infosecurity032020 by baranovmir2

Cover_01 7/16/20 2:40 PM Page Cov1

www.itsec.ru

№ 3, июль 2020 Издание компании

XVI МеждунарОдная выставка

Осень 2020

Спецпроект

DLP СтреСС, к которому СтоиЛо быть готовым зАрАнее DLP уже не тА. кАк меняетСя функционАЛ и формАт рАботы С СиСтемой ДрАйв инновАций в DLP и прикЛАДные зАДАчи кЛиентов зАщитА от утечек информАции кАк АктуАЛьнАя зАДАчА иб и непрерывный процеСС ШеСть инСАйтов, которые покАзАЛ моДуЛь UBA во время вСеобщей САмоизоЛяции DLP-СиСтемы нового покоЛения безопАСнАя переДАчА конфиДенциАЛьной информАции в критичных и корпорАтивных Сетях кАк СДеЛАть ШАг от DevOPs к DevsecOPs

Александр Лавров

К счастью, мы завершили внедрение PAM до начала режима самоизоляции

IB_Jornal 7/16/20 2:40 PM Page cov2

ВСЕГДА НА РАБОЧЕМ СТОЛЕ

ПОДПИСКА 2020 Подписное агентство:

Редакция:

monitor@groteck.ru (495) 647-04-42 д. 22-82 УРАЛ-ПРЕСС (499) 700-05-07

Preview 7/16/20 2:38 PM Page 1

www.itsec.ru

Дополненная реальность, данная нам в визуальных ощущениях Более половины этого номера журнала посвящено теме DLP. Как известно, основной элемент DLP – это микроэлектромеханическая система, которая создает изображение микроскопическими зеркалами, расположенными в виде матрицы на полупроводниковом чипе. Забавно иногда встретить знакомую аббревиатуру со значением, относящимся к совершенно далекой области. Оказывается, SOC может быть не только нашим любимым СОКом, но и Systemon-Chip. А UTM – не только Unified Threat Management, но и Urchin Tracking Module, причем Urchin, надо заметить, позднее был переименован в Google Analytics. А DLP – это не только Digital Light Processing, но и парижский Диснейленд. Модуль контентного анализа, встроенный в наш мозг, дает в таких случаях временный сбой, в период которого вся информация воспринимается некорректно.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

И именно технологии контентного анализа – это сердце DLP в нашем, родном значении Data Leak Prevention. Общая идея DLP состоит в том, чтобы, в отличие от большинства других систем, считать потенциальными злоумышленниками не внешние системы, а пользователей внутри периметра. Сверхзадача DLP-системы – анализируя людей и/или данные, дождаться, когда наконец соберется достаточно доказательств, что гипотеза о злонамеренности пользователей верна. В этом подходе есть изрядная доля паранойи, но ведь и выживают, как поговаривают, только параноики. Сетевые устройства уже научились не доверять никому, реализуя концепцию Zero Trust. Чем же мы, люди, хуже? Мы доверяем сотрудникам самое ценное, что есть у нашего бизнеса, и хотели бы быть уверенными, что нашим доверием не злоупотребят. Но человек – слаб и заслуженно считается самым уязвимым звеном любой ИБ-системы. Под давлением такой логики ничего не подозревающий пользователь казаться коварным инсайдером.

невольно начинает

Инсайдер может иметь злой умысел или не иметь. Он может быть самостоятельным актором, или им могут манипулировать извне, например, через методы социальной инженерии, а может быть просто нелояльным или обиженным сотрудником. Что самое увлекательно в работе с DLP: детективные истории можно писать практически про любой инцидент, а чтобы оценить красоту эпизода, достаточно житейской логики. Главное – дополнить наблюдаемую реальность коррелирующими фактами из работы всех задействованных систем. Образовавшаяся дополненная реальность как результат введения в поле восприятия ранее скрытых данных дополнит исходные сведения и улучшит восприятие информации. DLP, как и другие инструменты ИБ, уверенно двигаются в этом направлении. А на смежном участке информационной безопасности разворачивается защита критической инфраструктуры при широком многообразии объектов КИИ – от простеньких сайтов до авиалайнеров. С учетом этого факта правоприменение ст. 274 УК РФ намекает1, что утечки являются весьма актуальными угрозами и для объектов КИИ. Красоту общей картины портят только ложноположительные (ЛПС) и ложноотрицательные (ЛОС) срабатывания. И если вторые могут так и остаться незамеченными, то первые оставляют след внутри организации, отнимают ресурсы и с тактической точки зрения кажутся более неприятными. Хотя последствия ЛОС потенциально более опасны. Меньше вам ложноотрицательных срабатываний!

1 Краткий обзор судебной практики по применению ст. 274.1 Уголовного кодекса РФ // Information Security / Информационная безопасность. 2020. № 2.

• 1

Contents 7/16/20 2:38 PM Page 2

СОДЕРЖАНИЕ В ФОКУСЕ Андрей Мирошкин, Сергей Кудашов, Дмитрий Андриченко, Александр Каспаров Стресс, к которому стоило быть готовым заранее . . . . . . . . . . . . . .4 стр.

КИИ

Константин Саматов Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры . . . . . . . . . . . . . . .6 ПЕРСОНЫ Александр Лавров К счастью, мы завершили внедрение PAM до начала режима самоизоляции . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 стр.

ПРАВО И НОРМАТИВЫ

Анастасия Заведенская Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

СПЕЦПРОЕКТ – DLP Ксения Головко DLP-системы нового поколения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Степан Дешевых, Александр Клевцов Драйв инноваций в DLP наступает тогда, когда решаются прикладные задачи клиентов . . . . . . . . . . . . . . . .18

стр.

Дмитрий Кандыбович Практические примеры из опыта использования StaffCop Enterprise – инциденты, расследования, результаты . . .20 DLP уже не та. Как меняется функционал и формат работы с системой . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Галина Рябова Шесть инсайтов, которые показал модуль UBA во время всеобщей самоизоляции . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Анна Попова Защита от утечек информации как актуальная задача ИБ и непрерывный процесс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 2 •

стр.

Contents 7/16/20 2:38 PM Page 3

СОДЕРЖАНИЕ Вячеслав Половинко, Илья Кондратьев Безопасная передача конфиденциальной информации в критичных и корпоративных сетях . . . . . . . . . . . . . . . . . . . . . . . . .30

Круглый стол: диалог заказчика с производителями и интеграторами DLP . . . . . . . . . . . . . . . . . . . . .32

Обзор решений DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

УПРАВЛЕНИЕ Алексей Лукацкий Измерение эффективности SOC. Часть 2 . . . . . . . . . . . . . . . . . . . . .46

ТЕХНОЛОГИИ БЕЗОПАСНАЯ РАЗРАБОТКА Дарья Орешкина Как сделать шаг от DevOps к DevSecOps . . . . . . . . . . . . . . . . . . . . .50

ИЗМЕРЕНИЯ И СЕРТИФИКАЦИЯ Артемий Скребнев Пассивная защита от утечки информации

Журнал "Information Security/Информационная безопасность" № 3, 2020 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов Редакторы Светлана Хафизова Анастасия Разбойникова Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Группа управления заказами Татьяна Мягкова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ИП Морозов, Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки Тел.: +7 (495) 647-0442, www.itsec.ru

по электромагнитным каналам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52

Центральный разворот . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

Колонка редактора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 82 E-mail is@groteck.ru Web www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2020

• 3

Panel 7/16/20 2:38 PM Page 4

В ФОКУСЕ

Стресс, к которому стоило быть готовым заранее Андрей Мирошкин, генеральный директор Groteck Business Media Сергей Кудашов, StaffCop (“Атом безопасноcть”) Дмитрий Андриченко, Flowmon Networks Александр Каспаров, Web Control

конце мая этого года состоялась онлайн-дискуссия на тему защиты корпоративных сетей в условиях новых вызовов информационной безопасности. Участники рассказали о том, как должны измениться подходы к организации сетей, чтобы оставаться защищенным даже при радикальных изменениях условий работы.

Андрей Мирошкин: Начнем с защищенности сети. Как поставщики и специалисты, в ситуации с коронавирусом и самоизоляцией (назовем это стресс-тестом) вы столкнулись с новыми запросами. Давайте обменяемся мнениями на эту тему.

Александр Каспаров: С моей точки зрения, мы столкнулись с подтверждением того, что защищать свои сети надо было давно. Еще раз увидели подтверждение тезиса, что стройного периметра не существует, а в сегодняшней ситуации его еще и "продырявили" сотрудники на удаленной работе очень большим количеством подключений извне. Пришло время для инструментов информационной безопасности, которые работают между конечными пользователями или периметром и ядром системы. Сейчас также оправданно применение средств анализа вредоносной активности внутри сети.

Дмитрий Андриченко: Соглашусь с Александром. Как мы видим со стороны, большинство компаний были не готовы к такому стресс-тесту. Когда пришла новость, что начинается карантин и все должны сидеть дома, большинство компаний не успели отреагировать. Говорить про такие вещи, как согласование закупок, архитектура или планирование, уже было поздно. Это все нужно было "делать вчера". Компаниям и современным гигантам, а также заказчикам необходимо следовать мировым трендам в области ИТиндустрии. Потому что вызовы, которые будут завтра и послезавтра, предугадать невозможно. И, закрывшись сегодня VPN-концентратами и хабами, вы можете не соответствовать той проблематике, которая появится завтра. Надо цифровизировать свой бизнес и готовить к возможным рискам и угрозам.

4 •

Сергей Кудашов: Во многих компаниях системные администраторы или даже целые отделы оказались не готовы к ситуации, когда в течение двух-трех дней нужно перевести на удаленный режим работы порядка двухсот-трехсот человек. Многие не понимали, как выстроить такую работу. Потому что при выборе оборудования для доступа во Всемирную сеть не продумывали возможность подобного развития событий. И вот большому количеству пользователей понадобился доступ извне к корпоративным ресурсам. А какие приложения размещать на локальной площадке? Какие – в дата-центрах, в облаках? А ведь то, что размещается в Интернете, нужно постоянно мониторить. Администратор должен знать, когда происходит отклонение от нормы. Но многие этим пренебрегают, и образуется серьезная брешь в информационной системе. Доходит до ситуаций, когда администраторы ленятся даже сменить пароль, установленный по умолчанию. Нередки случаи, когда в компании нет DLPсистем, то есть нет контроля отчуждения информации. Нужно понимать, что роль ИТ-специалистов важна. Но, к сожалению, ИТ-специалисты зачастую малообщительные люди, не умеющие разговаривать на языке бизнеса. Андрей Мирошкин: То есть реализовался сценарий, к которому не были готовы ни топ-менеджеры, ни системные администраторы, произошли большие структурные изменения. Любой установленный дома компьютер, неважно, как он подключен, нельзя считать достаточно безопасным рабочим местом, потому что это неконтролируемая среда. Что вы думаете по этому поводу?

Сергей Кудашов: Единственным безопасным компьютером можно считать тот, который заперт в сейфе, отклю-

чен от любых источников информации, в том числе от электропитания. Это и есть самый безопасный компьютер. Андрей Мирошкин: Какими же средствами работать в новых обстоятельствах?

Сергей Кудашов: В условиях изменения структуры и топологии самым эффективным решением является закрытие "всего" и открытие того, что необходимо для работы, а также контроль рабочей дисциплины сотрудников, даже если они работают удаленно. Андрей Мирошкин: То есть мир после коронавируса – тот, в котором специалист по информационной безопасности, занимающийся защитой корпоративных сетей, также предоставляет инструменты для контроля за эффективностью и продуктивностью сотрудников. Так получается?

Сергей Кудашов: Именно! Дмитрий Андриченко: Да, конечно, зона ответственности и классическое понимание информационной безопасности действительно становятся все более размытыми и все больше коррелируют с вопросами информационных технологий. Например, безопасники на частных предприятиях уже не только бумаги перекладывают, но еще и вовлечены в процесс управления. Мы достаточно долго пропагандируем точку зрения, что мало взять и все запретить, сместив фокус в сторону одного из аспектов ИТ-инфраструктуры. Например, неправильно контролировать только серверы... Подход должен быть достаточно гибким, универсальным и прогрессивным. Сложно предугадать все угрозы, которые могут повлиять на инфраструктуру. Всегда будет комбинация условий. Здесь

Panel 7/16/20 2:38 PM Page 5

www.itsec.ru

В ФОКУСЕ

на помощь приходят машинное обучение и технологии искусственного интеллекта. Они адаптируются под ситуации в зависимости от условий среды, контролируют доступ в постоянном режиме, позволяют автоматически блокировать нарушителя. Это достаточно комплексный подход. Современные средства защиты в новых условиях должны быть адаптированы, должны автоматически подстраиваться и упрощать работу администраторам, а не быть дополнительной нагрузкой. Александр Каспаров: Абсолютно согласен с Дмитрием. Мы опять получили подтверждение необходимости эшелонированности любой защиты. И мы сейчас не пытаемся сказать, что один инструмент хуже, а другой лучше. В динамически меняющихся условиях, действительно, многообразие инструментов для любой компании – это благо. Но в эшелонированной системе защиты важную роль в меняющейся инфраструктуре начинают играть адаптивные алгоритмы и то, что у нас принято называть алгоритмами поведенческого анализа и выявления аномалий. Это очень важно. Причем эти инструменты сейчас развиваются в разных системах информационной безопасности. Андрей Мирошкин: Какие средства, с вашей точки зрения, нужны и обязательно должны быть в шортлисте любой компании?

Сергей Кудашов: В первую очередь нужно контролировать сотрудников и периметр компании. Непосредственно поведение сотрудника на рабочем месте. У любого пользователя есть паттерны поведения, нужно начинать обучение системы, отталкиваясь от этих паттернов. Также можно добавить определенные маркеры, интересующие нас. Ну и в зависимости от того, в каком подразделении работает сотрудник, на какой должности и к какой информации имеет доступ, отталкиваясь от этого, уже обучать систему. Но сразу хочу отметить, что ни одна система с машинным обучением, так сказать из коробки, в течение двух-трех месяцев и даже полугода стопроцентную защиту не даст. Благо разработчики всегда совершенствуют свои системы, поэтому главное – обновлять их и читать документацию к продукту. Дмитрий Андриченко: Не существует универсального рецепта, как и одного способа сложить сложный пазл, их множество. Нет единого сценария, по которому можно выстроить несколько компонентов и получить защищенную производительную сеть. Существуют мировые тренды, и один из них – поведенческий анализ. Мы в компании Flowmon предлагаем смотреть на поведенческий анализ несколько шире и не столько с точки зрения пользователя,

сколько с точки зрения всей сети как единого организма. Мало смотреть на поведение эндпойнтов конкретных узлов в сети, конкретных рабочих станций пользователей и контролировать их выход в Интернет на периметре. Мы предлагаем смотреть на ИТ-инфраструктуру в комплексе и оценивать всю картину происходящего. То есть строить поведенческий анализ не только для пользователей, но и для всех узлов сети, а именно выявлять отклонения, когда они происходят не только в рабочей станции в момент заражения, но и для серверов, для сетевых узлов. Надо контролировать не только пользователя, но и всю сеть в целом. Не надо целенаправлено приставлять администратора к кофемашине, чтобы он за ней следил. Все должно быть в фоновом режиме и проходить для компании естественным образом. Андрей Мирошкин: Мы видим, что все больше заказчиков воспринимает машинное обучение как довольно сложную задачу. Скорее они готовы доучивать, но хотят, чтобы базовый уровень обучения уже был.

Дмитрий Андриченко: Ровно так и происходит. Ценность наших решений была бы минимальной, если бы мы предоставляли только алгоритм машинного обучения. Это был бы уже не коммерческий продукт, а научная разработка. Мы предлагаем именно решение, которое позволяет заказчикам решать конкретные проблемы. Естественно, есть предопределенные методы и паттерны, которые существуют по умолчанию и сразу включатся. Но тем не менее их нужно дообучать. Андрей Мирошкин: Применительно к ситуации, о которой мы ведем разговор, наверное, должны появиться новые паттерны?

Дмитрий Андриченко: Конечно. У нас есть специально обученные сотрудники, которые смотрят на основные тренды. Ценность такого решения не только в мониторинге, а еще и в том, чтобы сократить время реакции на новые условия и минимизировать затраты на оперативное использование новой функциональности.

Александр Каспаров: Мы с Дмитрием на одной стороне. У вас сегодня выступают люди, которые находятся на одной волне в вопросах использования поведенческого анализа. Андрей Мирошкин: Мы с вами успели коснуться большей части вопросов, которые слушатели обозначали в качестве приоритетных. Прошу сказать пару завершающих слов.

Александр Каспаров: Главный урок, который мы все должны извлечь: откладывать что-то на завтра в вопросе информационной безопасности нельзя. Нужно развивать разнообразие способов защиты, эшелонированность и использование новых методов, связанных с поведенческим анализом и поиском аномалий. И не откладывать это на завтра. Дмитрий Андриченко: Я бы хотел повторить, что не существует единого рецепта защиты систем. Каждая инфраструктура индивидуальна. И вопросы, которые каждый должен задавать себе, звучат так: следую ли я актуальным трендам в мире ИБ, соответствует ли моя система современным стандартам и технологиям? Мир идет вперед, как и угрозы, которые нас окружают. Невозможно устаревшим способом защитить себя в будущем. К миру нужно адаптироваться, нужно принимать на вооружение новые технологии, чтобы идти в ногу со временем. Мониторинг, поведенческий анализ, машинное обучение – это технологии, которые будут развиваться и должны быть внедрены, хотите вы этого сегодня или нет. Сергей Кудашов: Я хотел бы добавить, что не нужно забывать про социальную инженерию. От нее крайне сложно защитить компанию, так как она очень быстро эволюционирует. К сожалению, быстрее, чем любой машинный интеллект. Мошенничество на базе социальной инженерии сегодня очень сильно развито: сейчас набирают обороты взломы компаний и добыча информации. С помощью социальной инженерии можно взломать даже очень хорошо технически защищенную компанию. В ИБ все равно самым слабым звеном остается именно человек. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 5

Samatov 7/16/20 2:38 PM Page 6

В ФОКУСЕ

Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

В На этапе создания систем безопасности значимых объектов КИИ необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требования по защите информации уже выполнены.

Результатом периодического аудита является документ, подтверждающий или не подтверждающий соответствие текущего положения дел заданным критериям (в зависимости от вида аудита), а также содержащий рекомендации по устранению несоответствий либо по развитию текущего состояния информационной безопасности, если недостатки не выявлены.

этой статье рассматриваются вопросы проведения аудита информационной безопасности в отношении объектов критической информационной инфраструктуры, а именно кто, как и когда должен проводить проверку, чем она регламентируется и каковы ее особенности. Под аудитом в данном случае следует понимать форму независимой оценки состояния информационной безопасности объекта (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.

В журнале "Информационная безопасность" № 31 за 2019 г. в одноименной статье я рассматривал общие вопросы, связанные с тем, что такое аудит информационной безопасности, зачем он нужен, какие бывают виды аудита и как он может быть использован по отношению к объектам критической информационной инфраструктуры (далее – ОКИИ). Прошел год, определенный опыт в данном вопросе накоплен, многие субъекты КИИ провели категорирование своих объектов и начали создание систем их безопасности. На этапе создания систем безопасности значимых объектов КИИ (далее – СБЗОКИИ) необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требования по защите информации

уже выполнены. Если СБЗОКИИ уже создана, то необходимо контролировать ее функционирование и проводить улучшения, то есть совершенствовать. С точки зрения обеспечения безопасности значимых ОКИИ можно выделить два направления в аудите информационной безопасности – аудит на этапе создания СБЗОКИИ и периодический аудит. Следует отметить, что в рамках данной статьи будут рассматриваться вопросы, связанные с проведением аудита значимых объектов КИИ, однако изложенные в ней тезисы могут применяться и по отношению к объектам КИИ, не имеющим категории значимости.

Аудит на этапе создания СБЗОКИИ После завершения процедуры категорирования и получения

уведомления из ФСТЭК России о внесении в реестр значимых ОКИИ субъекту КИИ необходимо понять, были ли выполнены какие-то требования в части информационной безопасности, касающиеся значимых ОКИИ. Иными словами, нужно получить свидетельства аудита2 и провести их оценку. На практике обычно не встречаются организации, у которых нет никакой системы защиты информационных ресурсов. Например, антивирусные программные средства есть практически у всех. Поэтому и нужно понять, что уже реализовано, а что требуется дополнительно реализовать с учетом новых требований. В качестве критериев аудита 3 следует использовать требования, установленные приказами ФСТЭК России от 21 декабря 2017 г.

1 Саматов К.М. Особенности проведения аудита информационной безопасности объектов КИИ // Information Security/ Информационная Безопасность. № 3. 2019. С. 8—10. 2 Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены. 3 Критерии аудита – это совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита.

6 •

Samatov 7/16/20 2:38 PM Page 7

www.itsec.ru

КИИ

l какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована; l какая часть мер потребует претворения в жизнь в процессе создания СБЗОКИИ; l какие меры могут быть заблокированы встроенными средствами защиты и для каких потребуется применение наложенных.

Периодический аудит Проведение периодического аудита регламентируется п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) и п. 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239). Периодический аудит можно подразделить на три вида (см. рис. 2). Правила и процедуры аудита безопасности должны быть регламентированы в локальных нормативных актах. Мониторинг безопасности и внутренний аудит являются базовыми мерами для всех ЗОКИИ. Внешний аудит можно использовать в качестве компенсирующей меры или в качестве дополнения; при проведении внешнего аудита внутренний проводить необязательно. Так, по моему мнению, для своевременного получения объективной картины состояния дел в части безопасности ЗОКИИ следует проводить ежегодный внутренний аудит, а внешний аудит с привлечением лицензиата, обладающего реальной экспертизой в части безопасности ЗОКИИ и проведения аудита, – раз в три года. Результатом периодического аудита является документ, подтверждающий или не подтверждающий соответствие текущего положения дел заданным критериям (в зависимости от вида аудита), а также содержащий рекомендации по устранению несоответствий либо по развитию текущего состояния информационной безопасности, если недостатки не выявлены.

№ 235 и от 25 декабря 2017 г. № 239. На что необходимо обращать внимание при проведении аудита, на какие вопросы необходимо получить ответы: 1. Силы обеспечения информационной безопасности. То есть кто и как обеспечивает информационную безопасность в организации? 2. Средства обеспечения информационной безопасности ЗОКИИ. Другими словами, какие программные и/или программно-аппаратные средства используются для обеспечения информационной безопасности ЗОКИИ? 3. Организационно-распорядительная документация. Какая документация в части безопасности информации имеется в организации и какие вопросы она регламентирует? 4. Организация работ по обеспечению информационной безопасности. l Каким образом организован процесс планирования и разработки мероприятий по обеспечению информационной безопасности, чем он регламентирован? l Как осуществляется реализация мероприятий по информационной безопасности? l Каким образом осуществляется контроль за соблюдением требований в области информационной безопасности и контроль текущего уровня безопасности? l Как оценивается уровень зрелости процессов обеспечения информационной безопасности и осуществляется их совершенствование? Вопросы 1, 3, 4 изучаются применительно ко всей организации, а вопрос относительно средств обеспечения безопасности – применительно к каждому ЗОКИИ. По сути, необходимо проанализировать, какие меры реализуются подсистемами безопасности каждого из ЗОКИИ. При этом указанный анализ должен проводиться с учетом категории значимости ОКИИ. Я рекомендую подготовить для данного анализа таблицу, основанную на Составе мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239), например, как на рис. 1. Результатом вышеописанного анализа будет понимание:

• 7

Samatov 7/16/20 2:38 PM Page 8

В ФОКУСЕ

Рис. 1. Пример таблицы для проведения аудита на соответствие требованиям к подсистеме безопасности ЗОКИИ

Рис. 2. Виды периодического аудита

Перечень источников и процедур, входящих в мониторинг безопасности, достаточно большой. Однако есть возможность агрегировать все эти источники и автоматизировать процедуры мониторинга информационной безопасности. В качестве такого решения может выступить система класса Security Governance, Risk, Compliance (SGRC).

8 •

На основании указанного документа целесообразно разработать план по устранению недостатков или усовершенствованию информационной безопасности с указанием сроков проведения отраженных в нем мероприятий. Следует отметить, что в соответствии с п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их

функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) замечания, сделанные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Мониторинг безопасности Отдельно хотелось бы остановиться на таком виде периодического аудита, как монито-

ринг безопасности. Он должен осуществляться на регулярной основе и включать в себя: l инвентаризацию информационных ресурсов; l анализ и устранение уязвимостей; l регистрацию событий безопасности; l контроль и анализ сетевого трафика; l анализ действий отдельных пользователей и т.п. Объектами мониторинга является большое количество журналов и систем: l журналы операционных систем; l журналы средств защиты информации; l системы мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования; l системы мониторинга событий информационной безопасности; l системы обнаружения и предотвращения вторжений; l системы контроля действий работников (предотвращения утечек) и т.п. Таким образом, перечень источников и процедур, входящих в мониторинг безопасности, достаточно большой. Однако есть возможность агрегировать все эти источники и автоматизировать процедуры мониторинга информационной безопасности. В качестве такого решения может выступить система класса Security Governance, Risk, Compliance (SGRC) – программный продукт, основное назначение которого – управление процессами информационной безопасности компании, автоматизация системы менеджмента информационной безопасности. В функционал указанной системы обязательно входят следующие модули: управление информационными активами; управление соответствием законодательству, стандартам и лучшим практикам (комплаенс); управление внутренним аудитом, коннекторы для взаимодействия с иными решениями, на основе которых можно настроить свидетельства аудита и критерии аудита, а также периодичность генерации отчетов. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Lavrov 7/16/20 2:38 PM Page 9

www.itsec.ru

ПЕРСОНЫ

К счастью, мы завершили внедрение PAM до начала режима самоизоляции Александр Лавров, начальник службы безопасности компании “СТС Медиа”

А – Какова специфика организации информационной безопасности в телерадиовещательных и телекоммуникационных компаниях? – Ключевой особенностью работы медиакомпаний является организация и обеспечение непрерывного функционирования основных ИТ-систем, в первую очередь тех, которые отвечают за выпуск в эфир видеоконтента. Это наша критическая инфраструктура. При этом важно не только сохранить непрерывность вещания, но и не допустить выход в эфир несанкционированной информации. Отмечу, что результаты негативного несанкционированного воздействия на эфир будут заметны сразу и это может привести к репутационным и финансовым потерям. Схожие ситуации наблюдаются и в банковской сфере, где цепочка от атаки до потерь очень короткая. Если текстовый материал на сайте можно оперативно скорректировать, то при вещании в реальном времени такой возможности нет. Трансляция передачи закончится, а компании придется отвечать за последствия. Следовательно, с точки зрения информационной безопасности нам необходимо создать условия, при которых несанкционированная замена контента будет невозможна. Исходя из этого, очерчиваются основные направления защиты информации: это защита целостности всех ИТ-систем, связанных с трансляцией нашего контента, а также обеспечение его доступности для вещания. – Что вы можете рассказать про особенности функционирования периметра вашей сети? – На текущий момент периметр нашей ИТ-инфраструктуры по большей части

лександр Лавров рассказывает о специфике организации информационной безопасности на ТВ, в том числе о тонкостях защиты периметра с учетом возрастающего количества сотрудников, работающих удаленно, и делится своим опытом в этой сфере.

совпадает с физическими границами офисов компании, имеется несколько контуров безопасности и выделенных сегментов, включая критичные, доступ в которые мы стараемся ограничить и минимизировать. В настоящее время усилилась тенденция к увеличению числа сотрудников, работающих удаленно с использованием как корпоративных, так и личных мобильных устройств, и эпидемиологическая ситуация в стране в разы ускорила этот процесс. Большая часть современных сотрудников использует в работе личные мобильные девайсы (планшеты, телефоны), которые они приносят в офис и подключают к корпоративному Wi-Fi. В режиме реального времени мы наблюдаем, как периметр корпоративной сети все больше и больше размывается, и порой бывает сложно определить, что в него входит, а что нет. К примеру, у вас есть сотрудник, который работает удаленно со своего личного ноутбука. По классическому определению, такое устройство находится вне периметра. Однако с него можно подключиться к корпоративным веб-приложениям, на нем установлены приложения для корпоративных коммуникаций, имеется синхронизация с определенными каталогами из корпоративного облака. В таких условиях уже невозможно однозначно утверждать, что данное устройство находится за пределами периметра сети компании. Аналогичная ситуация складывается и в отношении внешних исполнителей – подрядчиков, сотрудников технической поддержки, аутсорсеров и пр. Вроде бы они не относятся к компании напрямую, но отвечают за поддержку и работоспособность компонентов внутренних ИТсервисов, на их устройствах имеется специализированное ПО, данные, документы, и они имеют удаленный доступ в наши системы. Все чаще таким пользователям предоставляются довольно широкие полномочия на действия в ИТсистеме. А если эти пользователи находятся вне нашего физического периметра, то к ним необходимо применять инструменты особого контроля.

– Как в вашей организации возникла задача обеспечения контроля привилегированного доступа? Что послужило мотивом поиска решения и реализации такого проекта? – Как я пояснил ранее, возникла острая необходимость в управлении доступом и обеспечении контроля за действиями удаленных сотрудников компании и сотрудников подрядных организаций. Изучив рынок, мы начали с внедрения системы управления доступом и двухфакторной аутентификации линейных сотрудников. После этого практически сразу исчезла проблема с забытыми паролями, необходимостью их сброса и восстановления через администраторов системы. Человеческий ресурс – самый дорогой! Особенно если это ресурс высококлассных специалистов. Поэтому для нашей компании важно, чтобы администраторы систем решали действительно значимые и ключевые задачи, исключая рутинные операции из своего ценного рабочего времени. Однако контроль доступа и решение проблем с управлением пользовательским доступом – это только верхушка айсберга информационной безопасности. Интернет пестрит новостями о том, что источником инцидентов все чаще становятся сотрудники, которые по специфике работы имеют доступ к привилегированным учетным записям системы. В "СТС Медиа" такой доступ есть не только у штатных администраторов систем, но и у подрядчиков. Здесь необходимо подчеркнуть, что компания, занимающая лидирующие позиции в своей сфере, не может рисковать, оставляя этот доступ без необходимого контроля и защиты. Любой инцидент или внештатная ситуация должны быть максимально оперативно локализованы для устранения последствий. По этой причине возникает серьезная необходимость в осуществлении контроля за лицами, имеющими доступ к учетным записям с расширенными правами.

• 9

Lavrov 7/16/20 2:38 PM Page 10

В ФОКУСЕ

– Скажите, внедрена ли такая система в вашей компании? – Поскольку классические меры контроля работы не могут быть применены к сотрудникам с доступом к привилегированным учетным записям и работающим вне физических офисов, мы пришли к выводу, что здесь необходимо использовать систему класса Privileged Access Management (PAM). Как я говорил ранее, многие сотрудники работают удаленно и с личных устройств администрируют нашу систему – сетевое оборудование, гипервизоры, серверы на базе Windows, Linux и т.д. При таком подходе должный мониторинг организовать довольно сложно, так как возможности установки контрольных устройств на рабочей станции администратора или подрядчика либо на администрируемом узле крайне ограниченны. И даже при установке такого устройства администратор имеет возможность его удалить или отключить. Примерно полгода назад мы завершили внедрение системы класса Privileged Access Management, к тестированию которой приступили год назад, после завершения развертывания системы управления доступом и идентификацией сотрудников. В рамках проекта мы протестировали программные комплексы различных вендоров и выбрали оптимальное для себя решение. Затем внедрили программное обеспечение для контроля действий привилегированных пользователей, которое учитывает указанные ранее ограничения, особенности работы и функционирует между рабочим местом и целевым администрируемым ресурсом. – А по каким ключевым критериям вы осуществляли поиск подходящего решения? – Сначала мы протестировали и внедрили программный комплекс для управления пользовательским доступом. В процессе его эксплуатации поняли, что требуется дополнительный функционал, который будет закрывать потребности контроля и защиты сотрудников, использующих привилегированный доступ в систему. Кроме двухфакторной аутентификации нужна была запись действий таких сотрудни-

10 •

ков, а также логирование всех открываемых ими сессий, которые имеют важное значение для работоспособности системы. Дополнительным требованием была необходимость функционирования системы в безагентском режиме. Учитывая количество целевых ресурсов, для нас также было важно, чтобы решение умело автоматически находить и ставить под контроль привилегированные учетные записи на целевых ресурсах. И наверное, самый важный аспект, на который стоит обратить внимание, – взаимодействие между собой систем, выполняющих разные функции, чтобы в процессе работы не возникали перебои из-за их несогласованной работы, а если возникнет необходимость, специалист технической поддержки оперативно мог исправить ситуацию. – Расскажите, как проходило внедрение РАМ-системы. – От тестового внедрения до запуска в производственную эксплуатацию в полном объеме прошло несколько месяцев. Больше всего времени заняла подготовка, а не установка и настройка программного обеспечения. Необходимо было проработать пользовательские сценарии, продумать, как перевести своих пользователей на работу через систему РАМ, оценить мощности и докупить недостающее оборудование. Весь процесс внедрения, как пилотируемый, так и производственный, сопровождался службой технической поддержки разработчика. Подготовили, получили лицензии, внедрили, используем. Кроме того, отмечу, что была проведена очень глубокая проработка вопросов разделения труда в рамках разработки матрицы доступа. Если в отношении пользователей задача больше сводилась к корректному распределению полномочий, то в отношении администраторов все оказалось значительно сложнее. В первую очередь из-за того, что необходимо было не парализовать техническую работу и одновременно грамотно распределить полномочия, чтобы не появились так называемые суперадминистраторы. Это очень кропотливая работа с множеством нюансов.

– Как оцениваете результаты внедрения? – За время эксплуатации мы уже успели оценить удобство системы и, самое главное, что теперь привилегированный доступ не только защищен, но и находится под полным контролем. К логам сессий мы имеем доступ в любое время, и при необходимости можем оперативно расследовать инциденты. Мы успели завершить внедрение системы до начала проблем, связанных с мировой эпидемиологической ситуацией и, таким образом, оказались заранее подготовленными к массовой удаленной работе ключевых сотрудников компании и сотрудников подрядных организаций. Безусловно, это отличное конкурентное преимущество для любой серьезной компании. – Какие рабочие процессы изменились и как они повлияли на работу сотрудников? – Положительные изменения налицо: улучшились сценарии доступа, обеспечивается качественная проработка прав и ограничений для учетных записей, упорядочились все процессы, связанные с работой и доступом в сессии через РАМ-систему. И это только часть положительных изменений. Что касается сотрудников, то одним из условий, которое требовалось реализовать для аутентификации администраторов системы и других аналогичных пользователей, была необходимость сохранения в секрете паролей доступа к привилегированным учетным записям. То есть сотрудник осуществляет вход в сессию к целевому ресурсу по своим учетным данным, а данные административной учетной записи скрыты от него. Плюс, конечно, запись и логирование сессий теперь не дают такому сотруднику расслабиться и потерять бдительность. В большой степени мы исключили человеческий фактор. – Какие функциональные особенности работы системы вас впечатлили? – Прозрачный мониторинг событий, происходящих в любой сессии. Появилась также возможность иметь прозрачный доступ (без раскрытия пароля) по RDP к системе и при этом вести видеозапись сессии. Кроме того, полезной оказалась функция импорта учетных записей пользователей и компьютеров из каталога Active Directory, это позволило сократить сроки наполнения базы PAM и оперативно контролировать необходимые учетные записи. – Скажите, в итоге смогла ли данная система повысить уровень информационной безопасности компании? – Построение системы информационной безопасности компании – не одно-

Lavrov 7/16/20 2:38 PM Page 11

www.itsec.ru

ПЕРСОНЫ

моментное, можно сказать длящееся мероприятие. Каждый из шагов – и многофакторная аутентификация основной массы сотрудников, и контроль действий администраторов, подрядчиков, и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании, и мы их уже прошли. Сейчас мы как минимум закрыли "парольную брешь" линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности. Мы также переработали внутренние процессы для создания психологического комфорта и удобства работы конечных пользователей в новых условиях, и эти меры, конечно, не последние. Мое неизменное мнение: сотрудники подразделения информационной безопасности должны стараться всегда идти в ногу со временем, постоянно совершенствоваться, изучать и брать на вооружение лучшие практики как российских, так и зарубежных компаний. – Что повлияло на выбор конкретного поставщика решения? – Реалии таковы, что при выборе продукта нам нужно было принять во внимание множество факторов, а именно ценовую привлекательность, удобство и выгоды внедряемого продукта, полноту и комплексность предлагаемого решения, функциональность и безотказность системы, возможность его технологической интеграции с уже используемыми продуктами. Разумеется, важно в полном объеме выполнять имеющиеся требования регуляторов и законодательства РФ. Скажу честно, выбор был сложным. Мы рассматривали несколько программных комплексов. У каждого есть свои плюсы и минусы. Но мы нашли, как показала практика, оптимальное для нас решение. Внедренный нами Privileged

Access Manager полностью соответствует нашим требовательным запросам. У вендора работает качественная служба технической поддержки, которая оперативно помогает и решает любые возникающие вопросы. Немаловажным также является тот факт, что выбранный нами программный комплекс внесен в реестр отечественного ПО. Кстати, наша система аутентификации сотрудников разработана той же компанией. В совокупности все эти факторы и повлияли на выбор. – К каким изменениям функционирования корпоративной ИТинфраструктуры, по вашему мнению, в перспективе трех-пяти лет нужно готовиться вашей компании? – Подчеркну, что в настоящее время классический подход к защите периметра компании, когда основное внимание концентрируется в основном на защите компонентов внутренней ИТ-инфраструктуры и фильтрации сетевых коммуникаций, теряет свою актуальность. Дальнейшее увеличение количества личных мобильных устройств (смартфоны, планшеты, умные часы и т.д.) и использование их для корпоративных коммуникаций, на мой взгляд, еще больше будет размывать понятие периметра. Противостоять этим тенденциям бессмысленно, рано или поздно все столкнутся с ситуацией, когда нужно будет оперативно перестраиваться на контроль такого доступа, включая вопросы нейтрализации различных новых рисков и угроз. И чем раньше начнется эта работа, тем более значимой и качественной она будет. Современная система защиты должна сместить акценты в сторону более глубокого и централизованного управления доступом, контроля полномочий, поведения, выявления аномалий в сетевой активности и в действиях пользователей. Управление доступом считается одной из классических задач информационной безопасности, наряду с фильтрацией, резервированием и защитой от вирусов. Практически все крупные организации обладают масштабными и централизованными системами защиты от вирусов, эшелонированными системами много-

уровневой защиты периметра, в их распоряжении находятся комплексные системы резервного копирования, резервирования вычислительных ресурсов, различные отказоустойчивые кластеры. Тем не менее еще далеко не все отказались от использования паролей в качестве единственного аутентификатора. Причем из-за уязвимости парольной защиты подразделения безопасности вынуждены предъявлять требования об использовании различных паролей для разных сервисов и о постоянной их смене. Это, безусловно, решает ряд проблем, но порождает множество других, создавая значительную нагрузку на службу безопасности и службу ИТ-администрирования. Думаю, что в ближайшие годы существенно возрастет потребность в централизованной и масштабной системе идентификации и аутентификации, объединенной в единый комплекс, включающий в себя возможность работы не только с корпоративными ресурсами, но и с разными личными устройствами сотрудников. Грамотные руководители предприятий (не только ИТ-компаний) понимают, что все больше и больше угроз и рисков переходит в информационную цифровую плоскость, в связи с чем информационная безопасность компании выходит на первые позиции и стоит, можно сказать, на первой линии обороны. Глобализация экономических и культурных связей, развитие информационных ресурсов, внедрение больших данных и аналитических систем, с одной стороны, раздвигают рамки возможностей для развития компаний, а с другой – несут реальную угрозу моментальной потери бизнеса. Таким образом, внедряемые системы безопасности на предприятии должны соответствовать актуальным угрозам и выполнять роль надежного цифрового щита компании. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 11

Zavedenskaya 7/16/20 2:38 PM Page 12

ПРАВО И НОРМАТИВЫ

Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Май-2020

В Банк России о неприменении мер в связи с коронавирусной инфекцией В информационном письме от 14.05.2020 г. № ИН-014-56/88 "О неприменении мер в связи с коронавирусной инфекцией (COVID-19)"1 Банк России сообщает о неприменении до 01.07.2021 г. мер в случае нарушения кредитными организациями п. 4 положения Банка России от 17.04.2019 г. № 683-П и некредитными финансовыми организациями положения Банка России от 17.04.2019 г. № 684-П. Таким образом, временные регуляторные послабления до 1 июля 2021 г. в отношении нарушений требований нормативных актов Банка России получили: 1. Кредитные организации. В части требования по использованию сертифицированного прикладного программного обеспечения или того, для которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4. Требование вступило в силу с 1 января 2020 г. 2. Некредитные финансовые организации. В части исполнения требований положения Банка России от 17.04.2019 г. № 684-П. 1 2 3

майском обзоре изменений российского законодательства речь пойдет об отсрочках, которые были предоставлены регуляторами в связи с коронавирусной инфекцией, о нашумевших проектах документов по импортозамещению и об административной, а также уголовной ответственности для субъектов КИИ.

Требования вступили в силу с 1 января 2020 г. Следует отметить, что отсрочка по применению мер за нарушение требований положений Банка России не отменяет самой необходимости исполнения требований в корректные сроки.

Применение в ГИС средств защиты информации, соответствующих уровням доверия 13 мая 2020 г. был официально опубликован приказ ФСТЭК России от 27.04.2020 г. № 61 "О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17"2. Приказ вступил в силу 24 мая 2020 г. Этот приказ предусматривает сдвиг срока вступления в силу требования по применению в государственных информационных системах сертифицированных средств защиты информации, соответствующих уровням доверия, до 1 января 2021 г. Требования безопасности информации, устанавливающие уровни доверия

https://cbr.ru/StaticHtml/File/59420/20200514_in_014_56-88.pdf http://publication.pravo.gov.ru/Document/View/0001202005130016 https://regulation.gov.ru/projects#npa=102172

12 •

к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

Импортозамещение в критической информационной инфраструктуре 21 мая 2020 г. был опубликован проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры"3. Проектом указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры, а также порядок перехода на преимущественное использование российского оборудования и ПО. При этом, по проекту указа, требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., осуществить переход на российское ПО будет необходимо до 1 января 2021 г., а на российское оборудование – до 1 января 2022 г.

Zavedenskaya 7/16/20 2:39 PM Page 13

www.itsec.ru

ПРАВО И НОРМАТИВЫ

К проекту указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по контролю использования российского оборудования – Минпромторг России. В случае если переход на российское обеспечение все-таки невозможен, то необходимо согласовать перечень используемого (или планируемого к использованию) иностранного ПО с Минкомсвязью России, а иностранного оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязь России, и Минпромторг России, и ФСБ России, и ФСТЭК России. Пока неизвестно, в какие сроки будет подготовлено описание порядка согласования. Никаких временных рамок проект указа не устанавливает, а проекты нормативных актов от регуляторов еще не были представлены. В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и/или оборудования и в течение 30 рабочих дней с момента утверждения направить копию этого плана в Минкомсвязь России и Минпромторг России. При этом экспертным сообществом отмечается: 1. Невозможность исполнения предлагаемых сроков выполнения требований, которые будут утверждены к 1 сентября 2020 г. (между тем часть из этих требований надо будет выполнить за лето 2020 г.). К тому же достаточно большое количество субъектов КИИ – это государственные организации со строго нормированным бюджетированием и процедурами закупок. 4 5

2. Проекты нормативных актов, скорее всего, направлены на первоначальное планирование перехода на отечественное ПО и оборудование к 1 января 2021 г., с дальнейшим непосредственным переходом в более поздние регламентированные сроки. 3. Проекты нормативных актов предусматривают распространение требований по импортозамещению на все объекты КИИ. То есть необходимо будет использовать российское ПО и оборудование не только в значимых объектах КИИ, но и на всех объектах КИИ, принадлежащих субъектам КИИ.

Новый КоАП РФ 29 мая 2020 г. для общественного обсуждения был представлен проект нового Кодекса Российской Федерации об административных правонарушениях4. Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности. Рассмотрим некоторые из основных изменений, предлагаемых проектом КоАП РФ: 1. Ч. 3 ст. 12.1. Отказ в заключении, изменении, расторжении и/или исполнении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством и связана с непосредственным исполнением договора с потребителем, влечет наложение штрафов в размере до 500 тыс. руб. 2. Ст. 30.34. Нарушение требований законодательства в сфере деятельности некредитных финансовых организаций в части защиты информации влечет предупреждение или наложение штрафов до 500 тыс. руб.

3. Ст. 30.35. Нарушение оператором платежной системы и оператором услуг платежной инфраструктуры требований законодательства о национальной платежной системе в части защиты информации влечет предупреждение или наложение штрафа на должностных лиц до 100 тыс. руб. Административный штраф за повторные нарушения может доходить до 1 млн руб. 4. Ч. 6 ст. 33.1. Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа в размере до 500 тыс. руб. Экспертным сообществом отмечается, что введение именно такого административного правонарушения позволит наконец привлекать операторов ПДн к ответственности за утечки ПДн. В табл. ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ ст. 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.

Безопасность критической информационной инфраструктуры и УК РФ Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ, связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало проект федерального закона "О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации"5. Согласно пояснительной записке к проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной

https://regulation.gov.ru/projects#npa=102447 https://regulation.gov.ru/projects#npa=102094

• 13

Zavedenskaya 7/16/20 2:39 PM Page 14

ПРАВО И НОРМАТИВЫ Лицо

Административный За что? штраф

Должностное лицо От 10 тыс. руб. до 50 тыс. руб.

Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА

Юридическое лицо

От 10 тыс. руб. до 50 тыс. руб.

От 20 тыс. руб. до 50 тыс. руб.

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

От 50 тыс. руб. до 100 тыс. руб.

Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ

От 150 тыс. руб. до 200 тыс. руб.

От 100 тыс. руб. до 500 тыс. руб.

Индивидуальный предприниматель

От 30 тыс. руб. до 70 тыс. руб.

От 50 тыс. руб. до 100 тыс. руб.

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА

трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду этого авторами проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой ст. 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами "а равно для иных неправомерных действий в отношении указанной информации". Данная поправка должна привести перечень способов неправомерного воздей-

14 •

ствия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ. Проектом ФЗ предлагается отказаться от термина "причинение вреда", который также неоднозначен и субъективен. "Причинение вреда" предлагается заменить на "причинение крупного ущерба". Понятие "причинение крупного ущерба" точно и однозначно трактуется и широко используется в УК РФ как связанное с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи

или главы УК РФ. Согласно п. 2 примечания к ст. 272 УК РФ – "Неправомерный доступ к компьютерной информации" – крупным ущербом в статьях главы 28 "Преступления в сфере компьютерной информации" УК РФ признается ущерб, сумма которого превышает 1 млн руб. Таким образом, предлагаемые изменения, по мнению авторов проекта ФЗ, позволят четко определить размер имущественного вреда, причинение которого станет основанием для наступления уголовной ответственности по частям 2 и 3 ст. 274.1 УК РФ.

Zavedenskaya 7/16/20 2:39 PM Page 15

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Июнь-2020

июне были опубликованы требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ. В этом обзоре мы также ознакомимся с классификацией средств обеспечения ИБ и новым положением Банка России о системе управления операционным риском в кредитных организациях.

Средства ГосСОПКА 25 июня 2020 г. был официально опубликован приказ Минкомсвязи России от 17.03.2020 г. № 114 "Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"6, который вступает в силу 6 июля 2020 г. Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России, в контексте установки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о технических, программных, программноаппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены приказом ФСБ России от 06.05.2019 г. № 196.7 Согласно этому приказу необходимость и места установки средств ППКА определяются ФСБ России, в том числе выбор и привлечение сторонних организаций для таких работ (при необходимости). О всех работах ФСБ России уведомляет оператора связи согласно установленным процедурам. Эксплуатация средств ППКА осуществляется ФСБ России, а оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установленных средств поиска атак также проводится ответственными лицами ФСБ России или организацией, которая была привлечена к работам.

Классификатор программ для электронных вычислительных машин и баз данных Минкомсвязью России 22 июня 2020 г. был опубликован проект приказа "Об утверждении классификатора программ для электронных вычислительных машин и баз данных"8. 6 7 8 9

Этот проект приказа должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По проекту приказа Минкомсвязи к средствам обеспечения информационной безопасности будут относиться следующие классы средств: l средства защиты от несанкционированного доступа; l системы управления событиями информационной безопасности; l межсетевые экраны; l средства фильтрации негативного контента; l системы защиты сервисов онлайнплатежей и дистанционного банковского обслуживания; l средства антивирусной защиты; l средства выявления целевых атак; l средства гарантированного уничтожения данных; l системы предотвращения утечек информации; l средства криптографической защиты информации и электронной подписи; l системы управления доступом к информационным ресурсам; l системы резервного копирования.

Управление рисками в кредитных организациях Банк России опубликовал положение от 08.04.2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"9 (далее – положение № 716-П). Положение № 716-П устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе. К операционным рискам в том числе относятся: 1. Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации. 2. Риск информационных систем – это риск отказов и/или нарушения функ-

http://publication.pravo.gov.ru/Document/View/0001202006250021 http://publication.pravo.gov.ru/Document/View/0001201905310017 https://regulation.gov.ru/projects#npa=103165 http://www.cbr.ru/Queries/UniDbQuery/File/90134/1063

ционирования применяемых кредитной организацией информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации. При этом к рискам ИБ относятся: 1. Киберриск – это риск преднамеренных действий со стороны работников кредитной организации и/или третьих лиц с использованием программных и/или программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и/или прекращения их функционирования, создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа. 2. Другие виды риска ИБ, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры. Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управления операционным риском необходимо привести в соответствие с его требованиями в срок до 1 января 2022 г. В случае если система управления операционным риском будет приведена в соответствие ранее 1 января 2022 г., кредитные организации вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям положения № 716-П. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 15

zecurion 7/16/20 2:39 PM Page 16

СПЕЦПРОЕКТ

DLP-системы нового поколения Ксения Головко, специалист по внешним коммуникациям Zecurion

В Сегодня на рынке присутствуют разные по своей функциональности DLPсистемы: l полноценные DLP с большими возможностями контроля и блокировки передачи информации и анализа данных; l системы с частичным функционалом DLP, которые могут отследить перемещение данных, но не могут предотвратить утечку; l системы другого класса со встроенным модулем DLP. Разные системы решают различный спектр задач. Для того чтобы разобраться в этом, важно понимать, как они эволюционировали.

Эволюция DLP Изначально DLP-рынок возник из проблемы Compliance (выполнение требований законодательства), в частности с того момента, когда регуляторы обратили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специальный инструмент – DLP-систему. Второй этап разработки – DLP для защиты коммерческой тайны. Если раньше системой пользовались организации, в основном оперирующие персональными и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более сложную систему для максимального контроля каналов передачи данных. Следующим шагом стала DLP для внутренней безопасности, то есть система уже не только предотвращала утечку информации, но и позволяла детально

16 •

известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно – защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей" своей аббревиатуры, ведь современная система нового поколения – DLP Next Generation – уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи? анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инцидентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возможность полноценно анализировать данные и события. DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффективности системы. В итоге вендоры стали наращивать свои компетенции, чтобы предоставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, которое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные преступления как в режиме реального времени, так и ретроспективно.

Новое поколение DLP – борьба с корпоративными мошенниками После того как полноценные DLP созрели в своих аналитических возможностях по выявлению инцидентов, вендоры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономическими преступлениями. Архив большого количества информации о пользователях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов – одни из основных векторов развития DLP Next Generation. Какими характеристиками должна обладать DLP-система нового поколения?

чие от предыдущих поколений DLP, которые фиксировали только случаи несоблюдения политик безопасности. Благодаря возможности системы фиксировать и сохранять такую детальную информацию департамент безопасности может видеть как общую картину состояния защищенности предприятия, так и детально расследовать инциденты внутренней безопасности вплоть до составления досье на сотрудника и его круг общения.

Управление и расследование Удобство управления и широкие возможности по расследованию инцидентов – одни из важнейших показателей современной DLP-системы. Речь идет о наличии единого для всех компонентов DLP веб-интерфейса с возможностью построения различных отчетов, начиная от досье сотрудников со списком их взаимодействий с другими пользователями и заканчивая специальным отчетом для топ-менеджеров компании. То же самое относится и к администрированию. Несмотря на стремительное развитие системы, до сих пор головной болью администраторов остается управление несколькими консолями с разными настройками для каждого модуля DLP у некоторых вендоров. Аналогичная ситуация с установкой. Если раньше на нее требовалось много времени, то сегодня есть возможность максимально упростить внедрение в почти любую инфраструктуру. Например, у Zecurion есть собственный сервер установки, который позволяет заказчику самостоятельно управлять внедрением, обновлением и обслуживанием системы без привлечения ИТ-департамента, использования групповых политик домена или других решений.

Поведенческий анализ (UBA) Полный архив файлов, событий, инцидентов Во-первых, такие системы ведут полный архив передаваемых и найденных файлов, событий и инцидентов, в отли-

Новый уровень DLP-систем представляет собой совокупность основных возможностей перехвата и блокировки передачи данных и функционала других классов ИБ-решений, например поведенче-

zecurion 7/16/20 2:39 PM Page 17

www.itsec.ru

DLP

ского анализа пользователей, или UBA (User Behavior Analytics). DLP-вендоры обратили внимание на данный класс решений, позволяющих выявлять стандартное поведение работников, а в случае отклонения от этих норм – принимать меры, к примеру уделять больше внимания подозрительным сотрудникам. Разработчики DLP пришли к выводу, что такой функционал будет отличным дополнением к системе, которая находится в стадии трансформации в ИБрешение тотального контроля пользователей. Однако данный функционал все еще развивается, и пока полноценный поведенческий анализ реализован лишь в выборочных DLP, в числе которых продукты Zecurion.

Контроль эмоционального состояния Помимо анализа поведения сотрудников, можно оценивать уровень их эмоционального состояния. Система анализирует и оценивает всю лексику исходящих сообщений пользователя в мессенджерах, электронной почте и соцсетях. Анализ проводится на основе специального встроенного словаря тональной лексики, который состоит из "эмоциональных" слов, часто используемых человеком, в том числе в разговорной речи. В свою очередь, список структурируется по определенным типам эмоций: радость, доверие, ожидание, грусть, недовольство, страх, удивление, злость. Анализ динамики эмоционального состояния позволяет выделять тех сотрудников, кто может попасть в группу риска. Таких можно также взять на особый контроль.

Архитектура решения Споры о том, что лучше – агентская DLP-система или шлюзовая, ведутся давно. Каждый из вариантов имеет не только преимущества, но и недостатки. Компенсировать их позволяет смешанная архитектура (см. рис.) с компонентами контроля информационных потоков на почтовом и сетевом шлюзах, рабочих станциях, модулем для выявления мест хранения конфиденциальной информации (Discovery) и общими сервисами, такими как архив. Поскольку внутренние сети многих компаний устроены по-разному, а бизнес-процессы существенно различаются, для современной DLP важно быть гибкой в плане установки и интеграции. Этому способствуют модульность и наличие компонентов для контроля на разных участках сети.

Рис. Архитектура DLP Next Generation с конфиденциальными данными, а также в случае кражи или использования устройства третьими лицами. Криптопериметр – уникальная функция для DLPсистем и является принципиальным отличием Zecurion DLP от существующих на рынке решений.

Расширенные возможности мониторинга действий Сбор большого объема информации о пользователях, анализ действий сотрудников и предоставление специалистам службы безопасности максимального количества данных о пользователях – ключевые направления развития DLP в ближайшие годы. Поэтому расширенные возможности мониторинга действий сотрудников – еще один показатель современной DLP-системы. Сюда входят достаточно простые методы контроля за действиями, но при необходимости они могут сильно помочь в расследовании серьезного инцидента. К таким методам относятся отслеживание нажатий клавиатуры (кейлогер), запись звуков через микрофон контролируемого компьютера, создание снимков с фронтальной веб-камеры.

сти и сохраняет инцидент в архиве с информацией о том, на каком компьютере и в какое время это было сделано. Такой инструмент востребован в первую очередь среди финансовых организаций и компаний, работающих с большими объемами персональных данных, которые могут быть украдены третьими лицами.

Создание единой платформы защиты Базовые технологии DLP давно доведены до совершенства, и сейчас вендоры сосредоточились на повышении удобства использования системы и возможности полноценного расследования инцидентов. При этом развитие систем диктуется не только требованиями заказчиков, но и появлением новых инсайдерских угроз, в числе которых специфическое фотографирование монитора на смартфон, а также мошеннические схемы вплоть до экономических преступлений. Можно с уверенностью говорить, что сегодня основным вектором развития DLP является возможность эффективного предотвращения мошенничества. Достигается это путем развития единой платформы для аналитической работы, полноценного расследования инцидентов и защиты не только конфиденциальных данных, но и денежных средств компании. l

Криптопериметр

Camera Detector

Иными словами, это контентно-зависимое шифрование. DLP может принудительно шифровать файлы при копировании их на съемные устройства в зависимости от настроенных политик безопасности. Такой функционал позволяет избегать популярного сценария утечки, когда сотрудники теряют флешки

Это уникальная в своем роде технология с функцией защиты от фотографирования экрана компьютера, разработанная компанией Реклама NM Zecurion. Встроенная АДРЕСА И ТЕЛЕФОНЫ технология определяет компании ZECURION устройство, сообщает об см. стр. 56 этом офицеру безопасно-

• 17

Infowatch 7/16/20 2:39 PM Page 18

СПЕЦПРОЕКТ

Драйв инноваций в DLP наступает тогда, когда решаются прикладные задачи клиентов Степан Дешевых, руководитель отдела развития продуктов для безопасности корпоративных данных и анализа информационных потоков

Александр Клевцов, руководитель направления по развитию DLP-системы решения Traffic Monitor для предотвращения утечек информации

ы поговорили с экспертами компании InfoWatch о том, какими они видят ландшафт DLP-технологий в России и уровень развития российского рынка DLP, как заказчику выбрать технологии для решения его задач и что на самом деле влияет на развитие DLP в России и в мире.

вполне конкретный вектор развития: рынок наелся хайпом от модных слов ИИ, Machine Learning и пр. и теперь ждет, кто из вендоров яснее сможет показать реальную пользу от технологий на утилитарных задачах. А как клиенту это понять? Задавать вендору самые неприятные вопросы: про возможности интеграций с конкретными бизнес-системами, которые стоят в организации, про соцсети с личных устройств, про измерение ЛПС на пилотах – все, чтобы убедиться, что прикладные задачи действительно решаются. Александр Клевцов: Да, цифровая трансформация происходила в последние годы плавно, а в 2020 г. ее как будто поставили на ускоренную перемотку. Переход на удаленную работу подействовал как катализатор и подсветил проблемы, на которые многие всё еще закрывали глаза.

Давайте начнем с общего вопроса о ландшафте DLP-решений сегодня. Есть мировые и российские тренды, есть специфика конкретных отраслей и задач заказчиков в них. Как вы оцениваете этот ландшафт?

Степан Дешевых: Если коротко, то драйвить развитие DLP-решений продолжают всем известная цифровая трансформация и требования регуляторов. Рынок зрелый, продолжает стабильно развиваться, и мы вместе с международными аналитиками Gartner наблюдаем следующее: ужесточаются требования законодательства, бизнеспроцессы работают в облаках, часто с доступом через личные устройства, компании присутствуют в соцсетях, а сотрудники решают рабочие вопросы в мессенджерах, куда уже "вползли" тяжелые форматы типа аудио и видео, растут объемы корпоративных данных и увеличивается динамика их изменений, данные устаревают, обновляются, появляются новые. Это задает DLP-технологиям

18 •

Периметра давно нет. Продуктивность, а не безопасность стала мантрой сегодняшнего дня. Бизнесу приходится искать новые возможности для выживания и роста.

Электронная почта как средство оперативного решения рабочих вопросов постепенно уступает место облачным средствам коллаборации типа Slack, десяткам мессенджеров, виртуальных переговорных комнат, онлайн-офисов и CRM, доступных в том числе и с мобильного телефона в любой точке в любое время. А теперь представьте, что вы пытаетесь решить проблему защиты корпоративных данных в этой среде с помощью DLP образца пятилетней давности. Это бесполезно. Осознавая это, мы, например, развиваем направление интеграции с различными информационными системами – добавляем новые возможности, доступные сразу из коробки. Только что, к примеру, вышла интеграция с Microsoft Exchange Online в дополнение к уже интегрированному Office 365.

Traffic Monitor поддерживает открытый API, поэтому клиенты могут самостоятельно или с помощью своих интеграторов обеспечивать защиту данных в собственных информационных системах.

Какие тенденции развития DLP вы рассматриваете для себя как стратегические?

Степан Дешевых: Есть три ключевых аспекта, вокруг которых идет добавление новых возможностей в Traffic Monitor. Первый – это использование DLPсистем для решения не только ИБ-задач. Нашими пользователями все чаще становятся департаменты экономической и кадровой безопасности. Это и понятно: DLP анализирует потоки данных, в которых содержатся сигналы экономических преступлений, мошеннических схем, конкретных действий сотрудников, влияющих на благополучие организации. Для удобства анализа этих данных мы разработали инструменты визуальной и предиктивной аналитики и продолжаем наращивать технологии контентного анализа. Второй – это изменения цифровой среды, в которой функционирует бизнес. Мы уже упоминали облачные сервисы и системы аудио- и видеоконференций, которые резко стали массово востребованными с переходом на удаленку и медленным выходом из нее. Все, что связано с современными концепциями совместной работы. Некоторые компании всерьез думают об отказе от почты в пользу мессенджеров и платформ коллабораций, практикуют динамические рабочие группы, а значит мы должны уметь обеспечивать безопасность данных в рамках коммуникаций, идущих в режиме реального времени и необходимо эффективно и безопасно делиться информацией для ускорения рабочих процессов. И, наконец, третий: мы продолжаем работать на автоматизацию определенных функций DLP-системы. О чем это? Цифровизация и множество новых каналов коммуникаций прямо влияют на

Infowatch 7/16/20 2:39 PM Page 19

www.itsec.ru

DLP

рост объема данных, которые обрабатывает система. Количество событий огромно. Красное событие в системе по факту реализации риска – это здорово, но зачастую ему предшествует целая цепь, идентифицировать которую в потоке из сотен тысяч событий в день – за пределами человеческих возможностей. Мощь современной системы в том, что она способна выявлять и автоматически детектировать такие цепочки событий – рискованные паттерны, которые говорят о том, что что-то пошло не так. Система должна интерпретировать события сама и выдавать подсказки, на что обратить внимание безопаснику.

Александр Клевцов: В значительной степени наше ноу-хау – это методология определения таких паттернов, методика и лучшие практики использования системы, а не только технологии машинного обучения. Хотя без них никакой предиктивной аналитики у нас не было бы.

Расскажите подробнее про автоматизацию. Что еще умеет автоматизировать ваша DLP?

Степан Дешевых: Мы убеждены, что DLP не следует устанавливать из коробки, если хочешь обеспечить реальную безопасность данных. Требуется предварительная настройка, и это еще одно направление, которое мы автоматизируем. Данные, процессы, а значит и политики не высечены в камне навсегда. Мы движемся к тому, чтобы автоматизировать настройку DLP под заказчика.

Александр Клевцов: Основа DLP системы – категоризация документов. Content Intelligence – это "мозги" DLP. У нас около десятка патентов на различные технологии анализа. В технологиях лингвистического анализа, например, мы всегда работали на опережение и давно ушли вперед. У InfoWatch самое большое на рынке количество баз контентной фильтрации (БКФ), проще говоря отраслевых словарей, доступных по 289 категориям. Мы очень давно, входя в новый проект, не сталкивались с тем, что у нас нет подходящего отраслевого словаря. А если нужно, то имеющийся словарь всегда можно доработать под специфику организации, добавить новую категорию. Мы создали возможность делать это автоматически на случай, если заказчик хочет сам дообучать систему. Такое требуется, например, если в силу специфики деятельности клиента документы для обучения системы не могут быть предоставлены никаким подрядчикам. Вы "скармливаете" системе

большой объем документов, и она автоматически создает категории. Кстати, мы не ограничиваемся только русским, работаем на двадцати языках, в том числе с мультиязычными документами.

А что с технологиями для графической информации? Что важно знать заказчикам, которым надо защищать графику?

Александр Клевцов: Защита графики в том или ином виде – распространенная задача, она касается и фото конфиденциальных документов, и изображений кредитных карт, и многого другого, вплоть до инженерных чертежей в векторных форматах. Случались и интересные запросы на защиту базы данных фотографий – собственности рекламного агентства. Этой весной я проводил технологический DLP-марафон. Это была серия онлайн-встреч, на которых мы подробно рассказывали российским специалистам по ИБ и ЭБ про технологии анализа внутри InfoWatch Traffic Monitor. Самой популярной темой стала как раз защита информации в графическом формате – больше всего вопросов и обратной связи. Разумеется, мы и раньше проводили тысячи клиентских онлайн- и офлайн-встреч, но еще никогда не отмечали такого интереса безопасников именно к технологиям защиты графики. Мы сталкивались с мнением, что для детектирования графических объектов достаточно OCR – распознавания текста на картинке. Но, как понятно из вышеприведенных примеров, OCR в большинстве случаев вообще остается не у дел, потому что текст есть не везде, и иногда эффективнее использовать другие технологии – с точки зрения качества детектирования и минимизации вычислительных мощностей, необходимых для работы системы. Вот простой и далеко не всем очевидный пример. Для детектирования растровых изображений мы используем не бинарные цифровые отпечатки, как делают почти все, а растровые – это отдельная технология, запатентованная нами. Она определит изображение в том случае, если его пересохранили в другом формате, изменили разрешение или повернули. Бинарные отпечатки с этим не справятся, отсюда, кстати, мнение, что DLP плохо работает с графикой. Мы развенчали этот миф.

Как вы позиционируете себя, с таким парком технологий, относительно остального мира? А главное, как реализуется прикладной аспект – прикручивание технологий к деятельности заказчиков, чтобы было максимально полезно?

Степан Дешевых: Мы в лидерах, по отчетам Gartner. Для зрелых рынков, каким является DLP, вместо "магического квадранта" у них предусмотрен формат Market Guide. Это независимый показатель того, где мы относительно мира. Технологии приходят в DLP не ради того, чтобы "космические корабли бороздили просторы Большого театра", а только ради того, чтобы решить конкретную клиентскую задачу.

Поэтому прикручивать ничего не надо. Все начинается с целей заказчика, для чего он внедряет DLP. Технологии – всего лишь способ эффективнее решать проблемы, которые есть у заказчика. Приведу два примера, как раз про прикладной аспект. У нас есть инструмент визуальной аналитики InfoWatch Vision. Он позволяет визуализировать инфопотоки в компании, определять карту коммуникаций, центры компетенций среди сотрудников. Один взгляд на граф связей – и наглядно видны пути распространения информации, коммуникационные потоки и аномалии, если такие возникают. Чем не прикладная задача? Еще есть инструмент предиктивной аналитики InfoWatch Prediction. Он умеет выявлять аномалии в шаблоне поведения сотрудника и помогает работать с группами риска. Обычный сотрудник генерирует большое количество малозначительных событий. Проблема в том, что цепочка незначащих событий может сложиться в паттерн, говорящий о реализации серьезного нарушения, которое не выглядит как одно событие в силу растянутости во времени или "размазанности по периметру". А если событий много? А если совместить их с другими событиями, на первый взгляд непримечательными? Например, ни для кого не секрет, что при увольнении некоторые сотрудники пытаются забрать с собой конфиденциальные данные. Собирают и постепенно копируют их. Система такую активность заметит, сопоставит с другими факторами поведения и предупредит об аномальном поведении. Александр Клевцов: Безопасник – это же человек, который имеет дело с самыми настоящими данными. Это не данные опроса, которые могут искажаться, это не корпоративные мифы. Сидя на данных, безопасник видит ре-аль-ную картину происходящего в организации. В момент совершения критической сделки, расширения штата или возникновения репутационного риска он может оказаться тем самым человеком, который даст базу для адекватной оценки ситуации или принятия взвешенного решения. Поэтому наше дело – снабдить его современными инструментами для удобной работы с данными. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 19

Staffcop 7/16/20 2:39 PM Page 20

СПЕЦПРОЕКТ

Инциденты, расследования, результаты Практические примеры использования StaffCop Enterprise Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”)

дна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise. Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.

Работник перед увольнением скопировал корпоративную информацию на флешку, воспользовавшись соседним компьютером Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение – копирование большого количества файлов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объяснений, но тот заявил, что никакой информации не копировал, для выполнения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется.

Безопасник начал проверять гипотезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне клавиатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим компьютером. Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение текущего года она неоднократно подключалась к рабочей станции сотрудника Б.,

который часто переносил документы на флешку для заказчиков. Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот собирался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логином и паролем, скачал файлы на внешний носитель. Показания были сопоставлены с данными, полученными из пропускной системы предприятия, что подтвердило, что за компьютером, на котором производилось копирование, был сотрудник Б., а пользователь А., учетная запись которого использовалась, в это время находился на обеде.

Передача информации за охраняемый контур в запароленном архиве Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для передачи информации "на сторону". Инсайдер подбирает документы, которые могут представлять интерес для его "контрагента", упаковывает информацию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его "контрагенту", никто не способен узнать, что происходит. Однако этот канал утечки информации можно обнаружить.

20 •

Staffcop 7/16/20 2:39 PM Page 21

www.itsec.ru

DLP

Не секрет, что довольно часто сотрудники, не особо загруженные в рабочее время, выполняют работы для сторонних компаний на оборудовании работодателя. Это наносит прямой материальный ущерб предприятию, так как рабочее время этих сотрудников используется нерационально. Установить, кто именно в рабочее время выполняет сторонние заказы, возможно с помощью системы StaffCop Enterprise.

Сотрудники отдела информационной безопасности воспользовались тем, что обычно запароленный архив создается инсайдером незадолго до его отправки. Зная, кто создал архив, с помощью какого приложения и когда, можно установить, какой пароль вводился, что и было проделано. Зная пароль и имея перехваченный файл, сотрудники отдела информационной безопасности получили доступ к содержимому, вызвали инсайдера и предъявили ему доказательства намеренной передачи конфиденциальной информации за охраняемый периметр.

Выполнение "левых" работ в рабочее время В одной очень небольшой организации администратор информационной безопасности, периодически просматривая активность сотрудников, заметил очень высокую активность системного администратора в работе с приложениями удаленного доступа TeamViewer, AnyDesk, Radmin с подключением к внешним IP-адресам, при том, что использование этих приложений в компании было просто нецелесообразно: все сидели в открытом офисе, а за его пределами никаких серверов и рабочих станций, принадлежащих компании, не располагалось.

каждые пять секунд их работы сохранялся скриншот. По этим скриншотам стало очевидно, что системный администратор трудился за пределами своей организации. В дальнейшем работа системного администратора была реорганизована таким образом, чтобы его деятельность приносила больше пользы предприятию.

У рядового системного администратора предприятия на рабочем компьютере были обнаружены файлы, содержащие списки ключевых клиентов и планы маркетинговых кампаний. Были все основания подозревать, что администратор готовился передавать информацию конкурентам, для чего копировал коммерческую информацию с ресурсов общего доступа и сканировал в поисках такой информации компьютеры пользователей. В организации было построено так называемое дерево доступа, которое

Использование системы фильтров в поиске файлов с помощью StaffCop Enterprise дает возможность обнаружить работу с файлами вне стандартных структур папок, и это позволяет предположить, что сотрудник работает "налево" в течение своего рабочего дня.

Выполнение проектов с помощью дорогостоящего программного обеспечения для других организаций Организацией были приобретены дорогостоящие лицензии на ПО ArchiCAD. Появилось подозрение, что сотрудник, не особо загруженный в рабочее время, выполнял проекты для сторонней организации и, таким образом, нерационально использовал рабочее время в рамках своей компании, получая за такие труды в рабочее время деньги "на стороне". Обнаружить подобную деятельность только с использованием StaffCop Enterprise достаточно сложно, необходим комплекс мер, в частности обязательная структуризация рабочих каталогов с проектами, которые ведутся на предприятии. Грамотное построение системы информационной безопасности на предприятии должно следовать принципу "Каждый должен знать только то, что ему необходимо для выполнения своих служебных обязанностей, и ничего больше!".

В ходе беседы сотрудник отдела информационной безопасности выяснил, что действительно системный администратор, не особо загруженный по своей основной деятельности, оказывал в рабочее время платные услуги по системному администрированию другим организациям. Достоверно подтвердить это смогла специальная конфигурация в StaffCop Enterprise, настроенная для системного администратора. В этой конфигурации на особый контроль были поставлены приложения, которые выходили за контролируемый периметр, при этом

У сотрудника обнаруживаются файлы, которых у него быть не должно

В результате оказалось возможным определить, какие сотрудники работают с файлами ArchiCAD вне установленных папок. В этом случае есть все основания предполагать, что проекты, расположенные вне стандартных папок или имеющие нестандартные названия, являются "левыми". Для этого в StaffCop Enterprise можно воспользоваться операцией инвертирования фильтра. Сотрудником ИБ был настроен инвертированный фильтр, который показывал все операции создания файлов определенным приложением. Легко было обнаружено, что присутствует один сценарий работы, не совпадающий со стандартным.

позволяло установить, кто из сотрудников работал с определенным файлом. Для списка перехваченных файлов системой StaffCop Enterprise было создано дерево, в котором отражено, какие пользователи работали с файлами и какие операции выполнялись. По этому дереву были определены пользователи, в чьи обязанности не входит работа с данными файлами, а значит сотрудник собирал информацию, к которой он не должен иметь отношения. Далее, проконтролировав переписку администратора, удалось выяснить, что он собирался предложить эту информацию конкурентам.

Заключение Мы рассмотрели лишь незначительную часть тех реальных случаев, с которыми столкнулись специалисты по внедрению StaffCop Enterprise и наши клиенты. Реальная деятельность в информационной безопасности гораздо более многогранна и иногда подкидывает настолько головоломные случаи, что для нахождения правильного ответа недостаточно собственных усилий. И тут на помощь приходит StaffCop Enterprise, помогая не только провести учет рабочего времени, но и решить многие задачи информационной безопасности. Безопасность – это не результат, а постоянный процесс. Автор выражает огромную благодарность своим коллегам по компании "Атом Безопасность" Даниилу Бориславскому и Филиппу Вохминцеву за предоставленные материалы и неоценимую помощь в написании статьи. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 21

serchinform 7/16/20 2:39 PM Page 22

СПЕЦПРОЕКТ

"DLP уже не та" Как меняется функционал и формат работы с системой

ынок DLP-систем, каким его помнят старожилы, выглядел совсем не так, как сегодня. Программы были громоздкими и имели скромные возможности. Внедрение занимало около полугода, для настройки требовалось привлекать лингвистов. А за тестирование еще надо было платить. То есть DLP на старте – это такой “космический корабль” (долго, дорого, с непонятным эффектом), который был доступен только крупному бизнесу. Системы изменились, их применение стало более массовой практикой. Но порог вхождения в “клуб” пользователей DLP продолжает снижаться и сегодня, благодаря новым форматам работы с программой.

Что за "зверь" такой – DLP-система в 2020 году Период, когда вендоры могли диктовать заказчикам, какой должна быть DLPсистема, был непродолжительным и канул в Лету. С тех пор ситуацией владеют клиенты, а разработчики развивают продукты под их пристальным вниманием. Это пошло рынку на пользу. Современные DLP-системы не сравнить с ранними версиями. Теперь программы умеют выполнять даже смежные функции: eDiscovery, Time Tracking, Risk Management, криптозащиты информации, аудита ИТ-инфраструктуры, контроля привилегированных пользователей и др. С помощью программы заказчик может: 1. Проводить мониторинг перемещения информации по всем каналам, в том числе в облачных хранилищах, мессенджерах с шифрованием End-to-End

Мы в "СёрчИнформ" тоже ориентируемся на потребности практиков. Переработали архитектуру, что повысило производительность на 30%, и заказчикам приходится тратиться на "железо" меньше. Постоянно делаем доработки, чтобы не перегружать базу перехвата (например, применяя дедупликацию, кодеки для сжимания аудио, запись видео с экранов пользователей в выбранном качестве, в процентах от оригинала), вводим настройки и работаем над распределением нагрузки, чтобы не тормозили ПК пользователей.

(Telegram, WhatsApp, Viber), программах удаленного соединения (TeamViewer и аналоги). 2. Анализировать полученную в ходе мониторинга информацию. Система должна "вылавливать" любые нарушения даже самых специфических политик безопасности. В продвинутых DLP реализованы всевозможные варианты поиска, которые можно использовать по отдельности и в любой комбинации. Система должна уметь анализировать все популярные типы файлов, на любом языке.

3. Проводить подробные расследования, в том числе ретроспективные. Большинство корпоративных преступлений совершаются в электронном виде и оставляют цифровые следы. DLP-системы должны уметь находить причины, участников, последствия инцидентов. Поэтому нужно, чтобы программа делала теневое копирование, создавала архивы, позволяла поднимать информацию об активности пользователей в программах и процессах. Сейчас DLP-системы – функционально зрелые продукты, и вендоры все больше внимания уделяют оптимизации и экономичности софта. Эти изменения программ сейчас особенно востребованы, потому что бизнесы стремятся урезать любые лишние траты. Но все же главные изменения касаются форматов работы с DLP-системами: они позволяют заказчикам еще серьезнее оптимизировать бюджеты на внутреннюю безопасность.

DLP в облачном формате

Рис.1. Схема работы "СёрчИнформ КИБ" в облаке

22 •

Это хоть и не новый формат, но до последнего времени не широко распространенный. Сейчас его стали применять чаще. Не только по экономическим соображениям, но и потому что рынок предлагает более защищенные технологии. Крупные облачные провайдеры подчиняются жестким нормативам, используют механизмы защиты, которые недоступны среднему бизнесу, гораздо устойчивее к DDoS-атакам. Клиенты тоже стали доверять облакам больше.

serchinform 7/16/20 2:39 PM Page 23

www.itsec.ru

DLP

Рис.2. Модель взаимодействия с заказчиком при ИБ-аутсорсинге от "СёрчИнформ" Сейчас DLP-системы – функционально зрелые продукты. Программы умеют выполнять даже смежные функции: eDiscovery, Time Tracking, Risk Management, криптозащиты информации, аудита ИТ-инфраструктуры, контроля привилегированных пользователей и др. Разработчики теперь все больше внимания уделяют оптимизации и экономичности софта. Но все же главные изменения касаются форматов работы с DLP-системами, что позволяет еще радикальнее снизить вложения в инфраструктуру и кадры.

Аутсорсинг внутренней информационной безопасности Как решение экономической и кадровой проблемы возник и другой формат – ИБ-аутсорсинг. Заказчик получает DLP + специалиста-аналитика. Он выявляет инциденты, разбирает и докладывает о них клиенту. При этом DLP-система может быть как в полной собственности у заказчика, так и в аренде (в том числе и в описанном выше облачном формате). Вдолгую ИБ-аутсорсинг обходится компаниям дороже, чем покупка лицензий. Но распределенная финансовая нагрузка в короткой перспективе ока-

зывается оправданной. Аутсорсинг подходит тем компаниям, которые не могли оценить, оправданно ли покупать лицензии, "железо", искать ИБ-специалиста. Последнее особенно важно, потому рынок испытывает острый дефицит кадров. Не в любой даже крупной компании штат укомплектован полностью, что говорить об остальных. Таким образом, сервис делает DLP демократичным инструментом, который становится доступен и малому бизнесу.

От "космических кораблей" до легких "гибридных автомобилей"! Давайте на минуту вернемся к началу статьи и оценим, какой внушительный путь прошли системы. Конечно, ситуация от вендора к вендору различается. Свою DLP "СёрчИнформ КИБ" мы развиваем в рамках описанного выше подхода. Она доступна и в традиционном формате, когда у заказчика есть своя ИБ-служба и лицензии в вечной собственности. Но возможна и в рассмотренных форматах, которые не требуют от клиента больших вложений в собственные кадры и инфраструктуру. При этом в нашем понимании система должна быть не просто "легким гибридом", но и трансформером – бесшовно интегрироваться с другими решениями по мере развития потребностей бизнеса. Это тоже дает оптимизацию бюджета при долгосрочном планировании. Все продукты "СёрчИнформ" можно тестировать бесплатно в полном функционале в течение месяца. Запросите информацию на сайте searchinform.ru. l

По данным KPMG и Oracle, 75% ИБдиректоров считают публичные облака более безопасными, чем собственные ЦОД. Мы, например, долгое время не предлагали разворачивать свою DLP в облаке, пока не убедились, что это можно сделать безопасно. Все данные с корпоративных ПК передаются в дата-центр по защищенным каналам, а доступ к "ядру" системы имеет только заказчик. Он платит за услугу помесячно, и ему не нужно приобретать, настраивать и обслуживать "железо". Облачный формат очень востребован, так как многие компании намеренно отказываются от парка собственного оборудования. Формат подходит и когда бизнес растет, расширяет филиальную сеть. В этот период компании наращивают ИT-инфраструктуру под основные бизнес-процессы, все остальные траты оказываются не в приоритете. Облачное исполнение становится выходом и когда нужно контролировать компьютеры большого штата сотрудников, работающих на удаленке.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 23

Solar 7/16/20 2:39 PM Page 24

СПЕЦПРОЕКТ

Шесть инсайтов, которые показал модуль UBA во время всеобщей самоизоляции Галина Рябова, руководитель направления Solar Dozor

едавно во всем мире случился масштабный переход на удаленную работу. В этой статье я расскажу, какие изменения в профилях угроз и поведении сотрудников “увидел” наш модуль анализа поведения пользователей Solar Dozor UBA.

С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности: 1. Дополнительная защита рабочих мест, поскольку все риски, связанные с утечками информации, мгновенно и многократно возросли (по сути, стали нужны более функциональные агенты). 2. Бизнес обратил внимание на безопасность с точки зрения эффективности работы удаленных сотрудников. Важный вклад в решение обоих вопросов внесла аналитика поведения сотрудников на самоизоляции. Но сначала несколько слов об особенностях и архитектуре нашего UBA-модуля.

Для формирования профиля поведения сотрудника мы используем цифровые коммуникации, пока на базе одного канала – корпоративной почты. Выбор канала был сознательным решением, потому что анализ поведения – это разновидность BI, то есть объемной аналитики. На первом этапе было важно проверить работоспособность самой модели, избежав искажений, а для этого нужны качественные данные. Как производитель DLP мы знаем, что самый надежный канал с наиболее достоверными данными – корпоративная почта. Ну а на ближайшее время уже запланировано подключение новых каналов и прежде всего мессенджеров.

Модуль анализа поведения пользователей

Как строится профиль

В качестве основы для анализа в Solar Dozor UBA были выбраны коммуникации пользователей. Если собирать и анализировать всю информацию, которую сотрудник посылает и получает, можно сформировать типовые профили поведения для каждого работника. И именно схожесть реального профиля с эталонным является сигналом для службы ИБ о том, что у человека "все в порядке" или, наоборот, "что-то не так". Еще в процессе разработки решения стало понятно, что профили поведения обогащают досье сотрудника. Они объясняют, почему он совершает те или иные действия. И если проводить расследование, то сотрудник с профилем поведения становится более понятным и "объемным" для службы ИБ.

Рис. 1

24 •

Профиль поведения в UBA – это общность контактов и особенностей трафика. Контакты разделены на группы. Для анализа важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Большую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактирует. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных зацепок для мониторинга безопасности. Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это

Рис. 2

устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии). Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охватывающие сразу несколько пользователей. Сотрудники могут быть из разных отделов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсутствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам.

Результат работы модуля UBA Через месяц после того, как все перешли на удаленную работу, мы обнаружили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угрозы и заставляют задуматься о дополнительных мерах поддержки сотрудников.

1. Размытие рабочего графика сотрудников Наблюдения показали, что с каждой неделей в удаленном режиме люди все больше работают ночью и в выходные. Теоретически в этом нет ничего страшного до тех пор, пока рассинхронизация персонала не приводит к потере эффективности.

Solar 7/16/20 2:39 PM Page 25

www.itsec.ru

DLP

Однако подобный формат стал размывать триггеры для системы мониторинга. Нетипичное время выхода сотрудника в корпоративную сеть больше не является сигналом об опасности. Раньше, если сотрудник входил в систему ночью или в выходные, возникал повод для расследования. Теперь же угроза несанкционированного доступа имеет больше шансов остаться незамеченной.

2. Резкий рост передачи информационных активов

Во многих компаниях сотрудники проводят десятки конференций в день, используя ZOOM и т.п. В этих приложениях можно выкладывать файлы, делиться ими. И это еще один потенциальный канал утечки. Картину дополняет использование сервисов визуализации. То, что раньше рисовали вручную на доске, клеили карточки, теперь оформляется в основном на бесплатных веб-сервисах. И естественно, этот контент никто не защищает.

Информационные активы, ключевая информация компании, стали предметом передачи на постоянной основе, что увеличивает риск утечки. Информация, которая раньше никогда не отправлялась в сеть, в режиме удаленных коммуникаций стала пересылаться регулярно. Например, бизнес-схемы и результаты планерок всегда рисовались на доске и стирались, а теперь хранятся в цифровом виде... Но где? UBA показал, что к большему количеству информационных активов появился удаленный доступ и люди активно этим пользуются (см. рис. 1). Информационных активов в профилях сотрудников стало больше и по количеству, и по разнообразию. В трафике появились деликатные документы, которые находятся под наблюдением систем DLP. Увеличился и объем пересылаемых данных.

4. "Выпадение" отдельных сотрудников

3. Появление новых уязвимостей

Наш опыт показал, что в условиях удаленной работы особого внимания заслуживают: l отделы продаж, у которых происходит резкий рост концентрации информационных активов; l группы техподдержки, для которых характерно колоссальное увеличение объема трафика; l линейные руководители: у них сильно увеличился рабочий день и растет интенсивность нагрузки. Через две недели переработок по 16 часов в сутки без

В новой реальности всеобщей работы из дома использование облаков стало неизбежным. И хорошо, если в компании пользуются корпоративными облачными хранилищами с защищенным доступом. Многие, не имея альтернатив, переходят на публичные сервисы, потому что нужно обмениваться файлами. Впрочем, то же самое делают пользователи компаний, у которых есть хранилище, если оно недоступно или, например, пропал доступ к VPN.

UBA оказалcя полезен в решении кадровых вопросов. Дело в том, что внутри одной группы у всех ее членов обычно наблюдается приблизительно одинаковая активность. Но, как видно на рис. 2, в нашем примере у одного сотрудника – полная "тишина". Он не отвечает ни на какие сообщения, а остальные только шлют ему письма в надежде на реакцию. Обычно так ведут себя те, кто не смог самоорганизоваться. Если активность снизилась почти до нуля, значит, нужно вмешаться руководителю. Визуализированная разница в интенсивности работы сотрудников в одной группе является поводом для оценки эффективности своих отделов линейными руководителями.

5. Внимание к самым нагруженным отделам

выходных человек может "перегореть", и его нужно остановить; l топ-менеджеры: у них резко изменилось качество работы с информационными активами, им нужно помочь уследить за возможными утечками.

6. Перенаправление корпоративной почты на личный ящик Обычно самыми активными генераторами информационных объектов в компании являются руководители или ключевые сотрудники. Но в пилотной версии у заказчика модуль UBA выявил пользователя "Наталья", не относящегося ни к тем, ни к другим. Показатели "Натальи" значительно отличались от показателей других сотрудников того же подразделения, что подтолкнуло службу ИБ к анализу. Анализ показал: все сообщения, которые приходят сотруднику на служебный ящик, перенаправляются на личный e-mail. Да, люди часто отправляют на личный ящик что-то друзьям, родным, но не в таком объеме. В результате в почтовом трафике оказалось много данных, которые интересны конкурентам: справочники по поставщикам, логистические данные, информация о лицензиях и сроках. Потеряет ли сотрудник доступ к почте? Вполне возможно, потому что ящик заведен на домене list.ru. Налицо массовая утечка служебной информации на неконтролируемый почтовый адрес в режиме переадресации. Без UBA это сложно было бы выявить в условиях удаленной работы. В целом UBA позволяет увидеть у сотрудников первые признаки как организационных, так и ИБ-проблем, пока они не успели навредить бизнеспроцессам компании. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 25

in4security 7/16/20 2:39 PM Page 26

СПЕЦПРОЕКТ

Защита от утечек информации как непрерывный процесс Анна Попова, руководитель блока DLP, Infosecurity a Softline company

К Моя история взаимодействия с этим вопросом началась восемь лет назад. В том же году наша компания – Infosecurity (тогда еще без приписки a Softline Company) начала выстраивать процесс мониторинга и реагирования на инциденты, связанные с подозрением на утечку конфиденциальной информации, в одной из самых крупных финансовых корпораций России. Ядром этой корпорации являлись банки. Их было немало и с каждым годом присоединялось еще больше, так что процесс интеграции никогда не заканчивался. Когда в 2012 г. я пришла в компанию, то сразу столкнулась с огромным количеством инцидентов и потребовалось немало времени, чтобы "разгрести" этот массив и впоследствии уменьшить число инцидентов. Однако первые годы моей работы были посвящены процессу мониторинга инцидентов, количество которых из-за постоянных интеграций никак не хотело снижаться.

Классический подход к выявлению инцидентов Отношение к безопасности в целом в корпорации было всегда очень серьезным, и мне довелось работать с высокопрофессиональными безопасниками, которые стремились доводить процесс реагирования на инциденты до неотвратимого наказания нарушителя. Наша работа строилась по такому принципу: мы выявляли инцидент, сообщали в службы безопасности корпорации, где начинался процесс реагирования, проводились внутренние расследования обстоятельств и принималось решение о применении мер ответственности. По сути, это классический подход к выявлению инцидентов.

26 •

азалось бы, тема защиты от утечек информации довольно избита и вряд ли в ней можно сказать что-то новое. Но я попробую…

Со временем это позволило существенно повысить уровень осведомленности сотрудников о правилах и принципах информационной безопасности в корпорации, благодаря регулярному обучению сотрудников, и, как следствие, уровень зрелости самой ИБ. Но важно было то, что применяемые меры ответственности для сотрудников были взвешенны и определялись индивидуально, в связи с чем в процесс разбирательства всегда были вовлечены непосредственные и вышестоящие руководители нарушителей. Таким образом, решение принималось коллегиально и исключало превращение правильного процесса мониторинга и реагирования на инциденты в борьбу за увеличение количества выявленных инцидентов с отсутствием смысла и пользы для бизнеса. Но сам по себе мониторинг – это только одна часть процесса.

Утечка не появляется сама по себе Со временем большое значение стало придаваться ретроспективным расследованиям инцидентов. Вернее, даже не инцидентов или не только инцидентов, а всех возможных действий, которые нанесли или потенциально могут нанести вред или ущерб компании. Здесь мы, конечно, говорим о заранее спланированных мошеннических действиях, сговорах, лоббированиях, конфликтах и актах проявления нелояльности сотрудников. Такие действия в своей основе могут быть связаны с фактами утечки информации и фактически благодаря им и выявляются. Однако утечка информации – это не оторванный от прочих обстоятельств и событий факт, а, как правило, причина либо следствие какого-то негативного процесса. Мы также должны осознавать, что даже если сотрудник допустил утечку по ошибке (статистика каждого года говорит о том, что таких случаев большинство), то мы не можем быть уверены в том, что он не воспользуется этими данными в будущем (если, конечно, не предприняты действия по нейтрализации последствий инцидента).

Реальный кейс Приведу в качестве примера один из своих самых любимых кейсов. Сотрудница отдела внутреннего аудита записала на флеш-носитель громадное количество конфиденциальной информации компании, полученной в рамках ее работы. Надо сказать, что такие сотрудники, как правило, имеют некоторые привилегии и право записывать данные аудита на съемные носители. Но что-то в этом случае насторожило и нас, и службу безопасности ее компании. Вероятно, массовость данных, записанных единовременно. В результате расследования для минимизации последствий инцидента руководитель службы безопасности обнаружил на компьютере, куда были перенесены данные, информацию и другой организации, а точнее – весьма крупного коммерческого банка, где работал муж сотрудницы. Таким образом было установлено, что семейная пара коллекционировала конфиденциальную информацию двух весьма значимых финансовых структур нашей страны на общем ПК.

Смотреть шире и дальше утечки Работа со службами безопасности корпорации научила меня исключить из сознания такие варианты, как "отправил по ошибке", "скопировал (распечатал) для себя", "не собирался воспользоваться этими данными" и т.д. Мы должны понимать и всегда помнить, что сотрудник не будет ничего "выносить" или "сливать", если сейчас или в будущем не допускает использования украденных данных. А значит, в каждом случае мы имеем дело с осознанными нарушителями, которые не исключают для себя возможности причинения ущерба своему нынешнему работодателю тем или иным образом. Это знание позволило нам смотреть шире и дальше самого факта утечки. Мы научились исследовать и анализировать причины инцидента, его последствия и влияние на других сотрудников компании. Так, неизбежно появляются группы риска или группы особого контроля. Как известно, сотрудники попадают в них по разным причинам: конфликты с коллегами или руководством, недоволь-

in4security 7/16/20 2:39 PM Page 27

www.itsec.ru

DLP

Бизнес-ориентированная стратегия Около 2,5 лет назад наша компания вошла в состав крупной корпорации Softline, появилась вторая часть нынешнего названия – a Softline Company. Тогда перед нами встал вопрос: будет ли востребован в рамках услуг по информационной безопасности такой сервис, как защита от утечек информации? Как правило, компании самостоятельно делают это внутри, но есть и те, кто может встроить систему защиты, оптимальным образом комбинируя внутренние и внешние ресурсы. В то время мы и познакомились со своим будущим (а сейчас уже постоянным) клиентом – Группой "М.Видео – Эльдорадо". Начался интереснейший процесс работы, а главное – эволюции нашего сервиса. Клиент никогда не ставил во главу угла наказание нарушителя и применение санкций. Важной была и остается защита информационных активов компании. Поэтому история нашего взаимодействия началась именно (и логично) с аудита информационных активов. А как можно их выявить и распознать? Конечно, только с помощью бизнес-подразделений и их руководителей, а зачастую – топ-менеджеров компании. По классике принято считать, что надо минимально вовлекать бизнес в историю с инцидентами и расследованиями, только с позиции нарушителя и его руководителей. С этим мы и работали долгие годы. Но опыт проектов "М.Видео – Эльдорадо" опроверг такую позицию: при коммуникации с бизнесом каждый день по принципу открытости и двустороннего взаимодействия результат получается лучше. Безопасность понимает потребности бизнеса и реалии его работы, бизнес в ответ осознает ценность информации компании и прилагает все усилия для формирования принципов и мер ее защиты. Например, все инциденты, фиксируемые крупной компанией в течение года, можно разделить на несколько десятков типов, объединенных единым контекстом

с соответствующим сценарием реагирования. Это позволяет существенно снизить объем работ по реагированию, на порядок эффективнее будет результат. Безусловно, есть доля кейсов, связанных с нежелательными, но безусловно неизбежными действиями. Сотрудник выполнял свои обязанности, запретить ему подобные действия можно, но потенциальный ущерб от разглашения мы заменим совершенно очевидным ущербом от остановки бизнеса. В этом случае целесообразно инциденты и меры обсуждать вместе с бизнесом, демонстрировать статистику, искать не менее эффективные, но безопасные форматы и процедуры работы.

Другие действия – другие результаты Между собой мы называем описанный подход наиболее продвинутым и зрелым. Для давно придуманного и уже сформировавшегося процесса защиты от утечек по шаблону это большая редкость. Раньше перед нами никогда не ставилась задача оценивать и анализировать статистику и динамику инцидентов с точки зрения влияния на бизнес, и особенно показатели компании. Много кто говорит об оценке предотвращенного ущерба от утечек, но мало тех, кто в реальности занимается этим вопросом. Потому ценность и пользу от, например, закупленной системы защиты от утечек (DLP-системы) или сотрудников, ее администрирующих или эксплуатирующих, сложно определить и, главное, посчитать. Для нас как сервисной компании это было кардинальное изменение подхода к классификации инцидентов, их критичности и мерам, которые принимаются после их выявления, в частности к внесению изменений в какой-либо бизнес-процесс для исключения инцидентов в будущем. Конечно, защита от утечек – далеко не единственная услуга, которую мы оказываем клиентам, благодаря чему анализ эффективности мер, принимаемых компанией, становится более широким и разносторонним. Осознавая это, мы понимаем, что поступили абсолютно правильно, предложив широкому кругу клиентов Softline нашу услугу по защите от утечек. Но более ценно то, что любая, даже самая рутинная, работа (какой была и наша) может превратиться в интересный и познавательный процесс, который позволяет идти дальше и совершенствоваться с каждым днем. Своим рассказом я хочу призвать все компании любого масштаба, из любой отрасли и их руководителей более широко посмотреть на свой подход к безопасности. Вы удивитесь, как много вы узнаете и как много сможете сделать для своей компании и ее благополучного развития. l

ство работой и поиск новой, участие в каком-то инциденте, происшествии. Значение имеют даже несущественные, на первый взгляд, детали и факты. Само собой, без психологии не обойтись. Но вряд ли дипломированные психологи когда-нибудь захотят работать за компьютером, да еще и с непрерывным потоком информации. Таким образом, в сфере информационной безопасности приходится становиться не только аналитиками, но и психологами. Конечно, это делает специалистов ИБ довольно редкими и узконаправленными, а значит более ценными для рынка. Это была первая часть истории, связанная с так называемым классическим подходом к выявлению и особенно реагированию на утечки информации.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 27

infografic 7/16/20 11:35 PM Page 28

Подписка на журнал

infografic 7/16/20 11:35 PM Page 29

amt 7/16/20 2:39 PM Page 30

СПЕЦПРОЕКТ

Безопасная передача конфиденциальной информации в критичных и корпоративных сетях Вячеслав Половинко, руководитель направления собственных продуктов “АМТ-ГРУП”

Илья Кондратьев, заместитель директора Департамента информационной безопасности “АМТ-ГРУП”

ак показывает практика 2019 и 2020 гг., все больше организаций реализуют меры защиты технологических процессов. Причины могут быть разными, например в результате категорирования в структуре компании были определены значимые ОКИИ и требуется реализация мер, определенных приказом ФСТЭК № 239. Следует отметить, что оснащенность средствами контроля и защиты КСПД и ТСПД в большинстве организаций заметно различается. Как показывает практика, в КСПД она значительно лучше. В КСПД, помимо ставших общепринятыми МЭ и средств антивирусной защиты, применяются и более продвинутые решения, например SIEM, WAF, DLP.

DLP и КИИ

Важную роль при реализации мер защиты играет сегментация сети передачи данных, причем практически везде осуществляется разделение на корпоративную (КСПД) и технологическую (ТСПД) сети передачи данных, или корпоративный и критичный сегменты. Однако современные и эффективные бизнес- и ИТ-процессы зачастую требуют информационного взаимодействия между КСПД и ТСПД. Для его безопасной реализации применяются различные способы: перенос данных через съемные носители, фильтрация трафика на МЭ, а также шлюзы однонаправленной передачи или, как их еще называют, диоды. 1

О DLP хочется поговорить более подробно, особенно с учетом правоприменительной практики, в том числе уголовного преследования по ст. 274.1 УК РФ. Внимание на себя обращает тот факт, что вполне допустимой является трактовка судами фактов утечки информации ограниченного доступа за границы периметра КИИ как неправомерного воздействия на КИИ РФ 1 . Поэтому тема применения DLP на границах периметра и внутри КИИ требует обсуждения. В большинстве случаев DLP применяется для контроля таких каналов утечки информации, как вывод на печать или копирование на съемные носители, электронная почта, вебдоступ к интернет-ресурсам. Даже общие папки на файловых серверах не остаются без внимания данных систем. Но при этом контроль утечек конфиденциальной информации фокусируется на внешнем периметре сети и АРМ КСПД, тогда как каналы связи и ПК, размещенные в ТСПД, далеко не всегда так же тщательно контролируются. Это происходит по следующим причинам, которые можно разделить на группы:

1. Технологические. На АРМ и серверы в ТСПД опасаются устанавливать средства защиты, дабы не нарушить работу технологического процесса. 2. Организационные. За корпоративный и критичный (технологический) сегмент отвечают разные подразделения/дочерние организации холдинга с различными задачами и приоритетами. 3. Психологические. ТСПД/критичный сегмент – особо защищенный и потому более доверенный, да и к тому же он отделен от КСПД межсетевым экраном или вообще однонаправленным шлюзом. Таким образом, независимо от причин появляется вполне реально осуществимый и одновременно слабо контролируемый канал утечки – из информационных систем КСПД в критичный сегмент, внутри которого DLP зачастую не применяется. А если сетевое оборудование сегментов ТСПД и общих сегментов находится под единым управлением, то такой канал на практике не обнаруживается.

Использование однонаправленных шлюзов Рассмотрим более подробно ситуацию, когда для разделения критичного сегмента и КСПД применяются однонаправленные шлюзы. Типовой вариант применения однонаправленного шлюза предполагает его установку на границах критичного сегмента в целях гарантированной изоляции сегмента с меньшим уровнем доверия от сегмента с большим уровнем доверия.

Краткий обзор судебной практики по применению ст. 274.1 Уголовного кодекса РФ // Information Security/Информационная безопасность. 2020. № 2 .

30 •

amt 7/16/20 2:39 PM Page 31

www.itsec.ru

DLP

На практике наиболее распространены два сценария: l сценарий № 1 – когда диод может быть "направлен" из критичного сегмента; l сценарий № 2 – когда диод может быть "направлен" внутрь критичного сегмента. Оба случая требуют более детального рассмотрения в контексте применения DLP-решений.

Сценарий № 1 Утеря и/или хищение конфиденциальной информации происходит следующим образом: данные, хранящиеся в более доверенном сегменте, преднамеренно или непреднамеренно передаются через диод в менее доверенный сегмент. В этом случае возможно реализовать промежуточную точку контроля для данных, передаваемых через диод. В ней осуществляется анализ передаваемых данных компонентом решения DLP, применяемого в КСПД. Это может быть как промежуточный файловый сервер, так и почтовый сервер, выполняющий роль MTA. Такой сценарий представляется более простым с точки зрения интеграции с системой DLP.

Сценарий № 2 В этом случае, передавая предварительно полученные данные внутрь доверенного сегмента, злоумышленник использует АРМ или сервер в ТСПД для дальнейшего хищения данных и вывода их за границы периметра и не оставляет следов в силу ограниченности охвата ресурсов в ТСПД средствами контроля и защиты информации. Предположим, бухгалтерская или CRM-система в корпоративном сегменте содержит данные конфиденциального характера. Такие данные, будучи похищенными, могут быть переданы в технологический сегмент, а оттуда – злоумышленнику скомпрометированным персоналом. Здесь важен как сам разовый факт утечки конфиденциальной информации, так и ситуация, при которой такие утечки в условиях отсутствия DLP в доверенном сегменте останутся незамеченными длительное время. Следовательно, сценарий № 2 более опасен.

нием интеграции между компонентами однонаправленного шлюза и DLP. Наш опыт реализации комплексных проектов с применением однонаправленных шлюзов АПК InfoDiode показывает, что при организации взаимодействия с DLP следует ориентироваться на применение максимально универсального решения по интеграции "однонаправленный шлюз – DLP". Такое решение должно минимально зависеть от API конкретного производителя DLP и эффективно решать задачи выявления фактов передачи конфиденциальной информации в условиях применения разными заказчиками DLP-систем самых разных производителей. В частности, для решения этой задачи каждый узел АПК InfoDiode предоставляет сетевой файловый доступ к содержимому и метаинформации по каждому передаваемому через себя сообщению. При включении соответствующей функции назначенной группе пользователей становится доступна папка dlp в корне файлового сервера. Содержимое этой папки состоит из набора пар файлов: l <идентификатор сообщения>.data – содержимое передаваемого сообщения; l <идентификатор сообщения>.meta – метаинформация о передаваемом сообщении, в том числе: – тип сообщения (File или Email); – полное исходное имя файла; – имя пользователя-отправителя; – объем принятого сообщения в байтах. Предоставляемый таким образом доступ позволяет DLP-системе проводить регулярное сканирование папки файлового сервера с целью обнаружения передачи конфиденциальных данных. С целью упрощения взаимодействия и необходимости реализации на системах DLP логики повторного сканирования файлов доступ через папку dlp предоставляется только к содержимому успешно принятых сообщений. Доступ к сообщениям, не принятым успешно, не предоставляется.

Прогрессивный подход к защите КИИ Применение DLP-решений не только не теряет своей актуальности, но и выходит на новый уровень с учетом особенностей подходов по обеспечению защиты КИИ. Эффективное сочетание СЗИ повышает уровень защиты и минимизирует потенциальный ущерб организации от действий злоумышленников, направленных на похищение конфиденциальной информации. l

Гарантированная защита Эффективный контроль потоков при реализации как сценария № 1, так и сценария № 2 возможен с использова-

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 31

Estehin 7/16/20 2:39 PM Page 32

СПЕЦПРОЕКТ

ИИ как предсказатель утечек данных Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

ичный опыт использования какой-либо технологии всегда имеет большее значение, чем любой маркетинг. Опыт работы с DLP-решениями (Data Leak Prevention) влияет на знание деталей применения, а осмысление этого опыта подталкивает иногда к довольно острым умозаключениям. Прогресс цивилизации заключается в увеличении количества важных действий, которые мы выполняем не думая. Альфред Норт Уайтхед

Участники: Максим Ксенофонтов, ведущий инженер Департамента информационной безопасности АМТ-ГРУП Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”) Анна Попова, руководитель блока DLP, Infosecurity a Softline company Галина Рябова, руководитель направления Solar Dozor компании “Ростелеком-Солар” Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ” Александр Клевцов, руководитель направления InfoWatch Traffic Monitor Андрей Арефьев, директор по инновационным проектам ГК InfoWatch Мария Воронова, директор по консалтингу ГК InfoWatch Дарья Орешкина, директор по развитию бизнеса, Web Control Владимир Ульянов, руководитель аналитического центра Zecurion

Когда покупаешь DLP-решение, чувствуешь свою важность Обычно DLP-система позиционируется как решение для защиты от утечек данных и противодействия инсайдерам. DLP – недешевое удовольствие. Такое решение при расчете на количество охваченных системой пользователей в диапазоне 1500–2000 человек в докризисные времена могло стоить 10–12 млн руб. Поэтому, когда руководство согласовывает бюджет на DLP, безопасник чувствует себя весьма значимым лицом в компании, участвующим в принятии важных решений. На профильных конференциях нередки высказывания о том, что половина затрат на обеспечение информационной

32 •

безопасности неэффективна. DLP-решения, как мне кажется, являются подходящей иллюстрацией. Проблемы эксплуатации DLP-систем кроются не столько в технических аспектах работы, сколько в непонимании на начальном этапе эксплуатации сложности внедрения применяемых технологий и, как следствие, в завышенных ожиданиях пользователей таких систем. У меня отношение к DLP такое же, как к офисным пакетам: большинство потребителей использует только, условно говоря, 10% возможностей подобного ПО. Что характерно, базовые вещи в DLPсистеме, такие как контроль почты, контроль съемных носителей, поиск по ключевым словам, регулярные выраже-

ния, а также нелюбимые всеми DLPагенты работают нормально. Но детали применения DLP обычно меняют картину до неузнаваемости.

Тонкости, о которых знают только профессионалы Даже если вы приобрели решение, вобравшее, как вам кажется, в себя все лучшее, что на данный момент представлено на рынке, не факт, что оно идеально впишется в вашу ИТ-инфраструктуру: l если система собирает всю возможную информацию, то она будет требовательной к вычислительным ресурсам; l если система с высокой точностью определяет факт утечки, то она требует детального описания ваших активов и правил контроля за ними; l если система может прерывать высокорисковые процессы, то она и сама создает дополнительные риски для бизнеса. После развертывания системы в полном объеме вдруг всплывают вопросы недостатка вычислительных ресурсов, места для хранения архивов, недостаточной скорости передачи данных по сети. Как следствие, чем больше аналитиков подключаются напрямую к серверу обработки данных, тем медленнее работает система, перегружаясь событиями.

Estehin 7/16/20 2:39 PM Page 33

www.itsec.ru

DLP

Комментарии экспертов Дарья Орешкина: Подвох кроется в краткости определения DLP: можно подумать, что это рубильник для выключения утечек, но это не так. Система дает возможности отслеживания взаимодействия людей как внутри компании, так и с внешними контрагентами, и именно с помощью этой ценности можно попытаться обнаруживать или даже предотвращать утечки. DLP может автоматизировать задачи сбора и базового анализа информации, но покупатель должен хорошо представлять, что именно нужно автоматизировать и как использовать результаты. Максим Ксенофонтов: Зачастую DLP-система действительно покупается по принципу "чтобы не хуже, чем у других", особенно когда на это есть бюджет и возможность убедить руководство в необходимости таких затрат. Но есть и другой подход: когда специалисты по информационной безопасности проводят технический и процессный аудит ИБ в компании, разрабатывают модель угроз и модель нарушителя, формируют адаптированный перечень мероприятий для защиты от выявленных угроз. И уже только тогда понимают, есть ли среди этих мероприятий установка DLP и какие модули необходимы. И цена в расчете на пользователя в таком случае получается намного меньше, чем если покупать весь набор лицензий без предварительного анализа. Александр Клевцов: Такие вопросы снимаются за счет подготовки к внедрению. Вендор на этапе пилота проводит расчет вычислительных мощностей, объемов хранения, сроков, объемов трафика, количества контролируемых сотрудников, заранее снимает риск неправильного выбора железа. DLP не внедряется за один день, хотя некоторые пытаются. Галина Рябова: В 2019 г. мы проводили исследование основных причин разочарований заказчиков в DLP-системах. По итогам опроса одна половина заказчиков ответила, что современные системы защиты от утечек перегружены различной функциональностью, а другая – что они, наоборот, имеют недостаточный функционал. Такая ситуация возникает потому, что на рынке нет единой концепции применения DLP-систем, какие задачи и как они должны решать. Сфера деятельности закрытая: применяя DLP для решения задач безопасности, заказчик, как правило, не делится своим опытом с вендором и

Функциональность "из коробки" и кастомизация В процессе эксплуатации DLP приходит понимание, что результативность работы системы сильно зависит от грамотной настройки автоматизации поисковых алгоритмов. Как следствие, установив систему "из коробки", что-то обнаружить можно только при очень большом трудолюбии или совсем явном нарушении со стороны

отраслью, поэтому не вырабатываются best practices. В итоге заказчики не осознают в полной мере все возможности этих решений и используют лишь малую часть доступного функционала.

Владимир Ульянов: Действительно, выбор DLP-системы, особенно для компаний, где свыше тысячи рабочих мест, – процесс нетривиальный. Если смотреть только маркетинговые материалы разработчиков, скорее всего вам захочется купить все – так они хороши. В этом случае поможет независимая внешняя оценка. Анна Попова: Зачастую, принимая решение о покупке DLP-системы, мы не задумываемся о том, к чему нас это обязывает, какие мы должны выполнить требования при этом и как будет организована трудовая деятельность аналитиков и инженеров при работе с системой. Поэтому так важно при подборе DLP-системы, ее тестировании составлять чек-лист, по которому возможно будет сформировать грамотное и реально работающее ТЗ на систему. Алексей Дрозд: Самый простой способ рассчитать нагрузку на ИТ-инфраструктуру – ставить на тест DLP в "максимальной комплектации" на как можно большем количестве машин. Поэтому на время пилота мы не ограничиваем число бесплатных лицензий. Если нужно контролировать больше, чем позволяет инфраструктура клиента, можно ввести распределенную систему обработки перехвата или развернуть КИБ в облаке. Дмитрий Кандыбович: Наше решение очень легко устанавливается, очень легко масштабируется под размеры рабочего парка, поэтому проблем с перегрузками у нас не возникает. Касательно вопроса работы с активами – на мой взгляд, при правильно организованном, логичном контроле за работой ответственных лиц эта проблема не проявляет себя. А если еще и имеются мощные средства анализа, то эта проблема перестает быть актуальной в принципе. Главное – это правильный подход к проработке DLP-системы, начиная от общего принципа и заканчивая набором инструментов, предлагаемых системой.

сотрудников. У безопасников сразу возникает масса дополнительной ручной работы по анализу данных. А значит, неминуемо встает вопрос доукомплектации штата для работы с DLP-системой – нужны грамотные аналитики.. Мало кто в компании обладает видением всего бизнес-ландшафта, каждый занимается лишь своим участком работ, поэтому потребуется сформировать

общий перечень категорий информации. И это, как правило, становится самостоятельным проектом по защите данных, который не вызовет энтузиазма ни у кого в компании, кроме, может быть, вас. Это проявится в полной мере, когда потребуется прийти с неудобными вопросами в бизнес-подразделения, отнимая их внимание и время на зарабатывание денег для организации.

Комментарии экспертов Алексей Дрозд: DLP, которая дает 100%-ный результат "из коробки" – утопия. Даже с огромным набором предустановленных правил контроля (у нас, например, таких больше 300) система требует донастройки под конкретную компанию. Чтобы упростить эту задачу для клиента, у нас работает отдел внедрения.

Александр Клевцов: Для крупных организаций DLPсистемы по определению не могут быть коробочными, мы давно это говорим. Для упрощения жизни клиента у нас есть консалтинг, делающий внедрение безболезненным. Одновременно делаем упор на развитие технологий анализа: чем умнее технологии, тем меньше ручной работы.

Анна Попова: Кастомизация работы DLP-системы, тюнинг ее политик и настроек – это, пожалуй, базовая вещь, без выделения ресурса на которую нет смысла в приобретении ПО.

Максим Ксенофонтов: В целом это базовая задача для любого департамента ИБ: знать защищаемые информационные активы, их свойства (категории, содержание и пр.), места хранения, владельцев и модель доступа к ним. И если • 33

Estehin 7/16/20 2:39 PM Page 34

СПЕЦПРОЕКТ ранее такая "инвентаризация" не была сделана, то действительно приходится сначала проводить базовое обследование для определения защищаемых активов.

Дмитрий Кандыбович: Использование системы ложится на офицеров ИБ, без этого никак, любая система может только предупреждать и ограничивать в простейших операциях. Проводить расследование – обязанность человека.

Галина Рябова: Одной из задач, которые мы ставили при разработке DLP, была автоматизация рутинных сценариев работы офицера безопасности. В этой части DLP-системы не должны требовать заметной кастомизации. Гораздо важнее наличие методик решения стандартных задач. Что действительно требует настроек – это политика фильтрации, потому что в каждой компании свои информационные активы, которые нужно защищать, и форматы их представления, а ложнополо-

Выбрали DLP с охватом всех возможных каналов утечки? В поисках ответа потребуется определить реальные каналы утечки информации, обычно это является частью аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не решаются DLPкомплексом, приходится подключать

жительные срабатывания, подобно спаму, съедают время безопасников.

Дарья Орешкина: Ключевой вопрос при внедрении DLP – заинтересован ли бизнес в контроле коммуникаций. Если да, то необходимый импульс можно будет сформировать и передать по иерархической цепочке управлений и департаментов. Любого сотрудника, даже самого ответственного и дружелюбного, нужно мотивировать на выполнение той или иной задачи. Владимир Ульянов: По нашему многолетнему опыту, даже сами сотрудники бизнес-подразделений не всегда знают точно, где какая информация хранится. Поэтому большую помощь окажут инструменты класса Discovery, которые входят в состав Enterprise DLP. Эти программы в автоматизированном режиме сканируют корпоративные ресурсы, классифицируют данные и находят все места хранения конфиденциальной информации.

дополнительные технические меры защиты. Возможно, DLP поможет предотвратить утечку, но система не может заменить все современные инструменты защиты данных. Производители часто заявляют, что настроили простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических

специалистов. Но в реальности помощь вендора понадобится как в начале работы, так и в процессе последующей эксплуатации системы; по моему опыту, частота таких подключений – примерно раз в квартал. За каждый дополнительный запрос с вашей стороны производитель, скорее всего, выставит солидный счет на доработку.

Комментарии экспертов Максим Ксенофонтов: DLP может не покрывать все возможные каналы утечки информации, например ПЭМИН, лазерную разведку или DNS Exfiltration. Соответственно, для тех угроз, которые не закрываются DLP, необходимо реализовывать другие мероприятия для защиты информации.

Анна Попова: На практике это часто работает так: ты завел тикет в службу техподдержки вендора и ждешь. Иногда долго. Затем начинается процесс "борьбы" с вендором за выяснение обстоятельств сбоя или ошибки системы, который может ничем не закончиться.

Владимир Ульянов: Именно здесь и выявляются расхождения между заявлениями разработчика и реальной эксплуатацией. Хороший вариант – попробовать DLP на пилотном проекте. Это позволит оценить реальные возможности системы и удобство ее использования, а не только красочность маркетинговых брошюр или талант менеджера по продажам.

Алексей Дрозд: Часто дело не в недостатке функционала DLP, а в том, что у клиента до нужных функций "не доходят руки". Чтобы таких ситуаций не возникало, мы бесплатно обучаем работе с системой. Мы остаемся на связи с заказчиками, потому что живой фидбэк – основа для развития продукта и релиза новых.

Дарья Орешкина: Доработка и донастройка требуют определенных ресурсов. Но раз люди начинают использовать новые технологии и решения, значит они удобнее прежних и дают дополнительные преимущества. Безопасность ни в коем случае не должна препятствовать развитию.

Андрей Арефьев: Со временем задачи эволюционируют. На начальном этапе ИБ хочет знать, что происходит, и закрыть очевидные проблемы. По мере роста зрелости процессов защиты информации возникают новые задачи, это нормально. Платить за доработки придется, если система незрелая.

Галина Рябова: Да, DLP-система требует квалифицированного внедрения и технического сопровождения. Но как у хорошего сисадмина мало работы, так у хорошо внедренной DLP-системы мало проблем. Поэтому, конечно, имеет смысл обращаться к вендору, ведь у него самая глубокая экспертиза по своему продукту.

Дмитрий Кандыбович: Поэтому наше решение не является только DLP-системой, а включает в себя множественный функционал, стоящий на трех основных китах – мониторинге, аналитике и блокировке. Мы делаем хорошо свою работу, поэтому неважно, как свою работу делает клиент, наше решение сработает в любом случае.

Правовые основания для поиска злодеев Любая организация, установив DLPсистему, начинает всматриваться в свои ряды в поисках злодеев. Негодяи, как правило, находятся. Чтобы с ними "расправиться", требуется тщательная подготовка правовой стороны применения DLP-систем в организации. Необходимо публично определить границы личного и производственного, зафиксировать это в документах и ознакомить сотрудников.

34 •

А для этого задача предотвращения утечек информации должна быть зафиксирована вашей организацией по результатам оценки рисков. Должно быть также принято решение о проведении деятельности по предотвращению утечек информации конфиденциального характера (о требованиях и рекомендациях по предотвращению утечек информации в кредитных организациях можно узнать из нормативных документов: ГОСТ Р 57580.1–2017; РС БР ИББС-2.9–2016).

Estehin 7/16/20 2:39 PM Page 35

www.itsec.ru

DLP

Комментарии экспертов Дмитрий Кандыбович: В любой компании, которая озабочена своей ИБ не для галочки, а для реальной защиты бизнес-процессов, а по факту – денег, все это должно быть проработано. Где деньги, там обязательно поблизости крутятся злоумышленники, а для борьбы с ними юридическая основа обязательно должна быть готова. Нельзя стрелять из пушки, не купив порох. Максим Ксенофонтов: Кроме того, некоторые DLP позволяют не читать всю переписку пользователя, а обращать внимание только на предположительные нарушения, расследование которых является вполне законным мероприятием. А сам же анализ переписки происходит машинным способом, что не нарушает тайну переписки.

Алексей Дрозд: DLP можно и нужно пользоваться легально, для этого никаких препятствий нет. "Легализация" DLP необходима как минимум для выполнения требований закона (от ФЗ-152 до норм Конституции). Мария Воронова: Систему нужно настроить и обеспечить ее правомерность, чтобы все фиксируемое DLP априори являлось доказательной базой. Для этого нужно закрепить принципы легитимной обработки конфиденциальной информации, установить правовые основы для мониторинга и контроля инфопотоков, обеспечить возможности для расследования инцидентов, сбора доказательств и принятия решений о взыскании, увольнении, обращения в правоохранительные органы и т.д.

и решать еще до внедрения или при внедрении системы, а не на этапе ввода ее в боевой режим. В противном случае ваша работа, и особенно результаты ваших внутренних расследований с использованием данных, полученных благодаря DLPсистеме, могут пойти прахом.

Дарья Орешкина: Зачастую нарушения происходят неумышленно. Тогда DLP помогает предотвратить случайные инциденты. Также замечено, что сотрудники обычно не хотят ввязываться в активности, о которых система проинформирует как о нежелательных. В этом случае DLP с функциями real-timeоповещения пользователей выступает в роли обучающей системы по корпоративным нормам информационной безопасности.

Галина Рябова: Для своих заказчиков мы разработали набор рекомендаций, как легализовать DLP в компании. Однако на практике в России больше половины компаний устанавливают системы защиты от утечек, не уведомляя об этом сотрудников. Соответственно, и большинство инцидентов, связанных с утечкой конфиденциальной информации, решаются вне правового поля.

Владимир Ульянов: Очевидно, что права сотрудника не должны нарушаться, но никаких нарушений в контроле организацией своей коммерческой тайны нет. Сложнее бывает соблюсти баланс интересов работника и работодателя, сделать так, чтобы сотруднику было комфортно в офисе, не чувствовать себя зверьком, действия которого рассматриваются под лупой.

Анна Попова: Юридические аспекты нужно обсуждать

Еще несколько нюансов Приведу еще несколько наблюдений о DLP из личного опыта двухлетней давности. Возможно, что-то из приведенного ниже списка уже неактуально. 1. Пользователю системы приходится администрировать большую часть компонентов системы из разных консолей – это неудобно.

2. Ненормально, что не предусмотрена защита от удаления DLP-агента, который обнаруживается на компьютере продвинутым пользователем с обычными правами. 3. Как показывает практика, цифровые отпечатки полноценно работают только применительно к текстовым документам.

4. Пользователю системы, как правило, недостаточно предустановленных правил контроля и словарей с экземплярами защищаемых данных. 5. В большинстве DLP отсутствует машинное обучение. 6. Существует мало реальных интеграций DLP с существующими на рынке SIEM-системами.

Комментарии экспертов Максим Ксенофонтов: Если обобщить, то подобные проблемы сводятся к двум типам: функциональности нет, так как она слабо востребована или новая (например, машинное обучение), или что-то не настроено в конкретной инсталляции (например, интеграция с SIEM). Первый тип проблем решается с помощью запросов на улучшение (RFE) разработчику, а второй – хорошим интегратором и грамотным заданием на работы. Дмитрий Кандыбович: Staffcop Enterprise не только отслеживает что именно сотрудник делает на компьютере, но и ограничивает в запуске приложений, потенциально опасного софта, веб-сайтов, внешних носителей и т.д. Это искореняет проблему атак на локальный агент. Важно не только оснастить систему функционалом и упростить внедрение, но и сделать так, чтобы пользователь просто пользовался (как в Apple). Одной из наших целей было сокращение времени настройки, чего мы успешно добились. Анна Попова: К сожалению, заявленный функционал системы не всегда соответствует реальному. В основном обычно разочаровывают заявления вендоров о том, что система перехватывает данные такого-то мессенджера, например. На деле мы видим, что не во случаях перехватывает или ограниченно (только текст или без голосовых звонков). Также продвинутые технологии распознавания часто могут подвести

только из-за того, что распознаваемый документ будет просто нечитабелен из-за плохой скан-копии, и ни одна система с этим ничего сделать не сможет.

Галина Рябова: Машинное обучение как подход в DLP развития не получил, потому что для любой обучающейся модели нужен большой объем данных и много часов обучения. Но заложенные в Solar Dozor UBA алгоритмы класса "обучение без учителя" не требуют на этапе обучения экспертной маркировки категорий данных. Соответственно, не нужны и предварительные работы по настройке и адаптации технологии под новые условия эксплуатации. Для анализа устойчивости показателей поведения пользователя и детектирования аномалий (отклонений в поведении) достаточно истории поведения за два месяца. Алексей Дрозд: Например, в КИБ агент надежно скрыт даже от привилегированных пользователей. КИБ интегрируется с SIEM любых производителей (в том числе нашей собственной) и почти с любыми другими ИТ-системами, от СКУД и расчетчиков зарплаты до DCAP и DAM. Александр Клевцов: По нашему опыту, в больших компаниях администрирование и эксплуатация DLP – это разные роли. Иногда консоли разделяются отдельно для настройки, • 35

Estehin 7/16/20 2:39 PM Page 36

СПЕЦПРОЕКТ администрирования и отдельно для мониторинга и расследований. Агент Тraffic Мonitor с обычными правами не получится отключить, привилегированные права и даже продвинутые "хакерские приемы" не помогут: системный драйвер, отвечающий за целостность агента, вернет его обратно. У TM интеграции есть с многими производителями SIEM.

Владимир Ульянов: Для DLP-систем нормальна модульная архитектура, повышающая гибкость использования. Заказ-

На стыке DLP, пандемии и ИИ Представим организацию в виде человеческого организма, в котором завелся вирус (в терминах DLP – инсайдер). Наша задача – найти в организме информацию о вирусе, который движется по кровеносным сосудам организма. Прежде всего нас, конечно, интересует работа сердца (бизнес-процессы организации), чистота легких (в нашем примере пусть это будет электронная почта) и деятельность разных клеток крови: l эритроцитов (например, сотрудников), которые переносят кислород и углекислый газ; l лейкоцитов (сотрудников с повышенными привилегиями в информационных

чик может под себя сконфигурировать систему, сократив и бюджет проекта, когда отдельные модули не нужны. Несколько консолей не только существенно затрудняют работу офицера безопасности, но и сказываются на эффективности защиты.

Дарья Орешкина: В глобальном смысле множество консолей, похоже, не исчезнет никогда, потому что как только появляется "единая консоль", технический прогресс добавляет нам новую систему с собственной консолью.

системах), обеспечивающих работу иммунной системы; l тромбоцитов (руководство), обеспечивающих свертываемость крови. Кстати, как тромбоциты не признаются учеными-медиками полноценными клетками, так и в контексте борьбы с утечками и инсайдерами топ-менеджмент иногда выводится за скобки мониторинга DLP-систем. Принято определять здоровье организма, измеряя температуру тела (информацию, которая движется в электронном виде внутри организации), а также проверяя пульс (в контексте DLP аналогом станет модуль контроля рабочего времени).

Совокупность всех измеряемых параметров организма-организации помогает поставить диагноз (собрать доказательную базу), присутствует или нет вирус-инсайдер. Иногда вирус может до определенного времени вообще никак себя не проявлять, и тогда болезнь протекает бессимптомно. Если у вас нет вакцины, то вам трудно защитить организм от неизвестного вируса. Элементами такой вакцины в контексте DLP могут стать технологии искусственного интеллекта (ИИ), машинное обучение и нейронные сети. С их помощью можно автоматизировать процесс обнаружения защищаемых данных в компании, что позволит целенаправленно лечить органы, которые в этом нуждаются.

Комментарии экспертов Галина Рябова: В нашей UBA-системе есть профиль нормального поведения пользователя – аналог нормального состояния здоровья человеческого организма. Как врач измеряет у пациента температуру тела, давление, пульс, так и UBA измеряет внешнюю и внутреннюю активность сотрудников, объем отправленных/полученных информационных объектов, интенсивность взаимодействия с коллегами и т.п. Если показатели здоровья/поведения человека вдруг отклоняются от нормы, это повод для врача/службы безопасности разобраться в причинах. Может быть, человек заболел, а может быть он в данный момент занимается спортом, может готовится реализовать в компании мошенническую схему, а может поссорился с домочадцами и сильно переживает. Алексей Дрозд: ИИ уже есть в DLP, другое дело, что применяем мы его для решения только тех задач, где он действительно эффективен, где можно достичь баланса между ложными сработками и пропущенными инцидентами. Точность "попаданий" в 95% – не тот результат, с которым готовы мириться клиенты. Одна из задач, которую успешно решает ИИ, это, например, распознавание печатей и штампов. В систему загружаются документы с разными печатями, в будущем она узнает любые подобные изображения. Александр Клевцов: Мы не ограничиваем руководство в его действиях, но можем понимать, в каком объеме потребляются корпоративные данные и как ими распоряжаются. С помощью политик и технологий анализа можно описать "здоровый организм" и обращать внимание только на отклонения. "Вакцина" в виде режима блокировки утечки не позволит отклониться от здорового состояния. К привилегированным может применяться специальная диагностика, а в отношении руководства важно просто постоянно наблюдать за симптоматикой. Максим Ксенофонтов: Несомненно, часть задач офицеров безопасности также можно переложить на плечи ИИ, и прежде всего это задачи поведенческого анализа. И скорее всего, крупные разработчики DLP уже делают первые шаги в 36 •

сторону машинного обучения, остается только дождаться их релиза.

Дмитрий Кандыбович: Конечно же, мы внедряем нейросети, для автоматизации работы, для упрощения той же аналитики. Система сама вычисляет отклонения в поведении сотрудника и сигнализирует об этом. А также мы используем их для упрощения рутинных задач, например распознавания документов и лиц сотрудников: нет нужды подключаться к каждому компьютеру и лично проверять, кто за ним, это сделает программа. Дарья Орешкина: Технологии машинного обучения сейчас используются в Symantec DLP. ML облегчает настройку политик и точность их срабатывания. В ближайшем будущем замещение офицера безопасности не предвидится, но со временем, очевидно, ИИ все больше задач будет решать не хуже человека, в том числе и в области предотвращения утечек. Владимир Ульянов: Использование технологий ИИ и машинного обучения – одна из перспектив отрасли. В 2019 г. Zecurion разработал уникальный продукт Camera Detector, который выявляет факты съемки экрана компьютера внешними камерами. Это позволяет бороться с утечками, когда инсайдеры фотографируют конфиденциальную информацию с экрана монитора личными смартфонами. В основе работы Camera Detector лежит технология машинного обучения на базе нейронной сети, что позволяет детектировать смартфоны любых производителей и моделей, в чехлах и без, на разном фоне, в том числе частично скрытые другими объектами. Анна Попова: К сожалению, выявить реальных злоумышленников внутри крайне сложно, если они просто пользуются недоступными для перехвата DLP-системой коммуникациями. Спасает, как правило, только накопительный эффект. В поле нашего зрения могут попасть разные сотрудники по разным причинам, даже малозначительным. Важно "присматривать" за ними на периодической основе, и обязательно будет ожидаемый результат.

Estehin 7/16/20 2:39 PM Page 37

www.itsec.ru

DLP

Лицензии впрок Борясь с пандемией, неразумно покупать аппараты ИВЛ впрок, не зная предположительно, сколько у вас будет легочных больных, и тем более ставить их всем подряд без разбора, чтобы просто оправдать их приобретение. Но именно так приходится поступать при покупке DLP-лицензий, приобретая их впрок, без какой-либо статистики аналогичных случаев (инцидентов).

Даже если: а) проведена оценка рисков в компании (поставлен диагноз, возможно и неправильный); б) руководство сформулировало вам задачу "закрутить гайки" и держать курс на "терзать и трясти собственных сотрудников"; это вовсе не означает, что вам выдан карт-бланш на мониторинг всего и вся, а также неограниченный бюджет на эти цели.

Покупая DLP-систему, вы должны достаточно точно представлять: l сколько системных агентов вам понадобится для мониторинга каналов; l логику комбинирования возможностей различных DLP-агентов с другими инструментами системы: механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и т.д.

Комментарии экспертов Алексей Дрозд: Мы как раз за то, чтобы "закупать ИВЛ впрок": если не контролировать максимум каналов для всех сотрудников, в защите будут дыры. Тем не менее КИБ позволяет распределить лицензии гибко. Каждый канал контролируется независимо, настройку лицензий по одному модулю необязательно "синхронизировать" с другим. Максим Ксенофонтов: Как показала текущая история с пандемией, страны, которые имели запас аппаратов ИВЛ, оказались в лучшем положении, чем страны без запаса. Нельзя просто взять и поставить еще 200 аппаратов ИВЛ, когда все текущие будут заняты. Хорошая практика – оценить будущие потребности в лицензиях и заранее их заложить при закупке. Ведь будет неприятно остаться без лицензий, например, при организации и найме нового отдела. Если же подобной возможности нет, то по сложившейся практике закладывается 10% дополнительных лицензий на случай роста. Галина Рябова: Обычно лицензии на защиту каналов коммуникаций закупаются на всех сотрудников компании. Исключение составляют endpoint-агенты. В ряде случаев компании закупают агенты только для контроля групп риска. Сейчас на рынке DLP приняты цивилизованные лицензионные ограничения: при превышении лимита заказчику напоминают о необходимости докупить лицензии, а не отказывают в обслуживании. Анна Попова: Вопросы бюджетирования и вынужденных ограничений всегда важны. Но практический опыт говорит, что ценность DLP-системы в том, что в ней накапливается бесценная информация, польза от которой не только оперативном выявлении инцидентов здесь и сейчас, но и в возможности проведения ретроспективного анализа при внутреннем расследовании.

Мониторинг соцсетей и удаленный доступ Зачастую корпоративная жизнь – это сонное царство, бесцветное и зарегулированное. Если бы это было не так, то загруженные на вход искусственного интеллекта корпоративные данные на выходе выдавали бы попутную рекомендацию: уволить каждого второго. Сейчас фокус определенно смещается в сторону мониторинга соцсетей: без преувеличения можно утверждать, что все проводят там время. Уже проводились эксперименты, когда ИИ после обучения на высказываниях в Твиттере признавался в ненависти к человечеству. Для мониторинга социальных сетей корпоративная DLP-система бесполез-

Андрей Арефьев: Важно понимать, что DLP-система – один из кирпичиков в стратегии ИБ. То, насколько корректно составлена стратегия, помогает определить нужный в будущем объем ресурсов: серверов, СХД, количество лицензий. Важна и консультационная поддержка вендора, все это взятое вместе позволяет правильно прогнозировать ресурсы. Владимир Ульянов: Действительно, DLP редко бывает единственным продуктом для корпоративной безопасности. Наоборот, когда дело доходит до внедрения DLP, уже имеются другие решения. Инсайдерские угрозы, безусловно, важнейшие с точки зрения защиты информации от утечки, но нельзя забывать о проблеме привилегированных пользователей (решения класса PAM) и внешних угрозах (SWG-решения). DLP – неотъемлемый элемент системы корпоративной безопасности, и здорово, когда он тесно интегрируется с другими важными классами, что позволяет сделать надежную бесшовную защиту от разных типов угроз. Дарья Орешкина: DLP значительно гибче многих других классов систем позволяют организовать покрытие контроля. Часто компании начинают контролировать сначала почту и вебтрафик, затем расширяют контроль endpoint и хранилищ. Дмитрий Кандыбович: Наша задача – понять, какие задачи пытается решить клиент, здесь важен плотный контакт с теми, кто внедряет продукт, так как именно они в первую очередь владеют знанием о том, что у них есть сейчас. И конечно же, наш продукт можно настраивать очень гибко, поэтому, по сути, нам не столь важно – картбланш, не карт-бланш, мы поможем с настройкой так, как нужно клиенту.

на, ведь доступ к соцсетям внутри компаний, как правило, запрещен. Для этих целей существет достаточно много онлайн-сервисов, в том числе и бесплатных. А кто знал, что в 2020 г. будет проведено глобальное тестирование компаний на соблюдение "требований по организации безопасного удаленного доступа" из планов непрерывности деятельности! Корпоративная активность с началом пандемии переместилась на домашние компьютеры. Практика и суровая реальность взяли верх над, казалось бы, незыблемыми устоями информационной безопасности компании. Реагируя на это, корпоративные DLP-системы должны перестроиться под новую задачу – удаленная работа как допустимый формат на постоянной основе.

• 37

Estehin 7/16/20 2:39 PM Page 38

СПЕЦПРОЕКТ Комментарии экспертов Максим Ксенофонтов: Социальные сети сейчас – это большое поле возможностей для многих систем ИБ, и DLPсистемы здесь не отстают. Обычные утечки в виде postзапросов на страницы (комментарии, сообщения и пр.) DLPсистемы уже давно умеют мониторить. Но с развитием соцсетей появился и новый набор функций: многие DLP-системы имеют в агентах специализированные модули, рассчитанные на мониторинг популярных социальных сетей, включая работу со специфическими протоколами. Дмитрий Кандыбович: Staffcop Enterprise позволяет логгировать и перехватывать переписку в соцсетях, осуществлять теневое копирование отправляемых файлов, отслеживать контрольные слова и даже записывать голосовое общение через мессенджеры. Как говорится, кто, что, где, с кем и зачем. И все это делает очень просто, удобно просматривается и хранится в безопасном месте – на сервере. Контроль сотрудников – это важная часть ИБ, одна из важнейших, поэтому наше решение позволяет осуществлять тотальный контроль. Анна Попова: Мы предлагаем разделять цели и использовать для мониторинга активности в социальных сетях специально созданные для этого модульные решения. Что касается режима удаленки из-за пандемий и прочего, то здесь можно только посочувствовать производителям DLP-систем, которые не были готовы к тому, что понадобится полностью контролировать MS Teams или Zoom. Галина Рябова: Я бы разделяла частную жизнь сотрудников в соцсетях и перенос корпоративной активности на домашние компьютеры. Нам надо все время помнить: безопасность – это всегда комплекс мер. Существует много способов обеспечить безопасную работу удаленных сотрудников, начиная от самых простых – использования только корпоративных доменных ноутбуков с установленными средствами защиты и заканчивая организацией доступа в сеть с домашних компьютеров через защищенный слой VDI-брокера. Алексей Дрозд: Механизмов контроля много, вся соль – в установке стабильного контакта агента с сервером, когда контролируемый ПК находится вне корпоративной сети. Напри-

У нас так много средств защиты, что не для всех из них придуманы угрозы Порой создается впечатление, что компании – производители систем защиты информации при поддержке регуляторов отыскивают у потребите-

38 •

мер, в КИБ можно задать правила, чтобы агент самостоятельно парсил перехват и не нагружал канал связи. Плюс задать альтернативные адреса подключения к серверу. Если же связи нет, то информация "складируется" в скрытом хранилище. В итоге DLP работает в полном функционале, перехват не теряется, а бизнес-процессы не тормозятся.

Александр Клевцов: В конце 2019 г. InfoWatch представил клиентам возможность контролировать соцсети прямо из DLP-системы на предмет утечки конфиденциальной информации в публичных постах и комментариях, даже если они сделаны с личных устройств, вне периметра компании и в нерабочее время. Мы интегрировались с платформой "Крибрум", адаптировали технологии контентного анализа под язык и формат, специфичные для соцсетей, и предусмотрели, чтобы разбирать такие инциденты было удобно, в привычном интерфейсе Traffic Monitor. Даже если сотрудник работает с облачными сервисами и с личного мобильного устройства, Traffic Monitor все равно продолжает контролировать его действия. Дарья Орешкина: Концепция контроля корпоративной информации в условиях применения собственных пользовательских устройств из любой локации передовыми компаниями продумывалась уже давно, в разной степени практики безопасного доступа были реализованы и в коммерческих, и в государственных компаниях. Похоже, пришло время активнее использовать автоматизированные системы как для обработки, так и для контроля информации в условиях удаленной работы. Владимир Ульянов: Переход на удаленный режим работы добавил забот специалистам по ИБ, риски утечки возросли кратно, слить информацию стало легче. Прибавьте к этому сомнения в завтрашнем дне, снижение лояльности, и станет понятно, почему сотрудники копируют корпоративные данные даже без злого умысла, но просто на всякий случай. И программы мониторинга рабочего времени, которые иногда выдают за разновидность DLP, конечно, не снизят риски утечки. Наоборот, тотальный контроль и требование высидеть положенные часы за компьютером лишь повысят беспокойство работника.

лей пока не существующие угрозы, лоббируя "монстров" лингвистического и статистического анализа – DLPрешения с их будущими проблемами обнаружения данных определенного формата (анализ формальных структур), проклятием нехватки вычисли-

тельных ресурсов и сложностью интеграции выбранного решения с имеющимися SIEM-системами и системами защиты. Темпы развития современных коммуникаций переросли уровень тех технологий, которые еще вчера использовались для защиты информации в компаниях. Например, маркировка документов в соответствии с их информационной категорией в современной коммерческой компании давно потеряла смысл. Поиск по регулярным выражениям себя не оправдывает. Правила контроля надо постоянно подкручивать: например, фраза "подхватил вирус" до пандемии имела один смысл, а сейчас у нее может быть совершенно иное значение. Современные DLP, являясь крайне высокотехнологичным программным обеспечением, тем не менее пока не дотягивают до уровня, при котором безопасники могли бы совершать важные действия с минимальными усилиями.

Estehin 7/16/20 2:39 PM Page 39

www.itsec.ru

DLP

Комментарии экспертов Галина Рябова: Вы так говорите, как будто это что-то плохое. Я считаю, что это один из путей развития, когда под продвинутые технологии находятся задачи в материальном мире. Эволюция DLP – один из таких положительных примеров. Начав свое становление с узкой задачи защиты от утечек, современные DLP-системы, обладая продвинутыми аналитическими возможностями, способны решать широкий спектр задач службы безопасности в целом, и даже напрямую задачи бизнеса, например мониторинг эффективности работы удаленных сотрудников. Это выгодно для бизнеса – использовать одну систему для решения многих задач. Алексей Дрозд: Автоматизация, в том числе элементы ИИ, уже используются в DLP для решения узких задач. Но каким бы продвинутым ни был такой функционал, DLP еще долго не станет "виртуальным безопасником". Это не антивирус, который работает автономно. Максим Ксенофонтов: Несомненно, пока не будет создан сильный ИИ, человек всегда будет нужен там, где требуется принимать нестандартные решения. Существующие ИИ и машинное обучение смогут разгрузить офицеров безопасности, сняв с них, например, задачу анализа паттернов поведения. Но всегда остается вероятность ЛПС, для исправления которых необходим профессиональный взгляд и анализ ситуации специалистом. Андрей Арефьев: Организация –- это живой организм, меняющийся под влиянием рынка. Нельзя настроить DLP один раз и забыть про нее. Во-первых, нужно дать ИБ инструменты,

Авторское заключение Организации научились собирать данные с помощью DLP-систем. Теперь им надо понять, что делать с этими данными. На передний план выходят не столько сами данные, сколько технологии их обработки. Очевидно, что будущее за интеграцией технологий: DLP, машинного обучения, искусственного интеллекта, автоматизации с применением нейронных сетей.

чтобы удобно и быстро анализировать происходящее и подстраивать политики. Во-вторых, важно поддерживать актуальными базы защищаемых документов, что нетрудно, это давно делается автоматически. И конечно, ИИ, используемый для категоризации документов, берет на себя все больше задач.

Дарья Орешкина: При эксплуатации любой системы со временем выявляются недочеты, которые набивают оскомину при работе с ней. DLP ввиду своей сложности имеет массу нюансов как при сборе информации, так и при ее анализе. Но все встает на свои места, если задаться вопросом: а как бы хотелось отслеживать пользовательские взаимодействия? За плечом каждого вешать видеокамеру? Ну допустим, а как нарушителя искать из тысяч сотрудников в многочасовых видеозаписях? В конце концов мы приходим к выводу, что в текущей реализации DLP не хватает упрощения настройки политик и функций помощи в точном обнаружении инцидентов. Похоже, ИИ должен справиться с этими задачами в скором будущем. Владимир Ульянов: Развитие DLP сегодня направлено в сторону предугадывания нарушений, так, чтобы их можно было предотвратить заранее, а сотрудника, вызывающего сомнения, поставить на особый контроль. Именно поэтому многие DLP уже получили встроенные модули поведенческого анализа UBA. Zecurion пошел дальше и позволяет отслеживать эмоции контролируемых пользователей, которые также могут свидетельствовать о потенциальной угрозе. Как показывает практика, человек может скрыть подготовку к краже данных, но маскировать свои истинные эмоции на протяжении долгого времени не способен.

Уже сейчас с помощью искусственного интеллекта в компаниях пробуют предсказывать, например, увольнения сотрудников. Возможно, от предсказания увольнений с помощью ИИ до предсказания утечек данных остался всего один шаг? Технологии стали главным источником информации. Но пока "выявлять чувствительные персональные данные

и разбираться с ними столь же сложно, как и определять, какая корпоративная информация сохранила или потеряла свою деловую ценность с течением времени", как мудро заметил Марк Кассетта, старший вице-президент по стратегическим вопросам компании Titus. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Колонка редактора

К наблюдениям за развитием DLP У каждой DLP-системы свои особенности, каждый производитель активно рассказывает о важности именно своего подхода. Стоит, не претендуя, впрочем, на категоричность, вспомнить, с чего системы начинали: к примеру, Zecurion и InfoWatch начинали с хорошей работы на сетевом уровне, а SearchInform и DeviceLock изначально были сильны в работе на конечных Сергей Рысин, устройствах. Дальнейшее развитие систем проэксперт по ИБ текало в жесткой конкуренции, но именно скорость обработки данных внутри системы и быстрота принятия решения позволяли на том этапе занять больший рынок. Сейчас же все производители систем постепенно, но планомерно приходят к реализации концепции DLP Next Generation, содержащей, кроме функционального потенциала, еще и маркетинговый.

Однако у нас, конечных потребителей, есть свой набор требований к DLP-системе: l скорость доработки выявленных при эксплуатации проблем; l качество технической поддержки: ведь любой заказчик рано или поздно обращается к вендору за помощью и важно, чтобы этот процесс был комфортным; l простота и послойность перехода к новой версии; l простота подключения и внедрения новых паттернов, интересных для защиты интересов бизнеса; l скорость внедрения новых подходов в системе; l визуализация данных: это новый тренд в ИБ, позволяющий конечным операторам быстрее вырабатывать и принимать качественные решения. Отмечу, что на сегодняшний день эти задачи в той или иной степени реализованы у всех DLP-вендоров. Поэтому мой личный опыт свидетельствует, что выбирать стоит не столько систему, сколько производителя. Того, кто готов помогать быстро и качественно решать ваши проблемы для достижения вами успеха в решении задач бизнеса, который вы защищаете. l

• 39

Obzor_DLP 7/16/20 2:39 PM Page 40

СПЕЦПРОЕКТ

Обзор решений DLP Название DLP-решения

StaffCop Enterprise

"СёрчИнформ КИБ"

Компания-разработчик

ООО "Атом Безопасность"

ООО "СёрчИнформ"

Компания, предоставившая информацию

ООО "Атом Безопасность"

ООО "СёрчИнформ"

Поддержка русского языка

Да

Поддержка других языков

Да

Поддерживаемые языки

Английский

Английский, польский, украинский, испанский

Необходимость приобретения лицензий сторонних вендоров

Нет

Лицензии, сертификаты и патенты

Реестр российского ПО; сертификат ФСТЭК

Реестр российского ПО; сертификат ФСТЭК; лицензия ФСБ; лицензии ФСТЭК

Позиционирование

Контроль деятельности сотрудников, обеспечение информационной безопасности предприятий, удаленное администрирование

Система контролирует максимум каналов передачи информации, в реальном времени анализирует все, что происходит в компании

Контроль данных на шлюзе сети

Нет

Да

Контроль данных на уровне рабочих станций

Да

Шифрование данных при хранении на серверах и в хранилищах (Data at Rest) Да

Да

Поиск конфиденциальной информации в корпоративной сети (Data Discovery) Да

Да

Перехват и контроль сессий привилегированных пользователей

Да

Прокси-сервер

Нет

Не требуется

Минимальный срок развертывания продукта, дни

Да

1 день

Возможность развернуть все модули на одном физическом сервере

Да

Возможность развернуть все модули на одном виртуальном сервере

Да

WMWare, VirtualBox, Hyper-V и Proxmox

В любых средах виртуализации

Платформа шлюзового решения (если есть)

Нет

По протоколу ICAP

Агент под Windows

Да

Агент под Linux

Да

Агент под MacOS

Да

Нет

Поддерживаемые СУБД для архива событий и файлов

PostgreSQL, ClickHouse

MS SQL

Внедрения в СМБ (до 1 тыс. рабочих мест)

Да

Внедрения в крупном бизнесе (свыше 1 тыс. рабочих мест)

Да

Внедрения в Large Enterprise (свыше 100 тыс. рабочих мест)

Нет

Да

1. Архитектура решения 1.1. Архитектура и модули

1.2. Поддерживаемые платформы

1.3. Сегментация, опыт внедрений

40 •

Obzor_DLP 7/16/20 2:39 PM Page 41

www.itsec.ru

DLP

DeviceLock DLP

Офисный контроль и DLP Safetica

InfoWatch Traffic Monitor

Solar Dozor 7.2

Zecurion DLP

АО "Смарт Лайн Инк"

Safetica Technologies

АО "ИнфоВотч"

"Ростелеком-Солар"

Zecurion

АО "Смарт Лайн Инк"

ESET

ГК InfoWatch

"Ростелеком-Солар"

Zecurion

Да

Английский, японский, немецкий, китайский

Английский, чешский, испанский, турецкий, польский, португальский, китайский

Поддержка 40 языков, 20 языков – с поддержкой морфологии

Английский язык

Нет

Реестр российского ПО; лицензия ФСТЭК на деятельность по разработке и производству СЗКИ; сертификат соответствия ФСТЭК

Сертификат соответствия требованиям технического регламента ТР 2013/027/BY (Беларусь)

Сертификаты ФСТЭК: НДВ-4, СВТ-5; сертификаты СНГ: Беларусь, Таджикистан, Казахстан; 28 действующих патентов

Единый реестр отечественного ПО; лицензия Министерства обороны; лицензии ФСТЭК; лицензии ФСБ

Реестр российского ПО; лицензии ФСБ; лицензии ФСТЭК; сертификат ФСТЭК

Полноценная система защиты данных от утечки (Data Leak Prevention) для организаций любого масштаба

Корпоративное решение, предотвращающее утечки данных

DLP-система для контроля и анализа информационных потоков и защиты от утечек данных

DLP корпоративного класса с функциями анализа поведения пользователей, контроля рабочего времени и объединения филиалов

Комплексная корпоративная DLP с контролем более 200 каналов передачи данных, анализом поведения и эмоций сотрудников

Да

Нет

Да

Нет

Да

Нет

Да

Не требуется

Нет

Да

Менее 1 дня

1 день

От 2 дней

Да

Нет

Да

Но можно на двух

В любых средах виртуализации, поддерживающих ОС RHEL/CentOS или Astra Linux

В любых средах виртуализации

Windows + Linux

Нет

RHEL, CentOS, Astra Linux

CentOS, RHEL, Astra Linux 1.6

Да

В ближайших планах

Да

Нет

Да

MS SQL, PostgreSQL

MS SQL, AzureSQL S1 или S2

PostgreSQL, Oracle Database

MS SQL, PostgreSQL

Да

Нет

Да

Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных, но не проводила работу по их проверке на соответствие действительности.

• 41

Obzor_DLP 7/16/20 2:39 PM Page 42

СПЕЦПРОЕКТ Название DLP-решения

StaffCop Enterprise

"СёрчИнформ КИБ"

2. Управление и расследование инцидентов Единая консоль управления всеми модулями и продуктами

Да

В ближайших планах

Веб-интерфейс консоли управления

Да

Единые политики безопасности (для шлюзового и агентских модулей)

Да

Работа с несколькими архивами данных и событий

Да

Система совместного расследования инцидентов

Да

Диаграмма связей пользователей

Да

Статусы пользователей

Да

Шаблоны отчетов

Да

Кастомизируемые отчеты

Да

Граф связей пользователей

Да

Поведенческий анализ (UBA, UEBA)

Да

Оценка морального состояния пользователей (выявление групп риска)

Да

Контроль фотографирования экрана

Да

Анализ клавиатурного почерка

Да

В ближайших планах

Поиск конфиденциальных данных на локальных рабочих станциях

Да

Контроль голосового трафика

Да

Запись сессий пользователей

Да

Контроль звука и возможность подключения к микрофонам компьютеров

Да

Контроль видео и возможность подключения к камерам рабочих станций

Да

Запись нажатий клавиатуры

Да

Снимки экрана контролируемых рабочих станций

Да

Теневое копирование данных

Да

Контроль запуска приложений

Да

URL-фильтрация

Да

Контроль выхода данных за пределы ограниченной группы пользователей

Да

Карантин

Да

Морфологический анализ, стемминг

Да

Анализ документов на иностранных языках

Да

Поддерживаемые языки

Английский

Любые языки, более 30 – с поддержкой морфологии

Детектирование документов, написанных на двух и более языках

Да

Детектирование транслита и замаскированного текста

В ближайших планах

Да

Бинарные цифровые отпечатки

Да

Векторные графические отпечатки

Да

Растровые графические отпечатки

Да

3. Возможности выявления утечек 3.1. Функциональность

3.2. Технологии контентного анализа

42 •

Obzor_DLP 7/16/20 2:39 PM Page 43

www.itsec.ru

DLP

DeviceLock DLP

Офисный контроль и DLP Safetica

InfoWatch Traffic Monitor

Solar Dozor 7.2

Zecurion DLP

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

В ближайших планах

Нет

Да

В ближайших планах

Да

Нет

Да

Нет

Да

В ближайших планах

Да

В ближайших планах

Нет

Да

В ближайших планах

Да

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

В ближайших планах

Нет

Да

В ближайших планах

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

В ближайших планах

Да

В ближайших планах

Да

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

Нет

Да

40 языков, 20 – Около 100 языков с поддержкой морфологии Да

Нет

Да

Нет

Да

В ближайших планах

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

• 43

Obzor_DLP 7/16/20 2:39 PM Page 44

СПЕЦПРОЕКТ Название DLP-решения

StaffCop Enterprise

"СёрчИнформ КИБ"

Отпечатки таблиц и баз данных

Да

Распознавание текста (OCR)

Да

Регулярные выражения

Да

Строки со спецсимволами

Да

Категоризация текста с использованием тематических и отраслевых словарей

Да

Количество поддерживаемых словарей

Возможность составления словарей под терминологию заказчика

Да

Детектирование изображений кредитных карт

В ближайших планах

Да

Детектирование печатей

Да

Детектирование заполненных бланков

Да

Использование машинного обучения для классификации текста

Да

В ближайших планах

Возможность блокировки передачи на USB-устройства на основе контентного анализа

Нет

Да

Возможность блокировки передачи на принтер на основе контентного анализа

Нет

В ближайших планах

Возможность блокировки передачи на другие локальные устройства на основе контентного анализа

Нет

В ближайших планах

Возможность блокировки данных на основе контентного анализа для электронной почты

Нет

Да

Возможность блокировки данных на основе контентного анализа для веб-почты

Нет

В ближайших планах

Возможность блокировки данных на основе контентного анализа для HTTP

Да

Возможность блокировки данных на основе контентного анализа для FTP

Нет

В ближайших планах

Возможность контентного анализа данных в облачных хранилищах (CASB)

Да

Возможность контентного анализа мессенджеров

Да

Возможность контроля обращения с информацией ограниченного доступа на мобильных устройствах сотрудников

Нет

Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании корпоративных устройств

Да

Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании личных устройств

Да

Нет

Наличие открытого API

Да

Импорт событий из внешних перехватчиков

Нет

Да

Экспорт событий в SIEM и SOC

Да

Возможность изменить решение по инциденту из SOC

Нет

Да

Возможность обогащения специфичными атрибутами событий из внешних систем

В ближайших планах

Да

4. Каналы контроля и предотвращения утечек

Список ОС

5. Интеграции

44 •

Obzor_DLP 7/16/20 2:39 PM Page 45

www.itsec.ru

DLP

DeviceLock DLP

Офисный контроль и DLP Safetica

InfoWatch Traffic Monitor

Solar Dozor 7.2

Zecurion DLP

Да

Нет

Да

Нет

Да

Более 120

Около 100

Более 100 языков

Да

Нет

Да

В ближайших планах

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

В ближайших планах

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Win, Linux, macOS, Android, iOS, Sailfish/Аврора

Интеграция с MDMсистемами

Android, macOS

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

• 45

Lukatskiy 7/16/20 2:39 PM Page 46

УПРАВЛЕНИЕ

Измерение эффективности SOC Часть 2 Алексей Лукацкий, консультант по информационной безопасности

конце прошлого года в России прошел SOC Forum, на сайте которого был проведен опрос среди владельцев центров мониторинга ИБ. По результатам опроса стало очевидно, что число SOC, использующих метрики для измерения эффективности, совсем невелико. С первой частью обзора ситуации в этой сфере можно ознакомиться в предыдущем номере нашего журнала. Продолжим рассмотрение метрик, показывающих эффективность инвестиций в SOC.

Процент инцидентов, переданных аналитикам второй линии (от L1 к L2) Эта метрика показывает эффективность команды аналитиков первого уровня, принимающей на себя все сигналы тревоги. Более высокие значения этой метрики будут влиять на команду L2 и могут указывать на низкий уровень знаний и компетенций аналитиков L1, что говорит о потребности в обучении сотрудников этой линии SOC, а также о неэффективном обмене информацией. Мы прекрасно понимаем, что SOC – это не только технологический стек, наполненный большим количеством очень интересных продуктов и технологий. На самом деле центр мониторинга – это также процессы и люди, деятельность которых тоже требует измерения.

Процент точности эскалации Связанная метрика – процент точности эскалации на вторую линию. Она также показывает эффективность команды аналитиков первого уровня. Более высокие ее значения будут влиять на команду L2 и так же, как и в предыдущем случае, подчас указывают на низкую квалификацию аналитиков L1, которые могут, не разбираясь, транслировать все инциденты на вторую линию, пытаясь сохранить установленный для них SLA (например, 3 или 5 минут).

Число ложных срабатываний Еще одна полезная метрика – число ложных срабатыва-

Рис. 1

46 •

ний, ее значение должно быть минимизировано. Более высокие значения могут указывать на плохую конфигурацию инструментов информационной безопасности, в том числе и инструментов, используемых в самом центре мониторинга.

Число открытых инцидентов первого уровня Наконец, еще одним интересным показателем эффективности SOC является число открытых инцидентов первого, то есть критического или высокого уровня (зависит от принятой градации серьезности инцидентов). Значение этой метрики должно быть минимизировано, поэтому более высокие значения могут указывать на плохую конфигурацию инструментов ИБ, в том числе и инструментария SOC.

Что обычно измеряют российские SOC? Вот небольшой пример метрик, с которыми мне приходилось сталкиваться в рамках проектов по аудиту SOC: l отсутствие незакрытых инцидентов; l скорость реакции; l отсутствие претензий от службы реагирования; l количество инцидентов или общее количество выявленных и пропущенных угроз (что-то

вроде показателя уязвимости); l количество верно выявленных угроз; l процент отработанных инцидентов от их общего числа; l среднее время реагирования; l контроль полноты; l количество ложных срабатываний; l количество обработанных инцидентов; l количество выполненных глобальных задач в SOC. И конечно, российские SOC, как и многие другие по миру, измеряют временные параметры: время обнаружения, время реагирования, время локализации инцидента, количество новых выявленных угроз, а также количество разборов на новые угрозы. Мы прекрасно понимаем, что SOC – это не только технологический стек, наполненный большим количеством очень интересных продуктов и технологий. На самом деле центр мониторинга – это также процессы и люди, деятельность которых тоже требует измерения. Мне приходилось сталкиваться и с иными метриками, назову самые значимые из них: 1. Число закрытых требованиями нормативных актов по безопасности критической информационной инфраструктуры сегментов, бизнес-подразделений или устройств. Такие НПА требуют, чтобы мы мониторили все объекты КИИ, так что это может быть интересной метрикой, если наш SOC создавался именно под выполнение ФЗ-187 и подзаконных актов ФСБ или ФСТЭК. 2. Число отправленных в НКЦКИ или ФинЦЕРТ инцидентов. Метрика, больше говорящая нам о том, как мы выполняем

Lukatskiy 7/16/20 2:40 PM Page 47

www.itsec.ru

УПРАВЛЕНИЕ

требования законодательства, чем о качестве работы SOC. 3. Показатели загрузки аналитиков SOC. Это очень полезный показатель, который помогает выявить лентяев или просто неквалифицированных аналитиков и позволяет либо перестроить работу на линиях мониторинга, либо пересмотреть планы обучения аналитиков. 4. Количество пройденных аналитиками SOC-тренингов. 5. Процент эффективных Рlaybook. Метрика, говорящая о том, насколько мы знаем, с чем надо бороться, и насколько хорошо выстроены процессы в нашем SOC. 6. Процент используемых сервисов SOC. Когда SOC только строится, в нем может быть открыто много разных сервисов, начиная от мониторинга и реагирования на инциденты и заканчивая фишинговыми симуляциями, Red Team и проведением киберучений. Эта метрика позволяет оценить, насколько востребованы открытые сервисы и не надо ли пересмотреть каталог наших предложений во внешний (по отношению к SOC) мир. 7. Процент эффективных Use Case. Метрика, аналогичная предпоследней, но применительно к Use Case, а не Playbook. 8. Многое другое, в зависимости от ситуации.

А как в других странах? Интересное наблюдение можно сделать, отслеживая метрики, которые используют зарубежные центры мониторинга. Крупные SOC меньше внимания уделяют числу инцидентов и времени восстановления после них. Гораздо большее значение для них имеет число эскалированных инцидентов, время простоя и время устранения последствий от выявленных инцидентов. Небольшие центры мониторинга, наоборот, сфокусированы на оценке длительности простоев и потерь для бизнеса.

Другие интересные метрики Стоит отметить нижеследующие метрики, используемые в SOC: l число пострадавших активов и устройств; l финансовая стоимость инцидента с точки зрения затрат на "разруливание" инцидента, а не потерь от него для бизнеса;

Рис. 2 l число инцидентов, произошедших по причине известных уязвимостей; l число инцидентов, закрытых за одну смену; l привязка к MITRE ATT&CK или стадиям Kill Chain. Еще одна интересная, но очень редкая метрика, которую далеко не всегда способны посчитать даже руководители бизнес-подразделения, не говоря уже о начальстве SOC, – это соотношение понесенных и предотвращенных потерь. В заключение приведу еще одну интересную метрику, с которой мне приходилось сталкиваться в одном из проектов по аудиту SOC, которые мы вели. Это стоимость учетной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам становится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хакеров тратить на получение клиентских данных больше времени, усилий, денег. И самое интересное, что именно SOC, а точнее служба Threat Intellgence (TI), позволяет учитывать данную метрику, так как именно она следит за Darknet и собирает оттуда структурированную или не очень информацию (или привлекает для этого внешние сервисы).

Анализ данных SOC с помощью SIEM Подходя к завершению обзора, мне хотелось бы обратить внимание на средства, с помощью которых анализируются данные и оценивается эффективность SOC. В этом вопросе российские центры мониторинга не очень сильно отличаются от SOC во всем мире. Более половины респондентов полагается на SIEM, так как именно это решение позволяет соби-

рать и накапливать всю необходимую информацию об инцидентах и может на ее основе выстраивать различные численные показатели эффективности деятельности по мониторингу и реагированию на инциденты. Однако большинство владельцев SOC не удовлетворены результатами такой оценки, так как, на мой взгляд, SIEM более подходит для оценки тактических, операционных метрик, но не стратегических. На втором месте по популярности находятся различные самописные системы, например Excel, инструментарий Open Source типа Grafana, а также использование решений типа Power BI, Tableau и т.п., которые умеют по API забирать нужные данные и визуализировать их, а также производные на их основе. Интересно, что сейчас на Западе наблюдается тенденция отказа от метрик, под которые аналитики подгоняют свои результаты, например таких, как число закрытых тикетов или кейсов в расчете на аналитика, приводящих к созданию фейковых (легко открываем и закрываем) тикетов в системах SOC. Россия пока еще не достигла такого уровня зрелости, потому что сам процесс измерения эффективности еще не выстроен на должном уровне. Как только у нас SOC научатся собирать данные и оценивать на их основе свою эффективность, можно будет говорить о качестве этих метрик и их улучшении.

Крупные SOC меньше внимания уделяют числу инцидентов и времени восстановления после них. Гораздо большее значение для них имеет число эскалированных инцидентов, время простоя и время устранения последствий от выявленных инцидентов. Небольшие центры мониторинга, наоборот, сфокусированы на оценке длительности простоев и потерь для бизнеса.

Интересно, что сейчас на Западе наблюдается тенденция отказа от метрик, под которые аналитики подгоняют свои результаты, например таких, как число закрытых тикетов или кейсов в расчете на аналитика, приводящих к созданию фейковых тикетов в системах SOC. Россия пока еще

Как отслеживаются и рапортуются метрики SOC

не достигла такого уровня зрелости.

Проведенный опрос показал, что в 45% случаев и в России, и в мире данная задача частично автоматизирована. Примерно у 30% владельцев SOC она преимущественно автоматизирована, а число ручных операций сведено к минимуму. Хотя эти цифры выглядят достаточно

• 47

Lukatskiy 7/16/20 2:40 PM Page 48

УПРАВЛЕНИЕ Таблица 1 Уровень

Инструментарий

Функции

Threat Intelligence

Метрики

Персонал

SIEM

Базовый

Нет фидов

Метрик нет

Мониторинг

Базовые фиды TI

Базовые метрики,

Мониторинг

ориентированные

событий,

на инструментарий

разработка

(например, число событий)

контента Базовый TI FTE

мониторинг событий 2

SIEM + базовый

Мониторинг событий,

мониторинг

тюнинг контента

SIEM + NTA

событий (L1-L3)

Базовое обнаружение

Широкое использо-

Метрики, ориентированные

аномалий, периоди-

вание тактического

на инструментарий,

ческие пентесты

и стратегического TI

и временные метрики

Анализ ВПО, базовый

Широкое использо-

Метрики эффективности

TI FTE или отдел TI,

threat hunting,

вание тактического

аналитиков, фокус

Red Team FTE

киберучения

и стратегического TI,

на улучшения

или служба

Red/Blue Team

внутренняя служба TI,

(TTD, TTC, TTR) 4

SIEM + NTA + EDR

процессы, основанные на TI 5

SIEM + NTA +

Интегрированные

Широкое использование

Метрики результативности,

Hunting Team,

EDR + SOAR

мониторинг и реагиро-

тактического и стратеги-

доказательства улучшения

Red Team, TI Team

вание, Threat Hunting,

ческого TI, внутренняя

обнаружения

продвинутая аналитика

служба TI, процессы

и реагирования

для обнаружения

основанные на TI,

аномалий, Red Team

обмен данными

Визуализация метрик ИБ и, в частности, SOC – это высший пилотаж в работе любого SOC, и она требует отдельного внимания и навыков, зачастую отличных от тех, которые нужны при сборе и вычислении метрик.

Существует немало моделей зрелости SOC (я знаю как минимум четыре), которые позволяют оценить различные параметры центра мониторинга – технологические, процессные, человеческие и т.д. Такую модель предложила, в частности, компания Gartner.

48 •

странно, учитывая, что большинство владельцев SOC не удовлетворены тем, как их SIEM решает эту задачу, а ведь им пользуются в основном для измерения эффективности. По сути, мы сталкиваемся с классическим анекдотом про мышей, которые плакали, кололись, но продолжали кушать кактус. В целом визуализация метрик ИБ и, в частности, SOC – это высший пилотаж в работе любого SOC, и она требует отдельного внимания и навыков, зачастую отличных от тех, которые нужны при сборе и вычислении метрик. Говоря про измерение эффективности SOC, надо отметить, что все-таки большинство владельцев центров мониторинга занимаются измерениями метрик, которые связанны с инцидентами. Гораздо реже измеряются показатели работы аналитиков – их загруженность и квалификация. И совсем редко кто-то оценивает зрелость самого SOC, а именно то, что позволяет нам сравнивать его с другими такими же центрами в индустрии или демонстрировать руководству полезность сделанных инвестиций. Существует немало моделей зрелости SOC (я знаю как минимум четыре), которые позволяют оценить различные параметры

центра мониторинга – технологические, процессные, человеческие и т.д. Такую модель предложила, в частности, компания Gartner (Таблица 1). Обратите внимание, что одним из критериев оценки является наличие системы измерения эффективности с помощью метрик. По этому показателю приходится признать, что большинство российских SOC находится на первом уровне зрелости и им есть куда расти.

Как же правильно измерять эффективность SOC? В заключение обзора ситуации с измерением эффективности центров мониторинга безопасности мне хотелось бы подвести итог и ответить на вопрос "Как же правильно измерять эффективность SOC?". Во-первых, это нужно делать не снизу вверх, отталкиваясь от принципа "У меня есть данные, что я могу из них выжать?", а сверху вниз, следуя принципу "У меня есть цель, какие данные мне для этого нужны?". Во-вторых, мы должны ответить на вопросы: 1. Почему мы тратим деньги на SOC? 2. Зачем нам нужен центр мониторинга? Этого требует законодательство, это модно или это потребность бизнеса?

3. Что важно нашему руководству и почему? Когда вы ответите на эти вопросы (а они на самом деле очень простые), появится возможность выбрать нужные метрики, которые будут привязаны либо к различным законодательным аспектам, либо к бизнес-показателям. Либо следует опираться на так называемые общепринятые метрики (о некоторых из них я говорил выше) и многие другие, описанные в различных презентациях, книгах и статьях по теме оценки эффективности информационной безопасности. Однако я бы советовал не ориентироваться в этом вопросе на чужой опыт. Без понимания задач, исходных данных и условий бездумное использование чужих метрик окажется совершенно бессмысленным. Лучше понять, зачем именно вам нужен SOC и что вы хотите от него получить, а только потом выбирать метрики, которые и дадут ответы на эти вопросы. Может быть, именно поэтому 80% российских SOC не измеряют свою эффективность и не знают, зачем они создавались?.. Надеюсь, что нет! l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Testpribor 7/17/20 11:33 AM Page 49

webcontrol 7/16/20 2:40 PM Page 50

ТЕХНОЛОГИИ

От DevOps к DevSecOps Дарья Орешкина, директор по развитию бизнеса компании Web Control

днажды в кафе произошел занимательный диалог официанта и посетителя: – Я просил не курицу, а говядину, и не полусырую, а прожаренную. – Да, вышла небольшая ошибка, извиняемся, но у нас все свежее, так что приятного аппетита! – Я хирург. Верно ли я понял, что когда вы ко мне попадете и я вместо аппендицита удалю что-нибудь другое, потом просто извинюсь, то это будет правильно и всех устроит результат? Стоит ли уточнять, какое было тщательное обслуживание после этого… Невольно задумываешься: только ли медицина или питание должны быть безопасными и давать требуемый результат? Какова ответственность DevOps за свой продукт? Является ли экономия бюджетов основанием для выпуска уязвимых программных продуктов?

Коммерческая компания или сотрудник любой организации гипотетически хотели бы добиваться восхитительных результатов, быть востребованными обществом, прикладывая к этому разумные усилия. Рассмотрим прикладную задачу, составляющую часть пути к успеху, – переход от DevOps к гармоничному DevSecOps. DevOps предполагает совместную работу разработчиков и служб эксплуатации для ускорения релиза. В случае DevSecOps при разработке ПО учитываются также цели создания безопасного продукта. Какие шаги предпринять, чтобы наиболее рационально встроить средства обеспечения комплайнс и безопасности в существующий DevOps-процесс?

4 ключевых ингредиента Можно сказать, смягчая аналогию из диалога выше, что разработка ПО отчасти похожа на выпечку хлеба, где четыре основных ингредиента (мука, дрожжи, вода и соль), соединенные вместе, образуют крепкую, но пластичную структуру. Для разработки ПО нужна хорошая основа, которая обеспечит нужный вкус и требуемый результат продукции на выходе из печи. А качественная основа – это не только "красота" релиза, это еще и безопасность. Торговля, финансы, здравоохранение, государственный сектор – требования к безопасности ПО в этих отраслях очень высоки. Однако количество разработчиков обычно в сотни раз превышает число специалистов по информационной безопасности и аудиторов, поэтому проверка безопасности и комплайнса становится "узким горлышком" процесса разработки. Чтобы избавиться от этого, необходимо автоматизировать процессы обеспечения безопасности и встроить их в конвейер разработки и поставки ПО, для чего требуются четыре ингредиента: 1. Сдвиг задач комплайнса и безопасности на наиболее ранние этапы в конвейере разработки. 2. Интеграция автотестирования безопасности и комплайнса в процесс непрерывной поставки.

50 •

3. Отслеживание состояний каждого шага создания продукта. 4. Наглядное представление и оценка уязвимостей безопасности. Эти четыре ключевых ингредиента помогут любой компании из любой отрасли гармонично перейти от DevOps к DevSecOps.

Сдвиг задач комплайнса и безопасности на наиболее ранние этапы в конвейере разработки Как правило, разработчики создают код и отдают его на тестирование. Результатом тестирования на уязвимости становится многостраничный отчет, выполнение бесчисленных рекомендаций из которого часто означает срыв сроков релиза. Концепция DevSecOps предполагает включение процессов идентификации, исправления и предотвращения проблем безопасности и нарушений комплайнса на наиболее ранних этапах жизненного цикла разработки. Разработчик уже при написании кода может получать рекомендации по обеспечению его безопасности. В этом случае у команды есть возможность в штатном режиме исправлять недочеты. В идеале данные задачи должны быть автоматизированы и встроены в конвейер разработки, а перед встраиванием целесообразно провести ревизию средств тестирования безопасности продукта. Вполне возможно, что некоторые решения 10- или 15-летней давности можно заменить другими инструментами мониторинга безопасности приложений и статического анализа кода и сделать процесс проверки на безопасность более простым и точным. Интеграция автоматических проверок безопасности, которые начинаются на этапе разработки и продолжаются вплоть до эксплуатации, позволяет гарантировать безопасный код с первого коммита до окончания поддержки релиза. Shift Left ("сдвиг влево") для обеспечения безопасности и комплайнса с ранних этапов не означает, что решение этих вопросов перекладывается целиком на разработчиков. Наибольшая эффек-

тивность достигается, когда разработчики, службы эксплуатации и информационной безопасности работают над этим вместе.

Интеграция автотестирования безопасности и комплайнса в процесс непрерывной поставки Автотестирование является наилучшей практикой для команд, принявших концепцию непрерывной доставки. Автоматизация тестирования комплайнса и безопасности с помощью инструментов статического анализа и композиции кода, таких как Fortify, SonarQube, WhiteSource, – весьма распространенный выбор для разработчиков и служб ИБ. Инструменты статического анализа дают возможность проверить, соответствует ли конкретный кусок кода требованиям безопасности и регуляторов. В подавляющем количестве проектов активно используется Open Source, поэтому инструменты автоматизации проверки компонентов с открытым исходным кодом и их зависимостей становятся незаменимы, в частности WhiteSource помогает выбрать качественные компоненты на этапе их выбора и включения в проект. Лучшей практикой становится объединение результатов всех тестов с другой информацией, относящейся к релизу ПО, – это позволяет видеть всю картину выпуска ПО целиком и всеми заинтересованными лицами. В большинстве крупных компаний оценка безопасности и комплайнса не всегда может быть представлена в виде "соответствует/не соответствует". Часто владелец продукта, менеджеры релиза, специалисты по безопасности и комплайнсу принимают решение о выпуске продукта на основе бизнес-целей, несмотря на выявленные проблемы. Немаловажный нюанс в том, что большинство из названных специалистов не настолько близки к процессу разработки, как разработчики, и, возможно, они никогда не видели результаты автотестов. Но для принятия решения им нужно иметь доступ к этим результатам и понимать, что они означают применительно как к отдельным функциям продукта, так и к релизу в целом.

webcontrol 7/16/20 2:40 PM Page 51

www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

"Сдвиг влево" и интеграция проверок безопасности и комплайнса в конвейер разработки ПО создает большой объем данных. Одним из вариантов их использования является создание цепочки учета событий каждого релиза. Она представляет собой набор подробно зафиксированных результатов всех действий в процессе разработки, в которых содержится информация о том, что произошло, когда и кто это сделал. Автоматический захват данных и учет позволяют бизнесу отслеживать процесс разработки и фиксировать результаты каждого этапа, предоставлять аудиторам нужную информацию и подтверждать выполнение всех проверок. Наличие такой цепочки учета событий дает возможность провести разбор ошибок в случае сбоя, накапливая суммарные знания компании и облегчая расследование инцидентов. Кроме того, команды получают инструмент для непрерывного управления качеством продукта, обнаруживая все недочеты на самых ранних стадиях: невыполненные действия или действия, которые регулярно не выполняются либо выполняются с ошибкой, ручные процедуры, которые можно автоматизировать.

Наглядное представление и оценка уязвимостей безопасности Только лишь сбора данных о соблюдении требований безопасности и комплайнса и учета действий в процессе релиза недостаточно. Нужна гарантия, что каждое лицо, вовлеченное в процесс поставки ПО, может получить наглядные сведения и оценку соблюдения требований для своих целей. Корпоративная цепочка инструментов поставки ПО обычно состоит из множества специализированных инструментов, каждый из которых предоставляет свои данные и свою отчетность. Но отдельные отчеты не позволяют увидеть общую картину разработки в целом. А без общей картины трудно понять, какие действия для обеспечения безопасности и комплайнса нужно предпринять.

Важно автоматически извлекать необходимые данные из инструментов DevOps, подставлять их по требованию и добавлять в контекст, с помощью которого эти данные можно осознать. Например, результаты тестирования безопасности отдельного функционала не помогут специалисту по комплайнсу идентифицировать нарушение. Однако если он увидит, как этот функционал используется, взаимодействует с другими функциями и разворачивается, то нарушение может стать очевидным.

Фундаментальные принципы DevSecOps Джин Кин, консультант по стратегическим вопросам компании XebiaLabs и автор ряда книг по DevOps, сформулировал ключевые принципы DevSecOps: 1. При проектировании необходимо учитывать самые худшие сценарии. Пользователи не всегда следуют оптимальному или ожидаемому сценарию. Нужно учитывать злонамеренные пользовательские истории и проверять возможность их реализации, моделировать ландшафт угроз и проводить симуляцию разных уровней сбоев. 2. Тестирование безопасности на каждом этапе конвейера. Можно использовать инструменты реальной атаки типа Metasploit. Безопасность должна быть не в виде бумажного документа, а в виде кода, хранящегося в репозитории, откуда его может взять любой разработчик. В конвейер должны быть встроены SAST-, DAST-, IAST-инструменты и инструменты проверки компонентов Open Source. 3. Тренировок AppSec недостаточно. Нет также необходимости тренировать всех разработчиков писать безопасный код. Код пишут люди, и на 10 тыс. строк кода будет определенное число ошибок, часть из них приведет к уязвимостям. Тренировками эту проблему не решить. Нужны подходящие инструменты и автоматизация. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Отслеживание состояний каждого шага создания продукта

• 51

Skrebnev 7/17/20 11:33 AM Page 52

ИзмеренИя И сертИфИкацИя

Пассивная защита от утечки информации по электромагнитным каналам Артемий Скребнев, технический специалист АО “ТЕСТПРИБОР”

а рынке представлены разные технические решения для защиты от утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН). Среди них средства пассивной защиты не так многочисленны и разнообразны, однако часто именно они являются ключевым аспектом безопасности. Несмотря на кажущуюся простоту принципа действия, разработка эффективного и надежного решения на их основе всегда требует тщательного подхода и анализа входных данных.

Защита помещений

Рис. 1. Пример самонесущего экрана – камера "ТЕКО"

Рис. 2. Зависимость эффективности экранирования от частоты (зеленая линия – эффективность экранирования реального образца камеры "ТЕКО"; красная линия – нижний предел эффективности экранирования класса I по ГОСТ Р 50414-92)

52 •

В качестве пассивной защиты помещений используются электромагнитные экраны, препятствующие прохождению волн. По типу конструкции их можно разделить на две категории: зависящие и не зависящие от помещения.

К недостаткам таких конструкций можно отнести сложность монтажа, вес, а также невозможность в полной мере использовать размеры помещения: установка возможна только при условии соблюдения определенного расстояния от стен и потолка.

Самонесущие экраны

Экранирующие ткани

Первые имеют самонесущий каркас и используют лишь пол помещения как опору. Они представляют собой камеру сборной конструкции из панелей с загнутыми краями, собранную при помощи болтовых соединений с небольшим шагом (рис. 1). В качестве материала чаще всего выбирается горячеоцинкованная сталь толщиной 2 мм. Стыки панелей уплотняются проводящей прокладкой специальной формы, которая при сжатии обеспечивает полную радиогерметичность. Преимуществами самонесущих экранов являются: l высокая эффективность экранирования (I класс по ГОСТ Р 50414-92, до 120 дБ) (рис. 2); l надежность и долговечность конструкции; l возможность ввода различных коммуникаций при сохранении эффективности экранирования.

Второй тип конструкции экранов в качестве каркаса использует имеющиеся стены, пол и потолок помещения. Вместо привычного материала – листового металла – в них чаще всего применяются специальные экранирующие ткани. По эффективности экранирования экраны из таких материалов уступают полноценным самонесущим, однако при этом их очевидными преимуществами являются: l простота монтажа: возможно наклеивание или крепление ткани с помощью степлера; l минимальный вес (порядка 100 г/кв. м); l использование размеров помещения по максимуму; l возможность быстрого полного демонтажа. Примерами могут служить экранирующие ткани Aaronia и "ТЕКО ТЭМП" (рис. 3). В зависимости от модели они имеют разные состав (напри-

Рис. 3. Экранирующие ткани Aaronia и "ТЕКО ТЭМП"

Skrebnev 7/17/20 11:33 AM Page 53

www.itsec.ru

ИзмеренИя И сертИфИкацИя

Таблица 1. Характеристики некоторых экранирующих тканей мер, полиэстер/медь или нейлон/серебро) и толщину, что влияет на механические и электрические характеристики (см. табл. 1). Конструкции на основе таких тканей обеспечивают эффективность экранирования в соответствии с III классом по ГОСТ Р 50414-92, а при качественном экранировании вводов коммуникаций – со II классом. Важным условием гарантии заявленной эффективности экранов любого типа является надежное заземление. Рекомендуется использовать отдельный контур заземления с сопротивлением не более 4 Ом.

Защита оборудования При экранировании корпусов оборудования или отдельных узлов наиболее сложная задача – обеспечить замкнутость объема и герметичность всех соединений. Добиться этого можно лишь применением специальных типов экранирующих материалов. Например, для уплотнения проема дверцы экранированного шкафа оптимальным является применение D-образной прокладки с металлической оболочкой и наполнителем из пены (рис. 4). В этом случае оболочка при сжатии обеспечивает надежный электрический контакт между проводящими частями корпуса, а наполнитель поддерживает правильную форму прокладки. Соединения стенок шкафа могут быть защищены сетчатыми прокладками круглой или прямоугольной формы по аналогии с полноценными экранированными камерами. Материал, профиль и размеры прокладок выбираются исходя из

Aaronia X-Dream

"ТЕКО ТЭМП-МП-80"

"ТЕКО ТЭМП-СН"

Диапазон частот

100 МГц – 18 ГГц

100 МГц – 10 ГГц

Эффективность

До 120

До 70

До 65

экранирования, дБ Материал

Полиэстер/медь

Полиэстер/медь/никель

Нейлон/серебро

Плотность, г/кв. м

130

100

Толщина, мм

0,5

0,08

0,28

конструктивных особенностей конкретного изделия. Все модели, независимо от своих свойств, обладают большим сроком службы: материалы оболочки и наполнителя подобраны таким образом, чтобы гарантировать максимальную износостойкость поверхности и восстановление формы прокладки. В случаях когда необходим визуальный контроль узлов внутри экранированного корпуса, применяются специализированные окна. Они представляют собой сэндвич-структуру из двух слоев закаленного стекла, между которыми располагается прозрачная проводящая сетка (рис. 5). Стоит отметить, что подобные стекла применяются и для защиты от утечки информации при работе с техническими средствами, имеющими дисплеи, в том числе персональными компьютерами и офисной техникой.

Защита цепей электропитания и сигнальных цепей Любой объект, который необходимо защитить от утечки по ПЭМИН, будь то помещение или оборудование, имеет определенный набор коммуникаций. В случае если применяется экранирование объекта, защиту

Рис. 5. Экранирующее стекло с сэндвич-структурой

Рис. 6. Сетевой помехоподавляющий фильтр "ТЕКО ФП-2-250" от наводок на электрические цепи обеспечивают с помощью помехоподавляющих фильтров специальной конструкции (рис. 6). Они подавляют электромагнитные сигналы в широком диапазоне частот – от десятков килогерц до десятков гигагерц, при этом способ их монтажа на экран гарантирует радиогерметичность, защищая от потери эффективности экранирования. Помимо сетей электропитания, защита с помощью таких фильтров может быть обеспечена для различных сигнальных цепей, в том числе Ethernet, RS-232, USB и аудиосигналов. l

При экранировании корпусов оборудования или отдельных узлов наиболее сложная задача – обеспечить замкнутость объема и герметичность всех соединений. Добиться этого можно лишь применением специальных типов экранирующих материалов.

Ваше мнение и вопросы присылайте по адресу

Рис. 4. Экранирующие прокладки с наполнителем из пены

is@groteck.ru

• 53

NEW_PROD 7/17/20 11:34 AM Page 54

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

НОВЫЕ ПРОДУКТЫ СёрчИнформ Database Monitor

Производитель: ООО "СёрчИнформ" Назначение: система автоматического мониторинга и аудита операций с базами данных Особенности: новое российское решение класса DAM (Database Activity Monitoring), объединяющее функции аудита БД и расследования инцидентов ИБ Возможности: программа логирует и анализирует все запросы к БД и ответы на них. Проверяет собранную информацию по заданным правилам и сообщает службе безопасности о подозрительных действиях, например о попытках изменить или выгрузить большой объем данных из базы. Позволяет искать по результатам аудита, анализировать и расследовать выявленные нарушения. Характеристики: l Может работать сразу с несколькими сетевыми интерфейсами, поддерживает многопроцессорную конфигурацию сервера (эффективная расширяемая масштабируемость) l Аудирует весь входящий и исходящий трафик, работает в сетевых интерфейсах пропускной способностью до 10 Гбит l Отличается низкой ресурсоемкостью, регулируемым использованием дискового пространства. Поддерживает возможности детальной аналитики трафика (более 10 видов поиска и отчетов) Ориентировочная цена: стоимость одной лицензии зависит от объема баз данных, которые необходимо контролировать Время появления на российском рынке: июнь 2020 г. Подробная информация: https://searchinform.ru/products/databasemonitor/ Фирма, предоставившая информацию: ООО "СёрчИнформ" См. стр. 23

Zecurion DLP

Назначение: комплексная DLP-система для защиты от внутренних угроз Особенности: l Zecurion Camera Detector – контроль фотографирования экрана на смартфон (Camera Detector) l Технология выявления эмоционального состояния пользователей l Криптопериметр – принудительное шифрование файлов при копировании их на USB-устройства в зависимости от политик безопасности l Снимки веб-камеры пользовательского компьютера l Расширенные возможности контроля действий: кейлоггер, запись микрофона, скриншоты экрана Возможности: защита информации от утечек по сетевым (Интернет, почта), локальным (флешки) каналам и в местах хранения: l Обнаружение и блокирование утечек информации l Контроль сотрудников, их электронной почты, веб-трафика, сообщений в мессенджерах l Контроль флешек, съемных дисков и принтеров l Анализ содержимого файлов и сетевого трафика l Сохранение теневых копий важных документов в архив l Упорядочивание информации в корпоративной сети l Шифрование конфиденциальной информации в местах хранения l Анализ действий сотрудников и выявление мошеннических схем в компании Характеристики: l Минимизирует риски утечки конфиденциальных данных и их последствия l Помогает выполнять требования законодательных актов (Сompliance) l Позволяет проводить расследования инцидентов с помощью уникальных инструментов и обширных аналитических возможностей l Работает в сетях свыше 100 тыс. рабочих мест Ориентировочная цена: по запросу Время появления на российском рынке: 2005 г. Подробная информация: http://www.zecurion.ru/products/ Фирма, предоставившая информацию: Zecurion См. стр. 16, 17

обнаружения и предотвращения вторжений для обеспечения информационной безопасности АСУ ТП Особенности: l Глубоко инспектирует промышленные протоколы и предоставляет возможность фильтровать их по полям l Позволяет настроить правила кибербезопасности под специфику АСУ ТП l Ежедневно обновляемая база правил и наборов сигнатур обнаружения и предотвращения вторжений (IDS/IPS), включая специализированные l Обеспечивает соответствие нормам закона о КИИ № 187-ФЗ и требованиям регулирующих органов, в том числе приказа ФСТЭК России № 239 Возможности: защита от атак промышленного трафика. Обнаруживает и блокирует вредоносное ПО, компьютерные атаки и попытки эксплуатации ПЛК на сетевом и прикладном уровнях. l Контроль действия пользователей в сети. Позволяет анализировать пакеты по протоколам, проводить аутентификацию пользователей на межсетевом экране, разграничивать права по доступу к оборудованию или даже функциям оборудования, блокировать несанкционированные действия: подключение к сети АСУ ТП, доступ к параметрам ПЛК или управление ПЛК по сети l Защита периметра сети и удаленного доступа благодаря VPN Характеристики: l Доступен в нескольких аппаратных конфигурациях для разных объемов трафика и работы в агрессивной промышленной среде l Осуществляет межсетевое экранирование для построения эшелонированной защиты АСУ ТП l Быстро обнаруживает и блокирует атаки благодаря встроенной системе обнаружения вторжений l Предотвращает распространение вредоносного ПО благодаря контролю уровня приложений l Позволяет защитить удаленный доступ с VPN Ориентировочная цена: по запросу Время появления на российском рынке: июнь 2019 г. Подробная информация: arma.infowatch.ru Фирма, предоставившая информацию: ГК InfoWatch См. 4-ю обл.

InfoWatch Traffic Monitor InfoWatch ARMA Industrial Firewall

Производитель: Zecurion Сертификат: № 4219, выдан ФСТЭК России

54 •

Производитель: ООО "ИнфоВотч АРМА" Сертификат: ФСТЭК России ожидается к декабрю 2020 г. Назначение: отечественный промышленный межсетевой экран с системой

Производитель: АО "ИнфоВотч" Сертификаты: № 3205 от 21.07.2014 г. и № 3831 от 28.11.2017 г., выданы ФСТЭК России Назначение: DLP-система для контроля и анализа информационных потоков и защиты от утечек данных

NEW_PROD 7/17/20 11:34 AM Page 55

www.itsec.ru

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

Особенности: InfoWatch Traffic Monitor использует уникальные технологии контекстного и графического анализа, не имеющие аналогов на рынке, для анализа текста, изображений, выгрузок БД и файлов любых форматов. На основе высокоточных технологий анализа выполняется блокировка по максимальному количеству каналов. DLP-система надежно работает в организациях с сотнями тысяч рабочих мест даже в сложившихся условиях массового перехода на удаленную работу Возможности: при помощи различных инструментов InfoWatch Traffic Monitor решает широкий спектр задач, выходящий за рамки обеспечения безопасности: l Инструмент для визуальной аналитики InfoWatch Vision позволяет найти общие связи и нетипичное взаимодействие сотрудников, выявить потенциальный сговор и мошеннические схемы, обнаружить проблемы взаимодействия между подразделениями. Визуальный анализ помогает построить эффективную работу с большими данными, которые обрабатывает DLP-система, что особенно актуально для компаний с распределенной филиальной структурой l Для снижения ИБ-рисков и управления кадровой политикой применяется инструмент предиктивной аналитики – InfoWatch Prediction. Инструмент позволяет прогнозировать вероятность увольнения и минимизировать риски возможных последствий, а также предотвращает управленческие, кадровые и финансовые риски l Уникальные интеграционные решения InfoWatch Traffic Monitor с ведущими системами позволяют защищать динамически живущие данные, не оставляя их без внимания DLP-системы. Мониторинг работы в облачных сервисах позволяет значительно повысить уровень информационной безопасности организации Характеристики: менее 10 Гбайт/день: RAID-массив с Fault Tolerance: 600 Гбайт, 2CPU 8xC + Hyper-threading (Intel® Xeon® Processor E5-2640 v3 – частота 2,6 Гц), 24 Гбайт ОЗУ От 10 до 50 Гбайт/день: RAID-массив с Fault Tolerance, 2SRVx2CPU 10xC, 32-48 Гбайт ОЗУ на каждый из серверов Более 50 Гбайт/день: RAID-массив с Fault Tolerance, процессор рассчитывается по запросу, от 32 Гбайт ОЗУ на каждый из серверов Ориентировочная цена: зависит от комплектации продукта Время появления на российском рынке: 2003 г. Подробная информация: https://www.infowatch.ru/products/trafficmonitor Фирма, предоставившая информацию: ГК InfoWatch См. 4-ю обл.

Solar Dozor 7.2 с модулем MultiDozor

Характеристики: 100/1000 Мбайт подключение к сетевому оборудованию. Интерфейс RJ45 Ориентировочная цена: по запросу Время появления на российском рынке: июнь 2020 г. Подробная информация: www.infodiode.ru Фирма, предоставившая информацию: АО АМТ-ГРУП См. стр. 15

Производитель: "Ростелеком-Солар" Сертификат: № 3706, выдан ФСТЭК России Назначение: DLP-система корпоративного класса с функциями анализа поведения пользователей, контроля рабочего времени и объединения филиалов в единую структуру Особенности: MultiDozor связывает все филиальные инсталляции Solar Dozor в единую систему с управлением из центра Возможности: l Анализ и обработка в режиме онлайн данных о событиях безопасности по компании в целом и по каждому филиалу l Сквозные расследования инцидентов в масштабе всей компании вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов связи l Централизованный мониторинг групп особого контроля с помощью единого досье с сотрудниками всех филиалов l Создание единой для всей компании политики с настройкой изменений под каждый филиал Характеристики: 100/1000 Мбайт подключение к сетевому оборудованию. Интерфейс RJ45 Ориентировочная цена: по запросу Время появления на российском рынке: май 2020 г. Подробная информация: https://rt-solar.ru/products/solar_dozor/ Фирма, предоставившая информацию: "Ростелеком-Солар" См. стр. 25

АМТ InfoDiode Mini

Производитель: АО АМТ-ГРУП Назначение: используется для однонаправленной передачи данных из изолированного в открытый сегмент сети Особенности: компактный форм-фактор, возможность монтажа на DIN-рейку Возможности: однонаправленная передача данных. Возможность передачи UDP-потоков

Staffcop Enterprise 4.7 Производитель: ООО "Атом Безопасность" Сертификат: № 4234 от 15.04.2020 г., выдан ФСТЭК России Назначение: программное решение, выполняющее сбор и анализ информации с функциональностью DLP и SIEM Особенности: l Доступная цена l Мощный аналитический инструментарий l Простота установки, настройки и управления l Удобная реализация групповых настроек и действий l Контроль трудовой дисциплины l Отчеты, настраиваемые по выбору пользователя l Для работы используется ПО по GNU/GPL лицензии Возможности: l Мониторинг файлов, папок, запущенных процессов и приложений l Контроль электронной почты, социальных сетей и мессенджеров l Отслеживание поисковых запросов и мониторинг шифрованного трафика l Контроль всей сетевой активности l Контроль печати документов l Кейлоггер l Запись окружения с микрофона и снимки с веб-камеры l Снятие скриншотов экрана и онлайнпросмотр рабочего стола l Логгирование всех системных событий l Контроль входа и выхода из системы l Широкий и гибко настраиваемый аналитический инструментарий Характеристики: рекомендуемые системные требования для сервера (до 50 агентов): l Операционная система: Ubuntu Server 16.04 LTS (14.04 LTS) l Процессор Intel® Xeon E5-2603 v3 l Оперативная память 8 Гбайт l Дисковое пространство 30 Гбайт для ОС и 100 Гбайт для СУБД Ориентировочная цена: от 26 до 50 компьютеров: l Лицензия на 3 месяца – 1017 руб/ПК l Лицензия на 12 месяцев – 3050 руб/ПК Время появления на российском рынке: май 2020 г. Подробная информация: www.staffcop.ru Фирма, предоставившая информацию: ООО "Атом Безопасность" См. стр. 7

• 55

NEW_PROD 7/17/20 11:34 AM Page 56

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

Digital.ai (XebiaLabs DevOps Platform)

ством релизов различных приложений в разных средах и инфраструктурах Время появления на российском рынке: февраль 2020 г. Подробная информация: https://xebialabs.com/ Фирма, предоставившая информацию: WEB CONTROL (официальный дистрибьютор в России) См. стр. 51

Производитель: XebiaLabs, Inc Сертификат: изделие не подлежит сертификации Назначение: оркестрация инструментов и процессов DevOps, автоматизация развертывания релизов Особенности: l XebiaLabs предоставляет единую платформу для всех инструментов в вашем конвейере l Встроенные средства интеграции с распространенными (250+) инструментами DevOps l Простота и легкость развертывания, использования и масштабирования инфраструктуры выпуска ПО Возможности: l Ускоренный выпуск релизов l Оркестрация всех DevOps-инструментов и процессов, в том числе включая ручной режим l Автоматизация и "самообслуживание" развертывания l Обнаружение узких мест и предупреждение срыва сроков выпусков Характеристики: l Самостоятельный быстрый запуск кода в тестовой и производственной среде l Архитектура системы построена на основе Templates и Blueprints l Гибкая настройка процессов l Предназначено для средних и крупных компаний, которые управляют множе-

юста, направленной на увеличение штрафов за утечки персональных данных – до 500 тыс. руб. за каждый эпизод данных, опубликованный в разных местах. Таким образом, вероятные штрафные санкции могут многократно превосходить стоимость предупреждающих действий. Фирма, предоставившая информацию: ИНФОСЕКЬЮРИТИ См. стр. 27

Аутсорсинг Zecurion DLP

УСЛУГИ Специальный пакет услуг по информационной безопасности "ПУСК"

Отрасль: все Регион: все Описание: система ИБ многих компаний не смогла пройти проверку на прочность в условиях пандемии и удаленной работы. В качестве помощи бизнесу мы запускаем специальный пакет ИБ-услуг "ПУСК". Он объединяет в себе услуги выявления киберугроз и утечек информации в сети "Интернет", а также аудит и консалтинг ИБ. Использование этих инструментов позволит осуществить комплексную оценку состояния безопасности компании, включающую анализ внутренних и внешних рисков, определить оптимальную стратегию защиты и подобрать необходимые инструменты. Данная услуга становится более актуальной ввиду недавней инициативы Мин-

Отрасль: информационная безопасность Регион: Россия, СНГ Описание: аутсорсинг DLP: l Анализ и оптимизация защиты данных от утечек l Подготовка отчетов для руководства l Ведение подробного досье по сотрудникам l Проведение профилактических расследований и расследований по инцидентам l Быстрое выявление мошеннических схем в компании l Настройка DLP для соблюдения антимонопольного законодательства l Настройка DLP для соблюдения требований, в том числе GDPR Настройка и оптимизация работы DLPсистемы: l Техническая адаптация Zecurion DLP под инфраструктуру заказчика l Тонкая техническая настройка контроля и мониторинга каналов передачи данных l Предупреждение системных сбоев и отказов l Поддержание настроек Zecurion DLP в актуальном состоянии l Настройка под бизнес-требования заказчика Фирма, предоставившая информацию: Zecurion См. стр. 16, 17

НЬЮС МЕЙКЕРЫ АМТ-ГРУП 115162, Москва, ул. Шаболовка, 31Б, под. 3 Тел.: +7 495 725-7660 E-mail: info@amt.ru www.amt.ru См. стр. 15 Атом Безопасность, ООО 630090, Новосибирск, проспект Академика Коптюга, 4 Тел.: +7 (499) 653-7152, +7 (499) 638-2809 E-mail: sales@staffcop.ru www.staffcop.ru См. стр. 7 ИНФОСЕКЬЮРИТИ 107140, Москва, ул. Русаковская, 13, этаж/офис 10/10-01 Тел.: +7 (499) 677-1000 E-mail: iss@in4security.com www.in4security.com См. стр. 27

56 •

РОСТЕЛЕКОМ-СОЛАР 125009, Москва, Никитский пер., 7, стр. 1 Тел.: +7 (499) 755-0770 (офис), +7 (499) 755-0220 (техническая поддержка) E-mail: info@rt-solar.ru www.rt-solar.ru См. стр. 25 СёрчИнформ 121069, Москва, Скатертный пер., 8/1, стр. 1, 2 этаж Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка) E-mail: info@searchinform.ru searchinform.ru См. cтр. 23 СМАРТ ЛАЙН ИНК, АО 107023, Москва, ул. Малая Семеновская, 9, стр. 14Б Тел.: +7 (495) 647-9937

E-mail: ru.sales@devicelock.com www.devicelock.com См. cтр. 40–45 СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 11 ТЕСТПРИБОР, АО 125480, Москва, ул. Планерная, 7А Тел.: +7 (495) 657-8737 E-mail: tp@test-expert.ru www.test-expert.ru См. стр. 49 ГК InfoWatch 121357, Москва, ул. Верейская, 29, стр. 134, этаж 7 Тел.: +7 (495) 22-900-22,

+7 (499) 37-251-74 E-mail: info@infowatch.ru www.infowatch.ru См. 4-ю обл. WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru web-control.ru См. стр. 51 ZECURION 129164, Москва, Ракетный бульвар, 16 Тел.: +7 (495) 221-2160 E-mail: info@zecurion.com www.zecurion.ru См. ст. "DLP-системы нового поколения" на cтр. 16, 17

IB_Monitor 7/16/20 2:40 PM Page cov3

infowatch 7/16/20 2:40 PM Page cov4

infosecurity032020

Articles inside

Ньюсмейкеры

Новые продукты и услуги

ТЕХНОЛОГИИ

УПРАВЛЕНИЕ

ИЗМЕРЕНИЯ И СЕРТИФИКАЦИЯ

Круглый стол: диалог заказчика с производителями и интеграторами DLP

Колонка редактора

Анна Попова

Вячеслав Половинко, Илья Кондратьев

Галина Рябова

Дмитрий Кандыбович

Степан Дешевых, Александр Клевцов

DLP уже не та. Как меняется функционал и формат работы с системой

Ксения Головко

ПЕРСОНЫ

ПРАВО И НОРМАТИВЫ

КИИ

В ФОКУСЕ