Тест решения SafenSoft TPSecure для защиты банкоматов

Дата проведения: 27.02.2017 10:00

В данном обзоре речь пойдет о программном продукте SafenSoft TPSecure компании SAFE ‘N’ SEC Corporation. SafenSoft TPSecure защищает банкоматы, POS-терминалы, киоски и другие устройства самообслуживания от несанкционированного доступа к данным и изменениям в программном обеспечении со стороны сервисного персонала или хакеров.

Программное обеспечение SafenSoft TPSecure состоит из двух модулей:
- Safe’n’Sec SClient (далее по тексту – «Safe’n’Sec SysWatch») предназначен для защиты от несанкционированного доступа к информационным ресурсам серверов, функционирующих под управлением ОС семейства Microsoft® Windows®.
- Safe’n’Sec Service Center (далее «Сервисный Центр») представляет собой набор инструментов администрирования для управления системой информационной безопасности, обеспечивающей сохранение целостности программной среды конечных точек сети, защиту от несанкционированного доступа к данным со стороны персонала или злоумышленников. В состав Сервисного Центра входят Safe’n’Sec Server (серверный компонент) и Safe’n’Sec Admin Console (консоль управления).

В нашем обзоре речь пойдет о Safe’n’Sec SysWatch, которое является клиентской частью и устанавливается непосредственно на банкомат, а также о возможности удалённого управления с помощью Safe’n’Sec Server.

Safe’n’Sec SysWatch является проактивным средством защиты, относящимся к классу систем предотвращения вторжений Host Intrusion Prevention System (HIPS). Safe’n’Sec SysWatch анализирует активность приложений и блокирует опасные действия, которые могут привести к неработоспособности системы или порче/потере информации, обеспечивает защиту от различных видов вредоносного ПО, уязвимостей "нулевого дня" и других действий злоумышленников.

Функциональные возможности

Системные требования

Система должна отвечать перечисленным ниже аппаратным и программным требованиям:

Установка

Safe’n’Sec SysWatch может быть установлен на конечные устройства как локально, так и одним из удалённых способов:
- через доменную групповую политику;
- с помощью утилиты удалённой инсталляции (Утилита командной строки srvrimp.exe поставляется с Safe’n’Sec Service Center и предназначена для удалённой установки клиентских приложений Safe’n’Sec);
- сторонними средствами администрирования.

Выбор подходящего способа установки зависит от конкретных условий применения и определяется на основе таких критериев, как количество конечных точек, организация сети, политика безопасности и других особенностей среды развёртывания.

Локальная установка предполагает установку экземпляра приложения на каждый клиентский хост.

Возможны следующие варианты локальной установки Safe’n’Sec SysWatch:
- в обычном режиме (с использованием интерфейса пользователя);
- в тихом режиме;
- в тихом режиме с применением конфигурационного файла.

Для демонстрации процесса работы с продуктом проведём установку Safe’n’Sec SysWatch в обычном режиме с помощью графического интерфейса на банкомате Personas NCR-5877 CEN-L с Windows XP SP3.

Для установки Safe’n’Sec SysWatch необходимо запустить установочный пакет SafenSoft_SysWatch.msi. Для продолжения установки необходимо принять условия лицензионного соглашения.

Следующими действиями является выбор пути и подтверждение установки.

В последнем окне нажимаем Готово и подтверждаем выход из мастера установки.

Тест производительности системы без ПО Safe’n’Sec SysWatch показывает загрузку ЦПУ на уровне 2% и 235 МБ использованной оперативной памяти. После установки ПО Safe’n’Sec SysWatch загрузка ЦПУ колебалась в пределах 10%-24%, загрузка оперативной памяти выросла и составила 456МБ.

После окончания установки начнётся автоматический сбор профиля системы в фоновом режиме. Задача сбора профиля - сохранение первоначальной целостности ОС и всех её компонентов, включая ПО, установленное пользователем. Автоматически составляется список легитимных приложений и исполняемых файлов. Данный профиль может быть экспортирован и использован в качестве эталона для инсталляции на аналогичные устройства. Плюсом данного функционала является сокращение времени разработки политики безопасности устройства.

После установки Safe’n’Sec SysWatch активируется простой режим работы, обеспечивающий контроль запуска неизвестных исполняемых компонентов. В основе этого режима лежит логика обнаружения нового ПО в системе, отслеживание перемещения и модификации исполняемых модулей.

Работа с продуктом Safe’n’Sec SysWatch

В процессе тестирования мы рассмотрели как локальную работу с клиентской частью (при этом включили всплывающие уведомления нарушения политик безопасности для наглядности их выполнения), так и с помощью Safe’n’Sec Server, установленным на сервере для удалённого управления.

Панель управления является главным окном Safe’n’Sec SysWatch и состоит из вкладок Статус, Проверка, Обновление, Лицензия, Помощь и поддержка.

На вкладке Статус отображается текущее состояние защиты.

На вкладке Проверка расположено дерево объектов для антивирусной проверки по требованию.

На вкладке Обновление находится информация по наличию обновлений программных модулей и антивирусных баз.

Вкладка Лицензия содержит данные по используемому лицензионному ключу и компонентам программы.

На вкладке Помощь и поддержка указан номер версии установленного Safe’n’Sec SysWatch и информация об ОС. На данной вкладке по ссылке Открыть Справку доступна электронная справка программы, а также приведены ссылки на сайт компании для связи с технической поддержкой.

Для общей настройки программы Safe’n’Sec SysWatch необходимо во вкладке Статус нажать кнопку Настройка. В появившемся окне осуществляется настройка общих параметров, где выбираются:

1. Режимы защиты (включение и отключение данных компонент защиты):
- Приложения;
- Файловая система;
- Системный реестр;
- Сеть.

2. Управление инцидентами:
- Настройка автоматической обработки (позволяет задать реакцию на инциденты).

3. Управление паролем:
- Включить защиту паролем (при выборе данной функции, система потребует пароль, если в настройках будет произведена попытка внесения каких-либо изменений).

Во вкладке Проверка осуществляется настройка общих параметров задачи проверки компьютера.

1. Реакция на угрозу:
- Выбор действия автоматически: – Лечить/Удалять, если лечение невозможно;
- Выбор действия по окончанию проверки;
- Запрос действия.

2. Проверка файлов:
- Проверять: Все файлы/Только исполняемые.

3. Проверка съёмных носителей: - Автоматическая/Спрашивать о проверке.

Во вкладке Обновление настраиваются способы осуществления данной функции, через «Сервисный центр» или интернет, установка расписания для данных действий.

Во вкладке Настройки возможно включение/отключение функций:
- Cамозащита (При выборе данной опции становится невозможной принудительная выгрузка системной службы Safe’n’Sec SysWatch из ОЗУ);
- Удалённое управление (Автономно или через «Сервисный центр);
- Параметры программы (Сохраняет настройки программы в файл (Encrypted XML files)).

Основные возможности

Осуществляется контроль запуска приложений, запуск новых приложений может быть автоматически заблокирован или приостановлен до получения подтверждения от администратора. Для этого необходимо добавить нежелательное приложение в список Запрещённые приложения. В ходе тестирования использовался файл «CDGAME_EN.EXE», при попытке запустить данное приложение появлялось всплывающее окно в правой нижней части экрана, оповещающее о блокировке запуска данного приложения.

Контроль за файловой системой

Контроль за файловой системой осуществляется путём добавления файла или каталога в список ограничений и назначения правил работы с ним, а также возможности выбора пользователя и временных интервалов, в течении которых будет действовать это правило, назначения конкретных приложений и процессов, к которым это правило будет или не будет (исключения) применено. В процессе тестирования использовалась папка «C:\TEST\» с разрешениями на чтение и запретом на запись и удаление.

И теперь, при попытке создания нового файла или удаления уже существующих, появится сообщение о запрете данных действий:

Так же есть возможность задать правила на доступ к директории, при которых всем приложениям и процессам будет заблокирован доступ, и лишь конкретному приложению или процессу будет предоставлен доступ на чтение, и\или изменение, и\или удаление содержимого контролируемой директории.

Данный функционал широко применяется для защиты хранилища xml файлов, составляющих ордера на перевод денежных средств на рабочих станциях операционистов банков, и для защиты хранилища журналов транзакций на банкоматах.

Контроль реестра

Для проведения данной настройки необходимо добавить правило по работе с ресурсом системного реестра. В тестировании использовалась специально созданная ветка реестра «test»: «\REGISTRY\MACHINE\HARDWARE\TEST\». До применения политики запрета на изменение и удаление в ней были сделаны несколько записей.

После включения запрета на изменение, запись и удаление ветки реестра test и всех вложенных подразделов, попытки внесения изменений блокируются.

Контроль сети

Данная настройка позволяет открыть или наоборот, заблокировать доступ на входящий или исходящий трафик по протоколам TCP/UDP с указанием IP-адреса или диапазона IP-адресов с указанием диапазона портов.

При тестировании мы заблокировали все входящие и исходящие соединения по протоколам TCP и UDP на все IP-адреса с любыми портами. Результатом стало закрытие всех сетевых коммуникаций. В данной области контроля сети возможно разрешить только один IP адрес с одним открытым портом для каждой группы приложений или каждого отдельного процесса для обеспечения связи с:
- Процессинговым центром;
- Серверами средств удаленного администрирования системы;
- Сервером управления средством защиты;
- Источником обновлений антивирусных баз и клиентских модулей программ.

Контроль устройств

По умолчанию, в политике контроля запрещены все внешние устройства. Для тестирования использовалось USB-устройство Generic Flash_disk 8.07. При попытке зайти на USB накопитель появлялось окно, сообщающее о запрете работы с данным устройством.

Для разрешения работы с данным устройством в дополнительных настройках и на вкладке исключения необходимо разрешить требуемые функции: чтение, запись, удаление.

Белый список сертификатов инсталляторов

В клиентском модуле Syswatch реализован функционал белого списка сертификатов инсталляторов. Только инсталляторы, имеющие доверенные цифровые подписи издателя, могут стартовать в системе и вносить изменения в код других исполняемых файлов и реестр.

Белый список сертификатов инсталляторов может быть задан как в локальных настройках клиентского модуля, так и в индивидуальных и групповых настройках с централизованной консоли управления SafenSoft Admin Console.

Данный функционал позволяет реализовать режим безопасного внесения изменений в программное обеспечение на защищаемом устройстве.

Защита исполняемых файлов от изменений

Данный функционал позволяет ограничить возможность внесения изменений в код исполняемых файлов. Внести изменения в код исполняемых файлов смогут только доверенные инсталляторы.

Самозащита клиентского модуля Syswatch

Реализована защита собственных компонент клиентского модуля Syswatch (драйверы, исполняемые файлы, библиотеки) от несанкционированного изменения и удаления. Разделы и ключи реестра, ответственные за конфигурацию клиентского модуля, также защищены от попыток несанкционированного изменения и удаления.

Динамическая песочница

Запуск неизвестных процессов и инсталляторов может быть выполнен в ограниченной среде ("песочнице") под учётной записью пользователя V.I.P.O. (Valid Inside-Permitted Operations) с ограниченными правами. Реализованы настраиваемые ограничения системных привилегий, ограничения доступа на изменение и удаление к ресурсам системы и реестру, а также запрет доступа к буферу приложения и воздействий программ глобальных перехватчиков.

Возможно присвоить конкретным доверенным процессам специальную учетную запись V.I.P.O. с настраиваемыми ограничениями, что позволяет защитить систему от компрометации доверенных процессов посредством эксплойтов.

Safe’n’Sec Service Center («Сервисный Центр»)

Для удалённого администрирования необходимо выполнить настройку доступа конечной точки к серверу удалённого администрирования.

Выполнив настройку и сохранив все политики безопасности, можно выгрузить текущую конфигурацию в файл с расширением *xmlc.

При выполнении удалённой установки есть возможность указать путь к файлу конфигурации, где будет прописаны уже сохранённые политики и настройки для связи с сервером управления. Результатом выполнения такой установки является автоматическое подключение к Safe’n’Sec Service при удалённой групповой установке.

На рисунке ниже показан интерфейс консоли удалённого администрирования - Safe’n’Sec Service Center («Сервисный Центр»).

При управлении с сервера администрирования появляется возможность cоздания:
- Групповых задач с клиентскими модулями (обновление, сканирование заданной области, сбор профиля с выбором даты и времени для начала выполнения);
- Централизованного управления на встроенной консоли;
- Криптозащиты канала связи между клиентскими и серверными модулями;
- Просмотра отчётов клиентских модулей в режиме реального времени.

Все инциденты появляются во кладке Лог. Используя фильтр и группировку можно отсортировать все события по важности, по типу события или иным необходимым способом.

Имеется возможность получать оповещения о событиях, зарегистрированных клиентскими модулями, по электронной почте через выбор типа событий и добавления контактов для оповещения.

Используя сервисный центр, возможно сгенерировать отчёты о:
- Инцидентах на конечных точках (нарушения контроля целостности, обнаружениях вредоносного кода, других НСД);
- Состоянии работы модулей (контроль целостности, антивирус, межсетевой экран).

Всё отчёты можно выгрузить в формате XLSX.

Весь набор инструментов централизованного администрирования Safe’n’Sec SysWatch позволяет не только создать готовый набор настроек системы и распространить его на аналогичные устройства, но и обеспечить централизованный мониторинг за соблюдением политик безопасности, а также оперативно получать оповещения для возможности немедленного реагирования.

Выводы

SafenSoft TPSecure осуществляет контроль запуска новых приложений, и может их автоматически блокировать или приостанавливать. Обновления установленных приложений распознаются автоматически. Благодаря этому, данный продукт надежно защищает систему от всех видов вредоносного ПО, несанкционированных изменений и доступа к данным, без необходимости обновлений.

Решение оптимально подходит для защиты устройств самообслуживания, использующих как низко-, так и высокоскоростные каналы связи. Для развертывания и изменения политик контроля имеет собственную систему управления.

В SafenSoft TPSecure возможна гибкая настройка пользовательских правил, как для отдельных приложений, так и для их групп. Это позволяет анализировать активность приложений и блокировать опасные действия, которые могут привести к неработоспособности системы или порче/потере конфиденциальной информации, обеспечивая защиту от различных видов вредоносного ПО, уязвимостей "нулевого дня" и других действий злоумышленников, а также защиту локально хранимых данных, включая временные файлы приложений.

SafenSoft TPSecure контролирует доступ различных приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Возможно создание пользовательских правил активности приложений.

Это решение содержит в себе весь необходимый комплекс элементов для полноценной защиты программного обеспечения банкомата без необходимости дополнительного приобретения других модулей и компонентов: консоль централизованного управления, встроенный сетевой экран, антивирусный движок, функционал логирования инцидентов и отчетности по ним, контроль за приложениями, контроль за подключением и использованием внешних/сторонних устройств (ноутбуков, USB-накопителей, и т.д.).