www.itsec.ru № 5, ноябрь 2022 Издание компании IRP, SOAR, SOC Спецпроект СРавнение СиСтем клаССа IRP/SOAR иСкуССтвенный интеллект в DevSecOPS-ПлатфоРмах клаССа ASOc новый СтандаРт PcI DSS 4.0 ПРеимущеСтва и тРенды теСтиРования ПРоизводительноСти мобильных ПРиложений кибеРнеуСтойчивоСть и как С ней боРотьСя что лучше: СобСтвенный SOc или внешний? облачные Решения и кибеРшеРинг в концеПции SecAAS Эволюция SOc: от SOAR к ЭкоСиСтеме технологий иб гонка хакеРов и защитников. на чьей СтоРоне вРемя? иСПользование функционала SIeM для ПРактичеСкого ПоСтРоения SOc Роман Подкопаев DCAP выявляет нарушения в100% внедрений 2023 14–16
Реклама
По всем вопросам национальной безопасности
В начале 2023 г., в феврале и марте, пройдет форум “Технологии безопасности” (ТБ Форум). Посложившейся традиции он будет работать в гибридном формате: онлайн-программа с1февраля по 4 марта и три дня живого общения с 14 по 16 февраля в московском Крокус Экспо. Наплощадке ТБ Форума, как и в прошлые годы, пройдут встречи с высокопоставленными руководителями и прямые переговоры о крупных контрактах. Тематика форума затрагивает различные аспекты безопасности, включая видеонаблюдение, контроль доступа, цифровизацию и автоматизацию и, конечно же, информационную и кибербезопасность.
С 14 по 16 февраля у каждого дня будет фокус на конкретных отраслях и кейсах – тематика деловой программы весьма обширная и насыщенная. 14 февраля пройдет конференция “Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры”, в этот раз она затронет проблемные вопросы реализации требований законодательства о безопасности критической информационной инфраструктуры, “подсветит” отраслевую специфику (ТЭК и металлургия), а также поднимет любопытные управленческие и технологические вопросы, например применение моделей машинного обучения для аудита информационной инфраструктуры АСУ ТП.
15 февраля состоится традиционная конференция “Актуальные вопросы защиты информации”, организуемая ФСТЭК России. Как обычно, в ее фокусе – нормативное и методическое обеспечение аспектов защиты информации, вопросы сертификации, работа с банком данных угроз, поддержка процесса безопасной разработки СЗИ.
16 февраля состоятся сразу два мероприятия – “SecuFinance: информационные технологии вбанках и финансовых организациях” и “Импортозамещение в области КИИ”.
Эти четыре конференции пройдут в гибридном формате – с возможностью и живого посещения, и участия в удаленном режиме. А в онлайн-режиме пройдут еще несколько конференций, в том числе и по тематике кибербезопасности, – следите за обновлениями программы. Ну и конечно же, с 14 по 16 февраля будет развернута экспозиция, в которой, как всегда, предусмотрен значительный сегмент, сформированный компаниями по информационной безопасности. До встречи на форуме “Технологии безопасности” – 2023! Полная программа, участие и посещение: www.tbforum.ru
Амир Хафизов, выпускающий редакторжурнала “Информационная безопасность”
• 1 www.itsec.ru
2 • СОДЕРЖАНИЕ 4 стр. 14 стр. 18 стр. 26 стр.
. . . . . . . . .
Максим Степченков Использование функционала SIEM для практического построения SOC . . . . . . . . . . . . . . . . . . . . . . . . . .22 Анна Андреева, Денис Мальгин Формализация и автоматизация процессов расследования инцидентов ИБ и эксплуатации средств защиты информации . . . .24 Александр Голубчиков Облачные решения и кибершеринг для расширения концепции SecaaS . . . . . . . . . . . . . . . . . . . . . . . . . .26 Лидеры рынка кибербезопасности объединились на фоне возросших угроз . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Антон Семейкин Практика противодействия кибератакам и построения центров мониторинга ИБ . . . . . . . . . . . . . . . . . . . . . . .29 Сравнение решений класса IRP/SOAR . . . . . . . . . . . . . . . . . . . . . . . .30
ПРАВО И НОРМАТИВЫ Ксения Шудрова Персональные данные. Чек-лист на 2022–2023 гг. . . . . . . . . . . . . . . .4 Анастасия Заведенская Обзор изменений законодательства. Сентябрь, октябрь 2022 г. . .6 Юлия Данилова PCI DSS 4.0. Новые требования индустрии платежных карт . . . . .12 Алексей Дрозд Почти 100% госслужащих работают с ПДн. Как предотвратить утечку из-за их ошибок? . . . . . . . . . . . . . . . . . .13 В ФОКУСЕ ПЕРСОНЫ Роман Подкопаев DCAP выявляет нарушения в 100% внедрений . . . . . . . . . . . . . . . . .14 СПЕЦПРОЕКТ: IRP, SOAR, SOC Игорь Сметанев Эволюция SOC: от SOAR к экосистеме технологий ИБ . . . . . . . . .18 Иван Чернов Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA . . . .
. . . . . . . . . . . . . . . . .20
Бейбутов гонка хакеров и защитников. На чьей стороне время? . . . . . . . . .39 Константин Саматов Что лучше: собственный SOC или внешний? . . . . . . . . . . . . . . . . . .40 УПРАВЛЕНИЕ
Александр Пуха, Екатерина Степанова КиберНЕустойчивость и как с ней бороться . . . . . . . . . . . . . . . . . .42 ТЕХНОЛОГИИ КрИПтогрАФИЯ Александр Подобных Биткойн-криминалистика для деанонимизации криптомиксеров и транзакций CoinJoin . . . . . . . . . . . . . . . . . . . . . .44
Журнал "Information Security/Информационная безопасность" № 5, 2022 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г.
Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин
Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов
Редактор Светлана Хафизова
Корректор Галина Воронина
Дизайнер-верстальщик Ольга Пирадова
Юрисконсульт Кирилл Сухов, lawyer@groteck.ru
Департамент продажи рекламы Зинаида Горелова, Ольга Терехова
Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru
Отпечатано в типографии ООО "Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки тел.: +7 (495) 647-0442, www.itsec.ru
распространению Тел.: +7 (495) 647-0442
почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru
• 3
Департамент
Перепечатка
посогласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2022 СОДЕРЖАНИЕ Круглый стол Перспективные направления развития российских решений класса SOAR . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Эльман
по
Для
допускается только
и тренды тестирования производительности мобильных приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 Юрий Шабалин технологии искусственного интеллекта и машинного обучения вDevSecOps-платформах класса ASOC . . . . . . . . . . . . . . . . . . . . . .48 НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
БЕЗоПАсНАЯ рАЗрАБотКА Денис Кульчавый Преимущества
Персональные данные. Чек-лист на 2022-2023 годы
Ксения Шудрова, эксперт по информационной безопасности
год был богат на события, мы столкнулись смасштабными утечками персональных данных иразнообразными внешними угрозами информационной безопасности. Законодательство изменилось в соответствии с новыми обстоятельствами. Произошло то, чего все давно ждали: сфера действия закона о персональных данных была расширена.
ФЗ № 152-ФЗ "О персональных данных" (далее – Закон) претерпел некоторые изменения, теперь его положения применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами (ч. 1.1, ст.1). С 1 сентября 2022 г. вступило в силу множество других изменений Закона, которые были введены Федеральным законом от 14.07.2022 г. № 266-ФЗ "Овнесении изменений в Федеральный закон "О персональных данных…"; чтобы в них не запутаться, для операторов был составлен чек-лист основных мероприятий.
Что нужно сделать вближайшее время
1. Проверить поручение на обработку персональных данных В новой редакции Закона были конкретизированы требования ко всем обработчикам, как к отечественным, так ик иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено впоручении на обработку (перечень персональных данных, перечень действий с персональными данными, цели их обработки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обработчиком, оно будет нести совместную с оператором ответственность перед субъектами персональных данных (ч. 6, ст. 6).
2. Отказаться от избыточного сбора биометрии
У субъекта появилось право отказать в предоставлении биометрических персональных данных. C сентября 2022 г.
предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона. При этом оператор не вправе отказывать вобслуживании субъекту, который отказался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11).
3. Проверить договоры с субъектами персональных данных Обратите внимание на изменения вст.6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
4. Проверить формы согласий Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9). Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (ст. 18).
5. Проверить формы уведомлений субъектов До начала обработки персональных данных, полученных не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных перечень важной информации об этом процессе, включающий цель обработки, наименование оператора, ас сентября в обязательном порядке еще и перечень персональных данных (ч. 3, ст. 18).
6. Проверить регламент ответов назапросы субъектов
В какие сроки нужно отвечать на запросы субъекта? К сожалению, срок сократился до 10 рабочих дней, он может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления суказанием причин продления срока предоставления запрашиваемой информации. Оператор также должен предоставлять по запросу информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона (ст. 14, ст. 20). Требование об уничтожении персональных данных тоже должно быть выполнено в 10-дневный срок.
7. Назначить лицо, ответственное заорганизацию обработки персональных данных
8. Проверить комплект документов Документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности. В комплект документов должны входить: l политика оператора в отношении обработки персональных данных; l локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения; l порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований; l локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Теперь подлежат обязательному согласованию нормативные правовые акты по
4 • ПРАВО И НОРМАТИВЫ
2022
отдельным вопросам, касающимся обработки персональных данных, принятые государственными органами, Банком России, органами местного самоуправления, если указанные нормативные правовые акты регулируют отношения, связанные сосуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ст. 4).
9. Проверить регламент внутреннего аудита соответствия обработки персональных данных
10. Издать временный регламент оценки вреда субъектам персональных данных Требования будут уточнены к марту следующего года.
11. Проверить регламент ознакомления работников с требованиями законодательства и локальных нормативных актов
12. Проверить регламент обучения работников
13. Разместить политику в отношении обработки персональных данных на своем сайте Оператор, осуществляющий сбор персональных данных с использованием сайта, обязан опубликовать на страницах сайта политику в отношении обработки персональных данных (ст. 18.1).
14. Проверить уведомление обобработке персональных данных Можно ли не подавать уведомление? Исключений осталось совсем немного (ст. 22). Привычная нам обработка вцелях осуществления трудовых отношений или исполнения обязательств по договору больше не является причиной обработки без уведомления. Осталось лишь три случая: l государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; l обработка персональных данных исключительно без использования средств автоматизации; l обработка в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности. Изменились требования к содержанию уведомления. Теперь вся необходимая информация указывается оператором для каждой цели отдельно (ст. 22). Дополнительно потребуется указать фамилию, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обра-
ботку персональных данных, содержащихся в государственных и муниципальных информационных системах. Формы уведомлений (об обработке, о внесении изменений, о прекращении обработки) устанавливаются Роскомнадзором.
15. Проверить регламент реагирования на инциденты Добавлена обязанность уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21). Времени не так уж много: 24 часа на информирование регулятора, 72 часа на исправление ситуации. Оператор также обязан передать информацию вГосСОПКА (ст. 19).
В 2023 году С 01.03.2023 г. вступят в силу дополнительные требования, внесенные Федеральным законом № 266-ФЗ. 16. Уведомить Роскомнадзор о трансграничной передаче Оператор до начала осуществления деятельности
передаче
будет уведомить
о своем намерении осуществлять трансграничную передачу персональных данных. Уведомление направляется в виде документа на бумажном носителе или вформе электронного документа и подписывается уполномоченным лицом. Вст. 12 будут указаны требования куведомлению. Оператор до подачи уведомления обязан будет получить от иностранных лиц следующие сведения: l сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; l информацию о правовом регулировании в области персональных данных иностранного государства и т.д. Реше-
ние о запрещении или об ограничении трансграничной передачи персональных данных будет принято Роскомнадзором по результатам рассмотрения уведомления.
17. Провести оценку вреда по новым требованиям Ожидается издание нормативно-правового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона (ст. 18.1).
18. Разработать регламент уничтожения скомпрометированных персональных данных Ожидается утверждение документа, определяющего требования к подтверждению уничтожения персональных данных, скомпрометированных в результате инцидентов (ст. 21).
19. Периодически проверять актуальность сведений в уведомлении В случае изменения сведений, указанных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведомить об этом в течение 10 рабочих дней с даты прекращения обработки персональных данных (ст. 22). 20. Актуализировать регламент реагирования на инциденты Ожидается издание порядка, определяющего
по трансграничной
персональных данных обязан
Роскомнадзор
взаимодействия
с
в
21. Отслеживать изменения законодательства
• 5 Персональные данные www.itsec.ru Ваше мнение и
присылайте по
условия
регуляторов
операторами
рамках ведения реестра инцидентов (ст. 23).
l
вопросы
адресу is@groteck.ru
Обзор изменений
взаконодательстве
обзоре за сентябрь 2022 г. поговорим о нормотворческой деятельности по установлению порядка действий, связанных странсграничной передачей персональных данных, о государствах, обеспечивающих их адекватную защиту, о центре компетенций по ИБ в промышленности, который планируется создать, а также о том, как определять класс СКЗИ для их применения в ГИС.
Трансграничная передача персональных данных С 1 сентября 2022 г. в силу вступили изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – ФЗ № 152), о которых подробно написано в обзоре за июль 2022 г1. В свою очередь, с 1 марта 2023г. вступят в силу корректировки ст.12, регламентирующей требования ктрансграничной передаче персональных данных (далее – ПДн).
Проект постановления Правительства РФ "Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона "О персональных данных"2 был опубликован 14 сентября 2022 г. Этот проект постановления определяет случаи – исключения из обязанности операторов уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПДн. К таким случаям относится выполнение операторами функций, полномочий и обязанностей, возложенных международным договором РФ, законодательством РФ на государственные органы и муниципальные органы в целях, определенных проектом постановления.
Дополнительно, в соответствии с проектом, могут не применяться положения ФЗ № 152 о возможности принятия решения о запрещении или ограничении трансграничной передачи ПДн в случае выполнения операторами функций, полномочий и обязанностей, возложенных международным договором РФ, законодательством РФ на государственные имуниципальные органы в целях: l реализации физической культуры испорта; l реализации культуры, науки и образования; l обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
На момент написания обзора рассмотренного проекта постановления Правительства РФ вынесено положительное решение по итогам оценки регулирующего воздействия. 14 сентября 2022 г. был опубликован проект постановления Правительства РФ "Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан"3. Этот проект постановления нацелен на установление порядка принятия решения о запрещении или ограничении трансграничной пере-
законную силу решения суда.
юридическое
которому
трансграничная передача, включено
тов, ПДн, которые планируются для трансграничной передачи, не соответствуют цели трансграничной передачи
6 • ПРАВО И НОРМАТИВЫ
В Анастасия Заведенская, независимый эксперт по информационной безопасности Таблица 1 Сентябрь-2022 1 См. Заведенская А.А. Обзор изменений в законодательстве. Июль – 2022 //“Information Security/Информационная безопасность" 2022. № 4. С. 6–8. 2 https://regulation.gov.ru/projects#npa=131426 3
Случаи запрещения трансграничной передачи Случаи ограничения трансграничной передачи Органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, не принимаются меры по
https://regulation.gov.ru/projects#npa=131425
защите передаваемых ПДн, равно не определены условия прекращения их обработки. Иностранное юридическое лицо, которому планируется трансграничная передача, является запрещенной на территории РФ организацией на основании вступившего в
Иностранное
лицо,
планируется
в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ. Трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора персональных данных. Трансграничная передача осуществляется в случаях, не предусмотренных ч. 1 ст. 6 ФЗ № 152. Содержание и объем ПДн, планируемых для трансграничной передачи, не соответствуют цели трансграничной передачи. Категории субъек-
дачи ПДн. Принимать такие решения имеет право Роскомнадзор (далее –РКН) и его территориальные органы. В таблице 1 представлены условия, при которых РКН может принять решение о запрете или ограничении трансграничной передачи ПДн. Действие ограничений на трансграничную передачу ПДн распространяется на содержание и объем ПДн, а также на категории их субъектов. Решение о запрещении или об ограничении трансграничной передачи может быть обжаловано оператором в судебном порядке или вышестоящему должностному лицу. При устранении причин, повлекших запрещение или ограничение трансграничной передачи ПДн, оператор вправе повторно подать уведомление о намерении осуществлять трансграничную передачу не ранее чем через десять рабочих дней после первоначального принятия решения о запрещении или ограничении. 14 сентября 2022 г. был опубликован проект постановления Правительства Российской Федерации "Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа"4. Этот проект описывает порядок принятия решений Роскомнадзором о запрещении или об ограничении трансграничной передачи в случае соответствующего запроса (представления) от уполномоченных органов, таких как Минобороны России, МИД России, ФСБ России, иных федеральных органов исполнительной власти, уполномоченных президентом РФ или Правительством РФ на обеспечение защиты экономических и финансовых интересов РФ. В случае если решение о запрещении или об ограничении трансграничной передачи ПДн принято в отношении иностранного государства, то оно дополнительно направляется операторам, осу-
ществляющим трансграничную передачу ПДн на территорию соответствующего иностранного государства. Если решение о запрещении или об ограничении трансграничной передачи принято в отношении оператора(-ов), такое решение дополнительно направляется оператору(-ам), деятельность по трансграничной передаче которого(-ых) запрещена или ограничена. Если на территории иностранного государства, куда запрещена или ограничена трансграничная передача ПДн, устранены причины, послужившие основанием для принятия Роскомнадзором решения о запрещении или ограничении, то уполномоченный орган, направивший представление, выносит представление о прекращении действия запретов или ограничений на трансграничную передачу ПДн и направляет его в Роскомнадзор. Напомним, что операторы, которые осуществляли трансграничную передачу ПДн до 1 сентября 2022 г. и продолжают осуществлять такую передачу после указанной даты, обязаны не позднее 1марта 2023 г. направить в Роскомнадзор уведомления об осуществлении трансграничной передачи, ввиду чего Роскомнадзор опубликовал образец уведомления об осуществлении трансграничной передачи ПДн5. В опубликованном образце приведено два примера целей трансграничной передачи ПДн: 1. Организация командирования работников организации. 2. Организация обучения сотрудников организации. Как отмечается экспертным сообществом, исходя из образца, для подачи уведомлений требуется достаточная проработка целей передачи ПДн. Если командировку и обучение нельзя объединить в более укрупненную в рамках выполнения Трудового кодекса РФ, то это может наложить определенную "ресурсную нагрузку" на операторов ПДн.
4 https://regulation.gov.ru/projects#npa=131424 5 https://pd.rkn.gov.ru/cross-border-transmission/form/ 6 http://publication.pravo.gov.ru/Document/View/0001202209200008 7 http://publication.pravo.gov.ru/Document/View/0001202209200007
Государства, обеспечивающие адекватную защиту прав субъектов персональных данных Приказ Роскомнадзора от 05.08.2022 № 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных"6 (далее – приказ РКН № 128) официально опубликован 20 сентября 2022 г. Приказ РКН № 128 утверждает новый перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, отменяя предыдущие.
В перечень попали иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также обеспечивающими адекватную защиту прав субъектов ПДн признан ряд иностранных государств, не являющихся сторонами Конвенции. К таким государствам, например, отнесены: Израиль, Катар, Канада, Монголия, Республика Беларусь, Республика Казахстан, Киргизская Республика и т.д. Центр
ИБ впромышленности Постановление Правительства Российской Федерации от 17.09.2022 №1636 "Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности"7 (далее –ППРФ № 1636) официально опубликовано 20 сентября 2022 г. По ПП РФ № 1636 предполагается выделение Минпромторгом России субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности.
• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru
Реклама
компетенций по
Центр компетенций по ИБ в промышленности должен будет обеспечить решение следующих задач: l Обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий. l Проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий. l Проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий.
l Сбор и анализ данных о состоянии ИБ информационных ресурсов промышленных предприятий.
l Формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий. l Проведение мероприятий по повышению уровня образования в сфере ИБ в отношении информационных ресурсов промышленных предприятий.
Показателями, необходимыми для достижения результата предоставления субсидии, обозначены создание одного отраслевого центра компетенций по ИБ в промышленности и следующие условия: l разработка типового технологического решения по созданию подсистемы раннего предупреждения промышленных предприятий об угрозах ИБ, обеспечивающей сбор, обработку и доставку потребителям различных типов сведений об угрозах безопасности информации и уязвимости информационных систем; l подготовка методических рекомендаций по проведению ведомственного мониторинга состояния работ по категорированию объектов критической информационной инфраструктуры, в том числе актуальности и достоверности сведений о значимых объектах КИИ и присвоении объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий; l мониторинг соблюдения не менее 2500 субъектами КИИ сроков предоставления, актуальности и достоверности
сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (в том числе не менее 300 субъектами КИИ Российской Федерации в 2022 г., не менее 1100 – в 2023 г., не менее 1100– в 2024 г.).
СКЗИ в ГИС Проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств"8 был опубликован в сентябре 2022 г. На момент написания обзора проект приказа находился на стадии завершения разработки и формирования окончательного варианта текста.
С похожей инициативой ФСБ России уже выступала в ноябре 2020 г.9, однако официальной публикации приказа не последовало.
Проект приказа устанавливает правила эксплуатации и определения класса средств криптографической защиты информации (СКЗИ) в государственных информационных системах (ГИС).
Для определения класса СКЗИ в проекте приказа ФСБ России используются те же параметры, что в порядке определения класса защищенности ГИС по требованиям ФСТЭК России. Таблица определения минимально допустимого класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС), приведена далее.
Класс СКЗИ, используемых для взаимодействия физических лиц с ГИС (сегментом ГИС), определяется с учетом актуальных угроз безопасности информации и может быть ниже класса СКЗИ, определенного для ГИС (сегмента ГИС) в соответствии с проектом приказа.
изменений в Правила категорирования объектов критической информационной инфраструктуры
Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. №127" (далее – проект ПП РФ)10 Проект ПП РФ дополняет требования по мониторингу актуальности и достоверности представления субъектам критической информационной инфраструк-
туры сведений по результатам категорирования. Напомним, что на текущий момент такой мониторинг должны осуществлять государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и (или) нормативно-правового
8 • ПРАВО И НОРМАТИВЫ
8
9
Заведенская А.А. Предновогодние изменения в законодательстве. Ноябрь – 2022 //“Information
Информационная безопасность" 2020. № 6. С. 4–5. 10 https://regulation.gov.ru/projects#npa=132326 Уровень значимости информации Масштаб ГИС (сегмента ГИС) ГИС (сегмент ГИС), предназначенная для решения задач ГИС на всей территории Российской Федерации или впределах двух иболее субъектов РФ ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта РФ ГИС (сегмент ГИС), предназначенная для решения задач ГИС впределах объекта (объектов) одного государственного органа, муниципального образования и(или) организации Высокий уровень значимости КВ КС3 КС2 Средний уровень значимости КС3 КС3 КС1 Низкий уровень значимости КС2 КС1 КС1 Таблица 2 Октябрь-2022 октябрьском обзоре за 2022 г. рассмотрим изменения в правила категорирования объектов КИИ, процесс уведомления Роскомнадзора об утечках ПДн, методики ФСТЭК России по оценке уровня критичности уязвимостей и тестированию обновлений безопасности, а также многое другое. В Изменения в категорированияправилаобъектов КИИ В октябре 2022 г. ФСТЭК России представила на общественное обсуждение проект постановления Правительства РФ "О внесении
https://regulation.gov.ru/projects#npa=131674
См.
Security/
ности, антивирусный контроль обновлений безопасности, поиск опасных конструкций в обновлениях безопасности, мониторинг активности обновлений безопасности в среде функционирования, ручной анализ обновлений безопасности. В случае если по результатам ручного тестирования вобновлении безопасности выявлены вредоносное программное обеспечение и (или) недекларированные возможности, указанная информация должна направляться во ФСТЭК России и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с установленными регламентами. Допуск к гостайне Постановление Правительства Российской Федерации от 29.10.2022 №1932 "О внесении изменений вИнструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне"20 (далее – ПП РФ № 1932) официально опубликовано 31 октября 2022 г. ПП РФ № 1932 вносит изменения вИнструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденную постановлением Правительства Российской Федерации от 6февраля 2010 г. № 63.
Допуск к государственной тайне (ГТ) по третьей форме с проведением проверочных мероприятий теперь может осуществляться в отношении: l руководителей территориально обособленных подразделений, работающих с ГТ; l заместителей руководителей по режиму безопасности ГТ; l лиц, которые назначаются уполномоченными режимно-секретного подразделения. Отметим также, что номенклатура должностей (перечень должностей, при назначении на которые гражданам необходимо оформление допуска к ГТ) теперь должна формироваться с участием руководителей структурных подразделений. Номенклатура должностей должна формироваться на основании штатного расписания и полученных от руководителей подразделений предложений с обоснованием необходимости оформления допуска к ГТ. Законопроект о Единой биометрической системе Законопроект № 211535-8 "О государственной информационной системе "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации
остепени их соответствия предоставленным биометрическим персональным данным физического лица"21 внесен на рассмотрение Государственной Думы воктябре 2022 г. Законопроектом предлагается вывести из Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" нормы, касающиеся Единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации остепени их соответствия предоставленным биометрическим персональным данным физического лица (ЕБС). Как отмечается в пояснительной записке, законопроект должен устанавливать правовые основы обработки биометрических ПДн в целях осуществления идентификации и (или) аутентификации с применением ЕБС, иных государственных информационных систем. Законопроектом предусмотрено, что идентификация с применением биометрических ПДн должна осуществляться с применением ЕБС. При этом аутентификация может быть осуществлена с применением иных информационных систем. Положение о платформе "ГосТех" Проект постановления Правительства РФ "Об утверждении Положения о единой цифровой платформе Российской Федерации "ГосТех" и внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015г. № 676"22 доступен на официальном сайте для размещения проектов нормативных правовых актов. Проектом устанавливается, что федеральные органы исполнительной власти и государственные внебюджетные фонды должны руководствоваться Положением о единой цифровой платформе Российской Федерации "ГосТех" (далее–Положение) при осуществлении меро-
приятий по созданию, развитию и эксплуатации ГИС. Для органов исполнительной власти субъектов РФ, территориальных государственных внебюджетных фондов, органов местного самоуправления, иных государственных органов и организаций Положение носит рекомендательный характер при осуществлении мероприятий по созданию, развитию и эксплуатации ГИС и муниципальных информационных систем. Согласно Положению, создаваемая платформа "ГосТех" предназначена для реализации процессов жизненного цикла ГИС, в том числе инфраструктурного, организационно-технологического и документационного обеспечения процессов жизненного цикла.
Платформа "ГосТех" должна позволить решать, например, следующие задачи:
l обеспечение процессов создания, развития, эксплуатации ГИС на платформе; l внедрение и развитие итерационного подхода к разработке ГИС на основе архитектуры доменов; l реализация унифицированных механизмов информационной безопасности платформы "ГосТех"; l обеспечение информационной безопасности сервисов, работающих винфраструктуре облачных вычислений, на всех этапах жизненного цикла ГИС (создание, ввод в эксплуатацию, эксплуатация, развитие, вывод из эксплуатации).
Предлагаемые проектом изменения впостановление Правительства РФ от06.07.2015 № 676 "О требованиях кпорядку создания, развития, ввода вэксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" также вводят ряд положений, касающихся оценки определения целесообразности проведения мероприятий по созданию ГИС на платформе "ГосТех". l Ваше мнение и вопросы присылайте по адресу is@groteck.ru 20 http://publication.pravo.gov.ru/Document/View/0001202210310033 21 https://sozd.duma.gov.ru/bill/211535-8 22 https://regulation.gov.ru/projects#npa=132245
• 11 ПРАВО И НОРМАТИВЫ www.itsec.ru
Важным изменением является добавление индивидуального подхода к выполнению требований стандарта. Внастоящий момент все требования должны выполняться напрямую, по заранее определенному подходу, единому для всех компаний. Индивидуальный подход позволяет расширить возможности по выполнению требований, предлагая более гибкие варианты. Каждое требование теперь содержит описание цели, которую необходимо достигнуть, при этом компания вправе самостоятельно выбирать средства и методы достижения этой цели. Аудитор при этом самостоятельно выберет способ проверки и убедится, что цель требования достигнута. Сложность индивидуального подхода заключается в необходимости выполнения таргетированного анализа рисков для каждого такого требования. Индивидуальный подход не применим для выполнения самооценки (SAQ), а также к требованиям, предписывающим защиту хранимых карточных данных, и некоторым другим.
Применение индивидуального подхода не упрощает прохождение аудита и поддержание соответствия, однако помогает компаниям, обладающим высоким уровнем зрелости, гибче подойти к выполнению требований стандарта.
на геополитические изменения, соответствие PCI DSS является обязательным требованием платежной системы “Мир”. Летом 2022 г. была опубликована новая версия стандарта PCI DSS 4.0. В новой версии стандарта произошли изменения как всамих требованиях, так и в подходах к их выполнению.
Большая часть новых требований вступит в силу 31 марта 2025 г. Упомянем некоторые из них.
1. Пароли, используемые приложениями для доступа к базам данных и иным компонентам, станет нельзя хранить в программном коде и в конфигурационных файлах в открытом виде.
2. Использование Web Application Firewall (WAF) для защиты публично доступных веб-приложений станет обязательным.
3. Для анализа событий информационной безопасности должна быть внедрена SIEM.
4. Хешировать PAN допустимо только с применением hash-функций с секретом, при этом процедуры управления секретами должны соответствовать требованиями PCI DSS об управлении криптографическими ключами.
5. Мультифакторная аутентификация должна быть внедрена для всех доступов к среде обработки данных платежных карт, как неконсольных, так и для консольных.
6. Должны быть внедрены системы контроля изменений на платежной странице, где вводятся данные платежных карт, и в HTTP-заголовках.
7. Внутренний сканер уязвимостей должен иметь возможность авторизоваться в сканируемой системе. Согласно плану перехода пройти QSAаудит по новой версии PCI DSS 4.0 можно уже сейчас. С III квартала 2022 г. можно проходить аудит как по версии 3.2.1, так и по версии 4.0. Однако с 31 марта 2024г. PCI DSS 3.2.1 утратит силу.
12 • ПРАВО И НОРМАТИВЫ PCI DSS 4.0. Новые требования индустрии платежных
Рис.
Основные изменения в
Рис.
Рис. 3. Порядок перехода на PCI DSS 4.0 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Юлия Данилова, ведущий инженер по защите информации компании Deiteriy есмотря
l
карт
1.
PCI DSS 4.0
2. Подходы к выполнению требований PCI DSS 4.0
Н
100% госслужащих
работают с
ПДн.
Как предотвратить утечку
из-за их ошибок?
одавляющее большинство госслужащих работает сперсональными данными граждан – это тысячи людей, от которых зависит сохранность информации россиян. Защитить данные только с помощью ПО недостаточно. Сотрудники должны становиться единомышленниками ИБ-службы изнать, как не попасться на уловки фишеров и не помочь своими действиями хакерам. Как же сделать это правильно?
Неосторожное обращение с информацией при хранении и обработке –наиболее частая причина появления данных в открытом доступе. По данным Минцифры России, более 70% утечек персональных данных происходят по вине работников, имеющих к ним доступ.
При этом результаты нашего опроса, вкотором приняло участие почти 4 тыс. человек, говорят, что госслужащие недооценивают свою роль в сохранности данных. 44% опрошенных считают, что утечки чаще происходят не по их вине, а из-за неосмотрительности граждан. Отчасти это справедливо. Но в случае сполучением госуслуг у людей нет выбора, какую информацию передать государству. Они не могут повлиять на их сохранность. Другая проблема заключается в том, что госслужащие часто до конца не понимают, какие категории информации о человеке подпадают под понятие "персональные данные". Справедливости ради отмечу, что разобраться вэтом не всегда просто. ФЗ-152 обозначает, что персональные данные – это любая информация, по которой можно прямо или косвенно определить ее владельца, но конкретного определения не дает. Аидентифицировать человека можно не только по ФИО, адресу, телефону, но и по фотографии, информации осостоянии здоровья и даже убеждениям. Непонимание рождает риск, что данные останутся в общем доступе или их отправят не тому человеку. В самом плохом сценарии "не тем человеком" окажется мошенник, социальный инженер. Даже в идеальной ситуации при наличии комплекса защитного ПО без повышения ИБ-грамотности не обойтись. А значит, нужно обучение. Согласно приказу ФСБ № 282 от 19.06.2019 г. субъект КИИ должен проводить ИБ-учения как минимум раз в год. Но и другие организации могут ори-
ентироваться на такую регулярность, когда речь идет о масштабных ИБманеврах (например, серии тренингов). Более рутинные мероприятия, например антифишинговые рассылки, лекции по социнженерии с учетом новых тем иметодов, стоит проводить чаще, примерно раз в квартал. Мы в компании ежегодно обучаем несколько десятков тысяч человек. Вот минимум того, что, по нашему мнению, должно входить в программу обучения.
1. Правила работы с корпоративной информацией: что такое коммерческая тайна, кому принадлежат корпоративные данные, ответственность за разглашение и т.д.
2. Цифровая гигиена в Интернете –оповедении в соцсетях, использовании публичных сервисов и других ресурсов.
3. Приемы социальной инженерии, которые используют мошенники, – от манипуляций через электронную почту до дипфейков.
4. Правила информационной безопасности при удаленной работе и работе вкомандировках: SSL, VPN и другие аббревиатуры. Организация общения, совещаний, обмена информацией на удаленке.
Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ” Ваше мнение и вопросы присылайте по адресу is@groteck.ru
5. Правила парольной политики идвухфакторной аутентификации: что такое хороший пароль, где его хранить иможно ли запомнить. Почему пароли оказываются более предсказуемыми, чем кажется тому, кто их придумал. Эффективным может быть любой формат: лекции, игры, тренинги, учения. Благодаря современным платформам обучение можно проводить дистанционно. Существуют площадки, где можно бесплатно сверстать свой курс, есть даже готовые программы: например, можно создать свою ИБ-игру или квест. Несмотря на обилие инструментов, ИБ-специалисты часто ограничиваются обычным инструктажем с последующим "распишитесь в журнале". В лучшем случае проводится онлайн-курс
сфинальным тестированием, но без живой обратной связи. Да, это экономит время, но эффективность такого подхода сомнительна. Поэтому какой бы формат обучения вы ни выбрали, его обязательно следует дополнить хотя бы элементами геймификации и тренинга. На учащихся производит впечатление, как за минуты взламываются пароли, находится информация в Интернете, простота применения подменного номера, создание простейших дипфейков и т.д.
Конечно, только обучения недостаточно, оно не убережет от взломов, намеренных сливов и диверсий, поэтому должна быть обеспечена защита и техническими средствами. Это как минимум антивирусы и межсетевые экраны, средства полного сканирования на предмет неправомерного хранения данных (класс решений DCAP), система мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP), системы контроля активности сотрудников, инструменты расследования.
Тем не менее осознанный подход кзащите информации в коллективе позволяет увеличить эффективность всех других ИБ-мер. Почти все опрошенные госслужащие сообщили нам, что осознают опасность и потенциальный вред, который несут утечки владельцам персональных данных. Это значит, что уИБ-специалиста в госкомпании достаточно единомышленников. l
• 13 Персональные данные www.itsec.ru
Почти
П
– Роман, с чего начинался ваш интерес к ИТ?
– Я родился и вырос в Москве, застав периоды становления и развития компьютерной техники. Хорошо помню, как в то время свою популярность обретали компьютерные рынки –все туда ездили, доставали дискеты, кассеты, детали и прочее. Собирали компьютеры с нуля, учились программировать по книжкам, которые еще нужно было отыскать. Это был уникальный, захватывающий период для многих будущих инженеров. В детстве у меня был компьютер, в который нужно было загружать программы с магнитофонных лент –сегодня удивить человека технологиями сложно, их огромное количество, и мы все к ним привыкли. А тогда это было нечто невероятное!
Меня всегда интересовало все, что связано с компьютерами и новейшими технологиями. Образование я получил соответствующее – закончил Московский государственный институт электроники и математики по специализации "электронные приборы" и по узкой специализации "лазерная техника". Времена были непростые, я все время искал новые способы заработать, подрабатывал админом. В 2000 г. мне повезло устроиться в компанию "Алладин" на позицию продавца. Это была чистая случайность, потому что я никогда ранее не занимался продажами. При этом "Алладин" продвигал системы безопасности и стоял у истоков этого рынка. Это оказался полезный для карьеры опыт. Там я познакомился с нынешними коллегами из компании Zecurion и, начиная с 2003 г., проработал в Zecurion 17 лет.
г. основал свою
14 • В ФОКУСЕ DCAP выявляет нарушения в100% внедрений оман Подкопаев, основатель и генеральный директор компании Makves, поделился мнением с аудиторией журнала “Информационная безопасность” о том, почему кризис не помеха для развития российских решений и бизнеса в целом, а также почему DCAPрешения являются неотъемлемой частью надежной ИБ-системы любой компании. Р Роман Подкопаев, основатель и генеральный директор компании Ma k ves
Ав 2019
компанию.
– Что подтолкнуло к основанию собственной компании?
– Я осознал, что достиг определенного уровня профессионального развития, и хотел обрести некую самостоятельность в вопросах ведения бизнеса. Эти мысли зрели во мне достаточно долго, но в какойто момент они превратились вчеткое решение. В тот период я уже много лет работал в компании, где у меня были сложившиеся отношения с коллегами, с которыми мы начинали практически с нуля. Было довольно сложно, было даже страшно. Но теперь я абсолютно не жалею о принятом решении. К тому же идею поддержали коллеги, которые впоследствии стали сооснователями Makves,– Дмитрий Петушков и Максим Никулин. Наша дружба и последующая общая история стали возможными благодаря совместной работе. Внастоящий момент они принимают активное участие в развитии компании. Максим руководит разработкой продукта и отвечает за технический успех проектов, а Дмитрий является директором по развитию и отвечает за коммерческое направление.
– Чем вы руководствовались, выбирая нишу для бизнеса?
– Сфера была выбрана естественным образом благодаря обратной связи от заказчиков. Фактически именно они обозначили перспективное для нас направление, актуальную потребность рынка. Посмотрели, что рынок ПО для аудита рисков практически пустой (там было несколько западных решений – и всё) и находится в зачаточном состоянии, – сомнений практически не оставалось. Но мы понимали, что это все еще гипотеза, требующая проверки. Поэтому достаточно быстро разработали пробную версию продукта, показали ее заказчикам, получили положительные отзывы и окончательно утвердились в правильном выборе ниши для бизнеса. – По-моему, это самый верный подход, когда отталкиваешься от явных потребностей рынка. – В общем, да. Мы видели, что на Западе эта сфера нахо-
дится на ином уровне развития: десятка полтора компаний, достаточно лидеров, есть конкуренция. На российском рынке ситуация складывалась с точностью до наоборот.
– А какая сейчас обстановка на российском рынке в данном сегменте?
– На данный момент каждое внедрение нашего продукта выявляет актуальные угрозы безопасности. Мы видим, что проблемы есть у всех. Их можно мысленно распространить абсолютно на любую компанию. Например, выступая на конференциях, я часто задаю вопрос: "Кто готов сказать, что у него вкомпании все в порядке? Готов спорить, что, установив наше ПО, сделав первичный аудит, мы совершенно точно найдем то, о чем вы даже не подозреваете", – и в 100% случаях оказываюсь прав. – Появилась ли серьезная конкуренция? – У нас есть российские конкуренты, которые потихонечку догоняют. Но мы были первыми и остаемся первыми в этой нише. У любого ИТ-продукта есть период созревания и период зрелости. Когда какая-нибудь компания выпускает новый продукт, проходит еще 3–4 года, пока эта версия заработает, станет конкурентной и промышленной. А мы уже три года как
прошли этот путь – мы первые. Мы всех уже обогнали.
Наша компания 4,5 года на рынке. Мы вышли на все необходимые показатели, но впереди еще много-много планов по развитию. Для роста нам нужно много ресурсов, то есть до зрелости нам еще работать и работать. Я бы сказал, что мы в стадии начала роста. – Каждый год нам приносит всё новые и новые испытания. И начиная с2020 г. эти испытания носят не просто локальный экономический характер, а приобретают мировые масштабы. Как Makves удается преодолевать их, при этом еще и развиваясь? – Ну ждем инопланетян, да? – Да, инопланетяне уже не такая большая проблема, как мне видится. – Нет, не проблема, скорее уже закономерность – пора бы и с ними пообщаться. Мы с партнерами не так давно обсуждали тему закономерностей. Ведь наш бизнес стартовал всередине 2019 г., и все было классно: в феврале 2020-го мы наняли первого сотрудника, ав марте уже ушли "на удаленку". Так сложилось, что даже не успели тогда обзавестись офисом, хотя и планировали, практически подписали договор аренды. Но все оказалось клучшему, потому что уберегло компанию от ненужных расходов. Я считаю, что у нас все случилось вовремя: и бизнес, исотрудники, и офис.
Каждое внедрение нашего продукта выявляет актуальные угрозы безопасности. Мы были первыми иостаемся первыми. У компаний все больше понимания, что задачи, которые мы решаем с помощью Makves DCAP, не просто не потеряли актуальности, а являются одними изприоритетных.
• 15 ПЕРСОНЫ www.itsec.ru
исполнение 187-ФЗ о безопасности КИИ. А что касается персональных данных... Ну утекли. Кого это волнует? В Европе компании, из которой утекли данные, выставляют штраф внесколько миллионов евро. Но по нашему законодательству пока что наказания за такие нарушения являются незначительными. Хотя ситуация с хранением персональных данных в российских компаниях ужасная. Мы находим данные, брошенные в файловых хранилищах. То есть данные всегда хранятся с нарушениями. Копии паспортов хранятся в папках, ккоторым имеет доступ вся компания, а это прямое нарушение 152-ФЗ. Более того, восновном никто эти нарушения и не ищет. Представьте, что у вас 10 млн файлов –найти вручную что-либо в этой массе невозможно. В том числе и для решения этой проблемы разработан MakvesDCAP. – Остались ли на российском рынке зарубежные решения? Ивозможно ли в этом сегменте полностью заменить зарубежное решение российским? – Остались. Например, Майкрософт: люди продолжают использовать их ПО, несмотря на то, что нет возможности продлить лицензию. Те, кто купил когда-то западное решение, продолжают им пользоваться. Но, как правило, недолго, до тех пор, пока это все работает. Всвоем сегменте рынка наш продукт не только может полностью заменить западные решения, но еще и превосходит некоторые из них по функциональности. Западные продукты начинали свое развитие лет 10назад, в них накопилось достаточно много устаревших и даже ненужных функций. Например, что касается аудита, поиска персональных данных, – западные решения подстроены под свои регламенты и для нашей реальности не особо актуальны. А наш продукт заточен под нашу документацию, что делает его востребованным. Поэтому многие заказчики совершенно спокойно переходят на Makves DCAP с западных решений. – Благоприятное ли сейчас время для развития российских технологий? – Я придерживаюсь концепции, что кризис – это норма
жизни. А жизнь нужно принимать такой, какая она есть, иработать в тех условиях, что нам даны. Мы не на все можем повлиять, зато всегда можем выбрать, как относиться к тому или иному периоду. Что для одного кризис, то для другого возможности. Если импортозамещение пройдет правильно, то импортонезависимости мы вкаком-то виде достигнем.
– А что может пойти неправильно?
– Раньше никому не были интересны ни российские операционные системы, ни офисные решения – все платили за зарубежное ПО, не особо задумываясь. В данный момент мы сталкиваемся с тем, что для заказчиков отечественный продукт – равно экономия. Они, например, готовы платить за Майкрософт 300 млн в год, а за российский продукт – 50 млн вгод. Нет понимания, что суть импортозамещения не в экономии, а в том, чтобы получить продукт такого же класса иуровня, как зарубежный, только российский. Для этого нужно вкладывать деньги в российские продукты, не пытаясь сэкономить на их разработке. Смысл в том, чтобы деньги остались здесь, чтобы мы развивались. Есть и другая проблема, которая заключается в том, что довольно сложно получить программу господдержки для разработки отечественных продуктов. Мы дважды обращались вфонды, и нам дважды отказывали. При этом какая-нибудь крупная экосистема вполне может получить 1,5 млрд инаписать продукт "для себя". Но такой продукт не будет промышленным, то есть не будет соответствовать самой цели импортозамещения. Эти деньги нужно давать коммерческим организациям, которые будут создавать решения для рынка, зарабатывать на них и развивать их.
– Учитывая, что долгосрочное планирование сейчас не каждому доступно, очень осторожно спрашиваю вас о планах по развитию на ближайшее время. – Я воспринимаю этот период как окно возможностей, поэтому будем расти и развиваться! Унас есть желание взять квалифицированный персонал.
Опять же существует иллюзия, что после того, как с рынка ушло много западных компаний, освободилось множество специалистов. С одной стороны, это так, а с другой – людям, привыкшим много лет работать в большой западной компании, очень сложно перейти в маленькую российскую. Они уже привыкли к процессам, процедурам, документам и так далее. Вмаленькой компании меньше формализации и больше задач. У нас сейчас такой режим: увидел – сделал, не увидел – найди, что еще сделать. Вот так мы и растем. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
Ситуация с хранением персональных данных в российских компаниях ужасная. Мы находим данные, брошенные в файловых хранилищах.
• 17 ПЕРСОНЫ www.itsec.ru
Эволюция SOC: от SOAR
к
экосистеме технологий ИБ
ольше десяти лет назад, когда тематика построения центров мониторинга и реагирования на инциденты (SOC) только выходила на подиумы ИБ-конференций, все обсуждали базовые компоненты, которые нужны среднестатистическому специалисту по ИБ для решения своих операционных задач. К таким компонентам относились мониторинг периметра ихостов, сбор всех событий безопасности, поиск уязвимостей и др. Многие из них уже были на стадии эксплуатации, аобъем ежедневной работы ИБ-отдела увеличивался, дополняясь новым количеством внедряемых технологий.
Главным вызовом для большинства SOC того времени стала серия серьезных громких атак на инфраструктуры компаний по всему миру – они были более масштабные и распределенные во времени. В результате на обработку огромного количества возникающих сработок от СЗИ требовались сотни тысяч рутинных операций, затрагивающих различные элементы инфраструктуры. Все это привело к возникновению новых запросов к SOC: необходимости сокращения среднего времени принятия решений, систематизации взаимодействий систем и технологий внутри SOC, структуризации работы команд, а также автоматизации ИБ-процессов. Решением этих задач стал новый по тем меркам продукт класса SOAR, основными функциями которого были оркестрация всего имеющегося арсенала средств, систем и технологий SOC, структурирование шаблонных действий (в том числе без участия человека) иавтоматизация работы ИБ-подразделения и смежных отделов, участвующих в обработке инцидентов. Таким образом, прошел первый этап эволюции и развития SOC. Процессы современного SOC Компания R-Vision начала развитие SOAR, еще когда заказчики говорили, что кроме ServiceDesk им ничего не нужно, а конкуренты даже и не смотрели в сторону создания подобных технологий. Поэтому R-Vision является первооткрывателем этой технологии на российском рынке. С момента создания класса SOAR идо осознания заказчиками всей важности, обязательности применения этого продукта в центрах мониторинга и реагирования на инциденты прошел дли-
тельный период времени, но теперь SOAR безоговорочно считается неотъемлемой частью SOC, которая повышает его эффективность. В процессе внедрения и эксплуатации SOAR и других наших продуктов у заказчиков мы придерживаемся системного ипоследовательного подхода – погружаемся во все процессы, технологии ирешения, которые используются в SOC организации. Такой подход позволяет нам увидеть ситуацию "изнутри" и сформировать общий перечень процессов, которые включает в себя (но не ограничивается) среднестатистический центр мониторинга и реагирования, аименно: l управление активами и сбор информации с узлов при помощи агентов; l управление уязвимостями; l сбор событий безопасности и их анализ; l управление инцидентами, реагирование на инциденты, в том числе на хосте при помощи агентов; l процесс выявления аномалий в поведении объектов ИТ-инфраструктуры; l процесс работы с данными киберразведки; l процесс создания ложного слоя инфраструктуры. Некоторые из заказчиков дополнительно объединяют все это под шапкой процессов менеджмента ИБ, таких как оценка соответствия требованиям, процесс оценки рисков, стратегическое итактическое планирование ИБ. Это позволяет им выйти на новый этап развития и эволюции SOC. Безусловно, каждая компания видит наполнение процессов по-своему, но на собственном практическом опыте мы отмечали тенденции заказчиков к обогащению процессов новыми решаемыми задачами. Например, сейчас некоторые заказчики в процессе управления активами автоматизируют построение ресурсно-сервисной модели (далее
РСМ), автоматический сбор инвентаризационной информации и сведений осетевых ресурсах, аппаратном оборудовании и установленном ПО, а также контроль установленных обновлений. Всовременном SOC выстроенный процесс управления активами позволяет уже гораздо больше: контролировать изменения в ИТ-инфраструктуре, появление новых УЗ, узлов, изменения аппаратной и программной частей, а также их конфигурации и многое другое. В сценариях реагирования на инциденты зачастую задействованы обработка и анализ уязвимостей с учетом их приоритетов, а также контроль задач по устранению уязвимостей. Все чаще процесс VM в SOC включает агрегацию данных по уязвимостям, приоритизацию их обработки на основании автоматически рассчитанного рейтинга, который адаптируется под конкретную организацию.
Заказчики стали активно использовать технологии машинного обучения, которые теперь участвуют в построении процессов сбора, нормализации и хранения событий и предоставляют возможность для автоматического анализа собранной информации, а в комбинации с методами поведенческой аналитики, сравнительным групповым анализом и другими могут детектировать нарушения в состоянии ИТ- и ИБ-систем, фиксировать подозрительную активность и осуществлять динамическую оценку угроз и аномалий. С ростом уровня зрелости организаций и их центров мониторинга и реагирования у команд SOC возникла потребность в работе с данными киберразведки, которые ранее использовались крайне редко. Это позволило управлять знаниями об угрозах, искать индикаторы компрометации (IoC) в инфраструктуре, а также обновлять правила блокировки на средствах защиты информации.
18 • СПЕЦПРОЕКТ
Б Игорь Сметанев, директор по стратегическому развитию R-Vision
Еще одним значимым нововведением последних лет и этапом эволюции SOC стало добавление в него технологий для создания ложного слоя ИТ-инфраструктуры c помощью набора ловушек иприманок. C их помощью ИБ-специалисты детектируют присутствие злоумышленника, затрудняют его продвижение внутри инфраструктуры, позволяя остановить развитие атаки до того, как она приведет к значимому ущербу. Если же говорить о технологии SOAR, то теперь это не только основной инструмент автоматизации, но и связующий элемент всех процессов и продуктов внутри SOC. SOAR агрегирует информацию обо всех инцидентах ИБ из произвольных источников, обеспечивает командную деятельность по их обработке, автоматизирует выполнение рутинных операций и внедрение мер защиты, а также позволяет пользователю управлять всем парком средств и систем защиты из одной точки при помощи встроенных механизмов оркестрации.
Проблемы современного SOC
Вместе с очередным витком развития SOC, добавлением в него классов и технологий появились и новые сложности, которые возникают в основном из-за использования продуктов от различных вендоров. Причин этому несколько: разный уровень развития интеграционных механизмов продуктов вендоров, невозможность настройки и синхронизации ролевой модели между разными продуктами и технологиями, а также процесс "выкатки" обновлений, зачастую носящий бессистемный и неупорядоченный характер, поскольку вендоры в первую очередь заинтересованы в выдаче собственного функционала, а поддержка интеграционного слоя для них вторичная задача. В результате страдают проекты заказчика, а технология SOAR, какая бы продвинутая она ни была, становится "заложником ситуации". Кроме того, каждый вендор сразу предлагает максимальный набор функционала своего продукта, что тормозит поэтапное, последовательное выстраивание процессов заказчика, с учетом специфики решений других вендоров, используемых в SOC. Не стоит забывать, что все это происходит на фоне роста скорости внедрения технологий и процессов, а также увеличения потребности в ресурсах. Ключевая проблема, на которую ни один заказчик никогда не сможет повлиять, – разрозненность роадмапов вендоров, каждый из которых настроен исключительно на свой вектор развития. Ни один вендор не учитывает в своих роудмапах будущие потребности заказчика в отношении "чужих" продуктов, задачи, которые возникают на стыке технологий, да и в целом развитие технологий других вендоров. И это очевидно, так как у каждого вендора есть свои преимущества и ограничения.
Экосистемное решение проблем
Еще давно осознав эти проблемы, компания R-Vision попыталась решить их через добавление определенных функций в свои продукты, но такой подход не привел к желаемым результатам. Но команда не остановилась на этом, а переосмыслила сам подход. Мы пошли в сторону эволюции нашего продуктового портфеля в экосистему технологий, чтобы снизить ограничение использования технологий от различных вендоров, а также комплексно и стратегически решать все новые задачи, которые будут появляться с развитием атак и угроз на инфраструктуры наших заказчиков. Переход R-Vision к такому подходу стал логическим продолжением многолетней работы. Поскольку в рамках нашего продуктового портфеля мы точно знали, как интегрировать различные классы продуктов между собой, так как закладывали это в самом начале разработки, изначально создавая продуктовый портфель с уникальным составом технологий для усовершенствования SOC. На сегодняшний день экосистема R-Vision EVO состоит из девяти взаимосвязанных управляемых технологий икомпонентов кибербезопасности (см. рис.). В процессе развития R-Vision EVO мы стали выявлять все большее количество задач, которые могут решить наши технологии при взаимодействии с другими компонентами экосистемы. Так, например, технология SAM, помимо своих основных функций, позволяет заказчику приоритизировать, ускорять реагирование и расследование инцидентов, исходя из РСМ активов. Технология UEBA поставляет аномалии в SOAR для дальнейшей, более качественной проработки инцидентов иреагирования на угрозы, а технология Deception собирает информацию об инструментах и действиях атакующих в отношении инфраструктуры организации и пополняет ими базу Threat Intelligence. Иэто лишь малая часть того функционала, которым
расширились технологии экосистемы, работая в связке с другими компонентами экосистемы R-Vision EVO.
Если говорить о преимуществах экосистемного подхода, то его применение позволяет заказчику эффективно расходовать бюджет на ИБ за счет возможности поэтапного наращивания и расширения функционала по мере роста потребностей SOC, а наша многолетняя экспертиза, в частности, позволит сформировать долгосрочный план развития SOC. Все это закономерно приведет кэволюции центра мониторинга и реагирования на инциденты, повышению общего уровня кибербезопасности.
Вместо заключения Технологии злоумышленников не стоят на месте. "Щит" будет всегда опаздывать за "мечом", но это отставание можно минимизировать за счет использования тесно интегрированной экосистемы технологий от одного вендора. Много лет назад, когда термина SGRC не существовало, мы стояли у истоков автоматизации менеджмента ИБ и продвигали осознанный риск-ориентированный подход к построению комплексной системы защиты компаний. Далее начался виток развития Security Operation Center, и наш R&D предложил рынку комплекс технологий SOAR для автоматизации процессов SOC, а за ним последовали технологии класса TI (Threat Intelligence. – Прим. Ред.), UEBA и Deception, которые значительно расширили список используемых инструментов SOC и прочно вошли в его состав. Сейчас мы предлагаем заказчикам новый взгляд на построение и развитие SOC, с применением экосистемного подхода, как и много лет назад, на заре формирования классов SOAR, SGRC
• 19 IRP, SOAR, SOC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ R-Vision см. стр. 52 NM Реклама
иTI, предлагали эти новые для рынка технологии. l
UserGate SUMMA является собственная операционная система UGOS, дающая возможность обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Такой подход позволяет обеспечить высокое качество работы решений UserGate, ихдальнейшее развитие и адаптацию для разных условий иуровней сложности. В начале осени 2022 г. разработчики объявили о выходе версии UGOS 7.0 RC (Release Candidate), которая стала полностью переработанной версией операционной системы UserGate.
Операционная система UGOS управляет всей экосистемой UserGate SUMMA. Она позволяет использовать продукты UserGate в разных сочетаниях и инфраструктурных моделях, поддерживает не только обычные формы подставки в виде виртуальной машины и аппаратных комплексов, но и сервисную модель безопасности (Security-as-a-Service).
Релиз UGOS 7.0 – это полностью переработанная версия операционной системы, она стала легче, производительнее и эффективнее работает в высоконагруженных проектах.
UGOS 7.0 существенно расширяет арсенал функций безопасности для пользователей UserGate. Прежде всего стоит отметить новый движок СОВ/IDPS для NGFW, обладаю-
щий повышенной производительностью, в него заложена возможность создания собственных сигнатур. В ряду важных обновлений – расширенный функционал для диагностики, мониторинга, поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с SSL-трафиком добавились отправка расшифрованного трафика на внешние серверы и его проверка с помощью движка СОВ/IDPS. Новый Log Analyzer: мониторинг и управление инцидентами Современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным условием для построения защищенной инфраструктуры. Немаловажным является способность команды ИБ анализировать данные, поступающие от инфраструктуры, находить в них значимые события, выявлять инциденты и расследовать их. С выходом UGOS 7.0 UserGate Log Analyzer (LogAn) стал сочетать в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), то есть предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них. В "коробке" LogAn уже присутствуют пакеты экспертизы,
включающие правила корреляции, разработанные экспертами центра реагирования UserGate. Обновления UGOS 7.0 для UserGate Log Anаlyzer позволят полноценно реализовать функцию SIEM в рамках экосистемы UserGate SUMMA. LogAn аккумулирует данные из различных источников (сенсоров), осуществляет агрегацию и корреляцию событий, создает инциденты безопасности, а устанавливаемые правила позволят автоматически определять методы реагирования на них. Добавленный в UserGate
LogAn функционал IRP также дает возможность настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика. В LogAn добавлены возможности интеграции с ГосСОПКА для автоматической отправки информации об инцидентах кибербезопасности и создания многоуровневых отчетов (drilldowns) в журналах и дашборде.
UserGate LogAn развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.
Как и положено полнофункциональной SIEM, LogAn собирает данные не только с продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств. Он позволяет выявлять IoC (индикаторы компрометации), которые в даль-
20 • СПЕЦПРОЕКТ
на инциденты в экосистеме UserGate
Я Иван Чернов, менеджер по развитию
Задачи, решаемые UserGate LogAn: l Мониторинг событий безопасности в реальном времени l Ретроспективный анализ событий безопасности l Расследование инцидентов l Хранение и резервирование данных l Обеспечение непрерывности бизнес-процессов Выгоды от использования UserGate LogAn: l Сокращение времени реакции на инцидент l Обеспечение видимости событий безопасности l Доступность данных корпоративного уровня l Автоматизация процессов безопасности l Ролевой доступ для администраторов системы
Новая UGOS 7.0 для реагирования
SUMMA дром безопасности экосистемы
UserGate
нейшем могут быть использованы в продуктах SUMMA для блокирования нежелательного трафика. LogAn отправляет управляющие команды на UserGate Management Center для оперативного реагирования на события безопасности. С точки зрения управления событиями безопасности важным элементом экосистемы является UserGate Client. Его основное назначение – обеспечение защиты конечных устройств и соблюдения политики корпоративной безопасности при выходе за защищаемый периметр организации. UserGate Client – элемент защиты, необходимый для организации безопасного удаленного доступа в концепции "нулевого доверия", он выполняет также функции агента системы мониторинга событий информационной безопасности (SIEM / SOC) на конечной точке и межсетевого экрана с контентной фильтрацией и прокси-клиентом. При этом UserGate Management Center выполняет роль централизованной системы корпоративного уровня для автоматизации безопасности иуправления экосистемой UserGate SUMMA. Это удобная система оркестрации, автоматизации и реагирования, которая позволяет реализовать концепцию SOAR в рамках экосистемы UserGate. Обновленная система UserGate IDPS
UserGate IDPS (Intrusion Detection & Prevention System) – система обнаружения и предотвращения вторжений, важная функция безопасности в составе продукта UserGate NGFW. СОВ (система обнаружения вторжений) является важнейшим компонентом сетевой безопасности. Чтобы обнаружить сложные угрозы, компания UserGate применяет набор собственных технологий, позволяющих проверять весь трафик, включая зашифрованный, с минимальными задержками.
l Собственный движок быстро и точно обнаруживает вредоносный трафик в сети l Экспертиза MRC расширяет возможности UserGate IDPS для получения самых свежих и актуальных обновлений списков сигнатур с целью своевременного обнаружения угроз l Для расширенного поиска угроз собственный движок IDPS проводит инспекцию любого зашифрованного трафика (в том числе
UserGate для оптимизации временных затрат на поиск угроз внутри сетевого NM Реклама
production.
соединения. Это позволяет модулю IDPS обнаруживать любые угрозы без потери производительности. Режимы использования UserGate IDPS: l в режиме обнаружения –используется зеркальный порт и связка UserGate NGFW с режимом SSL Broker; l в режиме предотвращения –это шлюз по умолчанию или L2-/L3-bridge; l в составе комплекса UserGate NGFW. Все обновления доступны на my.usergate.com. Версия UGOS 7.0 RC рекомендована для ознакомительного использования без установления в
l • 21 IRP, SOAR, SOC www.itsec.ru Спецификация VE6 VE14 VE25 Объем хранилища, Тбайт 6 14 25 Количество ядер 6 12 32 Память, Гбайт 32 32 64 Виртуальная платформа UserGate Log Analyzer VE Спецификация E6E14F25 Объем хранилища, Тбайт61425 Количество ядер 88 32 Память, Гбайт 323264 Аппаратные платформы UserGate Log Analyzer Экосистема решений UserGate SUMMA Возможности и преимущества UserGate IDPS: l Virtual Рatching позволяет на сетевом уровне защитить активы, которые могут быть атакованы с помощью известных уязвимостей
Разработкой сигнатур для модуля СОВ в компании UserGate занимается центр мониторинга и реагирования. Собственный движок kernel IDPS поддерживает написание сигнатур с использованием проприетарного синтаксиса, который позволяет быстро писать сигнатуры для актуальных угроз. Синтаксис был разработан компанией TLS 1.3 и TLS GOST), что обеспечивает максимальную видимость событий безопасности l Благодаря интегрированности в экосистему UserGate SUMMA появляется возможность использовать IDPS как еще один источник данных для аналитики и увеличения уровня видимости событий безопасности АДРЕСА И ТЕЛЕФОНЫ UserGate см. стр. 52
Использование функционала SIEM
для практического построения SOC
Максим Степченков, совладелец компании RuSIEM
SOC(Security Operations Center) выступает как центр противодействия кибератакам на любом этапе инцидента, от разведки и выявления интереса злоумышленников к компании дореагирования и ликвидации последствий.
Одно из важнейших преимуществ SOC заключается в осуществлении непрерывного контроля всей инфраструктуры компании.
SOC – единый механизм, который держится на трех базовых принципах: команда, процессы (функционал), технологии.
Одно из важнейших преимуществ SOC заключается в осуществлении непрерывного контроля всей инфраструктуры компании. Ведь главный вопрос заключается не в том, взломают вас или нет, ав том, когда это произойдет. Рост количества информационных систем и сложность используемых технологий рождает проблему одновременного контроля множества каналов, атакже организации централизованной обработки и хранения данных о вторжениях и киберугрозах. Атаки стали более комплексными, в связи с чем требуется введение определенных бизнес-процессов и увеличение их скорости – самые критичные активы необходимо защищать в первую, но не единственную очередь. В настоящее время SOC бывают собственными, гибридными и аутсорсными. SOC –единый механизм, который держится на трех базовых принципах: команда, процессы (функционал), технологии.
Если в Security OperationsCenter правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен.
Ключевые параметры базовых принципов SOC Чем занимается команда: l первая линия – осуществляет анализ SIEM и первичный анализ; l вторая линия – проводит расследование инцидентов; l третья линия – осуществляет глубокий анализ инцидентов иартефактов; l аналитики SOC – занимаются написанием плейбуков, правил корреляции и т.д.;
l Специалисты по реагированию на инциденты. К процессам относятся: l мониторинг (Security Monitoring);
l управление уязвимостями (Vulnerability Management); l реагирование на инциденты (отработка происшествий); l форензика (криминалистика); l Compliance (соответствие стандартам); l Threat Intelligence (киберразведка); l внутренний пентест (оценка защищенности); l Threat Hunting. К технологиям относятся: l Security Information and Event Management (SIEM); l SOAR (IRP); l Knowledge Database; l Service Desk; l Vulnerability Management; l Threat Hunting Automation (+EDR); l Threat Intelligence Feeds; l Threat Intelligence Platform; l Forensic Laboratory (Sandbox); l Датчики (IDS/IPS, FW, e-mail, Proxy и т.д.). К задачам можно отнести: l сбор событий с различных источников; l нормализацию; l поиск по событиям; l корреляцию; l управление инцидентами; l систему отчетности; l управление рисками; l аналитику; l UEBA; l управление активами; l управление уязвимостями; l многое другое. Ядром SOC, как правило, выступает SIEM-система, так как решения именно этого класса позволяют анализировать огромные объемы данных в режиме реального времени. Для минимизации человеческого фактора при расследовании и реагировании на инциденты подходят IRP- и SOAR-системы. Они позволяют автоматизировать процесс реагирования на
инциденты и предоставляют наборы плейбуков (шаблонов с рекомендациями по реагированию), которые существенно облегчают работу Incident Response – команды.
То есть в первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. После того как этот этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии центра управления информационной безопасностью. Если в Security OperationsCenter правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен.
Говоря о повышении эффективности работы SOC, необходимо отметить, что одними из наиболее значимых инструментов являются SOAR-системы, так как они предлагают множество техник для автоматизации процесса реагирования. Своевременное выявление инцидентов информационной безопасности и оперативное реагирование на них является важнейшей задачей для компаний из любой сферы деятельности. Финансовые организации, безусловно, больше подвержены хакерским атакам, так как представляют наи-
22 • СПЕЦПРОЕКТ
больший интерес для злоумышленников. Именно поэтому построение единого центра реагирования и управления информационной безопасностью может стать эффективным решением для финансовой организации.
Какие есть альтернативы? Что касается полноценных альтернатив SOC, то их практически нет. Даже если заказчик внедряет SIEM-систему для выявления и расследования инцидентов ИБ – это уже не столько альтернатива, сколько первый шаг к построению своего SOC. Существует несколько причин, почему наблюдается рост интереса именно к коммерческим SOC.
В-четвертых, необходимо соблюдение требований №187-ФЗ об обязательном уведомлении об инцидентах ИБ. В-пятых, организация собственного SOC влечет за собой большие затраты (в среднем от 15 млн руб.).
В-шестых, необходимо обеспечивать круглосуточный мониторинг и поддержку экспертов по информационной безопасности.
RuSIEM Monitoring
В ноябре 2022 г. компания RuSIEM официально выпустила новый модуль собственной разработки RuSIEM Monitoring, который позволяет контролировать работу ИТ-решений заказчиков. С его помощью можно следить за параметрами
сетевое оборудование и рабочие станции; l мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы; l мониторинг информационных систем и бизнес-критичных серверов; l улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде; l удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат; l простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время.
Во-первых, найти квалифицированных специалистов в штат сложно, а содержать их дорого.
Во-вторых, даже при использовании средств защиты ИБ нет 100% уверенности в защищенности конфиденциальных данных.
В-третьих, большинство решений на рынке не обладают гибкостью и предназначены для крупных компаний с большим бюджетом.
всех компонентов, оповещать специалистов, если их значения оказываются вне заданных рамок, детально анализировать производительность оборудования, оперативно устранять ипредотвращать сбои в его работе. Новый модуль позволяет заказчикам компании RuSIEM решать следующие задачи: l мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы,
Модуль RuSIEM Monitoring прост во внедрении и использовании. Он не требует установки агентов на серверы (запуск системы в работу осуществляется за 10 минут), аподключение к серверам и сетевому оборудованию совершается в прямом смысле в один клик. Предусмотрена удаленная поддержка пользователей через внутреннюю систему HelpDesk
Своевременное выявление инцидентов информационной безопасности иоперативное реагирование на них является важнейшей задачей для компаний излюбой сферы деятельности. Что касается полноценных альтернатив SOC, то их практически нет. Даже если заказчик внедряет SIEMсистему для выявления ирасследования инцидентов ИБ – это уже не столько альтернатива, сколько первый шаг к построению своего SOC.
Модуль RuSIEM Monitoring прост во внедрении ииспользовании. Он не требует установки агентов на серверы.
авторизацией и подключением к пользователю водин клик из тикета. l • 23 IRP, SOAR, SOC www.itsec.ru На текущий момент на базе SIEM-системы RuSIEM построены несколько коммерческих SOC, предлагаемых на рынке ПАО "МегаФон", Эр-Телеком, Калуга Астрал и Информационный Центр. Решения внедрены у ряда заказчиков и успешно выполняют поставленные задачи. Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама
с доменной
Зачем нужны IRP и SOAR? IRP (Incident Response Platform) – это класс программных продуктов, предназначенный для автоматизации реагирования на киберинциденты. IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook – сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в
начала 2022 г. для большинства компаний в России повысились риски кибератак и значительного урона от них. К сожалению, многие оказались не готовы к такой ситуации: с одной стороны, налицо недостаток квалифицированных специалистов, с другой стороны, не хватает методологий и достаточного числа средств защиты для оперативного реагирования на инциденты ИБ. В то же время бизнес требует от служб информационной безопасности максимально оперативную реакцию напроисходящие атаки, а также своевременное устранение выявленных уязвимостей. Практика свидетельствует, что достичь этого в ручном режиме практически невозможно.
дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно прописать разные сценарии.
SOAR (Security Orchestration, Automation and Response) – класс программных продуктов, предназначенный для оркестровки систем безопасности, то есть их координации и управления ими. Решения класса SOAR в первую очередь позволяют автоматизировать типовые сценарии реагирования на события информационной безопасности. Сегодня эти термины стали почти синонимами и зачастую применяются в отношении одних и тех же решений. Современные платформы покрывают функционал обоих классов продуктов и неотделимы друг от друга. К основному функционалу данных систем можно отнести: l автоматизацию процесса управления инцидентами ИБ; l снижение нагрузки на персонал компании, обеспечивающий информационную безопасность; l создание и ведение единой базы инцидентов ИБ в компании; l интеграцию с уже существующими вкомпании средствами защиты; l автоматизацию реагирования на инциденты; l обеспечение взаимодействия разных структурных
ми задачами, и значимого отставания от технологий международных производителей на текущий момент не наблюдается. Ознакомимся с основными игроками на рынке, с которыми нам приходилось иметь дело, а также с новыми продуктами, вышедшими на наш рынок.
R-Vision Security Orchestration, Automation and Response (SOAR)
Платформа R-Vision SOAR предназначена для автоматизации процессов реагирования на инциденты в центрах мониторинга. Система позволяет агрегировать события из источников, выявлять инциденты, автоматически обогащает их и дает возможность автоматизировать процессы обработки, координирует работу специалистов команды ИБ. С помощью R-Vision можно настраивать сценарии реагирования (плейбуки) в визуальном редакторе. Всистеме также реализована возможность передачи информации об инцидентах в государственные центры ФинЦЕРТ и ГосСОПКА. Платформа "из коробки" поддерживает интеграцию с большим количеством систем, сервисов и продуктов. Для случая нетипичных систем есть конструктор коннекторов для управления и обмена сведениями с любыми системами при реагировании. Кроме того, платформа содержит редкий для этого класса функционал инвентаризации активов и управления уязвимостями.
оказались достаточно зрелыми для успешной работы над поставленны-
и пр., получать оперативно на одном экране необходимую информацию и, что самое важное, обеспечить прозрачность и контролируемость процесса расследования инцидентов ИБ и реализации планов устранения выявленных уязвимостей.
В качестве решения данной проблемы на рынке существуют решения класса IRP/SOAR. Они позволяют оптимизировать существующие в компании процессы реагирования на инциденты ИБ, а также автоматизировать часть рутинных процессов в работе со средствами защиты информации с помощью скриптов/интеграции
подразделений компании при расследовании и реагировании на инциденты. Основные российские решения, представленные на рынке На российском рынке ИБ было представлено достаточно много продуктов класса IRP/SOAR, как зарубежных, так и отечественных. К счастью, российские решения
Перечислим
1. Агрегация информации об инцидентах из множества источников, приведение данных к принятому 24 • СПЕЦПРОЕКТ Формализация и автоматизация процессов расследования инцидентов ИБ и эксплуатации средств защиты информации
основные возможности R-Vision SOAR, которые важны внашей работе.
С Анна Андреева, генеральный директор “Лаборатории информационной безопасности” Денис Мальгин, главный специалист отдела информационной безопасности “Лаборатории информационной безопасности”
–Какие наиболее существенные изменения произошли в российском киберландшафте за последние месяцы?
– Сейчас можно с уверенностью констатировать, что последние месяцы в информационном пространстве России ведется крупномасштабный пентест. Атакам подвергаются различного размера государственные и частные организации из многих секторов экономики. Кибернападения стали не просто частыми, они стали гораздо более разрушительными: если раньше итогом успешной APTкибератаки было требование выкупа за расшифрование данных или их неразглашение, то теперь конечной целью атаки все чаще становится полный вывод из строя инфраструктуры атакованной компании. Шифровальщики все чаще заменяются на вайперы, которые представляют из себя вредоносное ПО, нацеленное на безвозвратное удаление всей доступной информации; этого можно достичь в том числе удалением ключа расшифрования после работы ransomware. В контексте возросших киберрисков дополнительные сложности принес уход западных вендоров, отзыв лицензий, прекращение поставок программного и аппаратного обеспечения, отказ впредоставлении сервисных и консультационных услуг. На этом фоне существенно ухудшилось состояние киберзащищенности компаний, которые не сумели своевременно реализовать проекты по импортозамещению в своей инфраструктуре, а также тех, кто не сумел оперативно перестроить процессы кибербезопасности (например, путем передачи части функций на аутсорс).
– Раньше считалось, что обоснование бюджета для подразделений ИБ было нетривиальной задачей в силу сложности определения пользы от кибербезопасности для стейкхолдеров. Ситуация кардинально поменялась в период пандемии: бизнес быстро понял, что в сложившихся условиях для продолжения операционной деятельности просто необходимо перевести большую часть бизнес-процессов в онлайн и обеспечить возможность безопасной удаленной работы сотрудников. Как следствие, бюджеты на ИБ, ранее составлявшие не более 10–15% от ИТ-бюджета, по итогам 2020 и 2021 гг. выросли до 20–30%. При этом компании, демонстрирующие высокую степень цифровизации бизнес-процессов, стали инвестировать в ИБ даже еще больше. В конце февраля произошел очередной переломный момент: компании остались без лицензий и подписок, без возможности покупки нового ПО и техники, зарубежные услуги и сервисы стали недоступны, а кибератаки на инфраструктуру отечественных компаний иведомств выросли кратно. Таким образом, выполнение плана по импортозамещению и внедрению средств защиты информации фактически превратилось из комплаенс-требования в насущную необходимость. Рост же числа кибератак, которые напрямую могут повлиять на операционную деятельность компании идаже поставить под вопрос продолжение бизнеса, стал восприниматься не как что-то отдаленное, а как вполне реальная угроза. В итоге многие компании хотели бы сейчас выделить бюджеты на ИБ, но у небольших и даже большинства средних компаний недостаточно финансовых возможностей в свете текущей экономической ситуации, общего снижения деловой активности, смены модели поведения потребителей.
сейчас в услугах аутсорсинга кибербезопасности? Какие виды услуг им особенно интересны? – Одним из вариантов снижения разовых затрат на обеспечение кибербезопасности в условиях ограниченных временных и финансовых ресурсов является переход с CAPEX- на OPEX-модель затрат. Оплата по принципу Pay-as-YouGo, возможность горизонтального масштабирования, простота и скорость подключения услуг, прозрачные прогнозируемые затраты, измеримые результаты– эти существенные преимущества перевешивают традиционные опасения при передаче критичных функций на аутсорс. Всложившихся условиях санкционного давления и высоких киберрисков выбор аутсорсинговых услуг является, возможно, одним из немногих доступных вариантов, особенно для небольших компаний. Крупные компании, разумеется, обладают большей финансовой гибкостью, но и они сталкиваются струдностями: прежде всего это необходимость оперативного замещения огромного количества продуктов зарубежных вендоров, для чего требуются дефицитные квалифицированные специалисты, обладающие опытом работы с отечественными решениями. Витоге и крупные компании, иСМБ-сегмент сейчас все больше обращают внимание на предложения российских ИБ-провайдеров: 22% опрошенных нами компаний уже используют сервисную модель, 49% пока рассматривают такую возможность1. Клиентам интересны такие услуги коммерческих SOC-центров, как мониторинг иреагирование на киберинциденты, анализ защищенности инфраструктуры, сканирование на наличие уязвимостей ипентесты, проактивный поиск киберугроз, обеспечение
– Как изменилось восприятие кибербезопасности в компаниях различного масштаба и секторов экономики?
– Насколько отечественные
взаимодействия с НКЦКИ, 26 • СПЕЦПРОЕКТ Облачные решения и кибершеринг для расширения концепции SecaaS овая реальность внесла серьезную неопределенность в работу отделов информационной безопасности. С одной стороны, важность и значимость вопросов защиты инфраструктуры возросла. С другой стороны, проведение масштабного
Н
1 https://moscow.megafon.ru/corporate/services/security_index
организации заинтересованы
импортозамещения в короткие сроки оказывается слишком ресурсоемкой задачей. Могут ли стать решением внешние сервисы даже на фоне априорного недоверия к ним со стороны заказчиков?
Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон
проведение тренингов по ИБ – в МегаФон SOC мы предлагаем клиентам все вышеуказанные услуги.
– Готов ли российский бизнес доверять MSSP-/MDR-провайдерам и коммерческим SOC-центрам?
разведке. Повышенный спрос на услуги по управлению киберинцидентами действительно заметен и объясняется количеством, опасностью и скоростью кибератак, которым подвергаются сегодня российские компании. Уменьшение времени нахождения атакующих в инфраструктуре после первичной компрометации и до выполнения несанкционированных действий – тренд последних лет, и теперь деструктивная активность начинается уже спустя считанные минуты после первичного проникновения. Деструктивная активность может включать в себя как необратимое шифрование данных на устройствах, так и вывод устройств из строя путем повреждения MBR-разделов жесткого диска или путем установки некорректной прошивки на оборудование. Таким образом, масштабы последствий кибератаки напрямую зависят от скорости ее выявления и реагирования: чем оперативнее скомпрометированное устройство будет изолировано от сети компании, учетная запись – заблокирована, а сетевое соединение – сброшено, тем меньшие потери понесет компания. При этом далеко не во всех даже крупных организациях есть возможность организовать
по мониторингу,
на
и
услуги
– Какова общая структура МегаФон SOC?
• 27 IRP, SOAR, SOC www.itsec.ru
– Российский бизнес, особенно крупный, еще несколько лет назад с недоверием относился к передаче критичных функций на аутсорс, будь то бухгалтерия, ИТ или кибербезопасность. Постепенный переход на модель потребления "всёкак-услуга", в том числе и на бытовом уровне, заставило сначала пересмотреть отношение к решениям SaaS, PaaS, IaaS в ИТ-среде. А затем, по мере получения позитивного опыта, восприятие потребления прочих услуг по сервисной модели стало меняться в лучшую сторону, и в итоге разнообразные облачные продукты заняли свое достойное место наряду с on-prem-решениями. Так, например, наш сервис "МегаФон Облако" предлагает своим клиентам как ИТрешения SaaS (корпоративная почта, мессенджер, совместная работа с документами) и IaaS (облачная инфраструктура в нашем ЦОД уровня Tier III), так ирешения по кибербезопасности: это иDRaaS (Disaster-Recovery-as-a-Service, аварийное восстановление данных как услуга), и BaaS (Backup-as-a-Service, резервное копирование данных как услуга), и облачный NGFW, а также МегаФон SOC. Таким образом, услугами нашего коммерческого SOC, который в том числе предоставляет и MSSP-/MDRсервисы, смогут бесшовно пользоваться клиенты, уже работающие с инфраструктурными услугами МегаФон Облака. Такая конвергенция ИТ и ИБ поможет клиентам передать большинство задач по мониторингу состояния кибербезопасности и поддержке работоспособности инфраструктуры "в одни руки", что соответствует текущим мировым трендам на объединение усилий подразделений ИТ и ИБ по обеспечению непрерывности и безопасности бизнес-процессов. – Наблюдает ли МегаФон SOC повышенный спрос на услуги по управлению киберинцидентами? – Без сомнения, с начала года спрос на услуги по обеспечению кибербезопасности вырос примерно в пять раз. Новых заказчиков интересуют, как правило, такие сервисы, как защита от DDoS, внешнее сканирование на наличие уязвимостей, контроль защищенности периметра, которые помогают компаниям оперативно предотвратить взломы и защититься от лавины кибератак на свои веб-сервисы. Для зрелых заказчиков более интересными становятся услуги по мониторингу, реагированию ианализу киберинцидентов, ИБ-аудит, сервисы по безопасной разработке ианализу кода, защите бренда, кибервнутренний SOC-центр и круглосуточную дежурную смену, а в сегменте малого исреднего бизнеса – тем более. Таким образом, вариант подключения
анализу
реагированию
киберинциденты выглядит для клиента не только экономически целесообразным, но и едва ли не единственным способом решения задачи.
– Любой SOC состоит из людей, процессов и технологий: у нас команда высококлассных экспертов, которая врежиме 24/7 обеспечивает наших клиентов трехуровневой поддержкой, авыстроенные внутренние процессы позволяют выполнять нормативы по выявлению и реагированию на киберинциденты. В части технологий мы предлагаем клиентам два архитектурных варианта: облачную реализацию, при которой события от элементов инфраструктуры заказчика передаются через защищенный канал в нашу инфраструктуру для обработки в SIEM и IRP, либо смешанную реализацию, когда SIEMсистема уже стоит у клиента и передает нам готовые инциденты. Поддержка
а SOC-Форуме – 2022 компании “Ростелеком-Солар", “Лаборатория Касперского", Positive Technologies и BI.ZONE раскрыли новый формат своего взаимодействия. Вконце февраля на фоне колоссального роста атак компании создали своего рода киберштаб для совместной защиты
Для этой цели эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом.Для помощи российским организациям в этот период были ускорены все коммерческие инициативы: команды работали в три смены, подключая клиентов, в том числе под атакой. При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты. События в киберпространстве после 24 февраля 2022 г. стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели публиковались вспециализированных телеграм-каналах, злоумышленники по классической схеме использовали массовые международные ботнеты. Однако у этих атак были и специфические черты. Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы продажи ж/д и авиабилетов проходили в начале сезона отпусков, на сайты вузов –вначале и конце приемной кампании, а в период праздников– DDoS ключевых ресурсов, обеспечивающих видеотрансляции. Во-вторых, хакеры с помощью специализированного ПО сформировали ботсеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано 250тыс. устройств. В-третьих, злоумышленники использовали и нестандартные способы DDoS-атак с территории РФ.
Например, за счет заражения видеоплеера на популярном видеохостинге хакеры включили всвой ботнет устройства ничего не подозревающих российских зрителей. Созданная злоумышленниками инфраструктура использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают фокусно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса. Ведь натекущий момент в российском Интернете содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых вебконсолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний, причем многие их этих уязвимостей довольно старые и проэксплуатировать их может даже школьник, так что количество взломов, скорее, ограничивается числом атакующих. За восемь месяцев совместной деятельности объединенная группа разработала несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТармиям других стран. Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка. l
вызовов и угроз безопасности государства в условиях сложившейся геополитической обстановки позволяет сделать вывод, что целевые компьютерные атаки на информационную инфраструктуру отраслей экономики нашей страны являются одним из основных способов ведения гибридных войн, активно применяемых всовременных военных конфликтах. Согласно
• 29 IRP, SOAR, SOC www.itsec.ru
российских организаций. Н Лидеры рынка кибербезопасности объединились на фоне возросших угроз Анализ современных
государственные органы и
не смогут использовать программное обеспечение иностранного происхождения на значимых объектах критической информационной инфраструктуры, атакже средства защиты информации, произведенные в недружественных странах. При этом новые полномочия Минэнерго России по мониторингу представления организациями ТЭК сведений о результатах категорирования позволят в том числе отслеживать процесс реализации мероприятий по импортозамещению программного обеспечения ипрограммноаппаратных комплексов. Энергетическая отрасль обладает профессиональными кадрами для решения поставленных перед ней задач. Российская математическая школа – лучшая вмире, наши граждане "на генетическом уровне" предрасположены к освоению математических
в
очередь, должно внести существенный вклад всоздание и развитие искусственного интеллекта. l Антон Семейкин, директор Департамента экономической безопасности вТЭК Минэнерго России Колонкаэксперта Практика кибератакампротиводействия и построения центров мониторинга ИБ
президентским указам, с 1 января 2025 г.
государственные заказчики
моделей иобладают способностями к программированию, что,
свою
патенты и лицензии Реестр российского ПО
российских
Реестр российского ПО, лицензии ФСТЭК России (СЗКИ, ТЗКИ)
Простой и удобный инструмент для регистрации инцидентов, управления их жизненным циклом, создания сценариев реагирования Архитектура Поддерживаемые ОС Debian, Astra Linux Linux, Windows Поддерживаемые СУБД СУБД PostgreSQL PostgreSQL 9.6 х64 и более поздние версии Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД) Да Нет Минимальное количество серверов для установки 3 1 Встроенная ролевая модель разграничения доступа Изменяемая Изменяемая Возможности по резервированию Active-Passive и Active-Active Нет Журналирование изменений объектов в системе От системы От пользователей и от системы Поддержка работы в режиме мультиарендности Да Нет Поддержка концепции low-code/no-code Да Да Возможность настройки структуры основного меню Да Да Дополнительные
Позиционирование
визуализация
30 • СПЕЦПРОЕКТ
Сравнение
Название решения NextSTage IRP Makves IRP Компания-разработчик ООО "ОМС Солюшн" ООО "Маквес групп" Компания, предоставившая информацию ООО "ОМС Солюшн" ООО "Маквес групп" Поддержка интерфейса на русском языке Да Да Поддержка интерфейса на других языках Нет Нет Сертификаты,
модули системы Оркестрация,
Не
SLA
8x5,
8x5,
IPR-система с расширенными возможностями no-code кастомизации и гибкими архитектурными возможностями Телефон, e-mail, онлайн, мессенджеры Телефон, e-mail Управление инцидентами Ведение единой базы инцидентов Да Да Автоматическая инвентаризация активов Да Да Конструктор карточки инцидентов Да Да
требуются
техподдержки
24х7
24х7 Формат техподдержки
решений класса IRP/SOAR
сфункционалом
ПО, сертификат ФСТЭК России по 4 уровню доверия
Ключевой инструмент для эффективности SOC: агрегирует инциденты, автоматизирует обогащение, реагирование изащитные меры
Реестр российского ПО, сертификат ФСТЭК России, сертификат оперативно-аналитического центра при президенте Республики Беларусь
Российский программный комплекс класса IRP/SOAR/SGRC/TIP/CMDB предназначен для автоматизации процессов ИБ и ИТ
Устанавливается на среду виртуализации, ОС не важна
CentOS, RedHat Enterprise Linux, Debian Astra Linux "Орёл" или "Смоленск", REDOS, ALT Server, ALT 8 SP Server
PostgreSQL 11.14, Jatoba J1
CentOS, RedHat Enterprise Linux, Oracle Linux, Ubuntu, Astra Linux "Орёл" или "Смоленск", ALT Linux, РЕД ОС, Debian, Microsoft Windows Server Решение коробочное, дополнительных инсталляций не требуется
PostgreSQL 10 и выше, PostgreSQL PRO 10 ивыше, СУБД ЛИНТЕР, MS SQL Server Standard 2016 и выше
изменяемая Изменяемая кастомизируемая, штатная преднастроенная Active-Passive и Active-Active Active-Passive Active-Passive и Active-Active
пользователей и от системы От пользователей и от системы, самодиагностика
Да, полный функционал, используемый MSSP провайдерами
Да, входит в рейтинг Low-code платформ 2022 (CNews)
Да, меню и брендинг полностью кастомизируются под заказчика (цвета, логотипы, меню, структура, функции и др.) Не требуются
TIP, SENSE, TDP, SGRC, Endpoint IRP/SOAR, SGRC, TIP, CMDB, управление активами и инвентаризацией, управление уязвимостями, ГосСОПКА, взаимодействие с ФинЦЕРТ, TIP, управление рисками кибербезопасности, управление соответствием требованиям 187-ФЗ (КИИ), управление соответствием требованиям информационной безопасности, управление операционными рисками, аналитика Big Data ML
• 31 IRP, SOAR, SOC www.itsec.ru
UserGate LogAnalyzer R-Vision SOAR Security Vision Security Orchestration Automation and Response (Security Vision IRP/SOAR) UserGate ООО "Р-Вижн" ООО "Интеллектуальная безопасность" UserGate ООО "Р-Вижн" ООО "Интеллектуальная безопасность" Да Да Да Да, английский Да, английский Да, английский, возможность добавлять любые языки Реестр российского ПО Реестр российского
UserGate LogAnalyzer – NG SIEM
IRP и SOAR
Изменяемая
Нет Нет Нет 1 1 1
Преднастроенная,
От пользователей От
Да Да
Нет Да
Да Да
По согласованию 8x5 8x5, 24х7 По согласованию Телефон,
Телефон,
Да Да Да Нет Да Да Нет Да Да
e-mail
e-mail, онлайн-портал, мессенджеры
Название решения
Типовые настраиваемые playbook для реагирования на инциденты Да Да
Настройка playbook в визуальном конструкторе Да Да
Возможность запускать атомарные действия по инциденту вне playbook Да, возможен запуск отдельных скриптов автоматизации действий вИТ-инфраструктуре
Да Механизм выявления killchain-атаки Нет Нет
Возможность настройки playbook для каждого этапа killchain Настройки playbookдля разных типов инцидентов Нет Способы подключения к источникам данных API, IMAP, POP3, SMTP, СУБД, XML, CSV REST API Обмен информацией с ФинЦЕРТ Нет, в разработке Нет Обмен информацией с ГосСОПКА Да Нет Совместимость с MITRE ATT&CK Нет Нет Коробочная интеграция с ИБ-системами SIEM, TIP, DLP SIEM, DCAP, IAM Конструктор интеграций Да Да Возможность синхронизации объектов двух экземпляров системы Да, при иерархической архитектуре Да Реагирование Автоматическое реагирование на выявленные инциденты Да Да Автоматическое назначение ответственного на инцидент с учетом текущей загрузки Да Да Приоритизация инцидентов Да Да Обогащение инцидентов
32 • СПЕЦПРОЕКТ
NextSTage IRP Makves IRP
Да
Да
Да
схеме связей инцидента с ИТ-активами Да Да Изоляция зараженных систем, вредоносных файлов Да Да Автоматическая эскалация профильным специалистам Да Да Блокировка доступа и учетных данных, анализ доступа к сети Да Да
Да Поддержка SLA
Да Наличие предустановленных скриптов, реализующих технические действия
Да Отображение на
API Syslog API, XML, Email, СУБД, Syslog, закрытые протоколы
API, XML, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение и закрытые протоколы, др. Да Да Да Да Да Да Да Да Да
SIEM, TIP, DLP SIEM, TIP, DLP, САЗ, ITSM, сканеры безопасности, системы мониторинга ИТ-инфраструктуры, СЗИ от НСД, управление безопасностью сети и др.
SIEM, TIP, DLP, AV, EDR, PAM, FW, IPS/ IDS, WAF, NGFW, NTA, SANDBOX, ITSM, Vuln. and IT scaners, ESG, SECURITY SERVICES & FEED, СЗИ от НСД, E-mail Security, SGRC и др.
• 33 IRP, SOAR, SOC www.itsec.ru
UserGate LogAnalyzer R-Vision SOAR
Security Vision Security Orchestration Automation and Response (Security Vision IRP/SOAR) Нет Да Да Нет Да Да Нет Да Да Да Да Да Нет Да Да
Да Да
Да Да Да,
и
Да Да Да Да Да Да Да Да Да Да Да Да Нет Да Да, с отслеживанием и визуализацией Да Да Да Да Да Да Да Да, с использованием модуля Endpoint Да Нет Да Да Да Да Да
Да
нативно
иерархично
Способы подключения к реагирующим системам
PowerShell, SSH, API , СУБД, SNMP, закрытые протоколы API Способы оповещения об инциденте E-mail
E-mail, Telegram, СМС, RSS, закрытые протоколы Поддержка языков описания скриптов реагирования Python, возможна реализация на других языках
Python, Powershell, JavaScript Визуализация сценария реагирования Да Да Поддержка динамических сценариев реагирования (playbook) с логическими операторами Да Да Возможность запуска нескольких сценариев дляодного инцидента Нет Да Возможность запуска сценариев из сценариев Нет Да Возможность автоматического объединения инцидентов в группы Да Да Управление индикаторами компрометации Да Да Использование технологий машинного обучения Нет Да Анализ и восстановление Планирование и автоматизация восстановительных работ Нет, в разработке Да Поддержка ретроспективного анализа Да Да Отображения локального графа расследования вкарточке инцидента и актива Реализована статусная модель обработки инцидента Да Управление уязвимостями Да Да Обогащение информации по уязвимостям из внешних источников Да Да База знаний нормативных актов и best-practice Да Да Отчетность Готовые отчеты и дашборды Да Да Дрилл-даун в дашбордах Да Да API для выгрузки в стороннюю систему Да Да Отчеты по конкретному объекту Инциденты, активы, уязвимости Инциденты, активы, уязвимости Конструктор отчетов и графиков Да Да Экспорт
34 • СПЕЦПРОЕКТ
Название решения
NextSTage IRP Makves IRP
информации по активам, инцидентам и другим элементам системы Да Да Приобретение Модель тарификации Приобретение Приобретение Факторы влияющие на стоимость Количество ИТ-активов, количество операторов, модули, срок и уровень технической поддержки Количество операторов системы Пробный период или пилот Пилот, от 2 недель до 3 месяцев Пробный период 30 дней Сайт с подробностями решения https://innostage-group.ru/ https://makves.ru/irp
API
E-mail, SSH, API , СУБД, SNMP, закрытые протоколы
API, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение изакрытые протоколы, и др. E-mail СМС
E-mail, Telegram, СМС, RSS, закрытые протоколы
E-mail, Telegram, внутренняя лента, СМС, RSS, закрытые протоколы
Bash, PowerShell, CMD, JavaScript, Python Python, Bash, Shell скрипт Unix, cmd, bat, PowerShell, Java, JavaScript и др.
• 35 IRP, SOAR, SOC www.itsec.ru
UserGate LogAnalyzer
R-Vision SOAR
Security Vision Security Orchestration Automation and Response (Security Vision IRP/SOAR)
Нет
Нет Да Да Нет Да Да Да Да Да Да Да Да Да Да Да Да Да Да В разработке Да, с использованием модуля SENSE Да, апробированные технологии в компаниях Enterprise-сегмента Нет Да Да Да Да Да Нет Нет Да Нет Да Да Да Да Да Нет Да Да Да Да Да Да Да Да Да Да Да Инциденты, активы, пользователи Инциденты, активы, уязвимости Инциденты, активы, уязвимости,по заданному объекту Да Да Да Да Да Да Приобретение или подписная модель Приобретение или подписная модель Приобретение или подписная модель Количество подключаемых источников информации Объем инфраструктуры, состав дополнительных модулей Состав выбранных модулей, количество лицензий на коннекторы (конкурентные лицензии), режим функционирования (количество дополни-
нод
Пробный период или пилот –до 3 месяцев Пробный период или пилот – длительность по договоренности Пробный период или пилот – длительность подоговоренности Анализ инцидентов ИБ | UserGate Log Analyzer | UserGate https://rvision.ru/products/soar https://www.securityvision.ru/ Приведенные данные предоставлены соответствующими компаниями. Редакция не проверяла их соответствие деиствительности.
тельных
портала, тенантов)
Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон Данил Бородавкин, менеджер продукта R-Vision SOAR в компании R-Vision Роман Ванерке, технический директор, АО “ДиалогНаука” Максим Степченков, совладелец компании RuSIEM
П
на перестраивающемся российском рынке информационной безопасности. Направления этого развития, с одной стороны, вписываются вмировые тренды, но, с другой стороны, учитывают российскую специфику. Редакция журнала “Информационная безопасность” поинтересовалась точкой зрения как разработчиков и интеграторов, так и профессиональных пользователей систем SOAR.
Александр Голубчиков, МегаФон: Сужение рынка ИБ-решений за счет ухода иностранных игроков могло обрадовать лишь ограниченное количество отечественных вендоров-новичков. Успешные зрелые игроки на протяжении последних лет побеждали в открытых конкурсах при прямом функциональном сравнении с западными аналогами и поэтому точно знают, что качественные решения рождаются внепрерывной борьбе за заказчика, абез должной конкуренции всегда есть риск деградации продуктов и сервисов. При этом в сложившихся условиях роста кибератак насущные требования клиентов мотивируют российских вендоров на разработку функциональных продвинутых решений, которые смогут в кратчайшие сроки заместить иностранных конкурентов, предлагая в том числе более привлекательную совокупную стоимость владения и выгодные модели лицензирования. Роман Ванерке, ДиалогНаука: Снижение конкуренции, безусловно, влияет на рынок. На нашем рынке есть несколько конкурентных SOAR-решений, которые используются в крупных организациях. Такая конкуренция также влияет на функциональность – продукты, безусловно, развиваются, а их качество повышается. Данил Бородавкин, R-Vision: Наличие сильных, разнопланово развитых конкурентов служит стимулом для наращивания функциональности продукта и улучшения его качества. Поэтому уменьшение конкуренции – это всегда негативный фактор для рынка. Но мы в R-Vision продолжаем придер-
живаться ранее выбранной стратегии и развивать свои продукты с оглядкой на зарубежных конкурентов, чтобы предлагать нашим клиентам решения, не уступающие по функционалу и качеству иностранным. Что касается стоимости российских SOAR-систем, то существенных изменений в этом вопросе нет. На мой взгляд, ситуаций, когда после ухода зарубежных вендоров российские разработчики резко подняли цены на свои продукты, не наблюдается. Средняя стоимость SOAR на рынке и до этого формировалась в основном на базе ценовых предложений отечественных компаний. Максим Степченков, RuSIEM: Функционал отечественных IRP-/ SOAR-систем уже находится на достаточно хорошем уровне, и они с большим отрывом лидируют на российском рынке по объему продаж. Ведь именно российские решения в полном объеме учитывают специфику нашего рынка, например необходимость автоматизации процессов взаимодействия с ГосСОПКА и ФинЦЕРТ. Ни один иностранный вендор такого предложить не может. Впрочем, и несколько лет назад купить вРоссии SOAR- или IRP-систему иностранного производства было не так-то и просто, так как иностранные вендоры на тот момент не видели больших перспектив развития данного направления в нашем регионе и попросту не поставляли решения этого класса. Единственное следствие ухода иностранных решений – это появление новых российских игроков и рост конкуренции.
Александр Голубчиков, МегаФон: В условиях непрерывных кибератак, срочного импортозамещения и растущего спроса на квалифицированные кадры внедрение упрощенных способов настройки продвинутых решений может оказать положительный эффект при внедрении и поддержке продуктов. Указанные концепции не означают упрощение функционала или недоступность каких-то настроек из интуитивно понятного графического интерфейса. Скорость и простота переконфигурирования СЗИ может иметь решающее значение в случае выявления новой актуальной киберугрозы или как мера постреагирования на киберинцидент. Мы при выборе решений обращаем на это внимание и используем в том числе продукты, поддерживающие концепцию Low-Code/No-Code.
Данил Бородавкин, R-Vision: Технологии Low-Code/No-Code во всех областях своего применения –это путь для повышения скорости решения рутинных задач и уменьшения доли ручной работы, при этом без затрат на профессиональную разработку. Но нужно определять необходимость применения этих технологий в конкретных областях. Так, например, такой подход не пригодится для решения задач, где требуется высокая производительность и/или использование очень сложной логики, которую проще реализовать и поддерживать в виде классического программного кода. Тем не менее в ИБ существует огромное количество задач, которые могут решаться с использованием концепции Low-Code/No-Code. К ним относятся обогащение инцидентов данными TI и CMDB, выполнение управляющих команд на средствах защиты, рассылка уведомлений,
приоритета реагирования) и др. Максим Степченков, RuSIEM: Использование Low-Code/No-Code является правильным, особенно в проКак сказывается уход иностранных вендоров на функциональности истоимости российских систем IRP/SOAR? Является ли правильным и востребованным внедрение концепции Low-Сode и No-Code впродуктыдля информационной безопасности? 36 • СПЕЦПРОЕКТ Перспективные направления развития российских решений класса SOAR латформы SOAR активно развиваются
авто-triage (предварительное выставление
дуктах для информационной безопасности. Оно позволяет не только увеличить скорость решения определенных задач, но и существенно снизить вероятность ошибок. Роман Ванерке, ДиалогНаука: Если решение не только функциональное, но и удобное и понятное для широкого круга безопасников, это существенно повышает вероятность того, что внедренную систему будут использовать и она найдет свое место у заказчика.
Александр Голубчиков, МегаФон: Использование облачных технологий в сложившихся условиях может быть действительно экономически целесообразно: замена капитальных затрат операционными расходами, гибкие возможности горизонтального масштабирования, передача провайдеру части задач по администрированию привлекают клиентов. При этом кажущееся размытие зон ответственности, отсутствие возможности оперативно сменить архитектуру решения или провайдера, а также традиционные опасения при передаче чувствительных данных и инструментов "в третьи руки" могут отпугнуть некоторых заказчиков. Однако текущие обстоятельства заставляют пересмотреть консервативный подход в пользу минимизации киберрисков, и одним из самых доступных оперативных выходов будут как раз облачные SOAR-решения, подтвержденные ответственностью, репутацией и опытом крупных MSSP-игроков. Данил Бородавкин, R-Vision: Вопрос скорее не в облачном SOAR, а в использовании облачных технологий в принципе. На сегодняшний день при прочих равных условиях корпоративный сегмент,
мой
решение on-premise.
RuSIEM:
SOAR
сто предоставление его под запрос, то это не дает никаких преимуществ, кроме необходимости быстрого разворачивания. И при этом все данные будут передаваться из внутренней сети во внешнюю. Если же рассматривать оказание сервиса через облако, то таких проектов множество и фактически любой SOC, использующий гибридную схему, предоставляет такую услугу.
Данил Бородавкин, R-Vision: Проблемы с аппаратным обеспечением сказываются на всех сегментах рынков ИТ и ИБ, но в первую очередь страдают высоконагруженные системы. SOAR можно отнести к системам со средними показателями по требованию к железу. И если для больших инсталляций СУБД вопрос железа является краеугольным, то для SOAR это скорее вторичный фактор. Но в текущей ситуации внимания к нему, разумеется, становится больше.
Максим Степченков, RuSIEM: На рынке IRP/SOAR дефицит микроэлектроники скажется существенно слабее, чем для других систем, так как требования к ресурсам ничтожны по сравнению с той же SIEM.
Роман Ванерке, ДиалогНаука: Дефицит скажется на всех, и IRP/SOAR в данном случае не отличается
в условиях гетерогенной среды. При этом развитие технологий происходит в парадигме упрощения их использования. ИБ-процессы масштабны и зачастую выходят за рамки SOARсистем. Вне зависимости от того, какие маркетинговые термины использовать для описания различных классов систем, рынок стремится к появлению экосистем, на базе которых можно обеспечивать управление ИБ из одной точки и бесшовно решать задачи пользователя без переключения между консолями нескольких приложений. Каждый вендор старается создать такую экосистему на базе уже имеющихся у него решений и дополнять ее недостающим функционалом. По такому принципу развивается и наша компания. Совсем недавно мы представили на рынок собственную экосистему технологий для эволюции SOC– R-Vision EVO, которая объединила существующие технологии R-Vision, в том числе и класса SOAR, а также совсем скоро дополнится новыми технологиями. Максим Степченков, RuSIEM: Очевидным и, наверное,
тельно
на
взгляд, скорее выбирает
Максим Степченков,
Если относить к облачному
про-
от других ИТ- и ИБ-решений. Данил Бородавкин, R-Vision: Консолидация ИБ на базе SOAR имеет свои преимущества. Так как SOAR изначально является системой-оркестратором, она может управлять совершенно разными продуктами, которые уже используются в организации. Иными словами, на базе SOAR можно обеспечивать управление ИБ в масштабах всей организации
самым главным преимуществом использования SOAR-систем является возможность автоматизировать процессы управления и
Действительно,
ИТ и информационной, экономической, физической безопасности) может помочь выстроить эффективную Как скажется дефицит микроэлектроники на рынке IRP-/SOARрешений? В условиях нехватки кадров и роста сложности технологий заказчики неизбежно задумываются оконсолидации ИБ-процессов на базе тех или иных ИБ-платформ. Вчем для заказчика преимущества подобной консолидации вокруг SOARрешений? Может быть, есть другие альтернативы? Есть ли перспектива уоблачного SOAR вРоссии? Что является препятствием для развития этого направления? • 37 IRP, SOAR, SOC www.itsec.ru
реагирования на инциденты. Любая автоматизация приводит к снижению нагрузки на персонал и, как следствие, кснижению операционных расходов. Вусловиях дефицита высококвалифицированных кадров это играет действи-
важную роль. Александр Голубчиков, МегаФон:
конвергенция технологий, а также целых направлений (например,
инфраструктуру компании. Объединение вокруг решения по кибербезопасности, такого как SOAR, позволяет повысить прозрачность и контролируемость бизнес-процессов и информационных потоков, а также своевременно выявить киберугрозы и отреагировать на киберинциденты. Консолидация вокруг единого решения может также стать и единой точкой отказа для всей инфраструктуры, поэтому логично было бы выстраивать конвергенцию в виде экосистемы взаимосвязанных и дополняющих друг друга технологий и решений. Это могут быть как продукты от одного вендора, так и построенные на единой технологической платформе системы (например, на основе стека гибких, масштабируемых и проверенных решений Open Source).
Так что SOAR не заменяет SIEM, но существенно автоматизирует работу операторов SOC-центра по управлению киберинцидентами и, таким образом, делает SOC более эффективным.
Александр Голубчиков, МегаФон: Ядром современного SOC-центра, как правило, является производительная SIEM-система, в которой тщательно настроены все необходимые источники данных, парсеры, правила корреляции, справочники, интеграции с внешними системами. Архитектурно SIEM проектируется для обработки большого потока событий и их корреляции, а SOAR принимает на вход сформированные инциденты от SIEM и взаимодействует сбольшим количеством интегрируемых систем для обогащения (контекстуализация инцидента) и отправки управляющих команд в интегрированные ИТ-/ИБсистемы (сдерживание, устранение угрозы). Серьезные SOAR-платформы предоставляют возможности по аналитике киберинцидентов, интеграции с поставщиками данных о киберугрозах, возможности по визуализации и отчетности, а также работу в режиме мультиарендности, что важно для MSSP. Например, для нашей коммерческой услуги МегаФон SOCмы выбрали платформу Security Vision SOAR, функционал которой оптимален для решения всех вышеупомянутых задач.
Максим Степченков, RuSIEM: Краткий ответ: да, SOAR нужна, но не обязательна. В первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. Если посмотреть чуть детальнее, то для выстраивания эффективной работы SOC вовсе не обязательно использование SOAR. Если все процессы в SOC выстроены правильно, наняты квалифицированные сотрудники, внедрена икорректно настроена SIEM-система, то такой SOC, безусловно, будет весьма эффективен. После того как данный этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии вашего центра управления информационной безопасностью. Для повышения эффективности работы SOC именно SOAR-системы являются одним из наиболее значимых инструментов, так как предлагают множество возможностей для автоматизации процесса реагирования на инциденты.
Роман
Ванерке, ДиалогНаука:
SOAR, как и SIEM, – это один из кирпичиков эффективного SOC. Одно из основных преимуществ SOAR – это автоматизация рутинных задач, ее еще часто упоминают как средство замены первой линии инженеров в SOC. Другим безусловным преимуществом SOAR является выстраивание понятного процесса расследования (playbook), элементы которого либо автоматизируются, либо указывают специалисту, что необходимо сделать для дальнейшего движения по процессу Данил Бородавкин, R-Vision: SOAR – это инструмент командной работы над потоком инцидентов и автоматизации. Если не обсуждать вырожденные случаи, то решать такие задачи в любом случае необходимо. Разумеется, можно использовать различные скрипты, запускать их вручную и параллельно использовать дополнительные инструменты для работы с потоком тике-
тов (в том числе встроенные в SIEM) –на каком-то этапе развития такое решение может быть приемлемым. Но если мы говорим о повышении эффективности, увеличении скорости реагирования, гибкости SOC в части адаптации своих процессов под новые задачи и возникающие угрозы, то необходимо специализированное решение, каким и являются SOAR-системы. Александр Голубчиков, МегаФон: Решения XDR и SSE отличаются от SOAR не только моделью реагирования на киберинциденты: как правило, решения XDR и SSE являются моновендорными (то есть могут интегрироваться срешениями только от одного производителя), при этом SSE ориентированы только на облачные инфраструктуры. Платформы SOAR являются более универсальными решениями: могут использоваться и в on-prem, и в облачных инфраструктурах, а вендоронезависимые SOAR могут интегрироваться срешениями от различных производителей, что повышает гибкость внедрения. При этом зрелые SOAR-решения поддерживают распределенную установку компонент реагирования в различных сегментах сети, и установка в облаке не станет сложностью. Вероятно, в будущем вендоры все же выберут модель взаимодействия с различными решениями, что отвечает количеству уже внедренных продуктов и скорости появления новых технологий, которые потребуется бесшовно интегрировать в единую консолидированную платформу для обеспечения кибербезопасности.
Данил Бородавкин, R-Vision: Считаю, что будущее в синергии этих подходов. Простые задачи по реагированию с низким уровнем ложноположительных срабатываний, где инциденты и внедрение мер локализованы одним хостом, можно и нужно решать автономно на оконечных устройствах, аболее сложные, требующие предварительного обогащения, оркестрации, а также интерактивного взаимодействия с пользователем
и
Является распределенная модель реагирования на инциденты на основе XDR иSSE противопоставлением централизованной идее, заложенной в SOAR? Закаким направлением будущее в перспективе 3–5 лет? Нужнали SOAR для эффективной работы SOC? Можно обойтись другими платформами, например SIEM? 38 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru
в ходе расследования
реагирования, – на уровне SOAR. l
Начьей стороне время?
лоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно имраспорядиться.
По нашим экспертным оценкам, активное сканирование злоумышленниками IP-адресов на наличие уязвимых сервисов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK1. Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут подготовить инструкцию и набор команд для развития векторов атак. Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бесплатным? В первые дни, как правило, нет. До начала массовой эксплуатации уязвимости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявленных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправлено меньше половины – 47%.
Разная сложность – разная скорость Если злоумышленник стремится захватить узел, продать доступ или запустить майнер, то он может обойтись одним эксплойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привилегии, получить доступ к ключевым сегментам сети и целевым серверам, компьютерам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выполнена злоумышленниками для последующей перепродажи своих результатов специализированным группировкам, что занимает время и удлиняет цепочку атаки. В итоге на всю атаку целиком злоумышленникам может потребоваться не
15 минут, а несколько недель. По данным Positive Technologies, за 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.
Добавить трудностей хакерам Важно максимально затруднить работу киберпреступнику, а именно сделать реализацию потенциальной атаки максимально невыгодной с точки зрения затрачиваемых ресурсов. Для этого нужно провести следующие тактические мероприятия: l определить недопустимые события, именно для вашей организации; l выделить ключевые бизнес-процессы и целевые системы, для которых недопустимые события должны быть невозможны; l разделить сеть на критические сегменты под каждую целевую систему; l повысить базовый уровень безопасности путем харденинга настроек целевых систем; l регулярно проводить инвентаризацию активов, контролировать периметр и критические сегменты сети: отслеживать появление новых узлов и сервисов, изменение настроек их безопасности; l организовать службу контроля защищенности, мониторинга и реагирования на инциденты; l участвовать в киберучениях, организовывать повышение квалификации специалистов по ИБ; l повышать киберграмотность сотрудников. Игра на опережение Злоумышленники торопятся с выпуском эксплойтов, а значит, и вам важно действовать проактивно: l анализировать киберугрозы и мониторить
l в случае обнаружения новых релевантных инфраструктуре уязвимостей –анализировать возможность выявления фактов их эксплуатации по косвенным признакам в сети или на узле и описывать полученные результаты в правилах детектирования угроз;
l выявлять сетевые и узловые аномалии с помощью специализированных решений класса NTA4 и XDR5, отправлять сработки на корреляцию событий в SIEMсистему; l мониторить инциденты с помощью SIEM-решений6, используя соответствующие правила детектирования; l реагировать по дежурным процедурам в четко поставленные сроки, включая активные действия в инфраструктуре. Откуда ждать помощи?
При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эшелонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка правил их детектирования требуют уникальных компетенций, которые имеют единичные представители компаний –лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях.
Поэтому применение систем управления уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экспертизой разработчика может значительно повысить уровень информированности об угрозах и фактической защищенности. Объединение экспертизы поставщика решений в сфере ИБ изнаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопасности в условиях реальных вторжений со стороны атакующих. l
• 39 IRP, SOAR, SOC www.itsec.ru
публикации о новых уязвимостях2 (используйте экспертизу производителей VM-решений3 по приоритизации
уязвимостей);
З
На правах рекламы 1
2–6
Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies Ваше мнение и вопросы присылайте по адресу is@groteck.ru
https://mitre.ptsecurity.com/ru-RU/techniques
https://www.ptsecurity.com/ru-ru/products/
Что лучше: свой SOC или внешний?
В
Немного теории Вспомним, что из себя представляет SOC.
SOC (Security Operation Center) –аббревиатура, принятая в российском деловом сообществе, скорее всего придуманная маркетологами, используемая для обозначения центров мониторинга и реагирования на инциденты информационной безопасности. Существует мнение, что аббревиатура SOC абсолютно неверно используется, потому что в ней нет и намека на информационную безопасность. Тем не менее это практичнее, чем длинное название "центр мониторинга и реагирования на инциденты информационной безопасности" или даже его сокращение –ЦМРИИ.
Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности № линии Люди Процессы (функции) Технологии 1. Специалист по взаимодействию с пользователями, специалист пообнаружению компьютерных атак, специалист по обслуживанию (поддержке) технических средств
опрос создания и функционирования центров мониторинга иреагирования на инциденты информационной безопасности является актуальным для многих компаний уже более четырех лет. Крупные организации, прежде всего субъекты критической информационной инфраструктуры, создали собственные центры или пользуются услугами специализированных компаний. Нонекоторые предприятия все еще пытаются понять, как правильно выстроить процессы мониторинга и реагирования на инциденты, что делать самим, а что передать на аутсорсинг, –рассмотрим несколько подходов к решению этого вопроса.
1. Внутренний (собственный) – все процессы мониторинга и реагирования на инциденты обеспечиваются самой организацией (далее – заказчик).
дают стороннему юридическому лицу, специализированной организации, имеющей соответствующую лицензию, а в недалеком будущем еще и аккредитацию (далее – подрядчик). СПЕЦПРОЕКТ
Взаимодействие с пользователями Мониторинг событий, обнаружения атак и инцидентов Фиксация атак и регистрация инцидентов Инвентаризация и поддержка технических средств Взаимодействие с другими SOC, в том числе НКЦКИ1Средства защиты конечных устройств, средства защиты периметра сети, средства сбора информации оконфигурации информационных ресурсов
Классический SOC базируется на триаде "люди, процессы, технологии" и имеет три уровня (см. таблицу).
Помимо линий, в SOC есть руководитель, осуществляющий функции управления, координации и контроля.
В зависимости от наличия этих линий SOC бывают разных классов, от начального, где в наличии только первая линия, до выполняющего полный набор функций, имеющего все три линии. Кроме того, существуют различные уровни зрелости SOC2. Чем выше уровень, тем более зрелым, функциональным и совершенным является SOC. Переведя теоретические знания в практическую плоскость, можно ответить на вопрос "Что делать самим, а что передать на аутсорсинг?". Внутренний и внешний SOC Принято считать, что есть три варианта SOC:
2. Специалист по оценке защищенности, специалист по реагированию на инциденты, специалист порасследованию инцидентов
Анализ уязвимостей информационной инфраструктуры Реагирование на компьютерные атаки иинциденты Установление причин и анализ последствий компьютерных инцидентов Взаимодействие с другими SOC, в том числе НКЦКИ
по различным направлениям деятельности, юрист Анализ информации, предоставляемой специалистами первой и второй линий Анализ угроз безопасности, разработка моделей угроз Разработка рекомендаций по совершенствованию деятельности
и организационно-распорядительных документов Экспертная поддержка по различным направлениям деятельности
(вредоносное программное обеспечение, компьютерная криминалистика и т. п.) Нормативно-правовое сопровождение деятельности SOC
2019. № 5. С. 24–25.
2. Внешний (аутсорсинговый) –реализацию всех процессов пере40 •
Взаимодействие с другими
числе НКЦКИ
1 НКЦКИ – Национальный координационный центр по компьютерным инцидентам. 2 Пример уровней зрелости SOC можно посмотреть в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность.
Средства анализа защищенности, средства (системы) управления событиями информационной безопасности 3. Аналитик-методист, эксперт (эксперты)
SOC
SOC, в том
Средства
(системы) реагирования на инциденты информационной
безопасности, средства обнаружения (разведки) угроз, инструменты компьютерной криминалистики
КиберНЕустойчивость
и как с ней бороться
татистика компьютерных инцидентов за 2022 год показывает неуклонный рост количества как массовых, так и целенаправленных компьютерных атак. По оценкам участников рынка, в отдельных отраслях наблюдается рост внесколько раз в сравнении с аналогичным периодом прошлого года. Заметное влияние на это в том числе оказывает геополитическая ситуация.
К "классическим" атакам, целью которых является получение материальной выгоды, добавились атаки, реализуемые из идеологических соображений хактивистами, стремящимися вызвать общественный резонанс, привлечь внимание к социальным и политическим вопросам. В этой связи мишенью становятся не только популярные ранее объекты, такие как финансовые организации, государственные учреждения, ИТ, телекоммуникационные компании и т.д., но и сферы, которые прежде злоумышленников практически не интересовали, – СМИ, промышленность, агропромышленный комплекс и транспорт. Наиболее распространенными являются DDoS-атаки, атаки на веб-ресурсы, утечки конфиденциальной информации и персональных данных. Растет и количество атак, направленных на нарушение работы и перехват управления системами и сетями. Такие атаки могут приводить к нарушению деятельности или эко-
номическому ущербу организаций различных масштабов, а также выходящим за пределы самих организаций негативным последствиям, в частности социальным, политическим и экологическим. Нормативное регулирование вопросов киберустойчивости С учетом актуальности задач обеспечения киберустойчивости в отдельных отраслях вводится соответствующее нормативное регулирование. С 1 октября 2022 г. кредитные и некредитные финансовые организации (далее – ФО) при осуществлении деятельности в сфере финансовых рынков должны обеспечивать операционную надежность в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники и телекоммуникационного оборудования. Указанные требования устанавливаются положениями Банка России № 787-П и № 779-П, которые не являются чем-то совершенно новым: детальный анализ показывает, что они лишь расширяют и дополняют требования ранее действовавшей нормативной базы. Рассмотрим отдельные вопросы, регулируемые указанными положениями, подробнее. Формирование структурированного перечня критичной
l технологические процессы и их участки, реализуемые в ФО; l подразделения (работников) ФО, ответственные за разработку, поддержание выполнения и реализацию технологических процессов, а также осуществляющие доступ к объектам информационной инфраструктуры ФО, задействованным в технологических процессах;
l поставщиков услуг в ИТ-сфере, реализующих технологические процессы и/или их участки;
l взаимосвязи между участниками в рамках выполнения технологических процессов.
В положениях № 787-П и № 779-П определен типовой перечень технологических процессов, обязательных для учета и контроля. В рамках инвентаризации целесообразно расширить данный перечень и рассматривать отдельные критические процессы, идентифицированные в рамках работ по категорированию объектов КИИ организации. Определение показателей операционной надежности для технологических процессов Банк России
критичной архитектуры. При этом состав элементов критичной архитектуры схож с элементами критической информационной инфраструктуры (далее – КИИ), определяемыми в соответствии с нормативными документами в области безопасности КИИ (программно-аппаратные средства, общесистемное и прикладное ПО, каналы связи и др.). Дополнительно необходимо идентифицировать:
в положениях № 787-П и № 779-П необходимость оценки и обеспечения контроля показателей операционной надежности, в том числе: l доли деградации технологических процессов; l времени простоя и/или деградации технологического процесса; l суммарного времени простоя и/или деградации технологического процесса; l соблюдения режима работы (функционирования) технологического процесса.
ФО должны определить допустимые уровни показателей и обеспечить оценку
архитектуры В соответствии с положениями №787-П и № 779-П ФО должны
работы по идентификации и
провести
учету
развивает подход, согласно которому деятельность не может быть управляема, если она не может быть измерена, определив
42 • УПРАВЛЕНИЕ
С Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП Екатерина Степанова, ведущий консультант отдела аудита и консалтинга АМТ-ГРУП, к.т.н.
каждому событию операционного риска, связанного с нарушением операционной надежности, фактических значений показателей, а также обеспечить контроль соблюдения значений целевых показателей. Для реализации указанных в положениях № 787-П и № 779-П требований необходимо разработать (актуализировать) комплект нормативно-методических документов. В документах должны быть регламентированы процедуры: l выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности; l обеспечения непрерывности деятельности при наступлении события операционного риска, связанного с нарушением операционной надежности; l организации взаимодействия с участниками технологического процесса и заинтересованными сторонами. Выполнение требований пооперационной надежности Кроме рассмотренных выше процедур, финансовые организации должны обеспечить выполнение следующих процессов и процедур: l управление уязвимостями и обновлениями; l планирование и внедрение изменений в критичной архитектуре; l управление конфигурациями объектов информационной инфраструктуры; l управление рисками реализации информационных угроз и технической зависимости функционирования информационной инфраструктуры при привлечении поставщиков услуг; l моделирование информационных угроз в отношении критичной архитектуры. Как правило, при реализации требований к обеспечению защиты информации в соответствии с положениями Банка России № 683-П и № 757-П в ФО указанные процессы и процедуры уже должны быть реализованы. Следует удостовериться, что ранее внедренные процессы защиты информации в том числе охватывают все компоненты критичной архитектуры.
сти, обеспечению доступности, планированию действий в нештатных ситуациях.
Приведем основные шаги, позволяющие повысить киберустойчивость инфраструктуры предприятия вне зависимости от его отраслевой принадлежности: 1.Определить, какие системы поддерживают и/или обеспечивают управление и контроль критических процессов. 2.Оценить, к каким негативным последствиям в худшем сценарии могут привести действия злоумышленников вотношении систем. Исходя из этого, определить, насколько чувствительны отдельные системы для процессов организации, каково допустимое время их простоя и время допустимой потери данных.
3.Обеспечить создание резервных копий и тестирование возможности восстановления систем из них. При неблагоприятном стечении обстоятельств, когда злоумышленники достигли цели и парализовали работу отдельных систем и/или процессов, наличие актуальных резервных копий может гарантировать, что прерывание процессов не будет катастрофичным. При формировании плана резервного копирования необходимо учесть не только непосредственно данные систем, но и данные связанной инфраструктуры (например, конфигурации телекоммуникационного оборудования, средств защиты информации).
лярной основе специализированных решений для проверки соответствия учетных записей требованиям безопасности можно отнести к одному из шагов. 6.Формализовать подход к реагированию на инциденты, по возможности регламентировать правила взаимодействия и порядок действий внутренних подразделений и привлечения третьих сторон. Отсутствие четкого плана действий и понимания зон ответственности приводит к потере времени в случае нештатных ситуаций и инцидентов, что увеличивает масштаб возможных негативных последствий и время последующего восстановления систем и процессов.
в мировом масштабе актуальна достаточно давно, сформированы и применяются лучшие практики, международные стандарты обеспечения непрерывности процессов и систем. И в отечественных нормативно-правовых актах по отдельным направлениям (например, по безопасности КИИ РФ) уделяется большое внимание вопросам управления инцидентами информационной безопасно-
4.Обеспечить своевременную установку необходимых обновлений. Злоумышленники могут в первую очередь ориентироваться на легкодостижимые цели, например общедоступные сервисы с известными уязвимостями. 5.Слабые или заданные по умолчанию пароли, скомпрометированные учетные записи значительно упрощают реализацию атаки. Анализ результатов проводимых оценок защищенности показывает, что пользователи и администраторы зачастую используют легко подбираемые пароли на критичных сервисах. Использование на регу-
Нельзя не отметить, что одним из важнейших вопросов в рамках обеспечения киберустойчивости в текущих условиях является выбор ИТ- и ИБрешений. Многие зарубежные производители покинули российский рынок, основная часть зарубежных решений перестала полноценно функционировать, продлить подписки нет возможности, собновлениями также возникают проблемы. Кроме того, усиливается законодательное регулирование в части ограничения применения иностранного ПО и средств защиты информации. Замена неподдерживаемого оборудования и ПО является одной из задач врамках обеспечения киберустойчивости. При этом заменить все и сразу, как правило, не представляется возможным, в том числе ввиду ограниченности финансовых и временных ресурсов. При планировании замены также целесообразно учитывать критичность отдельных систем и оборудования: в первую очередь внимания требуют те, которые обеспечивают критические процессы, где потенциальное влияние инцидентов и сбоев может привести к критичным последствиям. l
по
Практические поповышениюмероприятиякиберустойчивости Банк России сформировал отдельные отраслевые требования. Казалось бы, организациям остальных отраслей не на что опереться. Однако проблема обеспечения киберустойчивости
• 43 УПРАВЛЕНИЕ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "АМТ-ГРУП" см. стр. 52 NM Реклама
Биткойн-криминалистика для деанонимизации
криптомиксеров и транзакций CoinJoin
Александр Подобных, руководитель Санкт-Петербургского РО АРСИБ, руководитель Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт
В
отличие от алгоритмов, люди всегда оставляют следы. Биткойн по природе публичен, история его транзакций может быть легально просмотрена кем угодно. И хотя пользовательские публичные адреса в блокчейне не дают возможность идентификации конкретных лиц, стоящих за каждой операцией, но технологии анализа развиваются, и они все эффективнее позволяют связывать адреса с личностями. Поэтому со временем появились технологии разрыва связей между транзакциями – миксеры, тумблеры и CoinJoin.
Высокую степень несвязанности предоставляет интересный подход, называемый CoinJoin. Он заключается в объединении средств нескольких пользователей в одну транзакцию. Сам факт существования CoinJoin достаточен для того, чтобы поставить под сомнение методы анализа криптотранзакций.
1
Миксеры,
тумблеры иCoinJoin
В широком смысле миксинг (микширование) монет может означать любую деятельность, связанную с обфускацией финансовых средств и заменой их другими. Применительно к криптовалютам под миксингом обычно подразумеваются услуги третьей стороны, которая принимает средства пользователей и за небольшую комиссию возвращает криптомонеты, уже не имеющие связи с отправленными. Эти сервисы известны как тумблеры или миксеры. Безопасность и анонимность таких централизованных сервисов, конечно, сомнительна, ведь пользователь не получает гарантии возврата своих средств и их валидности. Фактически в процессе миксинга пользователь временно отказывается от контроля над своими средствами, надеясь получить обратно монеты, не связанные с отданными. Кроме того, выполняющая миксинг сторона может логировать IPибиткойн-адреса, а это угрожает конфиденциальности пользователей. Более высокую степень несвязанности предоставляет интересный подход, называемый CoinJoin. Он заключается в объединении средств нескольких пользователей в одну транзакцию. Так как входы объединяются, становится невозможно однозначно связать конкретный выход транзакции с каким-либо входом. После тран-
закций CoinJoin никакие свидетельства не могут гарантированно доказать связь пользователя с его предыдущими транзакциями. Таким образом, CoinJoin служит чем-то вроде черного ящика для миксинга монет, скрывающего связь между старыми и новыми владельцами криптосредств. Многие решения CoinJoin являются децентрализованной альтернативой микшерам. Несмотря на то что в схеме может присутствовать координатор, пользователям не нужно отказываться от временной потери контроля над своими средствами. Новейшие реализации CoinJoin позволяют пользователям надежно объединять свои входные данные с десятками других, обеспечивая высокую степень несвязности. Например, в середине 2019 г. была успешно выполнена транзакция с сотней участников. Сам факт существования CoinJoin достаточен для того, чтобы поставить под сомнение методы анализа криптотранзакций. В большинстве случаев можно понять, что был использован CoinJoin, но нельзя узнать, кому какие средства были переведены. В оценке киберпреступности ЕС за 2020 г. сервисы кошельков, использующие концепции CoinJoin, такие как Wasabi иObscuro, были признаны главной угрозой наряду с хорошо зарекомендовавшими себя централизованными микшерами2
https://academy.binance.com/ru/articles/coin-mixing-and-coinjoins-explained
Obscuro, поддерживая децентрализованную службу микширования, к тому же использует антифорензивные методы, например аппаратные среды доверенного выполнения (TEE) для защиты своих операций от операционной среды. Содержимое защищенного анклава шифруется и хранится в оперативной памяти, теоретически оставляя минимальные артефакты на диске системы, вкоторой он работает. Obscuro использует защищенный анклав Intel SGX System Secure Enclave для отделения данных приложений от остальной части системы. Исследователи назвали эту и аналогичные технологии TEEs BANKLAVES (банклавы).
Почему используются криптомиксеры? Большинство пользователей сервисов микширования используют их с целью конфиденциальности. Такая конфиденциальность важна тем, кто по различным причинам хочет совершать финансовые операции анонимно.
Небольшой процент пользователей миксеров являются киберпреступниками. Они используют сервисы смешения, чтобы скрыть связь между криптокошельками, которые используются ими для сбора незаконной прибыли, и криптокошельками, с которых они переводят средства на криптофиатные биржи. Таким образом они стремятся избежать срабатывания предупреждений в антифродсистемах, связанных с отмыва-
2 https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2020.pdf
44 • ТЕХНОЛОГИИ
нием денежных средств. В июле 2022 г. около 10% всех криптовалют, принадлежащих незаконным сервисам, были отмыты именно через миксеры. Биткойн-криминалистика Для биткойн-криминалистики важно, что координатор CoinJoin имеет представление о пользовательской информации, которая может позволить cвязать входные данные с пользователем. Это открывает возможность обнаружения значимых артефактов (свидетельств), если инфраструктура криптосервиса будет подвергнута криминалистическому анализу. В мае 2019 г. голландская служба финансовой информации и расследований (FIOD) втесном сотрудничестве сЕврополом и властями Люксембурга конфисковала шесть серверов Bestmixer.io, контролирующих потоки Bitcoin, Bitcoin Cash и Litecoin.
Изъятие серверов злоумышленников и надлежащее восстановление информации помогают обеспечить значительную степень раскрытия анонимности этих транзакций. Если исследователям известны биткойнадреса, принадлежащие как интересующему лицу, так и стороннему сервису микширования, они могут идентифицировать транзакции между ними. В 2021 г. сотрудники Эдинбургского университета Нейпира опубликовали исследование3, описывающее инструментарий и методологию для анализа сервисов смешивания биткойнов, доступ к которым был получен после судебного изъятия. Они изучили, какие реальные, общедоступные инструменты и методы раскрываются криминалистически, а также проанализировали источники артефактов, которые потребуют дальнейшего академического внимания. Тестовая среда упомянутых кошельков была развернута на виртуальных машинах, затем использовался ряд инструментов компьютерно-технической экспертизы для исследования созданных виртуальных образов на наличие значимых артефактов. Задействованные инструменты смогли восстановить широкий спектр кримина-
листических свидетельств и позволили обнаружить, что сетевые активности и файлы системных журналов являются полезными источниками свидетельств для деанонимизации служб микширования. Наиболее эффективные методы защиты от криминалистической экспертизы, используемые службами микширования, включали шифрование данных при передаче и в состоянии покоя. Obscuro микшировал в защищенном анклаве, но последующая запись этих данных на диск в зашифрованных артефактах сделала это микширование избыточным и привело к компрометации данных.
Инструменты анализа транзакций Исследователи использовали различные наборы криминалистических инструментов, азатем по результатам их работы выполнялся поиск конкретных криминалистических артефактов. Преимущество в том, что для поиска значимых доказательств можно применять множество инструментов, предоставляющих расширенные возможности: захват файлов ипотоков данных, анализ сигнатур и более глубокий синтаксический анализ конкретных приложений.
1. Autopsy, один из основных инструментов цифровой криминалистики с открытым исходным кодом, позволяющий анализировать жесткие диски, смартфоны, флеш-карты и т.д.
2. FTK Imager, программное обеспечение с открытым исходным кодом, которое было выбрано за его мощную способность монтировать и анализировать файлы образов.
3. AXIOM, платный комплексный набор инструментов, позволяющий захватывать снепшоты устройств, обрабатывать образы для восстановления данных, он предоставляет аналитические инструменты.
4. Для анализа и исследования сетевого трафика использовался инструмент Wireshark, а для исследования снепшотов памяти – LIME и Volatility. На сегодняшний день доступны экспертные инструменты для анализа транзакций и кластеризации адресов, которые пре-
3 https://www.napier.ac.uk/~/media/worktribe/output-2817546/ablockchain-framework-in-post-quantum-decentralization-accepted-version.pdf
вращают криптотранзакции впростую визуализацию, подкрепленную точными данными об атрибуции адресов. Заключение По состоянию на 2022 г. в России запрещено использование криптовалют в качестве средства платежа, но при этом по-прежнему растут криптофинансовые потоки и незаконные финансовые сервисы на теневом рынке, в том числе и миксеры криптовалют. Между тем в Евросоюзе уже создан регулирующий орган AMLA, которому поручен прямой надзор за криптобизнесом. При столкновении с биткойнмиксером, разработанным для сокрытия источника биткойнов и личности пользователей, правоохранительным органам требуется специфический набор навыков и инструментов для отслеживания средств, совершенно отличный от соответствующего комплекта для сбора криминалистических доказательств в случае более традиционных форм отмывания денежных средств. Кроме того, пока еще проведено мало исследований, направленных на рассмотрение и изучение криминалистического анализа сервисов смешивания биткойнов. Аналитические платформы уже достаточно развиты для того, чтобы видеть все криптотранзакции. Примером является программное обеспечение Chainalysis для обеспечения соответствия требованиям в сфере оборота криптовалют. В России для этих целей работает платформа КОСАтка. Не следует забывать, что использование Tor в Wasabi, как правило, помогает в решении проблем конфиденциальности и безопасности, но субъекты угроз, ищущие биткойнтрафик, могут и действительно нацеливаются на узлы Tor в попытках украсть средства или раскрыть пользователей. В ближайшем будущем стоит ожидать появления криминалистических инструментов с применением поддельных нод Tor и дистанционным сбором свидетельств с хостов и облачных ресурсов для нужд криминалистической экспертизы. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
Изъятие серверов злоумышленников и надлежащее восстановление информации помогают обеспечить значительную степень раскрытия анонимности этих транзакций.
В 2021 г. сотрудники Эдинбургского университета Нейпира опубликовали исследование, описывающее инструментарий и методологию для анализа сервисов смешивания биткойнов.
По состоянию на 2022 г. в России запрещено использование криптовалют в качестве
рынке.
средства платежа, но при этом по-прежнему растут криптофинансовые потоки и незаконные финансовые сервисы на теневом
• 45 КРИПТОГРАФИЯ www.itsec.ru
производительности мобильных приложений
тремительное развитие технологий заставляет рынок мобильных приложений постоянно расти и меняться. Почти четверть 1 всех скачанных приложений (24%) используются лишь один раз. Почему? В основном из-за того, что они не оправдывают ожиданий пользователей. Технические неисправности, большой размер приложения и непонятный интерфейс – самые типичные причины удаления. Тот факт, что каждый пятый пользователь никогда больше не запустит ваше приложение после одного сеанса, огорчает. Но даже ите, кто дадут вам второй шанс, будут оценивать продукт довольно придирчиво. Поэтому ваша цель – не просто непопастьв эти 24% приложений, которые сразу же удаляют, но и оправдать ожидания пользователей. И в достижении этой цели вам помогут специалисты по обеспечению качества.
Важный этап проверки любого мобильного приложения перед выпуском на рынок – тестирование. Вы можете использовать следующие виды тестирования приложений: l функциональное тестирование; l тестирование интерфейса; l интеграционное тестирование; l тестирование на различных мобильных платформах и устройствах; l тестирование безопасности и др. Сегодня я хочу сделать акцент на тестировании производительности. Впроцессе разработки программного обеспечения, в том числе в сфере информационной безопасности, тестирование производительности и нагрузки является важнейшим этапом перед выпуском программного продукта. Качественно проведенное тестирование гарантирует стабильную и безопасную работу приложения, удовлетворенность пользователей и позволяет избежать задержек релиза и лишних расходов. Внесу
сти собственно мобильного приложения (включая потребление внутренних ресурсов мобильного устройства и расхода батареи), а также тестирование производительности сервера и сети. При тестировании производительности сервера эксперты нагружают не мобильное приложение, а сервер, который обрабатывает запросы от приложения. Ниже речь пойдет именно про тестирование серверной части, но для удобства я буду использовать всем знакомое определение "мобильное приложение".
Типы тестирования производительности
1. Стресс-тестирование подразумевает тестирование приложений при экстремальных нагрузках, чтобы проверить, как оно справляется с огромным трафиком и обработкой данных. Цель – дойти до предела и выявить точку отказа приложения.
2. Тестирование масштабируемости позволяет определить эффективность масштабирования приложения для обработки растущей
5. Нагрузочное тестирование – это нефункциональный тип тестирования, спомощью которого специалисты по обеспечению качества проверяют, способно ли приложение справиться с ожидаемой пользовательской нагрузкой. Цель тестирования: устранить проблемы производительности до того, как приложение выпустят на рынок.
Почему важно проводить нагрузочное тестирование мобильных приложений Нагрузочное тестирование крайне важно в жизненном цикле мобильной разработки, поскольку позволяет создать устойчивую инфраструктуру приложения, которая удовлетворит все потребности конечных пользователей. С помощью нагрузочного тестирования мы определяем его возможности до официального релиза. При помощи нагрузочного тестирования тестировщики измеряют и анализируют:
l производительность подсистемы, отвечающей за баланс нагрузки; l уровни использования ресурсов; l ошибки в работе ПО; l максимальное количество пользователей, с которым приложение может справиться до сбоя; l недостатки архитектуры ПО. Нагрузочное тестирование мобильных приложений2 для Android и iOS зачастую проводят с использованием эмуляторов. Но такой подход не обеспечивает достижения 100% тестового покрытия. Для проведения тестов лучше использовать реальные устройства из парка компании по тестированию. Эксперты "Точки каче-
ясность: существует разделение на тестирование производительно-
пользовательской нагрузки. 3. Во время тестирования на
ливость сервер проверяют с нагрузкой, растянутой в течение длительного времени, чтобы оценить работу приложения при продолжительном использовании. Цель теста: убедиться,
приложение сможет выдержать расширенную нагрузку без ухудшения времени отклика. 4. Тестирование объема определяет работу приложения при вводе больших данных в базу данных.
вынос-
что
46 • ТЕХНОЛОГИИ Особенности и цели тестирования
С Денис Кульчавый, заместитель директора и ведущий технический эксперт вкомпании по тестированию программного обеспечения “Точка качества” Тестирование производительности –процесс оценки общей производительности системы под нагрузкой с точки зрения таких показателей, как доступность, время отклика и надежность. Тестирование производительности позволяет выявить и устранить недостатки в работе ПО и является важным этапом разработки мобильных приложений. 1 https://clevertap.com/blog/customer-experience-optimization/ 2 https://tquality.ru/services/testing_automation/
DevSecOps-платформы класса ASOC
В отличие от классических методологий разработки, DevSecOps позволяет интегрировать задачи безопасности во все этапы создания ПО, включая начальные. Реализовать DevSecOps можно разными способами. Вкачестве альтернативы сложным подходам на рынке есть решения класса ASOC, которые способны сэкономить время, финансы и трудовые ресурсы компании, а также сократить time-tomarket.
DevSecOps-платформы класса ASOC могут повысить эффективность тестирования безопасности и обеспечить защиту разрабатываемого ПО, при этом не замедляя сроки поставки. По данным Gartner, приведенным в обзоре Hype Cycle for Application Security, 2021, проникновение подобных решений на рынок составляет от 5 до 20% для клиентов из целевой аудитории. Но на практике распространение этой технологии меньше из-за низкого уровня осведомленности о существовании платформ такого типа. Решение класса ASOC интегрирует всуществующие CI/CD-пайплайны инструменты тестирования безопасности – AST. За счет этого создаются конвейеры ИБ и реализуется переход от DevOps к DevSecOps. Продукт обеспечивает прозрачное взаимодействие в реальном времени между инженер-
инансовые и репутационные показатели компании во многом зависят от безопасности разрабатываемого ПО. Рост киберпреступности, высокая потребность в новых продуктах и сокращение сроков разработки становятся предпосылками для внедрения DevSecOps. По данным зарубежных аналитиков, в текущем году эту методологию будут использовать более 90% 1 организаций-разработчиков. Согласно глобальному отчету о рынке DevSecOps за 2021 г. компании Research and Мarkets, сектор методологии безопасной разработки будет расширяться с максимальным среднегодовым темпом более 25%. Таким образом, к 2028 г. объем мирового рынка составит $17,24 млрд. Сегодня все больше компаний разного масштаба выбирает системы DevSecOps класса ASOC (Application Security Orchestration and Correlation) для безопасной разработки ПО.
ными командами и экспертами ИБ. Платформа осуществляет функциональность оркестрации, то есть настраивает и реализует конвейеры безопасности, атакже выполняет корреляционный анализ проблем, найденных инструментами AST, иагрегирует собранные данные, формирует на их основе метрики и отчеты. Инструменты ASOC по результатам своей работы предоставляют отчеты орисках безопасности и связанных сними бизнес-рисках. Помимо этого,
платформы интегрируют инструменты сканирования безопасности в процесс разработки ПО. В рамках оркестрации и корреляции DevSecOps платформа врежиме реального времени получает и обрабатывает огромный массив информации, связанной с разработкой, тестированием и безопасностью. Все эти данные позволяют наладить обратную связь с платформой и настроить интеллектуальное управление всем жизненным циклом безопасной разработки ПО.
48 • ТЕХНОЛОГИИ Технологии искусственного интеллекта и машинного
в DevSecOps-платформах
обучения
класса ASOC
Ф Юрий Шабалин, ведущий архитектор информационной безопасности Swordfish Security Рис. 1. Роль платформы ASOC в процессе DevSecOps 1 https://www.vedomosti.ru/press_releases/2022/01/27/t1-cloud-i-solidlab-otsenili-tendentsii-razvitiya-devsecops-v-rossii
Настройка интеллектуального
управления В платформу класса ASOC можно добавить инструменты анализа собранных данных. Для этого необходимо создать дополнительный функциональный модуль для консолидации, хранения и анализа полученной информации. Вот как это можно сделать. Шаг 1. Собрать данные от инструментов разработки ПО и сканирования безопасности и загрузить их в специальное хранилище данных (Data Warehouse).
Шаг 2. Сформировать набор метрик на основе собранных данных. Шаг 3. Добавить к метрикам бизнесконтекст и определить ключевые показатели эффективности (KPI). Шаг 4. Разработать дашборды для управления платформой DevSecOps на основе исходных данных, метрик и KPI. Анализировать собираемую информацию, а также быстро адаптироваться к происходящим изменениям и улучшать процедуру поставки ПО помогают технологии искусственного интеллекта (AI) и машинного обучения (ML). Чтобы настроить интеллектуальное управление платформой, нужно скорректировать шаги реализации функциональности дополнительного модуля для работы с данными. Первые три шага, указанные выше, остаются прежними, а на четвертом нужно обработать исходные данные, метрики и KPI спомощью технологий искусственного интеллекта и машинного обучения. После этого можно формировать дашборды для управления платформой DevSecOps на основе обработанных данных, метрик и KPI.
С точки зрения практики ASOC технологии AI/ML могут улучшить работу оркестрации и корреляции. Оркестрация Автоматическая проверка критериев качества ПО AI в платформах класса ASOC может динамически формировать состав и критерии прохождения каждой точки контроля качества артефактов ПО. Для этого AI использует собранную информацию и данные метрик. Сформированные искусственным интеллектом точки контроля качества ПО и их критерии позволят решать, готова ли сборка к выходу на следующий этап жизненного цикла ПО. Сиспользованием технологий AI можно продвигать артефакты по DevSecOps-конвейеру в максимально автоматизированном режиме. Решения будут приниматься по итогам сканирования сборки в различных средах –это позволит быстро и непрерывно выпускать релизы. Автоматизированные точки контроля качества могут включать проверку раз-
Рис. 2. Реализация функционального модуля для консолидации, хранения и анализа собранных данных
Рис. 3. Настройка интеллектуального управления платформой класса ASOC
личных практик AST. Их конфигурация способна динамически изменяться– это зависит от стадии конвейера ИБ. Таким образом, можно установить точки контроля в CI/CD-пайплайнах, настроить их критерии и управлять с помощью этого инструмента качеством ПО.
CI/CD-пайплайн как код Для масштабной реализации DevSecOps подход к управлению CI/CD-пайплайнами как к коду дает очевидные преимущества. Компании, применяющие такую концепцию, получают механизм для улучшения процессов развертывания, запуска, управления и отслеживания статуса своего ПО. Современные решения класса ASOC позволяют строить конвейеры ИБ "из коробки" нажатием одной кнопки. С помощью технологий AI/ML можно автоматически обнаруживать компоненты ПО и создавать для них CI/CD-пайплайны с точно определенными критериями качества. AI может инвентаризировать артефакты ПО, в автоматическом режиме создавать сквозные конвейеры и заранее встраивать в них вызовы инструментов ИБ на основе контекста и ряда параметров разрабатываемого продукта. Технологии AI также способны динамически определять порядок и количество контрольных точек качества ПО в каждом конвейере CI/CD. Этот подход помогает ускорить выпуск продуктов, поскольку весь процесс, от первого коммита вветке до выхода финального релиза, тщательно контролируется. Корреляция Технология AVC как часть процесса разработки ПО Технологии AI/ML дают возможность построить механизм корреляции проблем безопасности AVC (Application Vulnerability Correlation) на основе данных, полученных из инструментов тестирования безопасности. Процесс корреляции включает в себя ML-модель, которая может автоматически отфильтровывать ложноположительные срабатывания,
выявлять дубликаты и однотипные проблемы ИБ и группировать их в единый дефект ИБ.
Этот механизм значительно сокращает время, необходимое на устранение проблем безопасности. Таким образом, команда может сосредоточиться на крайне важных уязвимостях и нарастить скорость распознавания угроз в разрабатываемом ПО. Автоматизированное руководство поустранению уязвимостей Среди обнаруживаемых
проблем всегда встречаются типовые уязвимости, втом числе критические, которые можно устранить несложными способами. Технология AVC находит и приоритизирует дефекты ИБ, а также автоматически предоставляет рекомендации по устранению проблем. Платформы ASOC умеют собирать данные об уязвимостях из различных сканеров безопасности с помощью практик тестирования – SAST, SCA, DAST ит.д. Если внедрить технологии AVC ипредоставить им подробные стандарты и детальные рекомендации по безопасному кодированию для каждого языка программирования, то это позволит технологиям формировать шаблоны защищенного кода, настроенные под особенности реализации DevSecOps в компании. Управление соответствием
индустриальным
ИБ и требованиям регуляторов. Процесс управления требованиями можно полностью автоматизировать в рамках жизненного цикла продуктов – это значительно облегчит выполнение задач в компании. Автоматические проверки на соответствие требованиям и стандартам должны гарантировать, что все критерии соблюдены и ПО можно выпускать в промышленную эксплуатацию. В рамках платформ класса ASOC технологи AI/ML
требованиям ИБ При разработке ПО одним
• 49 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru
из важных аспектов является соответствие
стандартам
позволяют организовать непрерывный мониторинг соответствия на основе статуса точек контроля качества ПО с возможностями предиктивного анализа. Поитогам мониторинга команда будет получать заключение о соответствии разрабатываемого ПО необходимым требованиям.
Заключение Платформы класса ASOC являются эффективными решениями для внедрения DevSecOps. Возможности таких платформ позволяют не только наладить процесс безопасной разработки в компании, но и сделать его максимально автоматизированным за счет технологий
AI и ML и значительно сократить объемы ручного труда, а также сроки поставки ПО на рынок.
Решения класса ASOC представляют собой следующее поколение DevSecOpsплатформ, поскольку они позволяют решать проблемы безопасности для ПО любой архитектуры и сложности без замедления скорости поставки. Но как показывает практика, лишь малая часть организаций знает о платформах ASOC, поэтому компании используют классические подходы внедрения методологии в формате точечной автоматизации без перспектив дальнейшего масштабирования. Однако на рынке уже есть эффективные продукты, которые способны облегчить жизнь сразу всем, кто работает над ПО, в том числе от российских вендоров. В частности, такие платформы, использующие технологии AI/ML, интегрируют процесс анализа и контроля ИБ-приложений в существующие процессы DevOps и позволяют сократить сроки реализации DevSecOps до нескольких недель. l
границу периметра по однонаправленному каналу Особенности: реализован на российской сертифицированной аппаратной платформе, российском программном обеспечении Возможности: однонаправленное взаимодействие гарантировано на физическом уровне: l Поддержка сетевых протоколов FTP/FTPS, SFTP, CIFS, UDP l Поддержка промышленных протоколов OPC UA, Modbus, MQTT l Поддерживаемые интеграции с WinCC, KepServerEX, MasterScada и другими SCADA-системами
l Возможность подключения внешних коннекторов
Характеристики: производительность до 1 Гбайт/с (1000Base-T, RJ45); формфактор 1U 19"; электропитание 100–240 В (AC), макс. 60 В Ориентировочная цена: предоставляется по результатам заполнения опросного листа
Время появления на российском рынке: февраль 2022 г. Подробная информация: www.infodiode.ru Фирма, предоставившая информацию: АМТ-ГРУП См. стр. 42–43
UserGate LogAnalyzer
Производитель: ООО "Юзергейт", UserGateТМ Сертификат: cертификат ФСТЭК России (в процессе получения) Назначение: Next Generation SIEM Особенности: полный цикл работы ссобытиями безопасности, от сбора логов с инфраструктуры до выявления инцидентов, их расследования и формирования отчетности Возможности: сбор логов со всей инфраструктуры, хранение и журналирование событий, поиск и выявление инцидентов в режимах ретроспективного анализа и реального времени. Работа по расследованию инцидентов, обогащение данных по инцидентам, реагирование на инциденты как в автоматическом режиме, так и в ручном и формирование отчетности Ориентировочная цена: по запросу Время появления на российском рынке: сентябрь 2022 г.
Подробная информация: https://www.usergate.com/ru/products/logan Фирма, предоставившая информацию: UserGate См. стр. 20–21
СёрчИнформ SIEM
Производитель: СёрчИнформ Сертификат: № 4424, выдан ФСТЭК России Назначение: обработка потока событий, выявление угроз, расследование ИБ-инцидентов Особенности: l Легкое внедрение l Простота использования l Подходит среднему и малому бизнесу l Учитывает опыт тысяч клиентов Возможности: l Сбор событий из различных источников. SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса l Нормализация и обогащение событий. Приведение событий к единому формату с использованием стандартных операторов
50 • ТЕХНОЛОГИИ Рис. 4. Управление платформой DevSecOps на всех этапах жизненного цикла ПО Ваше
НОВЫЕ ПРОДУКТЫ АПК InfoDiode SMART Производитель: АМТ-ГРУП Назначение: обеспечивает передачу данных одновременно по нескольким промышленным протоколам через
мнение и вопросы присылайте по адресу is@groteck.ru
НОВЫЕ ПРОДУКТЫ
и обогащение событий недостающей информацией l Корреляция и применение правил. Анализ событий и формирование инцидентов в соответствии с прави-
И УСЛУГИ
лами. Детектирование угроз путем выявления корреляций событий и/или инцидентов l Оповещения и инцидент-менеджмент. Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования Ориентировочная цена: по запросу Время появления на российском рынке: доступно Подробная информация: https://searchinform.ru/products/siem/
Интеллектуальная платформа Security Vision
Производитель: ООО "Интеллектуальная безопасность" Сертификат: № 4574 от 02.09.2022, выдан ФСТЭК России Назначение: российский программный комплекс, который позволяет выстроить и автоматизировать процессы управления информационной безопасностью. Особенности: l конструкторы NO-code и LOW-codе для гибкой и индивидуальной настройки
l Карточки и таблицы для описания любых объектов инфраструктуры l Рабочие процессы для цифровой трансформации кибербезопасности l Нативная интеграция с любыми источниками данных. 100+ готовых коннекторов "из коробки" l Отчеты в автоматическом режиме по собственным шаблонам и расписанию l Дашборды на основе встроенного BIдвижка, аналитика данных "на лету" для быстрого принятия решений и анализа информации
l Меню и роли для создания своего брендированного центра реагирования с поддержкой мультиарендности
Возможности:
l Модуль управления инцидентами (IRP/SOAR)
l Модуль управления активами и инвентаризацией (AM)
l Модуль управления уязвимостями (VM)
l Модуль взаимодействия с НКЦКИ (ГосСОПКА)
l Модуль взаимодействия с ФинЦЕРТ
l Модуль анализа угроз кибербезопасности (TIP)
l Модуль управления рисками кибербезопасности
l Модуль управления соответствием требованиям 187-ФЗ (КИИ)
l Модуль управления соответствием требованиям информационной безопасности (ISO 27001, ГОСТ Р 57580, PCIDSS, SWIFT, приказы ФСТЭК России, положения Банка России и др.)
l Модуль управления операционными рисками (716-П Банка России)
l Модуль управления операционными рисками (проектный)
l Модуль управления соответствием требованиям информационной безопасности с автоматической оценкой autoSGRC (проектный)
l Модуль аналитики Big Data ML (проектный)
Время появления на российском
рынке: доступно Подробная информация: https://www.securityvision.ru/
Экосистема R-Vision EVO
Производитель: R-Vision Назначение: комплекс взаимосвязанных технологий, компонентов и выстроенных между ними процессов, благодаря которым компании строят и развивают SOC до необходимого уровня зрелости Особенности:
l Наличие встроенных единых интеграционных механизмов, конфигураций, ролевых моделей и других функций l Решение задач на стыке технологий икомпонентов экосистемы l Возможность поэтапного наращивания и расширения функционала экосистемы по мере роста потребностей SOC l Достижение быстрых результатов за счет опыта и экспертизы вендора l Формирование долгосрочного плана развития SOC и построения эффективной защиты Возможности: l Security Asset Management – выстраивает процесс управления активами организации, автоматизирует построение ресурсно-сервисной модели и сбор всеобъемлющей инвентаризационной информации, контролирует установленные обновления
l Vulnerability Management – автоматизирует процесс управления уязвимостями, агрегирует данные по уязвимостям и приоритизирует их обработку на основании автоматически рассчитанного рейтинга. Рейтинг динамический и может быть адаптирован под конкретную организацию
l Endpoint Security – собирает и инвентаризирует
объектов и осуществляет динамическую оценку угроз и аномалий
l Security Orchestration, Automation, Response – автоматизирует процесс управления инцидентами ИБ, агрегирует данные по инцидентам, автоматически запускает сценарии реагирования, а также управляет другими системами через механизм оркестрации
l Threat Intelligence – автоматизирует процесс управления данными киберразведки, обеспечивает сбор, нормализацию и обогащение IoC, передачу обработанных данных напрямую на СЗИ, а также осуществляет поиск и обнаружение IoC в инфраструктуре l Deception – имитирует элементы инфраструктуры, за счет чего осуществляется детектирование присутствия злоумышленника, замедление его продвижения внутри сети, и дает возможность своевременно остановить атаку
l Governance, Risk Мanagement, Compliance – формирует процессы менеджмента ИБ в соответствии с лучшими практиками и стандартами, позволяет четко контролировать все ИБ-процессы и принимать обоснованные решения по развитию системы ИБ в организации
Время появления на российском рынке: IV квартал 2022 г. Подробная информация: https://rvision.ru/products/EVOecosystem См. стр. 18–19
Ideco UTM 14
Производитель: Айдеко Назначение: межсетевой экран, VPNсервер, контроль приложений, контентная фильтрация, предотвращение вторжений Особенности: новейшее решение от независимых российских разработчиков Возможности: l Система предотвращения вторжений, контентная фильтрация, контроль приложений, антивирусная проверка трафика, безопасный VPN, система отчетов и многое другое
собирает события
инци-
ликвидации последствий атаки на хостах l Log Management – собирает события со всех элементов инфраструктуры, атакже позволяет выстроить процесс сбора, нормализации и хранения событий ИБ и предоставляет возможность анализа собранной информации
l User and Entity Behavior Analytics – детектирует нарушения в состоянии ИТ- и ИБ-систем, подозрительную активность
l Техподдержка на портале, основном сайте, по телефону, электронной почте или в интерфейсе программы. Документация, текстовый и видеоблог на русском языке
l Поддержка гипервизоров VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer, контроль приложений (DPI) Web Application Firewall и почтовых релеев. Интеграция с системами мониторинга (Zabbix-агент, SNMP), DLP (по ICAP), Microsoft Active Directory. Антивирусная проверка веб-трафика с технологиями Касперского
ИБ
информацию о событиях
с конечных точек,
и позволяет реагировать на
денты для
• 51 НОВЫЕ ПРОДУКТЫ И УСЛУГИ www.itsec.ru
l 145 категорий, 500 млн URL в обновляемой базе данных. Защита от вредоносных, фишинговых и взломанных сайтов l Новые возможности фильтрации трафика по GeoIP в файрволе l Расширенная интеграция модуля предотвращения вторжений с SIEM-системами l Улучшенная административная ролевая модель, SSO-авторизация через Ideco Agent, улучшения UX, улучшение мобильной версии Время появления на российском рынке: IV квартал 2022 г. Подробная информация: https://ideco.ru/
УСЛУГИ
Тестирование программного обеспечения
более эффективными и ускорим время выхода продуктов на рынок Фирма, предоставившая информацию: ООО "Точка качества" См. стр. 46–47
Обслуживание систем межсетевого экранирования
Отрасль: все Регион: РФ Описание: наша команда поможет подобрать подходящие межсетевые экраны, подготовить сетевую инфраструктуру к их внедрению, и далее при необходимости будет обеспечиваться сопровождение оборудования и его мониторинг Фирма, предоставившая информацию: ООО "Лаборатория информационной безопасности" См. стр. 24–25
печить сбор событий информационной безопасности и реагирование на инциденты ИБ. На инфраструктуре заказчика разворачиваются системы хранения событий безопасности, кроме того, разворачивается система оповещений о типовых инцидентах ИБ на основе собранных событий. Наши эксперты также настраивают систему для выявления типовых инцидентов. Реализация системы осуществляется на базе свободно распространяемого ПО (Elastic, ElastAlert) Фирма, предоставившая информацию: ООО "Лаборатория информационной безопасности"
См. стр. 24–25 Внедрение и обслуживание систем обмена данными (Data Room)
исистем мгновенного обмена сообщениями (мессенджеры)
Отрасль: информационная безопасность, госсектор, телеком, промышленность, электронная коммерция, ритейл, недвижимость, медиа Регион: РФ Описание: независимое тестирование программных продуктов любой сложности. Мы проводим функциональное и автоматизированное тестирование любой сложности, а также консультируем в сфере обеспечения качества ПО. Повысим стабильность работы ваших ИТ-решений, сделаем бизнес-процессы
НЬЮС МЕЙКЕРЫ
АМТ-ГРУП
115162, Москва, ул. Шаболовка, 31Б, под. 3 Тел.: +7 (495) 725-7660 E-mail: info@amt.ru www.amt.ru См. стр. 42–43
ИНТЕЛЛЕКТУАЛЬНАЯ
БЕЗОПАСНОСТЬ
115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4 Тел.: +7 (495) 803-3660 E-mail: sales@securityvision.ru www.securityvision.ru
ЛАБОРАТОРИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
105082, Москва, ул. Большая Почтовая, 26В, стр. 1 Тел.: +7 (495) 723-7275
E-mail: info@islg.ru www.islg.ru См. cтр. 24–25
Организация системы сбора ихранения событий безопасности
Отрасль: все Регион: РФ Описание: услуга, предназначена для организаций, которым необходимо обес-
РУСИЕМ
Тел.: +7 (495) 748-8311 E-mail: info@rusiem.com www.rusiem.com См. стр. 22–23 СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 7
ТОЧКА КАЧЕСТВА 125362, Москва, ул. Свободы, 8/4, стр. 2, пом. 3Н, к. 4 Тел.: +7 (499) 899-8880
Email: info@tkqa.ru www.tquality.ru См. cтр. 46–47
MAKVES
129629, Москва, ул. Староалексеевская, 5 Тел.: +7 (495) 150-5406
E-mail: sales@makves.ru www.makves.ru См. стр. 14–17
Отрасль: все Регион: РФ Описание: наша команда поможет подобрать заказчику подходящие системы обмена данными, обеспечит их внедрение, а также обучение пользователей. Далее при необходимости будет обеспечиваться сопровождение ПО и пользователей
Фирма, предоставившая информацию: ООО "Лаборатория информационной безопасности" См. стр. 24–25
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8 Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com www.ptsecurity.com/ru-ru/ См. стр. 39
R-VISION
109544, Москва, бульвар Энтузиастов, 2 Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro www.rvision.pro См. стр. 18–19
USERGATE
630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru www.usergate.ru См. cтр. 20–21
52 • НОВЫЕ ПРОДУКТЫ И УСЛУГИ
Реклама
, . 14–16 ФЕВРАЛЯ 2023 31 ЯНВАРЯ - 3 МАРТА 2023 www.tbforum.ru — Реклама