволы, менеджеры паролей и системы SIEM, которые анализируют события в реальном времени. Но чтобы уберечься не только от внешних угроз, но и от внутренних, этого оказывается мало.

Что сделать, чтобы от лица привилегированного пользователя нельзя было натворить всяких бед? Правильно: внимательно за ним следить. Этим и занимаются системы PAM — Privileged Access Management. В исполнении Balabit такая система (вернее, ее основная часть, называемая Shell Control Box или SCB) смотрится просто-таки зрелищно.

Демо, которое менеджеры Balabit показывают корпоративным клиентам, выглядит так. Пользователь как ни в чем не бывало подключается к одному из внутренних ресурсов сети и выполняет определенные действия. В панели администратора Shell Control Box при этом появляется запись о новой сессии. Кликнув по ней, администратор видит список вводимых команд или (в случае с графической сессией) список заголовков открывавшихся окон.

Еще один клик, и перед нами предстает плеер — достаточно нажать кнопку Play, и вся сессия начнет проигрываться подобно скринкасту. При желании можно посмотреть информацию о каждой нажатой клавише или клике мыши. Список заголовков окон или названий консольных команд помогает ориентироваться — система получает их при помощи OCR.

 

Shell Control Box глазами админа

Вот как выглядит администраторская сторона Shell Control Box. На главном экране мы видим график активности пользователей и список сессий, по которому можно искать.


Настройки политик RDP.


И настройки политик SSH.


Когда Shell Control Box перехватывает обмен ключами шифрования, он создает дополнительную пару ключей и затем может мониторить весь трафик. Для пользователя при этом процесс выглядит совершенно обычным образом — так, будто он подключается напрямую к серверу.

Дополнительные настройки SSH
Дополнительные настройки SSH

А вот что мы увидим, кликнув на любой записанной сессии.


Каждому действию может присваиваться рейтинг в зависимости от его потенциальной опасности.


Заголовки окон и действия пользователя (это сессия RDP).


А вот собственно плеер. Нажимаешь Play и смотришь кино.


Не всем администраторам нужны полные настройки — можно задать группы пользователей и справа выбрать, какие пункты меню будут им доступны.


Функция Four-Eyes предназначена для того, чтобы сисадмин (в терминах Balabit — «авторизатор») мог разрешить или запретить сессию, а мог последить за ней в режиме реального времени. Отсюда и название — «Четыре глаза». На скриншоте — интерфейс, который видит авторизатор. Это, по сути, админка Shell Control Box, в которой выключены все разделы, связанные с настройкой.



Для установки SCB потребуется настроить роуты таким образом, чтобы трафик проходил через Shell Control Box. Клиенты при этом могут находиться в другом VLAN, серверы — тоже в разных VLAN.

Нельзя не упомянуть и о важном ограничении SCB. Чтобы реализовать запись и детальный анализ сессий, инженерам Balabit приходится добавлять поддержку каждого протокола в отдельности. Сейчас SCB поддерживает HTTP(S), SSH, Telnet, RDP, VNC и Citrix. А вот если, к примеру, напрямую соединиться с базой данных SQL, то сессия не запишется. Впрочем, именно о поддержке SQL в Balabit думают как об одной из будущих возможностей.

 

Syslog-ng сегодня

При том что основную прибыль Balabit приносят решения категории Privileged Access Management, syslog-ng вовсе не забыт и не заброшен. Наоборот — он вовсю развивается. Сейчас syslog-ng используют более ста миллионов пользователей. Он установлен в том числе в CERN и, что вызывает особую гордость у разработчиков, в электромобилях BMW i3.

По вполне понятным причинам основные нововведения в syslog-ng нацелены на особо крупных клиентов, в том числе на применение в телекоме. Ради них, к примеру, была добавлена поддержка MongoDB, Hadoop, Elasticsearch и Apache Kafka. Нынешняя цель команды — достичь возможности логировать до 3 миллионов событий в секунду, поступающих из 22 дата-центров (очевидно, по заказу одного из наиболее требовательных клиентов).

Второе направление, над которым идет непрерывная работа, — это мониторинг. В состав syslog-ng входит продвинутый парсер с поддержкой модулей на Python. В общем, фокус команды — это автоматизация поиска, поддержка облачных технологий и автоматический парсинг логов.

 

Blindspotter

Помимо Shell Control Box, в арсенале Balabit есть другой интересный инструмент — он называется Blindspotter. Это аналитический движок, который служит прослойкой между системой менеджмента сессий, системой ведения логов и SIEM. Как это устроено, можно увидеть на схеме.


Данные, полученные при помощи Shell Control Box (Privileged Session Management на схеме) и syslog-ng или другой системы менеджмента логов, поступают в Blindspotter (Privileged Account Analytics) и обрабатываются. Blindspotter присваивает каждому действию пользователя уровень риска и передает эту информацию в SIEM.

Подразумевается, что будет задан набор правил, руководствуясь которыми система сможет оповещать администратора об угрозе или автоматически разрывать сессию. Помимо этого, Blindspotter эвристически определяет, насколько действия пользователя похожи на его обычное поведение — где и как он авторизуется, с какого устройства, в какое время, какие запускает программы и так далее.

Blindspotter учитывает даже ритм нажатия на клавиши и характер движений курсора мыши. Если эвристический алгоритм заподозрит, что за клавиатурой сидит кто-то другой, администратор может сразу же получить предупреждение, чтобы, например, принудительно разорвать сессию или перейти к ее мониторингу.

Если правила заданы на отслеживание определенных консольных команд или заголовков окон, то это теоретически можно попытаться обойти — тот же bash предоставляет массу способов замаскировать название вызываемой команды. Однако для этого атакующий сначала должен узнать не только о факте мониторинга (это можно сделать, прощупав подсеть и обнаружив интерфейс админки SCB), но и о том, какие именно команды отслеживаются. В любом случае сессия будет записана, что поможет расследовать инцидент позже.

Другая цель Blindspotter, по словам его разработчиков, — это засветить «теневой IT», в первую очередь — самовольный обход политик безопасности внутри компании. Например, когда личный пароль от какой-то критически важной системы передается от пользователя к пользователю или когда в результате безудержного DevOps создаются скрипты, и в логах больше не заметно, кто человек, а кто робот. Это действует и в обратную сторону: если аккаунт, с которого обычно работает скрипт, вдруг используется человеком — это повод немедленно посмотреть, что происходит.

В общем, никто не предлагает использовать Blindspotter как единственное средство предотвращения угроз. Зато он может принести неоценимую помощь в форензике. Откопать что-то в терабайтах логов, найти те самые слепые места, в честь борьбы с которыми он назван, — здесь его сила раскрывается по полной.

 

Бонус: экскурсия по офису Balabit

Когда с презентациями было покончено, я попросил PR-менеджера провести небольшой тур по офису. И не был разочарован!

Рабочие места выглядят вполне ординарно, тут ничего особенного.


А вот эта переговорка — уже нечто выдающееся. Надо думать, сюда приводят самых серьезных корпоративных клиентов. Кстати, я одобряю не только обои, но и постер Black Sabbath слева.


Комната отдыха.


Увидев нагромождение под телевизором, я поспешил подойти поближе. Да, беспорядок. Но зато в кадр попали целых два Commodore 64, как минимум один ZX Spectrum, гитара от Guitar Hero и Raspberry Pi.


Комната для более активных игр. Настольный футбол, пинг-понг, стенка с турником.


Ну и для тех, кто хотел бы здесь задержаться, — приглашение на работу. 🙂



2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Tips’n’Tricks из арсенала андроидовода. Самые интересные, полезные и нестандартные трюки с Android

Многие годы мы рассказывали про самые разные способы оптимизировать, модифицировать и твик…