Роскомнадзор (РКН) предупредил российские компании о рисках для безопасности данных, связанных с применением VPN-сервисов, использующих зарубежные серверы, предложив им ускорить переход на российскую инфраструктуру для информационных систем и протоколов, которые обеспечивают их внутренние бизнес-процессы.

«Рекомендуем российским предприятиям и организациям ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории нашей страны», —- цитирует «Интерфакс» заявление регулятора.

Изображение: Stefan Coders / Pixabay

«Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации», — подчеркнули в РКН, отметив, что «согласно закону “О связи” в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации».

Ранее РКН наложил ограничения на работу популярных VPN-сервисов, которыми могут воспользоваться только компании из «белого списка», уведомившие регулятора о необходимости их применения. А на этой неделе в Сети появились жалобы на массовую блокировку VPN-протоколов, а не отдельных сервисов, которая, в частности, коснулась OpenVPN, IKEv2 и WireGuard.

Разработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне.

Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети.

Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов.

Изображение: Bishop Fox

Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве.

Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.

«Ростелеком» анонсировал сервис «ГОСТ VPN» для построения и эксплуатации защищенных сетей операторов связи. Сервис позволит организовать защищенное взаимодействие между географически распределенными объектами в любых регионах. В релизе компания указывает преимущества своего решения пока только для операторов связи. Разработчик — дочерняя компания «РТК-Солар».

В «Ростелекоме» утверждают, что сервис шифрования каналов связи обеспечивает конфиденциальность и целостность данных при их передаче по открытым каналам связи. Для этого используются сертифицированные ФСБ России средства криптографической защиты информации (СКЗИ) по третьему классу (КСЗ). С 2017 года в России действует закон о запрете использования VPN-сервисов и анонимайзеров для обхода блокировок сайтов, которые признаны запрещенными в России. А в 2021 году Роскомнадзор начал блокировать VPN-сервисы, постоянно обновляя их списки.

Источник: SecurityLab

При этом в октябре Минцифры, а еще ранее ЦБ, потребовало от ряда госкомпаний, госкорпораций и крупных банков отчитаться об использовании VPN-сервисов. Источники портала SecurityLab, принадлежащего российской компании Positive Technologies, предположили, что Минцифры может предложить свою реализацию VPN, использующую портал «Госуслуги», оператором которого как раз выступает «Ростелеком». Также эксперты предполагают, что сбор информации происходит для возможной блокировки всех основных VPN-протоколов.

Несмотря на то, что «Ростелеком» предложил свой сервис пока только для операторов связи, не исключено, что финансовый сектор станет следующим. При этом сегодня «Лаборатория Касперского» без объяснения причин заявила о поэтапной приостановке работы своего VPN-сервиса в России. Другие страны изменения в работе Kaspersky Secure Connection не затронут, для пользователей за пределами России набор доступных функций и VPN-серверов останется прежним.

Кроме того, с марта этого года под эгидой Минцифры также действует собственный, суверенный российский центр сертификации, не признаваемый пока никакими другими иностранными центрами. Сертификаты данного центра уже начали внедрять на своих ресурсах некоторые крупные игроки, например, Сбер.

Минцифры потребовало от ряда госкомпаний, госкорпораций и крупных банков отчитаться об использовании VPN-сервисов, сообщают «Ведомости» со ссылкой на письмо министерства в компании от 28 октября. Представитель Минцифры подтвердил подлинность обращения. В списке рассылки числятся «Роскосмос», «Ростех», «Газпром», «Ростелеком», Сбербанк, ВТБ, «Промсвязьбанк», «Газпромбанк», «Открытие», «Альфа-банк», «Россельхозбанк», «Райффайзенбанк», «Росбанк» и «Совкомбанк».

Изображение: Stefan Coders / Pixabay

В письме Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы используются или планируются использоваться, в каких целях в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс, для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных). Кроме того, необходимо указать город, регион России или страну использования.

По данным «Ведомостей», Минцифры может предложить свою альтернативу защищенного VPN, осуществленную базе «Госуслуг». Аналогичный запрос проводит и Центробанк, сообщил источник «Ведомостей». В августе 2021 года ЦБ уже рассылал такое письмо с запросом на использование сервисов Psiphon, Tunnelbear, Thunder, Redshield. В Банке России тогда объясняли свой интерес попыткой предотвратить сбои в работе финансовых структур при блокировке VPN-сервисов Роскомнадзором.

Компания Gartner обнародовала прогноз по мировому рынку средств обеспечения сетевого доступа с нулевым доверием (Zero Trust Network Access, ZTNA). По мнению аналитиков, спрос на данные решения в корпоративном сегменте значительно вырастет, а заказчики всё чаще будут применять соответствующие продукты вместо виртуальных частных сетей (VPN).

Концепция ZTNA предусматривает, что доступ пользователя к определённым приложениям или сервисам предоставляется только после аутентификации на базе различных методов. Причём любые изменения конфигурации сети требуют повторной аутентификации. По сути, речь идёт о схеме «по умолчанию не доверяй никому», которая позволяет повысить безопасность IT-инфраструктуры.

Источник изображения: Olivier Le Moal / Alamy Stock Photo

По оценкам, в конце 2021 года рост глобальной отрасли ZTNA составил менее 10 %. В 2023-м темпы расширения данного сегмента увеличатся до 31 %. Этому будет способствовать в том числе внедрение ZTNA для рядовых офисных сотрудников. Gartner ожидает, что к 2025 году как минимум 70 % новых проектов по организации удалённого доступа будут полагаться на ZTNA вместо VPN.

Нажмите для увеличения. Источник изображения: DataCenter Knowledge

Специалисты Omdia выделяют несколько причин роста популярности ZTNA. По сравнению с VPN такие системы обеспечивают более высокий уровень безопасности. Кроме того, средства VPN менее эффективно используют полосу пропускания. Наконец, средства ZTNA зачастую входят в состав комплексных услуг SASE и SSE.

«АйТи Бастион» и «С-Терра СиЭсПи» разработают решение для безопасного контролируемого удаленного доступа к инфраструктуре предприятия с осуществлением контроля и мониторинга действий пользователя.

Решение основано на совместной работе VPN-продуктов «С-Терра», в частности, криптомаршрутизатора «С-Терра шлюз» и ПО «С-Терра клиент», а также и комплекса СКДПУ НТ от «АйТи Бастион».

Защищенное взаимодействие с корпоративной сетью достигается путем шифрования и туннелирования трафика с применением отечественных ГОСТ-алгоритмов и протокола IPsec, которые реализуются оборудованием «С-Терра». Технологии «АйТи Бастион» позволят проводить мониторинг действий в режиме, приближенном к реальному времени, и автоматизировать процесс выявления инцидентов в сессиях пользователей.

Интеграция комплекса СКДПУ НТ с продуктами «С-Терра» позволит закрыть вопрос защиты удаленного доступа с помощью российских сертифицированных продуктов, считает технический директор «АйТи Бастион» Дмитрий Михеев.

Американская компания Cisco заявила, что не будет устранять уязвимость нулевого дня CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O) в своих маршрутизаторах, которая позволяет обойти авторизацию и получить доступ к сети IPSec VPN. Такое решение обусловлено тем, что проблема затрагивает маршрутизаторы, период поддержки которых давно завершён.

Согласно имеющимся данным, речь идёт о VPN-маршрутизаторах для малого бизнеса RV110W, RV130, RV130W и RV215W, жизненный цикл которых завершился ещё в 2019 году. Что касается самой уязвимости, то она связана с ошибкой в алгоритме проверки паролей. Уязвимость позволяет злоумышленникам подключиться к VPN-сети с помощью особым образом подготовленных учётных данных, но только при условии, что на маршрутизаторе активирован VPN-сервер IPSec.

Изображения: Cisco

«Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN. Злоумышленник может получить привилегии того же уровня, что и администратор, в зависимости от используемых специально созданных учётных данных», — говорится в сообщении Cisco.

Производитель не только подтвердил наличие проблемы, но также сообщил, что не намерен выпускать патч для исправления упомянутой уязвимости. Пользователям, которые продолжают использовать устаревшие модели маршрутизаторов, рекомендуется приобрести более современные устройства, продолжающие получать обновления безопасности. В компании также отметили, что на данный момент не было зафиксировано каких-либо признаков того, что уязвимость CVE-2022-20923 используется злоумышленниками на практике.

Но это не единственная серьёзная уязвимость старых продуктов Cisco, которая не была исправлена производителем из-за окончания срока поддержки. Например, в августе 2021 года компания заявила, что не намерена исправлять критическую уязвимость CVE-2021-34730 в вышеупомянутых маршрутизаторах, эксплуатация которой может позволить осуществить удалённое выполнение кода с правами администратора. В июне этого года стало известно об аналогичной критической уязвимости CVE-2022-20825 в тех же устройствах. Во всех случаях Cisco рекомендует приобрести более современные устройства.

Специалисты «НИИ СОКБ Центр разработки» и «КриптоПро» разработали комплексное решение для обеспечения защищенного удаленного доступа к информационным системам с мобильных и стационарных устройств. Оно поддерживает централизованное управление конечными устройствами, включая организацию и управление VPN-доступом. Решение создано на основе VPN-шлюза «КриптоПро NGate» (NGate) и комплексной цифровой мультиплатформы управления мобильными устройствами SafeMobile (UEM SafeMobile).

Источник: UEM SafeMobile

Среди основных функций комплексного решения — защита каналов связи при удаленном доступе пользователей с мобильных и стационарных устройств связи и исключение несанкционированного доступа к корпоративным ресурсам. В унифицированное управление пользовательскими устройствами входит применение корпоративных политик безопасности к различным устройствам.

Доступно управление мобильными устройствами на базе Android, iOS и «Авроры», ноутбуками и рабочими станциями с MS Windows 10 из единой консоли, а также администрирование пользовательских устройств (управление политиками безопасности, сброс к заводским настройками, геолокация, настройка беспроводных сетей Wi-Fi).

Источник: "КриптоПро"

Функция управления приложениями, контентом и защитой позволяет автоматизировать жизненный цикл мобильных приложений на устройствах пользователей (установка приложений, их настройка и удаление), разделять корпоративные и личные данные на мобильных устройствах за счет использования контейнеризации и защищать пользовательские устройства от актуальных угроз ИБ (блокировка доступа в случае компрометации, антивирусная защита).

Компания InfoWatch сообщила о выпуске новой версии программного комплекса ARMA Industrial Firewall 3.7.

InfoWatch ARMA Industrial Firewall представляет собой межсетевой экран нового поколения (NGFW). Решение позволяет обнаруживать и блокировать атаки злоумышленников на автоматизированные системы управления технологическими процессами (АСУ ТП), а также попытки эксплуатации уязвимостей в промышленной среде. Помимо функций межсетевого экранирования, продукт обладает встроенной системой обнаружения вторжений с базой решающих правил СОВ для АСУ ТП и VPN. Также комплекс позволяет реализовать меры защиты значимых объектов критической информационной инфраструктуры (КИИ) согласно требованиям приказов ФСТЭК России.

Источник изображения: infowatch.ru/products/arma

Ключевой особенностью InfoWatch ARMA Industrial Firewall версии 3.7 стала поддержка OpenVPN-ГОСТ, что позволяет организациям использовать шифрование каналов связи на базе сертифицированных ФСБ России средств криптографической защиты информации. Также в продукт добавлена поддержка промышленного протокола KRUG, используемого в контроллерах и SCADA-системах производства научно-производственной фирмы «Круг». Отдельное внимание было уделено расширению функциональных возможностей инструментов для работы с журналами логов.

InfoWatch ARMA Industrial Firewall включён в реестр российского программного обеспечения и рекомендован для закупки госучреждениями.

Компании «С-Терра СиЭсПи» и «ИТ-Экспертиза» сообщили о разработке решения для организации контролируемого защищённого подключения удалённых пользователей к корпоративной сети и реализации концепции контроля сетевого доступа (NAC) или сетевого доступа с нулевым доверием ZNTA. Продукт полностью соответствует требованиям российского законодательства.

В основу представленного решения положены VPN‑инструменты «С-Терра» и комплекс информационной безопасности САКУРА, созданный в «ИТ-Экспертиза». САКУРА позволяет контролировать состояние удалённых рабочих мест и других устройств в круглосуточном режиме и предотвращать последствия нарушения правил информационной безопасности.

Упрощенная схема решения / Источник изображения: «С-Терра СиЭсПи»

Совместное решение предназначено для организации защищённого удалённого доступа с проверкой политики безопасности пользовательских рабочих станций. Среди ключевых возможностей продукта названы: предоставление доступа к конфиденциальной информации только с проверенных устройств; оперативное реагирование на проблемы безопасности пользователя в реальном времени; профилирование устройства (в зависимости от результата проверки пользовательского АРМ выдаётся удалённый доступ к разным сетевым ресурсам).

«Интеграция продуктов САКУРА и С-Терра VPN даёт нашим заказчикам возможность реализовать уже ставшую стандартом в современных условиях концепцию ZTNA — выполнять проверку комплаенса безопасности и "на лету" управлять доступом рабочих мест к инфраструктуре организации в зависимости от соблюдения требований безопасности», — отмечают партнёры.

В решении сохранены все преимущества VPN-клиентов «С-Терра Клиент»/»С-Терра Клиент А» для удалённого доступа, в том числе интеграция с Active Directory через механизм xAuth и возможность использования двухфакторной аутентификации через одноразовые пароли, SMS или Telegram.