InfoSec_04_2020 by jozef24

Cover_01 9/18/20 1:25 PM Page Cov1

www.itsec.ru

№ 4, сентябрь 2020 Издание компании

XVI МеждунарОдная выставка

Осень 2020

Спецпроект

кИИ в тЭк Топ-менеджменТ и иБ: дружБА поневоле вопроСы иСпользовАния доверенной моБильной плАТформы в коммерчеСкой оргАнизАции кАрТА роССийСких оС из рееСТрА минкомСвязи 5 мифов о корпорАТивных АнТивируСАх XDR-решения: когдА оБычный АнТивируС не поможеТ АвТомАТизАция процеССов моделировАния угроз нА уровне СеТи оБнАружение SQL-инъекций С иСпользовАнием нейроСеТи Без инСпекции ТрАфикА чТо ТАкое IAM и кАк его выБрАТь?

Антон Семейкин

Минэнерго россии – один из основных элеМентов КиБерБезоПАсности тэК

IB_Jornal 9/18/20 1:25 PM Page cov2

Preview 9/18/20 1:23 PM Page 1

www.itsec.ru

Энергетика импортозамещения В начале сентября 2020 г. частная пакистанская энергетическая компания K-Electric, обслуживающая 2,5 млн потребителей, стала очередной жертвой шифровальщика Netwalker. Сбой работоспособности коснулся, в частности, биллинговых систем компании, но, к счастью, не повлиял на энергопоставки потребителям. Злоумышленники потребовали выкуп в размере нескольких миллионов долларов через свой сайт в дарнкете.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

В техническом плане такую атаку мог бы отразить хороший корпоративный антивирус, если только не забывать про важность его использования и своевременность обновления. Стратегические же вопросы защиты объектов энергетики от кибератак традиционно решаются на национальном уровне. Государственные инициативы по обеспечению безопасности КИИ работают во многих странах – США, Евросоюзе, Китае, Индии, и везде объекты энергетики являются ее частью. Есть ли в Пакистане аналогичная государственная программа, достоверно выяснить не удалось, но, по-видимому, нет. В России объекты топливно-энергетического комплекса подпадают под действие закона 187-ФЗ "О безопасности критической информационной инфраструктуры". Важную роль в процессе защиты объектов ТЭК играет Министерство энергетики РФ, содействующее отраслевым субъектам КИИ в реализации требований законодательства. Антон Семейкин, директор департамента экономической безопасности в ТЭК, в интервью нашему журналу рассказал о том, как идет этот процесс, о факторах, которые необходимо учитывать, а также о прямо связанном с КИИ процессе импортозамещения в части оборудования и ПО. На тему импортозамещения интересный материал в сентябре выпустил "Коммерсантъ"1, поделившись информацией о плане правительства по достижению национальных целей развития до 2024 г. ("майские указы"). В проекте документа, в частности, говорится, что по итогам 2020 г. доля отечественного ПО в стоимости закупок должна составить для органов государственной власти не менее 70%, а для госкорпораций и компаний с госучастием – не менее 50%. При этом, продолжает "Коммерсантъ", по итогам 2019 г. уровень импортозамещения софта впервые показал снижение: в госорганах доля закупок отечественных продуктов этого сегмента упала с 62,2% годом ранее до 55%, а в госкомпаниях и корпорациях – с 65,2% до 38,9%. Стоит добавить, что летом были приняты поправки к 44-ФЗ и 223-ФЗ о квотировании госзакупок российской продукции. А в части софта также обсуждаются серьезные изменения в постановление Правительства РФ № 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд". Пожалуй, можно констатировать, что вектор развития ИТ в сторону импортозамещения выбран окончательно.

https://www.kommersant.ru/doc/4484570

• 1

Contents 9/18/20 1:23 PM Page 2

СОДеРЖАНИе ПРАВО И НОРМАТИВЫ Анастасия Заведенская, Татьяна Пермякова Обзор изменений законодательства в июле и августе 2020 года . . .4 Алексей Парфентьев Бескультурье данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

стр.

ТехНОлОгИИ КОНТРОЛЬ ДОСТУПА Михаил Ванин Что такое IAM и как его выбрать? . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 ЗАЩИТА СЕТЕЙ Иван Чернов Проблемы контент-фильтрации в межсетевых экранах . . . . . . . .12 стр.

В ФОКУСе

КИИ Дмитрий Кандыбович Реализация требований 187-ФЗ на стыке SIEM и DLP . . . . . . . . . .14 Артем Евланов Актуальные вопросы совмещения общих и отраслевых требований при реализации закона о безопасности КИИ в энергетике . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 ПЕРСОНЫ Антон Семейкин ТЭК обеспечивает функционирование промышленных, социально значимых и иных объектов и, значит, защищать его нужно соответственно . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

стр.

ЯДеРНОе ИМПОРТОЗАМеЩеНИе Владимир Никончук Вопросы использования доверенной мобильной платформы в коммерческой организации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Некоммерческие организации, содействующие импортозамещению в области электроники и программного обеспечения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 Олег Щербина Отечественная технологическая платформа как основа для создания и развития защищенных центров обработки данных . .26 2 •

стр.

Contents 9/18/20 1:23 PM Page 3

СОДЕРЖАНИЕ Карта операционных систем, представленных в реестре российского ПО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

УПРАВЛЕНИЕ

Журнал "Information Security/Информационная безопасность" № 4, 2020 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин

АВТОМАТИЗАЦИЯ Валерий Естехин Топ-менеджмент и ИБ: дружба поневоле . . . . . . . . . . . . . . . . . . . . .30 Юрий Черкас, Виктор Сердюк Автоматизация процессов моделирования угроз на уровне сети . . .34

Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов Редактор Светлана Хафизова

Константин Саматов Автоматизация процессов информационной безопасности. Автоматический ответ на инциденты . . . . . . . . . . . . . . . . . . . . . . . . .37

ТЕХНОЛОГИИ АВТОМАТИЗАЦИЯ Дарья Орешкина Автоматизация сквозного контроля процесса разработки ПО . .40 Анастасия Гурина, Владимир Елисеев Обнаружение SQL-инъекций с использованием нейросети без инспекции трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 ТЕХНОЛОГИИ Александр Зубарев О стратегии и практике обеспечения ИБ компании Huawei в России . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 КОРПОРАТИВНЫЕ АНТИВИРУСЫ Александр Михайлов 5 мифов о корпоративных антивирусах . . . . . . . . . . . . . . . . . . . . . .46 Михаил Кондрашин XDR-решения: когда обычный антивирус не поможет . . . . . . . . . .48 Артем Тиунов, Александр Панкин, Денис Давид Практический анализ использования антивирусного программного обеспечения . . . . . . . . . . . . . . . . . . .50

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Фото на обложке Анна Степанова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО "Линтекст", Москва Тираж 10 000. Цена свободная Оформление подписки Тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2020

• 3

Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 4

ПРАВО И НОРМАТИВЫ

Обзор изменений законодательства в июле и августе 2020 года Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Июль-2020

обзоре изменений российского законодательства по информационной безопасности за июль 2020 г. рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, защите персональных данных.

СрЗИ по требованиям к уровням доверия приведено в таблице.

Требования доверия в ИСПДн

Информационная безопасность сетей связи

10 июля 2020 г. официально опубликован приказ ФСТЭК России от 14.05.2020 г. № 68 "О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21"1. Согласно этому приказу с 1 января 2021 г. при использовании в информационных системах персональных данных (ИСПДн), сертифицированных по требованиям безопасности информации средств защиты информации (СрЗИ), такие СрЗИ должны быть сертифицированы по требованиям к уровням доверия. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131. Соответствие между уровнями защищенности ИСПДн и сертификацией

Минкомсвязь России 13 июля 2020 г. опубликовала проект приказа Минкомсвязи России "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"2. Требования проекта приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящими в сеть связи общего пользования (ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания. При этом в проект приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать: l архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;

СрЗИ, соответствующие уровню доверия СрЗИ, соответствующие

Уровень защищенности персональных данных

уровню доверия

в ИСПДн

6-й уровень доверия

ИСПДн при 3-м и 4-м уровне защищенности

5-й уровень доверия

ИСПДн при 2-м уровне защищенности персональных

4-й уровень доверия

ИСПДн при 1-м уровне защищенности персональных

персональных данных данных данных 1 2

http://publication.pravo.gov.ru/Document/View/0001202007100002 https://regulation.gov.ru/projects#npa=105879

4 •

l перечень защищаемых компонентов; l описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи; l частную модель угроз и модель нарушителя; l описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты; l правила разграничения доступа; l порядок действий в нештатной ситуации. При создании подсистемы безопасности сети связи должны использовать СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ), которые операторам связи необходимо выполнять, а именно: l при включении в состав подсистемы безопасности сети связи значимых объектов КИИ; l при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ; l при наличии принадлежащих оператору связи значимых объектов КИИ. В проекте приказа Минкомсвязи в том числе установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающимся обеспечением информационной безопасности сети. По проекту приказа Мин-

Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 5

www.itsec.ru

ПРАВО И НОРМАТИВЫ

комсвязи оператор также должен будет разработать паспорт ИБ в соответствии с ГОСТ Р 53109–2008, который необходимо актуализировать не реже чем один раз в три года.

Требования по информационной безопасности от Банка России В информационном письме о применении стандартов Банка России от 16.07.2020 г. № ИН-014-56/1133 регулятор сообщает следующее: l стандарт Банка России СТО БР ИББС1.0–2014 и стандарт Банка России СТО БР ИББС-1.2–2014 носят рекомендательный характер и могут применяться как методические документы; l кредитные организации, которые ранее присоединились к упомянутым выше стандартам, вправе направить в Банк России в свободной форме уведомления о неприменении стандартов в качестве обязательных в случае принятия такого решения. 16 июля 2020 г. Банк России представил для публичного обсуждения проект указания о внесении изменений в Положение Банка России от 17 апреля 2019 г. № 683-П4 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Приведем перечень основных изменений в 683-П, предлагаемых проектом указания Банка России: 1. В случае принятия решения о сертификации прикладного программного обеспечения автоматизированных систем (АС) и приложений такую сертификацию необходимо будет проводить в действующей системе сертификации ФСТЭК России, а именно на соответствие требованиям к уровням доверия. 2. Установленное требование по получении от клиента подтверждения совершенной банковской операции будет скорректировано на "подтверждение совершаемой банковской операции". 3. При осуществлении подтверждения совершения банковских операций с использованием электронной почты, в том числе при представлении клиентам справок (выписок) по банковским операциям и банковским счетам, кредитным организациям будет необходимо реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который кредитной организацией направляются уведомления о совершенных банковских операциях. 3 4 5 6 7 8 9

4. Анализ уязвимостей прикладного ПО АС и приложений по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, будет заменен на оценку соответствия по требованиям к ОУД. Если до этого ГОСТ Р ИСО/МЭК 15408-3–2013, определяющий требования к ОУД, необходимо было выполнять только в части анализа уязвимостей, то теперь нужно будет применять все процедуры упомянутого выше ГОСТа. 5. По решению кредитной организации оценка соответствия прикладного ПО АС и приложений может проводиться самостоятельно или с привлечением проверяющей организации-лицензиата. При этом Банк России информационным письмом от 08.07.2020 г. № ИН014-56/1105 рекомендует при анализе уязвимостей ПО по требованиям к ОУД применять методический документ "Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций", одобренный подкомитетом № 1 "Безопасность финансовых (банковских) операций" Технического комитета по стандартизации № 122 "Стандарты финансовых операций". "Профиль защиты"6 официально опубликован 10 июля 2020 г. и содержит требования не только из ОУД 4, но и усиления и расширения компонентами из более высоких ОУД. Следом, 17 июля 2020 г., Банк России опубликовал проект указания о внесении изменений в Положение Банка России от 9 января 2019 г. № 672-П7 "О требованиях к защите информации в платежной системе Банка России". Согласно проекту указания Банка России, требования 672-П планируется распространить на участников сервиса быстрых платежей (СБП) – операторов услуг информационного обмена – при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием СБП (ОУИО СБП). При этом перечень обязательных мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП планируется определить как для участников СБП, являющихся банком плательщика, так и для участников СБП, являющихся банком получателя. Для объектов информационной инфраструктуры ОУИО СБП по проекту указа Банка России с 1 января 2022 г. необходимо будет применять меры защиты

информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1–2017. 17 июля 2020 г. опубликован также проект о внесении изменений в указание Банка России от 9 июня 2012 г. № 2831-У8 "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Указание № 2831-У определяет формы и методики составления отчетности для операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств. Предлагаемые изменения несущественны, в своей основе только немного корректируют процедуру предоставления отчетности.

Нормотворчество в области защиты персональных данных Минэкономразвития России 17 июля 2020 г. опубликовало проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации"9. Проект федерального закона подразумевает, что давно устоявшиеся нормы обработки персональных данных (ПДн) можно не применять, если такое будет установлено программой экспериментального правового режима (в части развития технологий искусственного интеллекта и больших данных). Таким образом, проект федерального закона предлагает не применять следующие положения: l об обработке ПДн только в рамках конкретных, заранее определенных и законных целей; l о невозможности объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой; l об осуществлении обработки ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", в том числе случаев, установленных ч. 1 ст. 6 ФЗ-152; l о требованиях к поручению обработки ПДн третьему лицу; l о требованиях к обработке специальных категорий ПДн и биометрических ПДн; l об исключающих случаях освобождения оператора от обязанности предоставить субъекту ПДн сведения.

http://www.cbr.ru/StaticHtml/File/59420/20200716_in_014_56-113.pdf https://regulation.gov.ru/projects#npa=106069 https://cbr.ru/StaticHtml/File/59420/20200708_in-014-56_110.pdf https://cbr.ru/information_security/acts/ https://regulation.gov.ru/projects#npa=106115 https://regulation.gov.ru/projects#npa=106113 https://regulation.gov.ru/projects#npa=106119

• 5

Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 6

ПРАВО И НОРМАТИВЫ Данный проект федерального закона эксперты считают направленным на разрушение базовых принципов обработки ПДн. 21 июля 2020 г. Минкомсвязь России опубликовала уведомление о подготовке проекта федерального закона "О внесении изменений в статью 13 Федерального закона "О персональных данных" (в части уточнения принципов обработки персональных данных в государственных информационных системах)"10. Сам проект федерального закона был опубликован для общественного обсуждения 5 августа 2020 г. Согласно пояснительной записке к проекту федерального закона, с целью повышения информационной безопасности государственных или муниципальных информационных систем (ГИС, МИС) и защищенности ПДн граждан РФ законопроектом предусмотрено дополнение ст. 13 ФЗ-152 следующими принципами: l минимизация состава обрабатываемых ПДн;

l обязательность учета и регистрации всех действий и идентификации всех участников, связанных с обработкой ПДн в ГИС, МИС; l декларирование и согласование порядка обработки ПДн с целями их обработки; l хранение ПДн в электронном виде в ГИС, МИС по месту возникновения таких данных; l определение межведомственного запроса как преимущественного способа получения ПДн, обрабатываемых в ГИС, МИС, для исполнения полномочий государственных или муниципальных органов. В июле 2020 г. в Государственную Думу внесен законопроект № 992331-7 "О внесении изменений в Федеральный закон "О персональных данных"11, в части уточнения порядка обработки ПДн. Законопроект предполагает возможность: l использовать в согласии на обработку ПДн не только основной документ, удостоверяющий личность субъекта ПДн,

но и иной уникальный идентификатор субъекта ПДн, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта ПДн и установить его волеизъявление; l указывать в согласии на обработку ПДн несколько целей обработки ПДн и несколько лиц, осуществляющих обработку ПДн по поручению оператора; l осуществлять обработку ПДн в дополнительных целях в случае наличия согласия субъекта ПДн, содержащего информацию об указанных дополнительных целях. При этом по законопроекту для уничтожения ПДн необходимо применять СрЗИ, в составе которых реализована функция уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия, проведенную ФСБ России или ФСТЭК России. Предлагается наделить Роскомнадзор полномочиями по установлению требований к обезличиванию ПДн и методам обезличивания Пдн. l

Татьяна Пермякова, аналитик Аналитического центра Уральского центра систем безопасности

Август-2020

В Новое понятие "центр хранения и обработки данных" Недавно был опубликован проект федерального закона "О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"12. В соответствии с пояснительной запиской к законопроекту документ упорядочивает обязанности операторов связи по предоставлению информации в органы власти в области связи. Законопроект позволит использовать информацию, получаемую от операторов связи, а также центров хранения и обработки данных, 10 11 12

обзоре изменений российского законодательства за август 2020 г. представлены: введение нового понятия “центра хранения и обработки данных", приказ Минтруда России об утверждении перечня актуальных угроз безопасности персональных данных, стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, проект стандарта в области мониторинга информационной безопасности, методические рекомендации Минздрава России по категорированию объектов критической информационной инфраструктуры (КИИ), а также изменения в области лицензирования видов деятельности – новые перечни документации для лицензиатов ФСТЭК России, изменения в Положение о ФСТЭК России.

для наполнения баз и банков данных государственных информационных систем, для их эксплуатации и для иных целей, предусмотренных законодательством. Законопроект вводит новые понятия, такие как: 1. Центр хранения и обработки данных (ЦХОД) – это специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости. 2. Оператор центра хранения и обработки данных – это организация, экс-

https://regulation.gov.ru/projects#npa=106181 https://sozd.duma.gov.ru/bill/992331-7 https://regulation.gov.ru/projects#npa=107649

6 •

плуатирующая центр хранения и обработки данных и обеспечивающая его функционирование в качестве основного вида деятельности.

Об определении угроз безопасности персональных данных На данный момент для общественного обсуждения представлен проект приказа Министерства труда и социальной защиты Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых

Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 7

www.itsec.ru

ПРАВО И НОРМАТИВЫ

в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством труда и социальной защиты Российской Федерации"13. Согласно справке к проекту, перечень актуальных угроз определен экспертным путем, в том числе по результатам обобщения и анализа моделей угроз безопасности информации информационных систем, сформированных и утвержденных руководителями операторов информационных систем, а также нормативных правовых актов органов государственной власти субъектов Российской Федерации.

Стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты"14. Стандарт дополняет уже существующий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТа и классификационную схему понятий, входящих в область действия стандарта. Проект предназначен для стандартизации терминологии в указанной области для ее дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов. Согласно пояснительной записке15 к опубликованному проекту, документ необходим для установления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авторами стандарта предполагается, что реализация проекта приведет к повышению эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

зированным) системам, а также к мероприятиям, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ. Стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них. В проекте документа определены: 1. Требования к уровням мониторинга информационной безопасности: l к источникам данных мониторинга; l к сбору данных мониторинга; l хранению, агрегации и обработке данных мониторинга; l к представлению данных о результатах мониторинга. 2. Порядок осуществления мониторинга информационной безопасности при реализации мер защиты информации. 3. Требования к защите данных мониторинга.

Методические рекомендации для категорирования объектов КИИ в сфере здравоохранения Министерство здравоохранения Российской Федерации разработало и отправило на согласование во ФСТЭК России Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В настоящий момент проект документа17 опубликован для общественных обсуждений. Рекомендации содержат: 1. Подробный перечень организаций сферы здравоохранения, на которые распространяются методические рекомендации: l органы управления системой здравоохранения; l лечебные организации;

l медицинские организации особого типа (медицинские центры, воинские формирования, лаборатории и т.д.); l медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека; l организации, осуществляющие фармацевтическую деятельность; l частные организации в сфере здравоохранения; 2. Примеры объектов КИИ, на которые распространяются методические рекомендации. 3. Рекомендации для формирования комиссии по категорированию (а также для формы приказа о создании комиссии и пример положения о комиссии). Документ содержит также справочную информацию, в частности: l справочные материалы по оценке критичности бизнес-процессов (примеры и разъяснения для оценки критичности применимых к сфере здравоохранения показателей и примеры обоснования неприменимости показателей из Правил категорирования18 для сферы здравоохранения); l состав возможных событий (инцидентов), которые могут возникнуть в результате реализации компьютерных атак (на основании перечня критериев значимости объектов КИИ); l варианты обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 г. № 127; l справочные материалы по подготовке документов для отправки во ФСТЭК России (содержащие формы писем и документов для отправки регулятору и указания по их заполнению). В приложениях к методическим рекомендациям разработчики приводят формы промежуточной отчетности, раз-

Мониторинг информационной безопасности Опубликован проект ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения"16. Положения проекта применимы к мероприятиям по мониторингу информационной безопасности, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автомати13 14 15 16 17 18

Структура разделов ГОСТ

https://regulation.gov.ru/projects#npa=106656 https://fstec.ru/component/attachments/download/2770 https://fstec.ru/component/attachments/download/2772 https://fstec.ru/component/attachments/download/2774 http://portal.egisz.rosminzdrav.ru/files/%D0%9C%D0%A0%20%D0%9A%D0%98%D0%98.pdf http://publication.pravo.gov.ru/Document/View/0001201802130006

• 7

Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 8

ПРАВО И НОРМАТИВЫ рабатываемой комиссией по категорированию, а именно: l форму и пример заполнения реестра бизнес-процессов организации сферы здравоохранения, выделяемых для определения перечня критических процессов; l форму и пример заполнения перечня критических процессов; l реестр систем и информационно-телекоммуникационных сетей, принадлежащих на законном основании организации в сфере здравоохранения; l форму перечня объектов КИИ, подлежащих категорированию (направляемую во ФСТЭК России); l форму и пример заполнения протокола расчетов значений критериев значимости объектов КИИ. Документ содержит описание процессов в рамках категорирования объектов КИИ как в словесной форме, так и в формате наглядных блок-схем. Кроме описания процесса категорирования, методические рекомендации содержат состав и указание последовательности работ по обеспечению безопасности значимых объектов КИИ.

Новый перечень документов для лицензиатов ФСТЭК России 12 августа директором ФСТЭК России утверждены перечни технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации и Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации. Изменения в перечнях обусловлены публикацией новых нормативно-правовых актов, а также внесением изменений в существующие. Новый перечень для лицензиатов ФСТЭК России в области технической защиты информации19 содержит 108 наименований документов. Ранее опубликованный перечень (от 24.07.2017 г.) содержал 117 наименований. Опубликован и новый перечень для лицензиатов в области разработки и производства средств защиты конфиденциальной информации20. Лицензиатам ФСТЭК России необходимо привести в соответствие базу нормативно-методической документации до 1 января 2021 г.

Изменения в Положение о ФСТЭК России Опубликован Указ Президента Российской Федерации от 31.08.2020 г. № 535 19 20 21 22 23 24

"О внесении изменения в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085"21. Указ вносит одну поправку в Положение, в частности дополняет полномочия регулятора возможностью устанавливать порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации в рамках своих полномочий.

Изменения в нормативные правовые акты о лицензировании Опубликован ряд проектов постановлений правительства.

О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности22 В частности, внесены изменения в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). В актуальной редакции Положения при намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в ряде случаев требовалось переоформление такой лицензии. Согласно предлагаемым изменениям, переоформление лицензии в данном случае не требуется при выполнении следующих работ: l монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств (СКЗИ), за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных ФСБ России;

https://fstec.ru/component/attachments/download/2784 https://fstec.ru/component/attachments/download/2786 http://publication.pravo.gov.ru/Document/View/0001202008310008 https://regulation.gov.ru/projects/List/AdvancedSearch#npa=107041 https://regulation.gov.ru/projects/List/AdvancedSearch#npa=106890 https://regulation.gov.ru/projects/List/AdvancedSearch#npa=106833

8 •

l монтаж, установка (инсталляция), наладка защищенных с использованием СКЗИ информационных или телекоммуникационных систем, а также средств изготовления ключевых документов; l ремонт, сервисное обслуживание защищенных с использованием СКЗИ информационных или телекоммуникационных систем; l работы по обслуживанию СКЗИ, предусмотренные технической и эксплуатационной документацией на эти средства; l передача СКЗИ, за исключением средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации; l передача защищенных с использованием СКЗИ информационных или телекоммуникационных систем; l передача средств изготовления ключевых документов. Предлагаемые изменения также содержат уточнения в части взаимодействия с лицензирующим органом: взимание платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе в размере и порядке, установленных в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности".

О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации23 Предлагаемые изменения также содержат уточнения по уплате госпошлины за предоставление лицензирующим органом лицензии, а также переоформление лицензии в размере и порядке, которые установлены законодательством Российской Федерации о налогах и сборах. Проект предлагает аналогичные уточнения в части взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.

О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации24 Проект предполагает аналогичные изменения в части уплаты госпошлины за предоставление лицензирующим органом лицензии или переоформление лицензии, а также порядке взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Parfentiev 9/18/20 1:23 PM Page 9

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Бескультурье данных Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”

азбор "урожая" утечек за первое полугодие 1 показывает, что мошенники без работы в этом году не останутся. В 2020 г. в России уже прошли как минимум шесть крупных утечек, которые скомпрометировали более миллиона записей в каждом случае: пользователей портала госуслуг 2 Татарстана, покупателей магазинов сети “Красное и белое” 3 , записи ГИБДД 4 , клиентов двух микрофинансовых организаций 5 , заказчиков компании “СДЭК” 6 . Все эти утечки подтверждены, но в некоторых случаях уточняется источник проблемы.

Перебирая все утечки, информация о которых стала публичной, мы видим, что только в 6% случаев они касались относительно безобидных данных, достаточных лишь для идентификации пользователей на конкретном сайте. В случаях с государственными и финансовыми порталами критичность изначально максимальная: даже если злоумышленник не сможет воспользоваться аккаунтом (из-за использования двухфакторной аутентификации), сумма персональных и конфиденциальных данных может быть использована в мошеннических целях. Для коммерческих порталов риски увеличиваются прямо пропорционально объему заполненной пользователем анкеты. Зачастую анкетные данные содержат избыточное количество сведений, которые могут быть использованы мошенниками для поэтапной атаки. Еще печальнее, что остальные 94% утечек касаются персональных и платежных данных. Затронутыми оказываются данные о здоровье, коммерческая тайна, нарушается тайна переписки. Это чревато большими последствиями, самое опасное из которых – внимание мошенников. Чем больше информации о человеке оказывается у них в арсенале, тем вероятнее, что он станет жертвой. Примерно треть случаев компрометации данных произошла по вине госслужащих. Это в том числе самые неприятные утечки: информация о заболевших COVID, нарушителях режима самоизоляции, участниках онлайн-голосования. В очередной раз мы также получили напоминание о том, чего стоит коммерческая тайна, когда в даркнете обнаружилась7 полная база сделок участников внешнеэкономической деятельности за семь лет. Из официального сообщения прокуратуры стало известно, что утекла

вся информация: полные декларации всех участников внешнеэкономической деятельности России, сведения об оформленных товарах с указанием номеров деклараций, ИНН отправителя, получателя, декларанта, страны происхождения товаров, номера транспортных средств, ФИО, контактные телефоны, а также сведения о рисках. Завершающий штрих к любому дайджесту об утечках – это сканы паспортов, медкарт или личных дел, по халатности выброшенные на мусорную свалку. 2020 год не стал исключением: подходящая свалка обнаружилась8 в Рязани, где страховщик отправил в мусорку ксерокопии паспортов, водительских прав, страховых полисов, рукописных заявлений. Документы на свалке – это, пожалуй, и есть самая лучшая иллюстрация ситуации, которая складывается сегодня с данными. Какие бы здравые предложения по изменению регулирования ни звучали, сколько бы технических средств ни придумывали для защиты информации, все остается формальностью по причине отсутствия базового уважения к персональным данным. По большому счету ни у общества, ни у бизнеса, ни у государства до сих пор нет осознания, чем может грозить попадание информации в чужие руки. Поэтому исправить ситуацию можно, только если ситуация будет меняться на всех уровнях.

На уровне государства В поправках к российской Конституции в этом году был однозначно дан ответ на вопрос о том, кому принадлежат персональные данные, – государству. Получается, что государство берет всю ответственность на себя. Но многие утечки оказываются без ответственных, крупные проекты по цифровизации не включают

1 https://searchinform.ru/blog/2020/08/18/itogi-polugodiya-v-94-sluchaev-iz-organizacij-utekli-poleznye-dlya-moshennikov-dannye/ 2 https://cnews.ru/news/top/2020-01-21_na_gosuslugah_novaya_utechka 3 https://www.vedomosti.ru/business/articles/2020/01/27/821576-baza-klientov 4 https://www.vedomosti.ru/technology/articles/2020/05/14/830287-baza-avtovladeltsev 5 https://iz.ru/1005868/2020-04-29/v-set-utekli-dannye-o-12-mln-zaemshchikovmikrokreditnykh-organizatcii 6 https://meduza.io/news/2020/05/13/v-seti-poyavilas-baza-dannyh-devyati-millionov-klientov-kurierskoy-sluzhby-sdek-v-kompanii-otritsayut-utechku 7 https://tass.ru/ekonomika/8449957 8 https://www.ryazan.kp.ru/online/news/3862192/ 9 https://www.rbc.ru/rbcfreenews/5ede351c9a794710ce94854d

в себя директивы по защите данных, программы для защиты персональных данных если и внедрены, то часто в недостаточном объеме. И на этом фоне в июне 2020 г. вступил в силу9 закон о создании Единого федерального информационного регистра – так называемого ЕФИР. Это база, которая объединит вообще всю информацию о нас с вами.

На уровне организаций Пассивность жертв утечек и регуляторов приводит к тому, что у компаний нет никаких причин нести лишние траты на ПО, чтобы обезопасить персональные данные клиентов и собственных сотрудников. Но есть и повод для оптимизма: у менеджмента возникает понимание, что раз уязвимы персональные данные сотрудников и клиентов, то риску утечек подвергается и другая ценная для бизнеса информация – клиентские базы, ноу-хау, условия работы с поставщиками и работы в тендерах и многое другое.

На уровне общества Видя безразличие на всех уровнях, граждане не верят, что могут защитить свои данные. Истории крупных сливов множатся как под копирку. Случился инцидент – компания заявляет, что утечка неопасна – клиентам стали звонить "сотрудники" – жертвы перечислили мошенникам N тысяч рублей. В этой цепи обычно нет такого звена, что клиенты обратились в суд с иском к организации, допустившей утечку. "Все всё и так знают". Эта присказка стала отговоркой для всех, кто пытается показать, что защищать что-то в цифровом мире бессмысленно, все и так утечет. Эту логику можно применять к чему угодно. Например, "Любые замки можно взломать, незачем запирать дверь". Но главное, такой подход создает вредное представление, что информация ничего не стоит, ею можно разбрасываться, что своей, что чужой. И хотя ситуация с данными в целом остается сложной, вода камень точит. Пока общество и отдельные энтузиасты продолжают поднимать вопрос, ситуация сдвигается с мертвой точки. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 9

reaxoft 9/18/20 1:23 PM Page 10

ТЕХНОЛОГИИ

Что такое IAM и как его выбрать? Михаил Ванин, генеральный директор “РЕАК СОФТ”

Т Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен.

Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО.

ехнологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM.

Достаточно часто информационные технологии копируют привычные ситуации из жизни. Например, представим пропускную систему в обычном бизнес-центре, где сотрудник компании-арендатора формирует заявку на гостевой пропуск, посетитель предъявляет свой паспорт при прохождении охраны, которая, в свою очередь, выдает ему разовый пропуск, используемый в том числе и для выхода. В цифровом мире информационные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная система, и в этой системе для пользователя должна быть заведена учетная запись и назначены полномочия. Каждый пользователь должен проходить идентификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан

маркер безопасности, так называемый Security Token. Тогда приложению останется проверить, что предъявленный пользователем маркер безопасности не просрочен, не отозван, а указанные в нем права соответствуют запрашиваемому доступу. Компании используют в своей работе множество различных приложений, в том числе классические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каждое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить идентификацию/аутентификацию. Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои турникеты, создать свои бюро пропусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит.

С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потребности в централизованном управлении доступом. Что же должна представлять такая система?

Компоненты системы управления доступом Система управления доступом может включать в себя следующие сервисы: 1. Сервисы управления идентификационными данными (Identity Management, IDM) обеспечивают синхронизацию учетных записей пользователя в приложениях, автоматизируют создание и удаление учетных записей, а также назначение и отзыв полномочий. 2. Сервисы управления идентификацией и контролем доступа (Identity & Access Management, IAM) обеспечивают единый вход и однократную аутентификацию (Single Sign-On, SSO), двухфакторную аутентификацию, а также контроль доступа к веб-приложениям и сервисам (Web Proxy, API Gateway). 3. Сервисы каталога (Directory Services) обеспечивают хранение учетных записей пользователей, их атрибутов, полномочий и паролей.

С чего следует начинать Обычно начинают с внедрения решений IDM, но у проектов в рамках такого подхода есть недостатки: l они обычно занимают много времени; l имеют высокую организационную сложность; l требуют глубокой проработки бизнес-процессов компании. Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сер-

10 •

reaxoft 9/18/20 1:23 PM Page 11

www.itsec.ru

IAM – это пропускная система для пользователей приложений компании. IAM унифицирует управление идентификацией, аутентификацией и контролем доступа пользователей.

висов каталога. Подобные проекты не занимают большое количество времени и быстро показывают результат, в первую очередь позволяя компании оперативнее обозначить требования к новым приложениям. До внедрения IAM компания даже может не знать о важности наличия в приложениях функций входа через внешний сервис. Это достигается поддержкой стандартов OpenID Connect или SAML. Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. На что же в сервисах IAM стоит обратить внимание?

Такой разный IAM В IAM выделяют два различных технологических подхода: l технология корпоративного единого входа (Enterprise SSO, ESSO); l технология поставщика идентификации (Web SSO, Identity Provider, IDP). В первом случае при внедрении технологии на каждое пользовательское устройство устанавливают программуагент ESSO. Когда устройство включают, ESSO просит пользователя пройти идентификацию и аутентификацию с использованием комбинации методов – проверки пароля, смарт-карты, биометрии. После этого пользователь может запустить нужное ему приложение. В свою очередь, приложение ничего не знает об использовании ESSO и во время запуска попробует показать пользователю экран запроса логина и пароля. Но агент ESSO перехватывает экран входа и сам подставляет за пользователя его логин и пароль. Таким образом, пользователь получит надежную идентификацию/аутентификацию при входе в устройство, а также удобный автоматический вход во все приложения компании. Но такой подход обусловлен так называемым обманом приложений. Вход в них с помощью логина/пароля в обход запущенного агента ESSO по-прежнему возможен, значит сохраняются многие присущие парольной аутентификации угрозы, и это, безусловно, недостаток. Есть еще один важный момент в использовании ESSO – ограниченность устройств, на которых возможна установка агента. Могут возникнуть проблемы с поддержкой Linux и macOS, iOS и Android. Второй технологический подход – внедрение IDP. Этот подход лишен недо-

статков ESSO. Пользователь может использовать любые устройства, а для работы достаточно веб-браузера. В качестве устройств могут применяться не только ПК и смартфоны, но и голосовые станции, игровые приставки и Smart TV. Расплатой за такую гибкость становится необходимость поддержки со стороны приложений возможности подключения к IDP. Другими словами, приложение должно поддерживать какой-либо из стандартов взаимодействия с IDP. Но большинство популярных приложений и облачных сервисов уже умеют это делать, так что недостатком это не является. При использовании IDP пользователь обращается в приложение, а оно вместо отображения своего экрана входа отправляет серверу запрос на идентификацию. Если IDP уже знает пользователя, то происходит проверка разрешения на вход в приложение и регистрация факта посещения. После этого сведения о пользователе, полученные из каталога учетных записей компании, вернутся приложению. Если же IDP не знает пользователя, то попросит его сначала пройти идентификацию и аутентификацию. Вместо простой проверки логина/пароля IDP может использовать дополнительные методы аутентификации, в зависимости от контекста входа и политики доступа. Например, при входе в приложение из рабочей сети пользователь может быть автоматически идентифицирован по результатам проверки в домене (технология Kerberos SSO). Если пользователь хочет зайти в какое-то очень важное приложение или, например, осуществляет вход из сети Интернет с незнакомого устройства, то IDP может запросить подтверждение – потребовать ввести разовый пароль, отправленный по СМС, либо сгенерированный мобильным приложением выработки разовых паролей. Для идентификации IDP может также сам обратиться к внешней системе входа, например к ЕСИА, социальным сетям, Apple ID. Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО, в том числе разработанное отечественными компаниями, включенное в единый реестр российских программ. Еще раз подчеркну, что начинать создание системы управления доступом целесообразно именно с внедрения IAM. l

КОНТРОЛЬ ДОСТУПА

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 11

UserGate 9/18/20 1:23 PM Page 12

ТЕХНОЛОГИИ

Проблемы контент-фильтрации в межсетевых экранах Иван Чернов, менеджер партнерского отдела UserGate

Межсетевые экраны нового поколения уже полноценно обрабатывают

В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернеттрафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.

Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны веб-сайтов.

Фильтрации HTTPS Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика. Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран. Упрощенно это происходит так: l шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устрой-

ства до веб-сайта, на который поступает запрос пользователя; l после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности. Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, передаваемый в защищенный сегмент сети извне, а также и трафик, передаваемый из внутренней сети на внешние адреса. В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный. В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов. Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.

Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола. Множество приложений сейчас работает по протоколам, 1

12 •

https://radar.yandex.ru/https

использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика. Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту. Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями. Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи. При этом шлюз задействует несколько механизмов фильтрации: l фильтрацию по категориям; l морфологический анализ; l безопасный поиск по черным и белым спискам; l блокировку контекстной рекламы на уровне шлюза; l запрет загрузки определенных типов файлов; l технологию антивирусной проверки трафика на базе Deep Content Inspection. Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более

UserGate 9/18/20 1:23 PM Page 13

www.itsec.ru

ЗАЩИТА СЕТЕЙ

500 млн адресов сайтов и более 70 категорий. Разработчик проводит ежедневное обновление списка сайтов, осуществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях.

Морфологический анализ Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны вебсайтов. Если в тексте содержится достаточное для блокировки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется. Для фильтрации контента применяются морфологические словари, обновляемые разработчиком и содержащие списки материалов, запрещенных Министерством юстиции Российской Федерации, а также материалы, связанные с суицидом, терроризмом, порнографией, нецензурной лексикой, казино, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию". Словари доступны на русском, английском, немецком, японском и арабском языках. UserGate также предоставляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопасным поиском, списки образовательных учреждений и др.

Дополнительные параметры фильтрации Администратор может задать дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS: l блокировку рекламы; l функцию "инжектировать скрипт", позволяющую вставить необходимый код во все вебстраницы, просматриваемые пользователем; l принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube для блокировки нежелательного контента;

l включение журналирования поисковых запросов пользователей; l блокировку приложений популярных социальных сетей.

Фильтрация TLS ГОСТ Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не имели возможности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступность для посетителей. В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения. Для корректного доступа в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную операционную систему. В использовании TLS с поддержкой ГОСТ-алгоритмов шифрования есть две основные проблемы:

1. Проблема инфраструктуры. Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоративным сертификатом. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.

2. Проблема безопасности. К сожалению, наличие сертификата гарантирует только

то, что портал относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны) либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого. Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.

В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения.

Заключение UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика. Разработчики уделили много внимания созданию собственной платформы, не базирующейся на использовании чужого исходного кода и сторонних модулей. UserGate получил ряд наград именно за качество интернетфильтрации и широко используется для этой цели во многих организациях, вузах и у операторов связи. l

UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика.

АДРЕСА И ТЕЛЕФОНЫ компании UserGate см. стр. 56

• 13

staffcop 9/18/20 1:23 PM Page 14

В ФОКУСЕ

Реализация требований 187-ФЗ на стыке SIEM и DLP Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)

Н Основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.

14 •

ормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.

1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей. Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций. Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы. Закон определяет мероприятия, предписанные субъектам КИИ: l категорирование объектов КИИ; l создание системы обеспечения безопасности объектов КИИ; l интеграцию с ГосСОПКА. В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему

защиты на свое усмотрение, а во втором у вас появляется вспомогательная система. Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.

SIEM-системы SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов. В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать. SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсут-

ствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы. Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов: l установка и базовая настройка; l после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации; l тестовая эксплуатация; l корректировка. И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время. SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.

ГИС ГосСОПКА В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА. В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать. Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:

staffcop 9/18/20 1:23 PM Page 15

www.itsec.ru

КИИ

l выявление и анализ уязвимостей обслуживаемых информационных систем, а также координацию действий по устранению найденных уязвимостей; l анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы; l координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента; l расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; l информирование персонала обслуживаемых информационных систем. Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь. Эта концепция сформирована и отражена в нормативных документах о безопасности КИИ. Государство подчеркивает, что вы сами должны обеспечивать безопасность. Система ГосСОПКА оценивает целевую систему, производя инвентаризацию, выявляя уязвимости, и производит анализ угроз, учитывая опыт обработки других информационных систем, а также предоставляет сценарии для разных типов угроз. Любой опыт системы по реализации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы. Итак, безопасность информационной структуры – это область ответственности субъекта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определенной инфраструктуры, над которой она надстраивается. Осталось восполнить одно недостающее звено, чтобы с нуля построить систему, соответствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ.

StaffCop – на стыке SIEM и DLP Если раньше общей концепцией производства ПО было наращивание функционала продукта, то сейчас акцент смещается в сторону одного из двух типов: l решения, работающие "из коробки"; l решения, объединяющие в себе разные системы. Время интеграции – это такой же важный фактор, как и функциональность. Для соответствия функционала приказу ФСТЭК России № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возможности: l контроль ввода-вывода информации на машинные носители информации – сеть, USB, CD, запись/удаление/печать и т.д.; l контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользователю, список запрещенных/список разрешенных/разрешение только на чтение; l контроль и анализ сетевого трафика – вся работа пользователей в сети: время, проведенное на сайтах, список посещенных сайтов, заполнение веб-форм и т.д., а также возможность настройки белого списка сайтов и блокировка доступа к нежелательным; l контроль файлов – контроль любых операций с файлами, включая передачу через сеть; l инвентаризационные функции – контроль конфигурации аппаратной части и программной; l детектор аномалий – аналитический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирующий на отклонения в поведении. StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ. Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторонние лицензии, он покупает толь-

Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, – развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена.

ко сам комплекс: все, что нужно, уже включено в комплект поставки. Учитывая, что многие организации подключаются к системам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собирает и анализирует Staffcop Enterprise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г.

Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопас-

Заключение Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходимо сосредоточиться на выборе наиболее оптимального решения, позволяющего интегрироваться с ГосСОПКА. StaffСop Enterprise полностью соответствует требованиям федерального закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обращаться. Документация на программный комплекс находится в открытом доступе, что позволяет ознакомиться с возможностями продукта до его непосредственного тестирования. В условиях мировой нестабильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункциональность, технологичность и низкую стоимость. l

ности даст сбой, то ГосСОПКА окажет посильную помощь.

StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 15

Evlanov 9/18/20 1:23 PM Page 16

В ФОКУСЕ

Рост кибератак стал стимулом для укрепления онлайн-границ российской энергетики Артем Евланов, генеральный директор ООО “ИНТЭК-Строй”

В В 2000-е гг. в России стартовала масштабная модернизация устаревших

2020 г. на цифровые объекты критической информационной инфраструктуры (КИИ) России было совершено более 1 млрд кибератак 1 , из них 12 тыс. попыток 2 взломать КИИ объектов органов государственной власти, кредитно-финансовой сферы, здравоохранения, оборонной промышленности, науки и образования пришлись на скоординированные вмешательства, состоящие из нескольких связанных между собой акций.

В зоне риска находится и отрасль энергетики. Например, компания "Россети" блокирует примерно 9 млн хакерских проникновений в корпоративную сеть ежегодно3. Именно поэтому в настоящее время, на фоне активного внедрения новых цифровых технологий в отрасль, задача обеспечения кибербезопасности стала приоритетной.

объектов генерации. В первую очередь апгрейду подвергалось газовое оборудование, но это не обеспечило защиту от кибератак.

Безопасность КИИ Так как предприятия энергетической отрасли входят в перечень организаций, попадающих под действие закона 187-ФЗ "О безопасности критической информацион-

ной инфраструктуры Российской Федерации", за невыполнение требований властей об обеспечении устойчивого функционирования и защиты от последствий компьютерных атак КИИ энергокомпаниям грозит штраф, уголовная ответственность и репутационные риски – потеря прибыли из-за негативного отношения клиентов, партнеров и инвесторов к компании. Закон "О безопасности критической информационной инфраструктуры Российской Федерации" обязывает субъекты КИИ, которым принадлежат объекты критической информационной инфраструктуры, провести их категорирование, чтобы определить, к каким именно информационным, автоматизированным системам управления и сетям, используемым компанией, предъявляются обязательные требования по обеспечению безопасности. После этого необходимо обеспечить безопасность данных объектов и интегрировать их в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Нехватка кадров Практически у половины 4 российских предприятий топливно-энергетического ком1,2 3 4

https://tass.ru/politika/8838577 https://www.eprussia.ru/epr/376/1962004.htm http://www.iksmedia.ru/articles/5570248-Bezopasnost-KII-v-energetike-vremya.html

16 •

плекса России до сих пор остаются вопросы, касающиеся исполнения закона 187-ФЗ. Одной из причин, тормозящих внедрения технических решений, таких как сегментирование системы с определением критически важных для работы объектов, контроль мобильных устройств и точек доступа, управление настройками и конфигурацией систем, является отсутствие в штате энергокомпаний квалифицированных специалистов по информационной безопасности.

Устаревающее оборудование Помимо этого, сложность внедрения технологий кибербезопасности на объектах энергетики состоит в том, что топливно-энергетический комплекс обеспечен не только современными автоматизированными и информационными системами, но и морально устаревшим технологическим оборудованием. Зачастую оно изготовлено разными производителями и не объединено идентичными каналами связи. Именно устаревшие системы становятся мишенью для воздействия злоумышленников на системы автоматизации из множества внешних и внутренних точек подключения. В 2000-е гг. в России стартовала масштабная модернизация устаревших объектов генера-

Evlanov 9/18/20 1:23 PM Page 17

www.itsec.ru

КИИ

ции. В первую очередь апгрейду подвергалось газовое оборудование, но это не обеспечило защиту от кибератак. В силу 187-ФЗ, предписывающего обеспечивать безопасность критической информационной инфраструктуры (КИИ), субъекты энергетики обязаны пересмотреть вопрос защиты комплексов оборудования, находящихся в их ответственности. Постановление Правительства РФ № 127 и приказы ФСТЭК России № 235, № 239 не противоречат, а дополняют 187-ФЗ и регламентируют обеспечение информационной безопасности объектов КИИ. Однако на данный момент эти нормативные акты содержат только требования без методических указаний относительно того, как модернизировать существующее устаревшее оборудование для установки современных технологий защиты КИИ. В будущем планируется перевести все объекты КИИ, в том числе и незначимые, которые не регулируются ФСТЭК, на отечественное программное обеспечение и оборудование. Кроме того, иностранным компаниям будет запрещено обеспечивать взаимодействие сетей и информационных систем критической инфраструктуры. Сейчас российское законодательство содержит ряд требований, согласно которым необходимо отказаться от иностранных программных продуктов и оборудования для обеспечения безопасности КИИ. Данные требования распространяются на все объекты, без разделения на значимые и незначимые. В то же время в отношении всех значимых объектов КИИ существует ряд ограничений, которые фактически делают невозможным оказание технической поддержки облачных сервисов в привычном для отрасли формате со стороны поставщиков услуг (даже российских). Например, есть запрет на удаленный доступ любых третьих лиц, не являющихся работниками субъекта КИИ, непосредственно к ПО и оборудованию объекта КИИ для обновления или управления. Не допус-

Комментарий эксперта

Константин Саматов, руководитель комитета по безопасности КИИ, Ассоциация руководителей служб информационной безопасности (АРСИБ)

Действительно, атаки на информационные ресурсы субъектов КИИ происходят постоянно. В текущем году к источнику атак добавились подключенные к информационным сервисам компаний мобильные устройства работников, через которые злоумышленники пытаются провести атаки на информационную инфраструктуру субъектов КИИ. По этой причине актуальным становится вопрос своевременного выявления кибератак и реагирования на них на этапе начала, для недопущения перехода в стадию инцидента, что требует создания в компаниях подразделений (центров) мониторинга событий информационной безопасности и организации различного взаимодействия и обмена опытом между такими подразделениями различных компаний. При этом следует отметить, что предприятия топливно-энергетического комплекса одни из первых начали проводить категорирование (в частности, по заявлениям представителей Минэнерго России, на сегодняшний день около 85% компаний завершили категорирование либо находятся в стадии завершения) и на текущий момент находятся в стадии создания систем безопасности значимых объектов КИИ, в рамках которой будут либо создавать корпоративные центры мониторинга и реагирования на инциденты информационной безопасности, либо передавать данные функции на аутсорсинг в специализированные компании. Насколько быстро пройдет данный процесс, во многом зависит от того, как будут решаться проблемные вопросы, обозначенные автором статьи. l

кается также передача любой (даже технологической) информации разработчику ПО и оборудования без контроля со стороны субъекта КИИ. В случае если доступ необходим, должны быть разработаны организационные и технические меры по обеспечению безопасности подключения5. Требования касаются не только будущих закупок программного обеспечения и оборудования, но и уже имеющихся у субъектов КИИ: компании имеют право использовать приобретенный ранее иностранный софт, только если в российском реестре программного обеспечения ЕАЭС отсутствует аналог иностранного ПО, при этом техподдержку может осуществлять только отечественный подрядчик.

Защитить, не нарушив непрерывность процессов По прогнозам6, большинство предприятий энергетической, металлургической и химической промышленности, а также нефтедобывающие или сталелитейные организации не смогут полностью перейти на отечественные продукты в бли-

5 https://zakon.ru/blog/2020/6/20/dalnejshie_perspektivy_ispolzovaniya_inostrannyh_oblachnyh_servisov_na_obektah_kriticheskoj_informac 6 https://www.rbc.ru/technology_and_media/20/05/2020/5ec3f99e9a 79472ccb6b522d

жайшие пять-восемь лет из-за невозможности остановить непрерывный процесс производства для внедрения и тестирования, на это понадобится 10-20 лет. Для полноценного импортозамещения также необходимо принятие закона о хранении технологических данных, несущих угрозы энергетической безопасности, для повышения точности предикативных моделей, разрабатываемых российскими производителями. В будущем список киберрисков значительно расширится: если сейчас угрозы в основном ограничиваются границами компаний, то через пару лет атаке могут подвергнуться потребители и их приборы учета. Только распределенная, а вероятно даже индивидуальная система генерации энергии поможет исключить возможность воздействия кибератак на систему энергоснабжения. Поэтому на данный момент Правительство России старается максимально децентрализовать энергетику, внедряя проекты микрогенерации и развития альтернативных источников энергии. l

Большинство предприятий энергетической, металлургической и химической промышленности, а также нефтедобывающие или сталелитейные организации не смогут полностью перейти на отечественные продукты в ближайшие пять-восемь лет из-за невозможности остановить непрерывный процесс производства для внедрения и тестирования.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 17

Semeykin 9/18/20 1:23 PM Page 18

В ФОКУСЕ

ТЭК обеспечивает функционирование промышленных, социально значимых и иных объектов и, значит, защищать его нужно соответственно Антон Семейкин, директор Департамента экономической безопасности в ТЭК Министерства энергетики Российской Федерации

Компаниям ТЭК необходимо внедрять современные системы безопасности для защиты своей информационной инфраструктуры. При этом понимание современных технологий угроз безопасности является важной составляющей подготовки специалистов по информационной безопасности.

18 •

акими темпами идет реализация требований закона о безопасности КИИ, как обстоят дела с защитой объектов КИИ в ТЭК, а также почему проблема импортозамещения играет одну из ключевых ролей в вопросе обеспечения энергетической безопасности – ответы на эти вопросы вы найдете в интервью с Антоном Семейкиным, директором Департамента экономической безопасности в ТЭК Минэнерго России.

– Антон Юрьевич, расскажите, пожалуйста, какова специфика обеспечения безопасности КИИ в ТЭК? – Топливно-энергетический комплекс (ТЭК) является важной составляющей экономики нашей страны, включает в себя совокупность отраслей, связанных с производством и распределением энергоресурсов. Основным негативным фактором, оказывающим влияние на реализацию энергетической безопасности, остается сложная геополитическая ситуация. А одним из ключевых направлений обеспечения энергетической безопасности является повышение состояния защищенности объектов критической информационной инфраструктуры (КИИ) ТЭК. Не секрет, что для различного рода злоумышленников – хакероводиночек, хакерских группировок, а также диверсионных киберподразделений отдельных стран – эти объекты являются наиболее вероятными целями для проведения спланированных компьютерных атак, ведь энергетика обеспечивает функционирование социально значимых объектов – промышленных и оборонных производств, а также других стратегически важных предприятий страны. Таким образом, при осуществлении кибератак

на ТЭК могут возникнуть риски нарушения нормальной работы других отраслей экономики. В соответствии с Указом Президента Российской Федерации от 7 мая 2018 г. № 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года" цифровая трансформация энергетической инфраструктуры является приоритетным направлением развития российской экономики. Но в то же время внедрение в энергетику современных цифровых технологий значительно увеличивает риски, связанные с возможностью целенаправленных компьютерных атак, что, в свою очередь, требует принятия дополнительных мер по обеспечению безопасности объектов КИИ ТЭК. А это значит, что нужен комплексный подход для решения задач, связанных с обеспечением устойчивости функционирования КИИ к компьютерным атакам. Компаниям ТЭК необходимо внедрять современные системы безопасности для защиты своей информационной инфраструктуры. При этом понимание современных технологий угроз безопасности является важной составляющей подготовки специалистов по информационной безопасности, а также для принятия правильного решения по внедрению систем безопасности, защи-

щающих как от внутренних, так и от внешних угроз. Необходимо на постоянной основе проводить мероприятия, связанные с оценкой уровня безопасности объектов КИИ, в целях определения состояния защищенности этих объектов, обнаружения недостатков в области обеспечения информационной безопасности, а также выработки рекомендаций, направленных на устранение уязвимостей. И обязательно нужно принимать участие в различного рода киберучениях и тренировках по отработке действий в условиях целенаправленных компьютерных атак. – Как идет категорирование субъектами КИИ в ТЭК, оказывает ли поддержку Министерство энергетики? – По имеющимся у меня данным, большинство организаций ТЭК завершили процедуру категорирования в соответствии с постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений". Минэнерго России оказы-

Semeykin 9/18/20 1:23 PM Page 19

www.itsec.ru

КИИ

вает методическую поддержку организациям ТЭК в вопросах защиты их объектов КИИ. Так, например, Минэнерго России по согласованию со ФСТЭК России разработало Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса, которые размещены на официальном сайте министерства. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ ТЭК и распространяются на все сферы ТЭК. Как показывает статистика обращений, документ является весьма востребованным и оказал существенное влияние на процессы, связанные с категорированием объектов КИИ. Подтверждением этого является тот факт, что на текущий момент времени энергетика занимает лидирующее место среди всех сфер деятельности в части реализации требований законодательства в области обеспечения безопасности КИИ. – Планируете ли вы отраслевые дополнения к требованиям закона о безопасности КИИ? – Министерство внимательно отслеживает ситуацию с реализацией требований законодательства в сфере обеспечения безопасности КИИ в ТЭК. По результатам мониторинга, осуществляемого министерством в рамках сложившейся практики правоприменения субъектами ТЭК законодательства в области безопасности объектов КИИ, а также учитывая, что министерство играет важную роль в организации обеспечения информационной безопасности субъектов КИИ ТЭК и обеспечивает координацию взаимодействия этих субъектов с уполномоченными ведомствами, необходимо внесение комплексных изменений в законодательство Российской Федерации, в том числе в Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и Федеральный закон от 21.07.2011 г. № 256ФЗ "О безопасности объектов топливно-энергетического комплекса".

– Насколько велика зависимость компаний ТЭК от иностранных ИТвендоров? – Данный вопрос можно рассматривать в двух аспектах: 1. Готовность отечественной промышленности произвести аналоги средств автоматизации и информатизации (очевидно, речь идет именно о них). 2. Готовность организаций отрасли осуществить замену иностранного оборудования на отечественные аналоги. Насколько известно, отечественная промышленность в рамках программы импортозамещения активно разрабатывает и предлагает различные решения. Однако данные решения должны пройти определенного рода "обкатку" – устранение выявленных недочетов. К сожалению, на текущий момент нельзя утверждать, что у нас в стране есть полная линейка апробированных средств автоматизации и информатизации, соответствующая номенклатуре изделий импортного производства. Кроме того, определенным сдерживающим фактором являются длительные сроки эксплуатации ранее закупленных средств, а также выстроенная под них инфраструктура и система подготовки кадров. Тем не менее ситуация за последнее время существенно изменилась в лучшую сторону

и тренд импортозамещения в ближайшие годы будет только усиливаться. Для создания условий, способствующих разработке передовых отечественных технологий для реализации проектов в ТЭК, имеющих наиболее существенное значение для обеспечения энергетической безопасности Российской Федерации, в 2019 г. принят ряд нормативных правовых актов. В целях повышения эффективности реализации государственной политики в сфере импортозамещения программного обеспечения Правительством Российской Федерации приняты определенные меры, которые способствуют обеспечению технологической независимости и информационной безопасности существующей информационнокоммуникационной инфраструктуры в системе государственного управления и в крупнейших государственных компаниях в условиях санкций, введенных рядом иностранных государств в отношении нашей страны, а также являются частью реализации последовательной государственной политики, осуществляемой Правительством Российской Федерации и направленной на поддержку развития собственной индустрии разработки ПО.

Минэнерго России по согласованию со ФСТЭК России разработало Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливноэнергетического комплекса, которые размещены на официальном сайте министерства.

По результатам мониторинга, осуществляемого министерством в рамках сложившейся практики правоприменения субъектами ТЭК законодательства в области безопасности объектов КИИ, необходимо внесение комплексных изменений в законодательство, в том числе в 187-ФЗ и 256-ФЗ.

• 19

Semeykin 9/18/20 1:23 PM Page 20

В ФОКУСЕ

Министерством разработаны требования в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации систем удаленного мониторинга и диагностики энергетического оборудования.

На текущем этапе развития практики защиты промышленных систем стало очевидно, что использовать подходы, связанные с обеспечением только информационной безопасности, непродуктивно как с точки зрения бизнеса, так и обеспечения в целом безопасности промышленного производства.

20 •

– Как проходит импортозамещение в части электронно-компонентной базы и операционных систем в ТЭК? – Здесь необходимо отметить, что с точки зрения достижения стратегических целей корректней говорить не об импортозамещении, а о достижении технологической независимости Российской Федерации от зарубежных производителей, в первую очередь центральных процессоров и операционных систем. Так, в утвержденных Президентом Российской Федерации Стратегии национальной безопасности и Доктрине энергетической безопасности отдельное внимание уделяется планомерному осуществлению импортозамещения в критически важных для устойчивого функционирования ТЭК видах деятельности, а также предотвращению критического отставания Российской Федерации в развитии цифровых и интеллектуальных технологий в сфере энергетики, включая снижение уязвимости объектов КИИ ТЭК. В результате работ по созданию доверенных аппаратно-программных платформ, предназначенных для построения систем автоматизированных систем управления и связи Вооруженных Сил Российской Федерации, в России к 2018 г. впервые за постсоветский период сложилась реальная основа для обеспечения технологической независимости страны в сфере цифровых технологий. Россия стала вторым государством в мире, после США, которое имеет собственную технологическую пару – высокопроизводительный процессор и операционную систему. В информационных технологиях это стратегическая основа, на которой базируются все без исключения прикладные решения, включая искусственный интеллект, большие данные, блокчейн и другие. Например, процессор "Эльбрус" полностью спроектирован российскими учеными и специалистами и может являться основой для создания национальной инфраструктуры средств разработки и промышленного производства широкого спектра компьютерных платформ (от ПЭВМ до суперкомпьютеров). В настоящее время по совокупности потребительских характеристик отечественный

процессор отстает от аналогов из США (Intel, AMD) ориентировочно на пять лет. Операционная система – это сложный программный продукт, обеспечивающий потребительские качества и эффективную жизнь процессора. К 2019 г. появился целый ряд отечественных ОС на базе свободного ПО Линукс, например Альт Линукс, Астра Линукс, Роса, МС ВС и другие, производимые и развиваемые на основе российской инфраструктуры. В целом программа импортозамещения поддерживается предприятиями отрасли. Вместе с тем надо понимать определенную инерционность технического перевооружения, что, не являясь принципиальным ограничением, влияет на темпы внедрения отечественных разработок. – Как планируется решать проблему с защитой объектов КИИ в технологических сегментах сетей? – Министерством разработаны требования в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования (утверждены приказом Минэнерго России от 06.11.2018 г. № 1015), в соответствии с которыми для обеспечения информационной безопасности систем удаленного мониторинга и диагностики состояния оборудования (СУМиД) функция технологического мониторинга состояния основного технологического оборудования (сбор, хранение и передача данных) должна осуществляться центрами обработки данных, расположенными на территории России. Если при реализации такого технологического мониторинга эксплуатируются сети общего пользования, то тогда должны применяться средства защиты информации, прошедшие оценку соответствия согласно требованиям законодательства в сфере обеспечения безопасности КИИ. В случае если в СУМиД предусмотрено использование специального ПО, то для такого ПО должна быть проведена проверка не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей.

Исходя из выраженной тенденции агрегирования автоматизированных систем управления и автоматизированных систем обеспечения безопасности (в широком смысле), в области безопасности в качестве тенденции можно отметить комплексные подходы, объединяющие методы функциональной и информационной безопасности. На текущем этапе развития практики защиты промышленных систем стало очевидно, что использовать подходы, связанные с обеспечением только информационной безопасности, непродуктивно как с точки зрения бизнеса, так и обеспечения в целом безопасности промышленного производства, независимо от сферы деятельности. Современные кибератаки обладают комплексным характером, что выражается в распределении составляющих их компонентов во времени и большим количеством элементов защищаемой системы, которые подвергаются воздействию в ходе атаки. Процесс реализации современных кибератак начинается с этапа сканирования уязвимостей системы, в процессе которого злоумышленник уже может оставить определенные следы. Таким образом, современная кибератака в процессе реализации затрагивает значительное число параметров защищаемой системы, что характеризуется большим количеством событий безопасности, генерируемых различными системами и средствами, которые отслеживаются и поступают в нормализованном виде в системы сбора и анализа событий безопасности (SIEM). При этом в качестве источника событий безопасности должны использоваться не только средства защиты информации, но и другие средства автоматизации технологических процессов. Таким образом, для повышения эффективности процессов обеспечения безопасности в технологических сетях контекст анализа событий должен быть расширен, что характеризуется переходом от использования событий безопасности с изолированных наборов средств защиты информации к единому SOC, интегрирующему в себе все информационные потоки

Semeykin 9/18/20 1:23 PM Page 21

www.itsec.ru

КИИ

параметров безопасности различных классов. Такой подход подразумевает в том числе развитие и использование ПО, способного эффективно работать в новых условиях и решающего как традиционные, так и новые задачи. – Насколько актуальна проблема устаревшего технологического оборудования для реализации закона о безопасности КИИ? – Указанная проблема, если ориентироваться на открытые публикации, характерна не только для нашей страны, но и для Европы, что отмечается в отчетах ENISA. Проблемой является то, что для устаревшего технологического оборудования нельзя использовать встроенные, а в отдельных случаях и наложенные средства защиты (например, перестают поддерживаться средства защиты для старых версий операционных систем). С учетом проводимого регулярного переоснащения субъектов ТЭК нельзя сказать, что она имеет определяющий характер. Вместе с тем оставшаяся доля устаревшего оборудования все еще такова, что не позволяет игнорировать данную проблему. – Как построен процесс взаимодействия министерства с компаниями отрасли в части реализации 187-ФЗ? – Учитывая специфику отрасли, роль министерства в вопросах, связанных с организацией обеспечения безопасности объектов КИИ ТЭК, очень важна. В Минэнерго России для координации выполнения компаниями ТЭК требований законодательства по обеспечению безопасности объектов КИИ создана соответствующая рабочая группа, в состав которой вошли представители ФСТЭК России, ФСБ России, Минкомсвязи России и крупнейших компаний ТЭК. Такая форма взаимодействия позволяет не только доводить до организаций отрасли требования законодательства, разъяснять требования регуляторов, но и получать обратную связь по актуальным вопросам реализации требований законодательства в сфере обеспечения безопасности КИИ.

На сегодняшний день рабочая группа переформатирована в комиссию по координации обеспечения безопасности КИИ объектов ТЭК. Министерством постоянно осуществляется мониторинг и контроль реализации законодательства в области обеспечения безопасности КИИ субъектами ТЭК, в том числе по вопросам импортозамещения оборудования и ПО. Стоит обратить внимание на еще одну значительную проблему – острую нехватку квалифицированных специалистов в области информационной безопасности. К сожалению, зачастую бывает так, что специалисты, задействованные в решении задач обеспечения информационной безопасности объектов КИИ, не обладают достаточным набором компетенций. В рамках решения этой проблемы Минэнерго России взаимодействует с образовательными учреждениями, имеющими профессиональные программы в области информационной безопасности. Например, между министерством и РГУ нефти и газа (НИУ) имени И.М. Губкина подписано соответствующее соглашение о сотрудничестве. Аналогичное соглашение подписано между министерством и Московским энергетическим институтом, где также осуществляется подготовка специалистов по информационной безопасности. – В какой стадии находится реализации требований 187-ФЗ в организациях отрасли? – Вступление в силу Федерального закона № 187-ФЗ и выход соответствующих подзаконных нормативных-правовых актов оказали существенное влияние на процессы, связанные с обеспечением информационной безопасности в компаниях ТЭК. Федеральным законом фактически определены три основных этапа реализации его требований: 1. Проведение категорирования объектов КИИ. 2. Реализация требований по обеспечению безопасности значимых объектов КИИ в соответствии с приказами ФСТЭК России. 3. Осуществление взаимодействия с государственной системой обнаружения, пред-

упреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). В настоящее время в организациях отрасли категорирование объектов КИИ фактически завершено, начинается переход ко второму этапу. Необходимо отметить, что ряд организаций, обладающих значимыми объектами КИИ, уже давно приступили к реализации требований приказов ФСТЭК России. Параллельно идет организационная работа по налаживанию взаимодействия корпоративных центров мониторинга информационной безопасности с Национальным координационным центром по компьютерным инцидентам, ответственным за функционирование ГосСОПКА. В целом на текущий момент времени реализация законодательства в области обеспечения безопасности КИИ компаниями ТЭК может быть признана удовлетворительной. Вместе с тем субъектам КИИ ТЭК необходимо завершить внедрение средств обеспечения информационной безопасности объектов КИИ и мероприятия по интеграции в структуру ГосСОПКА. l

В Минэнерго России для координации выполнения компаниями ТЭК требований законодательства по обеспечению безопасности объектов КИИ создана рабочая группа, в состав которой вошли представители ФСТЭК России, ФСБ России, Минкомсвязи России и крупнейших компаний ТЭК.

Минэнерго России взаимодействует с образовательными учреждениями, имеющими профессиональные программы в области информационной безопасности.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 21

omprussia 9/18/20 1:23 PM Page 22

ЯДЕРНОЕ

ИМПОРТОЗАМЕЩЕНИЕ

Вопросы использования доверенной мобильной платформы в коммерческой организации Владимир Никончук, руководитель отдела поддержки продаж, компания “Открытая мобильная платформа”

С ОС Аврора вместе с платформой управления Аврора Центр позволяет создавать и использовать решения с необходимым уровнем доверия для государственных структур и крупных коммерческих организаций.

оздание, развитие и поддержка российских продуктов – это не только вопрос замещения зарубежных технологий, но и вклад в будущее всей экономики страны, от создания новых рабочих мест и развития сферы образования до выхода на международные рынки и реализации международных проектов. Однако последние события на мировом рынке и попытки ужесточения санкций против России приводят к пониманию необходимости создания действительно независимых от санкционных рисков платформ и решений, а также обеспечения достаточного уровня информационной безопасности корпоративных информационных систем. Особенно если речь идет о критически важных объектах и информации.

Рынок мобильных технологий не исключение. Однако здесь есть свои особенности, связанные с тем, что развитие мобильности в компаниях госсектора и бизнеса происходило и, увы, происходит стремительно быстро и в основном базируется на использовании зарубежных платформ. Так, по данным аналитиков1, российские госорганы и компании с госучастием ежегодно тратят миллиарды рублей на закупку смартфонов и планшетов с предустановленными операционными системами Apple iOS и Google Android, а также на создание и техподдержку мобильных приложений под соответствующие зарубежные платформы2, а закупки в России iOS и Android уве-

личиваются на 40% ежегодно, и рост таких закупок, несомненно, будет расти.

Зачем нужна доверенная мобильная платформа в государственной и коммерческой организации Использование потребительских устройств, будь они личными или корпоративными, так или иначе, не безопасно для организаций. Даже в случае, если компания выдает сотруднику смартфон, возникает довольно много сложностей и расходов. Сначала приходится удалять определенную функциональность, затем добавлять нужную. В случае если организация потратит значительные ресурсы на такой проект, устройства на зарубежной платформе не могут обеспечить достаточный уровень защиты данных, а также попросту могут выключиться и "окирпичиться" при нажатии очередной санкционной кнопки. Необходима защищенная мобильная платформа, на которой можно построить доверенную и максимально автономную мобильную инфраструктуру. ОС Аврора вместе с платформой управления Аврора Центр позволяет создавать и исполь-

зовать решения с необходимым уровнем доверия для государственных структур и крупных коммерческих организаций, базируясь на российских продуктах и технологиях – от устройства до корпоративных приложений и программно-аппаратного комплекса.

Доверенная Аврора Аврора – единственная мобильная операционная система, включенная в Единый реестр российских программ для электронных вычислительных машин и баз данных. Как и платформа Аврора Центр, ОС отвечает требованиям регуляторов, что позволяет использовать решения на платформе во всех информационных системах, обрабатывающих конфиденциальную информацию с максимальными требованиями по защите информации. К ним, в частности, относятся государственные информационные системы первого класса защищенности, включая ИС "Перепись"3, информационные системы персональных данных первого уровня, включая медицинские данные. Она может использоваться на объектах критической информационной инфраструктуры (ФЗ187) первого класса.

1, 2 CNews Analytics, отчет и анализ по закупкам открытые закупки 2017–2019 гг. https://mobile.cnews.ru/articles/2020-0707_kakie_mobilnye_ustrojstva_i_po_zakupayut 3 https://mobile.cnews.ru/news/line/2020-07-02_startovalo_proizvodstvo

22 •

omprussia 9/18/20 1:23 PM Page 23

www.itsec.ru

ЯДЕРНОЕ ИМПОРТОЗАМЕЩЕНИЕ

ОС Аврора получила4 сертификаты ФСБ России по уровню защиты информации от несанкционированного доступа класса АК2 и ФСТЭК России на соответствие требованиям профиля защиты операционных систем типа "А" 4 класса защиты и по 4 уровню доверия. ОС Аврора содержит встроенное средство криптографической защиты информации СледопытSSL, сертифицированное ФСБ России по классу КС2. Собственная платформа управления устройствами Аврора Центр сертифицирована ФСТЭК по УД4. Среди возможностей ОС Аврора можно выделить следующие: l доверенная загрузка и контроль целостности загрузчика и файловой системы; l встроенная верификация установки и запуска программ; l встроенные политики безопасности; l полный дистанционный контроль над всеми функциями смартфона; l собственная платформа управления устройствами; l защита каналов связи (ГОСТ VPN); l многофакторная аутентификация (включая поддержку токенов); l шифрование данных; l работа с электронной подписью (в том числе квалифицированной); l ПО для решения любых задач: от прикладного (браузеры, мультимедиа, мессенджеры, и др.) до профессионального и специализированного (документооборот, управление персоналом, работа с доверенными файловыми хранилищами и др.). Доверенная мобильная среда на платформе ОС Аврора и платформе управления Аврора Центр позволяет офисным сотрудникам не потерять защищенную связь с офисом и обеспечить полевых сотрудников мобильным рабочим местом для каждодневной безопасной контролируемой работы. В случае использования решения на платформе ОС Аврора офисными сотрудниками – это корпоративное мобильное устройство со множеством различных сценариев использования, устройство-компаньон. Другое направление использования Аврора – рабочее 4 5

место. В данном случае полевому сотруднику выдается устройство фиксированной функциональности для решения непосредственно рабочих задач. Это и сбор показаний, и обслуживание приборов учета, и логистика материалов и оборудования, и передача данных о выполненной работе, и т.д. Использование ОС Аврора и платформы управления Аврора Центр позволяет обеспечить безопасный и легитимный удаленный доступ к рабочей информации, контролировать выполнение рабочих задач полевыми сотрудниками при помощи фото- и видеофиксации, отслеживания геопозиции, работать с информационными системами организации, а в случае потери смартфона или планшета – удалять корпоративные данные.

Железная часть решения Решение на базе ОС Аврора – это программно-аппаратный комплекс, состоящий из парка устройств под управлением операционной системы и инфраструктуры, в которой развернута платформа управления мобильными устройствами класса планшет, смартфон или, например, инфокиоск. Если говорить о железной части, то создатели Аврора плотно и успешно работают с российскими производителями мобильных устройств. Недавно компании "Аквариус" и "Байтэрг" приступили к выпуску планшетов с предустановленной отечественной мобильной операционной системой Аврора для Всероссийской переписи населения. Общий объем производства – 360 тыс. устройств. Для заказа также доступны устройства Qtech и MIG5, и спектр устройств будет постепенно расширяться.

Таким образом, на платформе Аврора выстраивается отечественный стек для построения доверенной автономной мобильной инфраструктуры, от устройства до прикладного решения и сервиса: техника (смартфоны и другая электроника), мобильные платформы (операционные системы) и программное обеспечение (приложения для работы на платформах).

Мобильная ОС – пока без альтернатив ОС Аврора адаптирована для работы на мобильных устройствах и поддерживает периферию мобильных устройств – встроенные модемы, всевозможные датчики, характерные для мобильного устройства, камеры, микрофоны, динамики, USB-интерфейсы и т.д. Аврора также умеет отображать информацию на дисплее в вертикальном и горизонтальном режиме и, конечно же, обладает на порядок более низким энергопотреблением, чем ОС, предназначенные для настольных ПК. Для компаний, которым требуется создание безопасной платформы, ОС Аврора сочетает разноплановые механизмы ограничений, контроля, мониторинга, логирования и настроек защиты.

Крайне важно использование безопасной мобильной платформы, ее соответствие требованиям регуляторов, возможность централизованного управления парком устройств.

Офисное и корпоративное ПО, экосистема приложений Большинство сценариев использования мобильных устройств для корпоративных нужд не предполагает наличие на мобильном устройстве значительного количества различных приложений. При этом крайне важно использование безопасной мобильной платформы, ее соответствие требованиям регу-

https://mobile.cnews.ru/news/top/2020-06-04_os_avrora_i_platforma_upravleniya https://omprussia.ru/devices.html

• 23

omprussia 9/18/20 1:23 PM Page 24

ЯДЕРНОЕ

Российское решение ОС Аврора апробировано в России и подходит тем компаниям, которые опираются на мобильное

бизнес-взаимодействие.

ИМПОРТОЗАМЕЩЕНИЕ

ляторов, возможность централизованного управления парком устройств. В зависимости от того, используется ли мобильное устройство как единственное рабочее место или как корпоративное мобильное устройство офисного сотрудника, определяется и набор приложений, который доступен для использования. Среди приложений Авроры: l телефон, контакты, сообщения (СМС/MMС); l галерея, камера, часы; l почта, календарь, калькулятор, заметки; l документы (просмотр pdf, doc, docx, ppt, pptx, xls, xlsx); l диктофон, мультимедиа (аудио, радио); l браузер с поддержкой ГОСТшифрования. В экосистеме мобильной ОС Аврора доступны партнерские приложения для корпоративного использования из следующих категорий: l доверенные мессенджеры; l системы электронного документооборота; l приложения для коллегиальных органов; l системы управления персоналом;

l доверенные хранилища, в том числе облачные; l навигационные приложения; l системы распознавания (документы, банковские карты и номера автомобилей); l системы профессиональной радиосвязи; l приложения для контроля технических осмотров и так далее.

Примеры использования На ОС Аврора уже работает 15 тыс. мобильных почтово-кассовых терминалов в Почте России в рамках проекта "Цифровой почтальон". В ноябре прошлого года РЖД и Открытая мобильная платформа подписали соглашение о сотрудничестве в области информационных технологий. Один из ключевых пунктов соглашения – использование в работе транспортного холдинга ОС Аврора, первой отечественной мобильной операционной системы. Решение также используют ПАО "Ростелеком" и ИНТЕР РАО, а также в компаниях энергетической и финансовой отраслей, где с помощью мобильных устройств проводятся технические осмотры всевозможных

объектов, осуществляются платежи и контролируются маршруты передвижения.

Заключение Российское решение ОС Аврора апробировано в России и подходит тем компаниям, которые опираются на мобильное бизнес-взаимодействие, стремятся управлять парком мобильных устройств и используемым ПО, а также заинтересованы в снижении зависимости от импортных технологий. Это прежде всего крупный бизнес и государственные организации с большим штатом полевых сотрудников, а также те компании, которым необходима собственная мобильная высокопроизводительная и защищенная мобильная операционная система, вокруг которой можно выстроить доверенную и автономную мобильную инфраструктуру. Достаточно устойчивую, в том числе к санкционным и геополитическим рискам. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

www.omprussia.ru

24 •

assoc 9/18/20 1:23 PM Page 25

ЯДЕРНОЕ ИМПОРТОЗАМЕЩЕНИЕ

www.itsec.ru

Некоммерческие организации, содействующие импортозамещению в области электроники и программного обеспечения Название

Сайт

Год образования

Описание и цели

Количество участников

Ассоциация "Доверенная платформа"

trustform.org

2015

Ассоциация объединяет разработчиков технологий безопасности, производителей ЭКБ, оборудования, софта, платформенных решений, системных интеграторов и научную элиту.

Согласованные действия членов ассоциации по созданию комплекса доверенных и безопасных средств и решений на основе российских технологий с реализацией международных стандартов будут способствовать активизации конкуренции в данном сегменте рынка, а также расширению возможности использования продуктов данного сегмента рынка при реализации проектов в рамках создания критических информационных инфраструктур и построения доверенных индустриальных комплексов АНО "Цифровая Экономика"

dataeconomy.ru

2017

Организация создана в целях предоставления услуг в сфере развития цифровой экономики в Российской Федерации, в том числе путем поддержки общественно значимых проектов и инициатив в указанной сфере, а также координации взаимодействия между бизнес-сообществом в сфере цифровой экономики, научно-образовательными организациями, иными сообществами и органами государственной власти

Консорциум "Телекоммуникационные технологии"

anott.ru

2020

Цель консорциума – реализация мер господдержки и защиты отечественных производителей, мониторинг соблюдения закупочных процедур, представительство интересов участников, синхронизация планов развития сетей и разработки российского ТКО, блоков, ПО, ЭКБ, материалов

Консорциум "Вычислительная техника"

anokvt.ru

2020

Цели и задачи консорциума – развитие радиоэлектронной отрасли, защита интересов отечественных разработчиков и производителей вычислительной техники, а также формирование условий для увеличения их доли рынка

Консорциум дизайн-центров и предприятий радиоэлектронной промышленности

radelprom.pro

2020

Задачи консорциума – повышение конкурентоспособности российской электронной промышленности, кооперация дизайн-центров для повышения конкурентных преимуществ комплексных проектов, продвижение разработок российских дизайн-центров на гражданские высокотехнологичные рынки

Центр компетенций по импортозамещению в сфере информационнокоммуникационных технологий (ЦКИКТ)

ru-ikt.ru

2016

Автономная некоммерческая организация, деятельность которой направлена на решение практических, методических и организационных вопросов, связанных с реализацией государственной политики по импортозамещению

Ассоциация Разработчиков Программных Продуктов "Отечественный софт"

arppsoft.ru

2009

Ассоциация является крупнейшим объединением российских производителей программного обеспечения и консолидирует игроков рынка для совместной работы над ключевыми вопросами развития ИТотрасли

190

Ассоциация российских разработчиков и производителей электроники (АРПЭ)

arpe.ru

2017

Цель ассоциации – возрождение и развитие российской электронной промышленности посредством координации деятельности частных компаний и государства, усиления отраслевой кооперации, проведения профориентационных мероприятий среди молодых специалистов, дальнейшего наращивания экспортного потенциала и выхода на глобальные рынки

Ассоциация предприятий компьютерных и информационных технологий (АПКИТ)

apkit.ru

2002

АПКИТ формирует систему ценностей, совершенствует механизмы взаимодействия внутри индустрии, способствует устойчивости ИТ-бизнеса. Диалог АПКИТ с государством приводит к выработке эффективных механизмов реализации государственной политики в области информационных технологий, а также обеспечивает согласованность государственных программ с планами развития компаний ИТ-отрасли

Фонд содействия развитию малых форм предприятий в научно-технической сфере

fasie.ru

1994

Цель фонда – реализация государственной политики развития и поддержки в научно-технической сфере, создание и развитие инфраструктуры поддержки, содействие созданию новых рабочих мест для эффективного использования научно-технического потенциала Российской Федерации

–

• 25

finteh 9/18/20 1:23 PM Page 26

ЯДЕРНОЕ ИМПОРТОЗАМЕЩЕНИЕ

Платформа "Синтез" как основа для создания и развития защищенных ЦОД Олег Щербина, кандидат военных наук, директор по развитию АО “ФИНТЕХ”

Ч События, связанные с пандемией нового коронавируса, объективно показали необходимость оснащения органов государственной власти и хозяйствующих субъектов центрами принятия решений, построенными с использованием современных информационных технологий. Предпосылок для этого несколько: 1. В условиях снижения эффективности традиционных механизмов межведомственной и межотраслевой коммуникации резко возросла актуальность использования сети ситуационных центров. 2. Усилилась необходимость массового применения видеоконференцсвязи, электронной почты, чатов, электронного документооборота, электронной подписи и пр. 3. Возросла роль автоматизированных систем, позволяющих осуществлять сбор различных данных, а также их обработку, хранение и передачу. 4. В условиях массового применения информационных технологий возросла ответственность должностных лиц государственных органов и субъектов критической информационной инфраструктуры за обеспечение информационной безопасности. 5. Ситуационные центры должны расширяться и перестраиваться силами служб эксплуатации без привлечения предприятий – разработчиков этих систем. Исходя из вышеперечисленного, для дальнейшего развития системы ситуационных центров необходимо решить ряд важных задач, а именно: l разработать и применить унифицированные протоколы информационно-логического и технического взаимодействия между разрозненными информацион-

26 •

то такое сквозная цифровая платформа “Синтез”, где она применяется, какова ее роль в защите информационной безопасности и почему актуален вопрос внедрения этой системы. ными системами и аппаратно-программными комплексами; l определить универсальный механизм форматно-логического описания данных; l разработать единую систему классификации и кодирования информации, ведения словарей, справочников и нормативно-справочной информации; l унифицировать подходы, связанные с синхронизацией баз данных различных взаимодействующих систем; l определиться с политиками безопасности, правилами разграничения прав доступа пользователей к информационным ресурсам; l отработать технологию масштабирования, модификации, адаптации и модернизации информационных систем службами эксплуатации, с минимальным привлечением разработчиков.

Роль платформы "Синтез" в создании ситуационных центров Три года назад Правительством Российской Федерации была принята программа под названием "Цифровая экономика Российской Федерации" (распоряжение Правительства Российской Федерации от 28 июля 2017 г. № 1632-р), в которой отмечается, что "эффективное развитие рынков и отраслей (сфер деятельности) в цифровой экономике возможно только при наличии развитых платформ, технологий, институциональной и инфраструктурной сред". Платформа "Синтез" является одной из основных компетенций АО "ФИНТЕХ", а ее разработка соответствует целям и задачам, которые определены этой государственной программой. Участие в развитии цифровой экономики, в том числе в сфере создания защищенных территориально распределенных центров обработки данных и ситуационных центров, – приоритетная задача нашей компании. Многолетний опыт создания территориально распределенных защищенных центров обработки данных и автоматизированных систем для силовых структур, сложных, в том числе учитывающих проблемные вопросы информационного

взаимодействия на основе унифицированных технических решений, позволяет нам с уверенностью предлагать платформу "Синтез" для создания и развития системы ситуационных центров органов государственной власти и хозяйствующих субъектов.

Состав платформы "Синтез" Программные компоненты "Синтез" разработаны по модульному принципу с применением программного обеспечения с открытым кодом промышленного уровня (на базе ОС Linux), доработанного в части реализации требований по информационной безопасности. Платформа состоит из двух основных компонентов – защищенной операционной системы "Синтез-ЗОС" и информационно-аналитической платформы "Синтез-ИАП". Защищенная операционная система обеспечивает создание, функционирование, удобное управление и эксплуатацию высоконагруженных, высокопроизводительных, территориально распределенных защищенных ЦОД и СЦ. Операционная система может развертываться на платформах х86 64, IBM P- и Z-серий. Завершаются работы по обеспечению совместимости "Синтез" с отечественной аппаратной платформой "Эльбрус". Информационно-аналитическая платформа ("Синтез-ИАП") обеспечивает решение прикладных информационных задач любого уровня сложности. При определенных условиях она может работать под управлением не только ЗОС "Синтез", но и любой операционной системы, созданной на базе ядра Linux (Astra Linux, Alt Linux, BaseAlt, МСВС и др.). В состав защищенной операционной системы ("Синтез-ЗОС") входят: l серверная и клиентская операционные системы (со встроенными средствами виртуализации); l сервер приложений; l система управления базами данных; l система хранения данных; l система резервного копирования; l транспортная подсистема; l система синхронизации территориально распределенных баз данных.

finteh 9/18/20 1:23 PM Page 27

www.itsec.ru

ЯДЕРНОЕ ИМПОРТОЗАМЕЩЕНИЕ

"Синтез" – это отечественная защищенная технологическая платформа, предназначенная для создания на основе виртуализации надежных, высокопроизводительных, отказоустойчивых, высоконагруженных, масштабируемых территориально распределенных защищенных центров обработки данных и автоматизированных систем с разграничением прав доступа пользователей к защищаемой информации, удовлетворяющих требования российских регуляторов в области информационной безопасности.

Построение защищенных ЦОД и СЦ с помощью "Синтез" Построение территориально распределенных защищенных ЦОД и СЦ на базе платформы "Синтез" происходит на основе виртуализации, что позволяет осуществлять удаленное администрирование всех объектов, контролировать и управлять функционированием, политиками безопасности, а также осуществлять разграничение прав доступа пользователей, масштабировать и модифицировать систему, в том числе обеспечивая наращивание новых программных и аппаратных средств, миграцию ранее созданных других прикладных систем. Технологически защищенные ЦОД и СЦ на любом уровне строятся с учетом нескольких контуров информации – Интернета, открытого, конфиденциального и закрытого и включают в себя ядро коммутации, кластеры серверов и виртуальных машин, а также аппаратно-программные средства сопряжения с внешними системами. Программная архитектура информационно-аналитической платформы "Синтез" построена таким образом, что в каждом из взаимодействующих ЦОД (СЦ) применяются портальные решения, обес-

печивающие технологическое управление системой и информационной безопасностью, ведение информационного фонда и доступ к данным предметной области, проведение расчетных процедур. Информационная работа с использованием аналитической платформы "Синтез" заключается в следующем. Во-первых, проводится описание предметной области ведомства/организации: наполнение классификатора информации и реестра информационных ресурсов, создание шаблонов тематических баз данных, экранных форм, отчетов, планов, расчетных процедур, регламентов информационного обмена. Во-вторых, организуется сбор и регистрация информации о фактах, событиях, явлениях и процессах, являющихся базисом многомерного массива данных соответствующей области деятельности ведомства/организации. В-третьих, проводится обработка данных для получения достоверной информации о состоянии предметной области и принятия своевременных управленческих решений в соответствии с принятыми в организации алгоритмами. Таким образом, применение сквозной цифровой платформы "Синтез" для создания защищенных ЦОД, ситуационных и диспетчерских центров обеспечивает: l эффективное управление объектами и ресурсами на основе получения актуальных данных (показателей деятельности) в любой области; l использование унифицированных технологий единообразного (нормированного) представления данных; l защиту персональных и других охраняемых законом данных; l экономию и рациональное использование финансовых средств за счет отсутствия необходимости привлечения сторонних компаний для модернизации, модификации или масштабирования системы (все эти задачи решаются службой эксплуатации организации). Стоит отметить, что успех применения "Синтез" подтвержден на практике. На базе нашей платформы создано более десяти территориально распределенных автоматизированных систем на рубежах России (пограничные органы), она используется в системе взимания платы "ПЛАТОН", а также в АО "РЖД". Всё это подтверждает высокую надежность и качество платформы "Синтез". l Ваше мнение и вопросы присылайте по адресу

Кроме того, в "Синтез-ЗОС" входят встроенные программные средства защиты информации, которые позволяют вести данные о ЦОД (СЦ), управлять пользователями, группами пользователей, виртуальными машинами, контролировать состояние технических и программных средств ЦОД (СЦ), разграничивать доступ субъектов к объектам системы, обеспечивать безопасный обмен с внешними информационными системами, а также разработку и применение политик безопасности и др. В состав "Синтез-ИАП" включены программные средства, обеспечивающие создание и ведение информационного фонда ведомства/организации, конструирование тематических баз данных, генерацию экранных форм, отчетов (сводок), формирование целевых/бизнес-процессов, разработку офисных документов, ведение электронного документооборота с применением электронной подписи, ведение сеансов защищенной видеоконференцсвязи и использование защищенной электронной почты. Платформа "Синтез" внесена в реестр Минкомсвязи России (№ 4579 от 05.07.2018), сертифицирована ФСБ России по классу 2Б, завершается сертификация ФСТЭК России по типу А и 4 классу защиты.

: 119180, . , ., .11 .: +7 (499) 238-0132 : +7 (499) 238-3578 E-mail: Fintech@fintech.ru https://www.fintech.ru 1-

is@groteck.ru

• 27

Karta 9/18/20 1:23 PM Page 28

Karta 9/18/20 1:24 PM Page 29

Estehin 9/18/20 1:24 PM Page 30

УПРАВЛЕНИЕ

Топ-менеджмент и ИБ: дружба поневоле Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

М К уникальности компаний в изложенном выше контексте можно отнести тему, обозначенную в заголовке: взаимоотношения топ-менеджмента компаний и собственных служб информационной безопасности. Попробую описать некоторые моменты этих взаимоотношений в предлагаемых обстоятельствах: в обычное время – до взлома и в моменты испытаний этих отношений на прочность – во время и после взлома. До обнаружения взлома компании оставалось несколько месяцев... Для ИБ-службы в условиях цифровизации бизнеса становится все сложнее поддерживать способность компании бесперебойно функционировать вопреки нескончаемому потоку обнаруживаемых производителями ПО и оборудования уязвимостей, а также помехам со стороны нарушителей, пытающихся нанести вред бизнесу с использованием известных или новых брешей в системе безопасности. В наше турбулентное время поток хороших новостей от служб ИБ практически иссяк: ежедневные фишинговые атаки, взломы интернет-сервисов частных компаний и сайтов госорганов, хищения у клиентов банков и самих банков, социальная инженерия, вольности работников и прочее не дают повода службам ИБ для бодрых рапортов руководству. Серьезную проблему представляет стадия оценки и доказательства угрозы, а также принятия решения о срочных и неотложных действиях, которые надо предпринять компании, чтобы оценить масштабы и последствия обнаруженного инцидента и, по возможности, уменьшить угрозу.

30 •

ожно перефразировать на ИБ-шный лад известную фразу, с которой начинается роман Льва Толстого “Анна Каренина": все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему...

В этих условиях безопасность требует взаимодействия и сотрудничества множества людей и в первую очередь топменеджмента и служб ИБ, так как от этого зависит устойчивость компании к внешним и внутренним угрозам. Понятно, что без четко выстроенной иерархической структуры реагирования и управления рисками службам ИБ будет сложно влиять на ситуацию при негативном развитии событий.

вопрос: а вы точно уверены, что это необходимая мера и угроза столь велика? Обычная реакция бизнеса на подозрения служб ИБ: что там у вас? Аномалии в трафике? Несанкционированный доступ к учетным записям? Появление подозрительных скрытых файлов? У нас на всех компьютерах стоит антивирус? А за что мы вам деньги платим – разберитесь и доложите. Работаем дальше.

В случае вялотекущего инцидента никто, кроме ИТ и ИБ, не вникает в то, что происходит на самом деле. Все полностью включатся в работу только тогда, когда увидят последствия. А пока компания не получила доказательств угрозы, никто не хочет оказаться на месте ИБ и разделить, как принято считать, исключительно ИБи ИТ-риски.

На первый план выходит не сама угроза, а уровень опасности, который должна определить служба ИБ. И именно на эту службу ложится ответственность за определение момента, когда нужно "дернуть рубильник" и, возможно, убедить руководство о временной приостановке бизнес-активности.

Будем исходить из того, что люди, руководящие службами ИБ и финансирующие их труд, находятся в здравом уме и способны принять разумный риск, выбирая между предполагаемыми потерями от реализации риска и получаемой выгоды от его принятия, то есть оставив все без изменений.

В информировании топ-менеджмента каждый ИБ-руководитель выбирает свой уровень паранойи Служба ИБ дает рекомендации, основанные на своем понимании ситуации и оценке рисков. Если есть уверенность, что можно предотвратить возможный ущерб для компании, тогда жесткие ограничительные меры, вплоть до отключения доступа к Интернету и временной приостановки обслуживания клиентов, будут оправданны. Если этого не сделать, то последствия от взлома могут обойтись компании гораздо дороже. Но бизнесу необходимость жестких мер надо еще доказать. Это как с закрытием границ во время пандемии. Во всех странах самым актуальным был один

Любая ошибка взломщика – это информация к действию для ИБ-службы Иногда злоумышленники допускают оплошность, и у компании появляется шанс отразить атаку и не получить ущерба – утраты активов, утечки информации, приостановки деятельности и пр. Но, чтобы не допустить негативных последствий, службе ИБ нужна решительность, принципиальность и воля для преодоления существующей иерархии в компании и социальной дистанции между ИБ и топ-менеджментом. А на это не так просто решиться. Чтобы обнаружить уникальную атаку в конкретной инфраструктуре, нужно обладать практикой и инструментарием для обнаружения уникальных атак. А в большинстве компаний специалистам по информационной безопасности это вряд ли под силу. Представим, что первый тревожный звоночек уже прозвучал и сотрудники службы ИБ за несколько дней до эскалации взлома обратились за помощью к своему надежному партнеру – к компании, занимающейся расследованиями киберпреступлений. Далее с помощью

Estehin 9/18/20 1:24 PM Page 31

www.itsec.ru

АВТОМАТИЗАЦИЯ

приглашенного партнера происходит выявление вредоносной активности в корпоративной сети компании и сбор сведений о противнике. Все силы будут брошены на выявление и блокирование IP-адресов узлов в Интернете, выполняющих роль командных серверов атакующих, на сетевом периметре организации. А пока взлом с нанесением ущерба еще не случился, проанализируем, как часто и в каком формате происходит взаимодействие руководителей служб ИБ с топ-менеджментом компаний. У руководства, как правило, есть собственный "начальственный" этаж, изолированные места на парковке, приближенный, весьма обособленный персонал, а иногда и отдельный лифт. Все это сокращает не только переживаемый совместно производственный опыт, но даже любые случайные контакты. Например, руководители бизнес-подразделений, в отличие от руководителей служб ИБ, ежедневно общаются с топ-менеджментом на разных совещаниях. Какова вероятность, что у ИБ с топ-менеджментом будет что-то общее, объединяющее их усилия для решения вопросов по безопасному в плане ИБ-угроз управлению компанией? А ведь, если разобраться, у них не так мало общего. У топ-менеджмента: бессонные ночи, перманентная тревога за выживание бизнеса, ощущение страха и большая ответственность. И у ИБ: постоянные задержки на работе, тревога за безопасность применяемых бизнесом технологий, ожидание неизбежных атак на компанию и большая ответственность. Что происходит, когда топ-менеджмент испытывает тревогу из-за незащищенности компании от внешних и внутренних угроз? Он обращается за информацией к тем, кому привык доверять и с кем привык советоваться, обычно это директор по общей безопасности и ИТ-директор. Но до службы ИБ эта понятная обеспокоенность руководства доходит, как правило, через третьи руки. Ситуация с отсутствием прямого представителя служб ИБ в руководстве компаний – одна из причин, мешающих топ-менеджменту делать конкретные шаги в нужном направлении с точки зрения существующих рисков ИБ в компании. Итак, как правило, руководителя службы ИБ нет в руководстве компании, а интересы ИБ представляет "посредник", обычно это руководитель общей безопасности, который по-своему фильтрует доводимую до него информацию от службы ИБ. Этот "посредник" понимает, что некоторая информация от службы ИБ равноценна признанию каких-то недостатков в компании вообще и в курируемом им департаменте в частности. Поэтому откровенный разговор с руководством по вопросам безопасно-

сти, которые он не совсем понимает, ему нежелателен. ИБ-служба в основном взаимодействует с рядовыми сотрудниками, которым иногда трудно понять, почему так важно соблюдать требования безопасности. То, что кажется работникам компании чрезмерным, неудобным или просто проявлением паранойи, делается службой ИБ ради высоких целей – повышения устойчивости компании к внешним и внутренним угрозам и минимизации потерь от реализации существующих рисков. Служба ИБ видит все процессы компании изнутри и знает все недостатки. То, что менеджер по продажам считает стартовой точкой для развития сервиса, с точки зрения ИБ может означать финишную прямую к неизбежной утечке конфиденциальной информации. Для службы ИБ в приоритете не столько заработать, сколько не потерять.

Что происходит во время обнаружения взлома У победы много отцов, и лишь поражение – сирота На экстренном совещании у руководства компании руководитель службы ИБ докладывает, что произошло. Руководством формулируется задача: быстро обнаружить скомпрометированные ресурсы компании, оперативно отреагировать и восстановиться с минимальным ущербом. Служба ИТ получает указание отсоединять критически важные компьютеры от сети и сканировать сеть специальным скриптом от привлеченной ранее к расследованию сторонней компании. Принимается решение о переходе на использование белого списка сайтов при работе в сети Интернет. Во время обнаружения взлома все "стоят на ушах", сохраняя при этом неизменным желание требовать от руководителя ИБ-службы те или иные сведения относительно начала и развития инцидента. К службе ИБ, как правило, непрерывно обращаются руководство, служба общей безопасности, ИТ-служба, юридический департамент, PR-служба. В эти моменты руководству компании важно определить единую точку контакта

с прессой, чтобы не допустить утечки информации в СМИ, которая может помешать дальнейшему расследованию инцидента. При этом при общении с руководством службе ИБ важно уходить от темы виноватого (оправдываться, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна), и стараться формулировать свое видение ситуации на понятном руководству языке, желательно коротко.

Идентифицировать и локализовать угрозу Когда всё уже случилось, все с готовностью признаются в своем спасительном неведении относительно того, что такое вообще могло произойти. Это позволяет подразделениям, которые косвенно или непосредственно отвечают за риски в компании, дистанцироваться от службы ИБ, которая знала, но "не била во все барабаны". Как правило, службе ИБ с самого начала понятен сценарий взлома, и, возможно, она за несколько дней до инцидента уже описывала руководству примерный, жизненный сценарий развития событий. Но что из того, что событие было предсказано службой ИБ, если его последствия стали для всех шоком? Кричать "Пожар!" уже поздно. В момент взлома требуется прежде всего решительность ИБ-руководителя, так как на карту поставлена репутация службы ИБ в компании. Сразу возникает масса вопросов. Какую информацию выдавать PR-отделу? Что сообщать партнерам и клиентам компании, обеспокоенным фактом возможной утечки персональных данных в результате взлома? А что, если злоумышленники продолжают оставаться в корпоративной сети и ждут подходящего случая, чтобы повторить атаку? Что предпринять, чтобы вернуть информационную инфраструктуру компании в состояние, предшествующее взлому? Следует ли отключить всем работникам компании доступ в Интернет? Кто из системных администраторов может помочь справиться с ситуацией, так как по мере погружения в ИТ-инфраструктуру службе ИБ открываются такие тайны, о существовании которых она и не подозревала?

• 31

Estehin 9/18/20 1:24 PM Page 32

УПРАВЛЕНИЕ Бизнес погружается в информационную безопасность под грузом проблем с ИБ

Экспертиза от сторонней компании, занимающейся расследованием случившегося, выявляет, что причиной инцидента послужила комбинация нескольких факторов (человеческого, технологического, организационного), которые и привели к взлому с нанесением ущерба.

Что происходит после взлома Самое важное после взлома – это не событие как таковое, а причиненный компании ущерб. Делаем выводы после взлома: что произошло и кто виноват? После взлома компании надо понять, виновата ли служба ИБ в том, что не смогла убедить руководство компании в самой возможности взлома. Не определить приближение взлома при отсутствии необходимых автоматизированных средств обнаружения и реагирования (типа EDR-решений) – простительно. А вот создание хрупкой ИТ-инфраструктуры – преступно. И это отдельная тема "разбора полетов" ИТ- и ИБ-служб у руководства. Как бы ни строился диалог службы ИБ с руководством компании, головой за защиту компании от кибервзлома почти всегда отвечает руководитель службы ИБ. Когда компанию взламывают с нанесением ущерба, руководителя ИБ выставляют за дверь, назначив "крайним" за инцидент, с формулировкой "Не смог убедить руководство в наличии реальных внешних угроз и уязвимостей взломанной ИТ-инфраструктуры компании". Вот об этом "Не смог убедить руководство" давайте порассуждаем. Зададим несколько наводящих вопросов. Точно ли, что только ИБ-руководитель должен убеждать руководство? Но ведь бумаги руководству с указанием на недостатки инфраструктуры он писал? Писал. Перед топ-менеджментом с докладами о рисках ИБ раз в полгода выступал? Выступал. Ссылаясь на штрафные санкции регуляторов сферы ИБ и аудиторов, жуть нагонял? Нагонял.

32 •

Внешний аудит ИБ компании проводил? Проводил. Координацией вопросов ИБ в рамках компании занимался? Занимался. С ИТ по поводу устаревшей ИТинфраструктуры ругался? Ругался. И что? Функция ИБ – с ее ответственностью, стрессами, нагрузками, поражениями, неявными победами – в компании выполнялась, а ответственность за взлом руководство "вешает" только на службу ИБ? А нельзя ли, в случае принятия бизнесом рисков ИБ, процесс переноса неопределенности переложить на само руководство или на комплаенс, или на управление рисками, или на мониторинг и реагирование (SOC), или на черта лысого? То есть делегировать функцию ИБ по разным направлениям, оставив за службой ИБ координацию усилий в вопросах ИБ. Сразу один очевидный ответ: переложить на руководство пока точно не получается, хотя регуляторы сферы ИБ работают в этом направлении (выпущены Федеральный закон 187-ФЗ, Положение Банка России 716-П и другие нормативные документы). Руководители бизнеса сильно мотивированы на то, чтобы защищать свою самооценку и чувство собственной компетенции. Это означает, что руководители почти всегда дистанцируются от чувства личной вины за любой инцидент в ИТ и в ИБ и быстро находят, кого обвинить в случае взлома компании. Руководители служб ИБ вынуждено берут (по указанию топ-менеджмента, который их же за это в конечном счете и уволит) на себя большие риски, работая в условиях неопределенности, и от этого в итоге страдают. Это почти всегда и везде так. Но хорошая новость (хотя для кого как) в том, что топ-менеджмент страдает от этого еще больше. Руководители, которые по определению обладают большей властью, в том числе обладают способностью принимать определяющие, судьбоносные для бизнеса решения, по той же логике несут больше ответственности вследствие этой власти. Ошибки в управлении компанией им обходятся дороже.

Бизнес – это всегда противостояние, конкуренция, борьба, сроки. Бизнес задает "правила игры", и все в компании должны играть по ним. У ИБ нет свободы выбора, но есть нюансы. Очевидно, что бизнес, как правило, не понимает уязвимостей современных, сложных ИТ-систем и их зависимости от скрытых рисков. Но есть одни (богатые, как правило, государственные) компании, в которых ИБ не слушают, не понимают, но готовы верить на слово и выделять запрашиваемый бюджет. Есть другие (не очень богатые, как правило, частные) компании, в которых владельцы бизнеса не понимают, почему они должны переплачивать за безопасность (платить "налог на безопасность") и отказываются это понимать, урезая бюджеты на ИБ. Таким владельцам бизнеса, которые верят только фактам, трудно объяснить, что риск в будущем, а не в безоблачном прошлом их невзломанных компаний. А есть третьи компании, в которых в вопросы ИТ и ИБ вникают, подключают все возможные ресурсы (от рисковиков до кадровиков), и пытаются выстроить процессы, от которых зависит защищенность компании от внешних и внутренних ИБ-угроз. В этих компаниях "лицо, принимающее решение", не зависит в принимаемых решениях (или непринимаемых) от чьей-либо индивидуальной интерпретации вопросов киберзащищенности компании, потому что вопросам ИБ при корректировке бизнес-стратегии компании руководством постоянно уделяется должное внимание. По понятным причинам ни первым, ни вторым и ни третьим не хочется перерасхода ресурсов. Но кибербезопасность, к сожалению, именно это и подразумевает: больше средств защиты, больше надежности, больше ЦОД и резервирования, больше защищенных каналов передачи данных, больше криптографии, больше "мозгов" в ИТ и ИБ. И все это для большей безопасности. И это то, что принято называть "налогом на безопасность". Но бизнес, по крайней мере российский частный бизнес, так устроен, что старается все оптимизировать, не оставляя избыточности. И в этом еще одна сложность во взаимоотношениях между топ-менеджментом и ИБ.

Вместо послесловия Мир все менее предсказуем, при этом мы всё больше полагаемся на технологии, в которых полно ошибок и уязвимостей, отчего поведение этих технологий трудно оценить, не говоря уже о том,

Estehin 9/18/20 1:24 PM Page 33

www.itsec.ru

АВТОМАТИЗАЦИЯ

чтобы предсказать риски от их использования.

1. Следует избегать посредников в вопросах информационной безопасности Топ-менеджмент должен знать непосредственно от руководителя службы ИБ о гипотетической возможности взлома компании, о требованиях и рекомендациях регуляторов, которые позволили бы избежать взлома с нанесением ущерба компании. Принципиальность – качество, которое необходимо руководителям служб ИБ. Либо докажи свою правоту, любо уходи из компании. При этом руководитель должен, помимо знаний, обладать коммуникативными навыками, чтобы влиять на других.

2. Снизить зависимости киберустойчивости компании от знаний и навыков людей, обеспечивающих эту киберустойчивость У компаний много структурных проблем. К сожалению, пока не получается создавать цифровые сервисы и автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму, уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений. Безопасность должна стать внутренней культурой бизнеса. Когда получается интегрировать безопасное использование цифровых технологий с существующими навыками сотрудников (как пример – двухфакторная аутентификация), тогда это влияет на ИБ компании сильнее любого курса повышения осведомленности в вопросах ИБ (хотя с обучения, то есть с узнавания нового, все и начинается). Для обнаружения новых угроз службе ИБ нужны автоматизированные инструменты. Усилия ИБ должны подкрепляться технологическими решениями, которые способны самостоятельно расставлять приоритеты при выстраивании защиты от внешних и внутренних ИБугроз.

3. Компании атакуются способом, не предусмотренным их моделью угроз Атакующие найдут то, что плохо защищено (читай не предусмотрено моделью угроз). Модель угроз – это только базовый сценарий защиты. Поиск решений по повышению киберустойчивости компании начинается с признания топменеджментом существующих проблем, угрожающих информационной безопасности компании, и принятия решения о последовательном сокращении рисков и готовности признать, что какие-то проблемы всегда остаются.

4. В ИБ важно ориентироваться не на вероятность события, а на масштаб последствий Служба ИБ "пугает" руководителей, рассказывая им то, чего они не знают. Она заставляет их чувствовать себя не в свой тарелке, смущая их сведениями и примерами, которые ломают их представления и показывают в новом свете действия, которые они совершали, ни о чем не задумываясь и не попадая в беду. Служба ИБ разрушает то, что в глазах большинства в компании безотказно работало без каких-либо нареканий. Каждая система имеет уязвимые места, но это не означает, что систему нельзя защитить. В большинстве случаев предусмотренные заранее механизмы безопасности позволят решить проблему. Задача ИБ – совместно с ИТ выявить слабые и сильные стороны в защите инфраструктуры компании и провести структурные реформы, предоставив руководству веские обоснования серьезных вложений в инфраструктуру и средства защиты.

рисках, тем больше они склонны их игнорировать; l с компромиссами во взаимоотношениях ИТ и ИБ большие проблемы; l может наступить момент, когда ИБслужба уже не столько работает, сколько объясняет остальным в компании, что она делает или что собирается сделать. Эти постоянные разъяснения изнуряют; l ежедневный стресс от корпоративных тревог по поводу защищенности компании от старых и новых угроз и уязвимостей в течение долгого времени приводит к выгоранию сотрудников служб ИБ; l оповещения от систем защиты игнорируются из-за того, что ранее предупреждения от этих систем приводили только к ложным срабатываниям, а также из-за банальной усталости персонала; l инструкций становится все больше, а сотрудников, занимающихся реальной безопасностью, – все меньше. Почти в каждой компании старше пяти лет существует целый набор архаичных процедур, установленных для соблюдения давно забытых правил.

5. Побочные эффекты ИБ От безопасности всегда есть побочные эффекты: l про "налог на безопасность" написано выше; l за высоким забором безопасности "жизни не видно"; l система мониторинга безопасности не может прерывать высокорисковые процессы и при этом не создавать дополнительные риски для бизнеса; l структурные дефекты службам ИБ в одиночку не исправить, ненадежная, устаревшая ИТ-инфраструктура исправляет их сама, когда что-то из ее элементов самоуничтожается; l руководство компаний устает выслушивать от служб ИБ бесконечные "нужно", "мы должны" и "нам следует". Чем чаще ИБ пытается предупреждать топ-менеджмент (представителей физического мира) о возможных ИТ- и ИБ-

6. Надо уметь "продавать" топ-менеджменту идеальную модель безопасной компании Для службы ИБ в компании важно стремиться "продавать" не функцию ИБ, а идеальную модель безопасной к внешним и внутренним угрозам компании, к которой эта компания неминуемо приближается, следуя рекомендациям всех заинтересованных в этом сторон. В реальности управление рисками ИБ – это всегда баланс между разумным и достаточным, и, неверно определив этот баланс, вы неминуемо теряете в безопасности. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 33

DialogNauka 9/18/20 1:24 PM Page 34

УПРАВЛЕНИЕ

Автоматизация процессов моделирования угроз на уровне сети Юрий Черкас, региональный директор Skybox Security в России и СНГ Виктор Сердюк, генеральный директор АО “ДиалогНаука” оделирование и оценка опасности угроз достаточно давно применяются на практике во многих компаниях в качестве превентивного метода защиты. Они позволяют своевременно выявить слабые места и принять меры по устранению имеющихся недостатков системы безопасности. В этой статье попробуем разобраться, применим ли такой подход на сетевом уровне. Возможно ли автоматически создавать все сценарии реализации угроз на уровне сети и так же автоматически оценивать их опасность?

С одной стороны, есть информационные ресурсы (объекты защиты), в частности сервисы и приложения, функционирующие в различных средах: физические и виртуальные серверы, контейнерные среды, рабочие станции и т.д. С другой стороны, есть источник угрозы в лице хакеров, действующих в сети Интернет, – внешний нарушитель или в лице нелояльных сотрудников – внутренний нарушитель. И эти нарушители пытаются атаковать в сети сервисы и приложения доступными инструментами. При этом, разумеется, используются различные средства сетевой безопасности, например межсетевые экраны, предназначенные для блокирования возможных векторов атак. В этой статье мы, рассматривая сетевой уровень, ограничимся локальным и удаленным сетевым доступом

34 •

потенциального нарушителя, исключая угрозы, связанные с физическим доступом злоумышленника к оборудованию компании. Как проанализировать совокупность всех факторов и с какими сложностями придется при этом столкнуться? При оценке вектора атаки в нашей модели предлагаем рассмотреть следующие основные параметры: l источник угрозы (нарушитель); l защищаемые информационные ресурсы (приложения или сервисы); l условия для реализации угроз – наличие уязвимости и наличие сетевого доступа. В результате анализа векторов атак мы ожидаем получить понимание всех возможных сценариев реализации угрозы с учетом реальных настроек нашей сети и имеющихся в инфраструктуре уязвимостей, а также оценить опасность каждой такой угрозы. Рассмотрим более подробно процесс определения параметров моделирования угроз, перечисленных выше. С нарушителями как потенциальными источниками угроз более-менее все очевидно. Как сказано выше, они могут быть либо внешними, либо внутренними, в зависимости от того, откуда осуществляется атака. Из систем инвентаризации и сканеров защищенности можно получить как сам перечень защищаемых информационных ресурсов, так и информацию об имеющихся в сети уязвимостях, что в нашем случае

является одним из условий для реализации угрозы. А вот для анализа второго условия реализации атаки (наличие сетевого доступа) мы как минимум должны знать текущие настройки сети и правил доступа на межсетевых экранах. И вот тут начинают появляться различные сложности, которые далее рассмотрим более подробно.

Сложности моделирования угроз Анализ настройки сложных распределенных сетей Сеть является одним из важнейших элементов ИТ-инфраструктуры любой организации. В состав сети входит достаточно большое количество активного сетевого оборудования (маршрутизаторы, коммутаторы, балансировщики нагрузки и др.) и межсетевых экранов различных производителей. Не стоит забывать и про активное использование виртуальных сетевых устройств, особенно учитывая растущую популярность таких технологий, как Cisco ACI или VMware NSX/NSX-T. Общее количество подобных устройств, включая виртуальные, может достигать сотен и даже тысяч. Общее количество правил фильтрации, списков контроля доступа и прочих настроек, связанных с обеспечением безопасности и контроля сетевого доступа к элементам инфраструктуры, также может измеряться десятками и сотнями тысяч. В нашей практике нередко встречаются случаи, когда общее количество правил доступа переваливает

DialogNauka 9/18/20 1:24 PM Page 35

www.itsec.ru

АВТОМАТИЗАЦИЯ

за 100 тыс. строк. При этом встречаются случаи, когда только на одном межсетевом экране настроено более 100 тыс. правил и 3–4 тыс. виртуальных интерфейсов. Не стоит забывать и о том, что настройки сети динамично меняются, запускаются новые сервисы, вводится микросегментация. При этом управление оборудованием, как правило, выполняется посредством ряда консолей и модулей разных производителей, что значительно усложняет получение единой наглядной картины эффективного действия правил доступа по всей сети. В этих условиях контроль и периодический пересмотр такого объема настроек и правил сетевого доступа – очень трудоемкая задача, поэтому выполнить ее вручную практически невозможно. Как следствие, организации довольно часто просто не знают, как выглядит их сеть в текущий момент времени. Статичные схемы, красиво выполненные, например, в Visio, к сожалению, практически никогда не отражают действительность, и мы нередко сталкиваемся с тем, что такие схемы демонстрируют картину "как это было год назад". Бывало даже, что номера сетей, включая IPадресацию, не соответствовали реальной ситуации.

Актуальные сведения об уязвимостях С наличием уязвимостей тоже все не так очевидно. Безусловно, сканеры эффективно выявляют уязвимости различных компонентов ИТ-инфраструктуры, но проблема в том, что сканирования проводятся на периодической основе, а некоторые сегменты вообще не сканируются (например, изза того, что они недоступны для сканера защищенности). В результате получается, что полная актуальная картина отсутствует. Предположим, последнее сканирование было проведено месяц назад, но ведь в течение этого времени устанавливались обновления и патчи, и это означает, что часть данных уязвимостей уже устранена, а условия для реализации угрозы отсутствуют. С другой стороны, в среднем в мире каждый месяц обнаруживается порядка 600–1200 новых различных уязвимостей, а значит мы можем не знать о новых

появившихся угрозах до следующего сканирования. Таким образом, мы можем ошибочно посчитать, что условия для реализации угрозы существуют (так называемые ошибки первого рода, или false positive), или наоборот, мы можем не знать об их существовании (ошибки второго рода, или false negative) (рис. 1). В результате получается, что если мы хотим выстроить динамический процесс оценки возможных сценариев реализации угроз на сетевом уровне, то для этого нам необходимо учитывать два условия, а именно: 1. Иметь четкое представление сети с учетом всех ее настроек для анализа наличия/отсутствия сетевого доступа. 2. Понимать актуальный перечень имеющихся уязвимостей. Очевидно, что сделать анализ всех возможных сетевых маршрутов от всех нарушителей до всех уязвимостей – задача крайне трудоемкая и без средств автоматизации здесь не обойтись. На сегодняшний день существует целый ряд продуктов, направленных на автоматизацию процесса моделирования угроз на уровне сети. Одним из лидирующих продуктов является решение Skybox Security, которое давно представлено на российском рынке безопасности. Ниже рассмотрим более подробно функциональные возможности этого решения.

Skybox – платформа автоматизации моделирования угроз Платформа Skybox Security позволяет автоматизировать следующие основные функции: l динамическое моделирование карты сети, а также анализ настроек сетевого оборудования и межсетевых экранов; l создание актуальной обновляемой базы защищаемых информационных ресурсов и имеющихся на них уязвимостей; l моделирование угроз и симуляция атак путем анализа доступов от всех потенциальных нарушителей до всех имеющихся уязвимостей на модели сети; l автоматический расчет опасности угроз с помощью гибко настраиваемой скоринговой модели; l формирование рекомендаций по снижению уровня угрозы.

Моделирование сети Для службы информационной безопасности важно понимать, как устроена сеть и какой доступ в ней разрешен, а какой запрещен, но для этого нужно понимать все настройки сетеобразующих устройств, включая правила маршрутизации, NAT, правила доступа межсетевых экранов, маршрутизаторов и т.д. При этом важно не только видеть текущую картину, но и отслеживать все изменения в реальном масштабе времени. Для этого Skybox собирает и анализирует все конфигурации сетевого оборудования, включая виртуальные и облачные сетевые сегменты, а затем строит динамически обновляемую модель, которая в точности отражает реальную сеть. В случае изменений настроек или правил Skybox просто загрузит новую конфигурацию и пересчитает модель. Такая модель позволяет автоматически и без влияния на реальную сеть проверить второе условие реализации атаки, а именно вычислить и визуализировать на карте сети возможные маршруты прохождения заданного типа трафика с демонстрацией разрешающих и запрещающих правил и настроек, задействованных для этих маршрутов. Необходимо отметить, что построенная сетевая модель дает и ряд дополнительных возможностей, которые не имеют прямого отношения к определению вектора атаки. Так, например, анализ конфигураций и настроек позволяет: 1. Автоматически осуществлять проверку конфигураций сетевого оборудования на соответствие лучшим практи-

Организации довольно часто просто не знают, как выглядит их сеть в текущий момент времени. Статичные схемы, красиво выполненные, например, в Visio, к сожалению, практически никогда не отражают действительность, и мы нередко сталкиваемся с тем, что такие схемы демонстрируют картину "как это было год назад".

На сегодняшний день существует целый ряд продуктов, направленных на автоматизацию процесса моделирования угроз на уровне сети. Одним из лидирующих продуктов является решение Skybox Security, которое давно представлено на российском рынке безопасности.

Рис. 1

• 35

DialogNauka 9/18/20 1:24 PM Page 36

УПРАВЛЕНИЕ

Рис. 2

Настройка параметров нарушителя в Skybox полностью соответствует методике ФСТЭК России и фактически сводится к тому, чтобы указать расположение, тип нарушителя и его потенциал. При этом количество нарушителей может быть неограниченным.

кам и установленным в организации политикам конфигурирования. 2. Оптимизировать правила доступа межсетевых экранов: l выявлять затененные и избыточные правила; l выявлять редко используемые правила и объекты; l формировать рекомендации по оптимизации правил и настроек. 3. Автоматически контролировать принятую политику сегментирования сети (доступ между зонами безопасности) с указанием причины несоответствия вплоть до конкретных правил на конкретных устройствах.

Skybox имеет собственную ежедневно обновляемую базу всех известных уязвимостей, а также информацию обо всех информационных ресурсах, включая данные об их версиях, установленных обновлениях и патчах. Используя встроенные алгоритмы, Skybox может автоматически проанализировать, для каких платформ, приложений и сервисов актуальны те или иные уязвимости.

Специализированные средства, такие как Skybox Security, позволяют не только моделировать все сценарии реализации угроз и автоматически оценивать их опасность, но и получить дополнительные возможности контроля конфигураций сетевого оборудования и политики сегментирования, анализа правил доступа межсетевых экранов и их изменений.

36 •

Моделирование нарушителей и анализ условий для реализации угроз В ходе моделирования угроз и оценки их опасности нам также необходимо определить нарушителя, иметь перечень защищаемых информационных ресурсов и уязвимостей (второе условие для реализации угроз). Настройка параметров нарушителя в Skybox полностью соответствует методике ФСТЭК России и фактически сводится к тому, чтобы указать расположение, тип нарушителя и его потенциал. При этом количество нарушителей может быть неограниченным.

С перечнем информационных ресурсов, в отношении которых рассматриваются угрозы, тоже все довольно просто. Skybox интегрируется с различными сканерами защищенности (например, MaxPatrol, Qualys, Tenable, Rapid7 и др.), а также с системами инвентаризации и патч-менеджмента (например, Microsoft WSUS и CSSM, Red Hat Satellite, IBM BigFix и др.). При этом существует возможность загрузки данных и из других источников с помощью встроенного Generic CMDB CSV Parser или API. Таким образом, Skybox позволяет не только сформировать полный список всех имеющихся информационных ресурсов, но и постоянно обновлять информацию об установленных версиях, обновлениях и патчах. Важно отметить, что такая интеграция с различными системами позволяет не только получить список информационных ресурсов, но и иметь всегда полную и актуальную информацию об имеющихся уязвимостях даже в период "до" и "между" сканированиями, а также для сегментов, которые не сканируются по тем или иным причинам. Достигается это за счет использования встроенного движка "пассивного" выявления уязвимостей Vulnerability Detector. Работает этот движок следующим образом. Skybox имеет собственную ежедневно обновляемую базу всех известных уязвимостей, а также информацию обо всех информационных ресурсах, включая данные об их версиях, установленных обновлениях и патчах. Используя встроенные алгоритмы, Skybox может автоматически проанализировать,

для каких платформ, приложений и сервисов актуальны те или иные уязвимости. А далее Skybox приступает к выполнению самой трудоемкой задачи – анализу возможных маршрутов от всех нарушителей до всех имеющихся уязвимостей. Этот анализ как раз и позволяет проверить второе условие для реализации угрозы, а именно наличие сетевого доступа. Важный момент в том, что проверка именно этого условия позволяет отсеять колоссальное количество угроз и признать их неактуальными, так как при отсутствии сетевого доступа эксплуатация уязвимости не представляется возможной. При этом также производится автоматическая оценка опасности каждой актуальной угрозы, что позволяет сфокусироваться на устранении наиболее критичных векторов атак. В итоге остается только определиться с тем, какой из предложенных Skybox вариантов снижения уровня угрозы выбрать. И это может быть не только устранение самой уязвимости путем установки обновлений или патчей, но и активация сигнатур системы предотвращения атак (IPS) или блокировка сетевого доступа по конкретным адресам или портам (рис. 2). Таким образом, моделирование угроз на сетевом уровне можно практически полностью автоматизировать. Специализированные средства, такие как Skybox Security, позволяют не только моделировать все сценарии реализации угроз и автоматически оценивать их опасность, но и получить дополнительные возможности контроля конфигураций сетевого оборудования и политики сегментирования, анализа правил доступа межсетевых экранов и их изменений. При этом решения подобного класса востребованы не только службами информационной безопасности (с точки зрения повышения реального уровня защищенности), но и подразделениями ИТ, поскольку они позволяют получать актуальную информацию по карте сети в режиме реального времени. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Samatov 9/18/20 1:24 PM Page 37

www.itsec.ru

АВТОМАТИЗАЦИЯ

Автоматизация процессов информационной безопасности. Автоматический ответ на инциденты Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

беспечение информационной безопасности – это деятельность, состоящая из огромного числа процессов, часть из которых может быть рутинной и/или трудоемкой. Константин Саматов познакомит читателей с некоторыми инструментами автоматизации процессов информационной безопасности и опытом их применения в процессах обеспечения безопасности объектов критической информационной инфраструктуры.

Процесс – это деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы 1 . Приведем в качестве примера процесс реагирования на инцидент информационной безопасности, где вход – это события информационной безопасности, деятельность – это реализация мероприятий по идентификации события в качестве инцидента и реагирование на него, а выход – восстановление исходного состояния информационного актива. Процессы являются центральным элементом информационной безопасности и реализуются на разных уровнях управления (см. табл. 1). Как видно из табл. 1, есть несколько уровней и на каждом уровне множество процессов, которые необходимо сначала реализовать (с учетом широкого набора регулятивных требований), затем поддерживать (с учетом новых угроз и рисков, а также постоянного увеличения количества информационных активов) и совершенствовать (повышать их зрелость). При этом текущие реалии таковы, что численность работников подразделений информационной безопасности, как правило, невелика, причем даже в крупных компаниях.

Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации.

Инструменты автоматизации процессов информационной безопасности На сегодняшний день существует большое количество различных инструментов автоматизации процессов информационной безопасности, практически для каждого процесса есть свой

инструмент. В табл. 2 в качестве примера приведены наиболее распространенные инструменты автоматизации и показано, какие процессы они автоматизируют. Далее я проиллюстрирую то, каким образом можно автоматизировать процессы информационной безопасности при помощи описанных выше инструментов на примере актуального для большинства организаций обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ).

Таблица 1 Уровень управления

Чем реализуется

В каких процессах проявляется

Стратегический

Система менеджмента информационной безопасности

Процессы менеджмента информационной безопасности: планирование, внедрение, мониторинг и контроль, совершенствование

Функциональный

Система информационной безопасности

Процессы обеспечения информационной безопасности всей организации, например: обеспечение непрерывности, мониторинг информационной инфраструктуры, управление инцидентами и уязвимостями, обеспечение физической безопасности, предотвращение утечек, контроль персонала и т.п.

Операционный

Подсистема безопасности конкретного информационного актива

Процессы обеспечения информационной безопасности конкретного актива (информационная система, автоматизированная система управления и т.п.), например: настройка прав доступа, обновление программного обеспечения, защита от вредоносного программного обеспечения и т.п.

1 ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования.

• 37

Samatov 9/18/20 1:24 PM Page 38

УПРАВЛЕНИЕ Таблица 2 Уровень управления

Инструмент автоматизации

Какие процессы автоматизирует

Стратегический

Security GRC (Governance, Risk, Compliance)

Процессы планирования, внедрения, мониторинга, контроля и совершенствования

Функциональный

SOAR (Security Orchestration, Automation and Response)

Процесс управления инцидентами и уязвимостями, включая автоматический ответ на инциденты

Операционный

IdM (Identity Management)

Процесс управления доступом

IDS (Intrusion Detection System)/ IPS (Intrusion Prevention System)

Процесс обнаружения (предотвращения) вторжений

DLP (Data Leak Prevention)/ UAM (User Activity Monitoring)/ UEBA (User and Entity Behavior Analytics)

Процесс предотвращения утечек и (или) контроля персонала

EDR (Endpoint Detection and Response)

Процесс защиты от вредоносного программного обеспечения

MDM (Mobile Device Management)

Процесс управления мобильными устройствами

Данный уровень представлен клиентской частью (агентами) обозначенных на предыдущем уровне инструментов, которая осуществляет сбор информации и управление подсистемами безопасности конкретных информационных активов

Таблица 3 Процесс

Применение Security GRC

Создание (актуализация состава) постоянно действующей комиссии по категорированию

Ведение перечня членов комиссии, поддержание его в актуальном состоянии, генерация приказа нажатием одной клавиши

Выявление критических процессов

Составление перечня критических процессов, его актуализация, корреляция перечня процессов с объектами КИИ

Анализ возможных действий нарушителей и угроз безопасности информации

Ведение перечня угроз и нарушителей, его актуализация по мере необходимости

Установление каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости ее присвоения

Совместная работа членов комиссии в Workflow-среде, предоставленной данным инструментом, фиксация хода работы и экспертных оценок, генерация на их основе актов категорирования и сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, по установленной форме

Автоматизация процессов обеспечения безопасности объектов КИИ. Автоматический ответ на инцидент В рамках обеспечения безопасности значимых объектов КИИ можно выделить следующие группы процессов: 1. Категорирование объектов КИИ. 2. Создание и функционирование системы безопасности значимых объектов КИИ (СБ ЗОКИИ). 3. Реагирование на инциденты и взаимодействие с государственной системой обнаружения, предупреждения и лик-

видации последствий компьютерных атак (ГосСОПКА). Рассмотрим автоматизацию каждой из этих групп более подробно.

Категорирование объектов КИИ2 Основным инструментом автоматизации данной группы процессов служит Security GRC. Возможности использования данного инструмента представлены в табл. 3. Следует также отметить, что категорирование – это не разовый процесс. Пересмотр результатов категорирования требуется в таких случаях, как: 1. Истечение пяти лет с момента первичного категорирования. В данном случае посредством среды Workflow организуется совместная работа членов комиссии, которые оценивают с точки зрения актуальности имеющиеся в Security GRC данные первичного категорирования, вносят корректировки (при необходимости) игенерируют итоговые документы – акт категорирования и сведения о категорировании, если категория значимости изменилась. 2. Создание нового объекта КИИ. В данном случае в Security GRC достаточно создать карточку нового объекта. При этом информация о его компонентах и используемых средствах защиты автоматически подтянется (при наличии соответствующих настроек и коннекторов) от систем контроля конфигурации, затем при помощи среды Workflow организуется совместная работа членов комиссии по оценке критериев значимости и создаются итоговые документы. 3. Изменение объекта КИИ. При изменении состава объекта, количества компонентов, его архитектуры и т.п. новые сведения попадут в карточку объекта, как правило, автоматически, комиссии достаточно будет провести оценку их влияния на значимость и сгенерировать итоговые документы.

Создание и функционирование СБ ЗОКИИ Основным инструментом автоматизации данной группы процессов также служит Security GRC.

2 Подробнее про категорирование можно посмотреть в статье: Саматов К.М. Проблемные вопросы процедуры категорирования объектов КИИ // InformationSecurity/Информационная безопасность. 2019. № 2. С. 12–15.

38 •

Samatov 9/18/20 1:24 PM Page 39

www.itsec.ru

АВТОМАТИЗАЦИЯ

На этапе создания СБ ЗОКИИ используются исходные данные, полученные Security GRC в ходе категорирования. В частности, на основе проведенного в рамках категорирования анализа угроз (включая моделирование нарушителя) проводится генерация моделей угроз для значимых объектов КИИ, а собранные инвентаризационные данные используются в рамках технического проектирования. Однако больший эффект от использования данного инструмента достигается на этапе функционирования СБ ЗОКИИ (табл. 4).

Реагирование на инциденты и взаимодействие с ГосСОПКА Несмотря на то что данная группа пересекается с процессами функционирования СБ ЗОКИИ, по моему мнению, следует рассматривать ее как самостоятельную ввиду того, что в рамках реализации требований законодательства о безопасности КИИ в этой части появилось целое направление обеспечения информационной безопасности – корпоративные (ведомственные) центры мониторинга и реагирования на инциденты информационной безопасности, также известные как SOC (Security Operations Center), и центры ГосСОПКА3. Основным инструментом автоматизации деятельности SOC служит SOAR (Security Orchestration, Automation and Response), который может представлять собой единое решение (то есть один продукт, сочетающий в себе все функции), а может

Таблица 4 Процесс

Применение Security GRC

Планирование мероприятий по обеспечению безопасности значимых объектов КИИ

Формирование и ведение планов мероприятий, их своевременная актуализация, возможность обеспечения доступа к планам всем заинтересованным лицам, возможность назначения ответственных за выполнение мероприятий в виде сервисных заявок в Service Desk

Реализация мероприятий по обеспечению безопасности значимых объектов КИИ

Фиксация выполнения мероприятий плана с подкреплением подтверждающих документов (например, приказ о вводе в эксплуатацию средства защиты информации, подтверждающий выполнение мероприятия, и т.п.)

Мониторинг и контроль

Проведение аудитов на соответствие требованиям по загруженным в систему методикам, например на соответствие требованиям приказов ФСТЭК России № 235 и № 239

Совершенствование процессов обеспечения безопасности значимых объектов КИИ

Возможность выгрузки отчетов по различным параметрам, помогающих формировать рекомендации по совершенствованию процессов

состоять из совокупности следующих инструментов автоматизации: l SIEM (Security Information and Event Management) – осуществляет сбор и анализ информации о событиях информационной безопасности, сигнализирует о возможных инцидентах. Источниками событий служат такие инструменты как IdM, IDS\IPS, DLP\UAM\UEBA, EDR, MDM и т.п.; l TIP (Threat Intelligence Platform) – осуществляет сбор и анализ информации об уязвимостях и угрозах из внешних источников; l IRP (Incident Response Platform) – данный инструмент представляет собой платформу для управления инцидентами информационной безопасности и совместной работы команды реагирования. Все указанные выше инструменты, объединенные в одну систему, позволяют практиче-

3 Подробнее данные вопросы рассмотрены в статьях: Саматов К.М. Проблемные вопросы взаимодействия с ГосСОПКА // Information Security/Информационная безопасность. 2019. № 4. С. 4–7; Саматов К.М. SOC в действии // InformationSecurity/Информационная безопасность. 2019. № 5. С. 24–25.

ски полностью автоматизировать процессы управления инцидентами информационной безопасности, в частности: l сбор данных о событиях информационной безопасности со всех источников в единую среду, анализ и управление ими (Orchestration); l автоматизация выполняемых в рамках реагирования на инцидент действий посредством заранее подготовленных шаблонов, так называемых плейбуков, в том числе заполнения карточки компьютерного инцидента для передачи (ручной либо автоматической) в ГосСОПКА (Automation); l автоматическое реагирование на инциденты в форме сдерживания или локализации – включение профилей с более жесткими настройками на средствах защиты, изолирование атакованных хостов, выключение некритичных сервисов и т.п. (Response). l

В рамках реализации требований законодательства о безопасности КИИ появилось целое направление обеспечения информационной безопасности – корпоративные (ведомственные) центры мониторинга и реагирования на инциденты информационной безопасности, также известные как SOC.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 39

WebControl 9/18/20 1:24 PM Page 40

ТЕХНОЛОГИИ

Автоматизация сквозного контроля процесса разработки ПО Дарья Орешкина, директор по развитию бизнеса компании Web Control

правление и контроль DevSecOps – сложнейшие задачи, где правильное понимание ситуации и знание всех необходимых деталей дает возможность принимать прозорливые управленческие решения и вовремя реагировать на изменения. Общение “на одном языке” всех вовлеченных в производство программного продукта, а также специализированный инструментарий для автоматизации контроля являются необходимыми элементами сквозного контроля разработки ПО.

Предприятия решают сложные задачи различного характера, поэтому имеют в штате разнопрофильных специалистов с различным видением ситуации, как следствие говорящих на "разных" языках. Даже в бытовом общении остается место недопониманию, а при использовании специфической терминологии, такой, как в случае общения между бизнесом и DevOps, коммуникативный барьер становится чудовищным. В основе недопонимания лежат разные формулировки целей, приоритеты, KPI и другие факторы. Для того чтобы оценка ситуации и принимаемые решения были прозрачны на каждом шаге выпуска ПО и понятны всем членам команды, в компаниях используются системы оркестрации инструментами и процессами DevOps, а также системы управления созданием ценности продукта. Странный факт: если люди не понимают, что вы им говорите, то тупыми считают не себя, а вас.

Вавилонская башня XXI века Для разработки ПО характерна ситуация: между бизнесом, мыслящим категориями прибыли, стратегических задач, EBIDA и ROI, и DevOps-специалистами, оперирующими коммитами, билдами и MTTR, возникает коммуникационная пропасть, нередко приводящая к неверным результатам и снижению общей производительности. Например, разработчик, делая заявку на приобретение, допустим, WhiteSource, говорит о необходимости автоматизации проверки уязвимостей и лицензионной чистоты в компонентах с открытым кодом, оперируя метриками производительности разработки и безопасности кода. Бизнес же интересует, каким образом затраты на WhiteSource скажутся на достижении стратегических задач и как инвестиции в новую систему повлияют на прибыль компании. Это один из примеров, когда бизнес не вполне понимает DevOps. С другой стороны, DevOps нередко бывает демотивирован требованием бизнеса радикально моди-

40 •

фицировать почти готовый код, в который разработчики душу вкладывали. Недопонимание, а впоследствии плохие результаты обусловлены неполной информацией у каждой из сторон. В любой технологичной компании процессы весьма сложны, и для последующего развития нуждаются в повышении управляемости и прозрачности.

Бизнес-цели глазами DevOps Можно выделить две базовые возможные стратегические цели компании: стабильное эффективное исполнение задач и получение устойчивой выручки и/или прибыли. Стабильное эффективное исполнение обеспечивается путем точной постановки и исполнения задачи, гибкого управления процессами и командами, результат должен достигаться вовремя с наилучшей производительностью и эффективностью затрат. Получение устойчивой выручки заключается в обеспечении актуальности и надежности продукта, получении регулярной оплаты от клиентов за подписку на услуги или покупку продукта, управлении рисками различного

характера – от прямых угроз потери бизнеса до судебных исков за нарушение авторских прав и штрафов от регуляторов. Эти понятия уже могут быть связаны с метриками DevOps.

От задач DevOps к исполнению бизнес-целей Оперативные задачи DevOps на первый взгляд довольно далеки от тех понятий, которыми оперирует бизнес. Например, не всегда очевидно, как "безопасная разработка" или "повышение прозрачности всех этапов разработки" помогает исполнять задачу "получение стабильной выручки". Но все встает на свои места, если от оперативных задач DevOps через общие понятия подняться к стратегическим целям компании. DevOps решает ряд оперативных задач для достижения таких целей, как выпуск коммерческого ПО для широкого круга потребителей или для одного заказчика – внешнего или внутреннего. Компания может выпускать приложения для расширения своего онлайн-присутствия на рынке или для автоматизации

WebControl 9/18/20 1:24 PM Page 41

www.itsec.ru

АВТОМАТИЗАЦИЯ

Повышение безопасности разрабатываемого ПО Эта задача DevOps связана с бизнесзадачей управления рисками. Реализация таких рисков в зависимости от специфики продукта и целей компании препятствует получению стабильной выручки и эффективному выполнению задач компании, то есть повышаются издержки, снижается эффективность, блокируется деятельность.

Ускорение развертывания, увеличение количества релизов Так DevOps фактически решает задачу сокращения времени вывода продукта на рынок или внутреннему заказчику для скорейшего получения обратной связи.

Повышение качества разработки и снижение количества неудачных развертываний Это необходимо для формирования фундамента для стабильного получения выручки и расширения клиентской базы. Если продукт выпускается для внутренних целей, то, как правило, преследуется цель повышения производительности компании.

Расширение поддержки различных сред Это означает расширение рынка сбыта или области применимости.

Стандартизация для обеспечения непрерывности и повторяемости Необходима для построения автоматизированного конвейера, где в поле единого понимания задач гибко выстраиваются процессы. Все вместе дает управляемость, подвижность и развитие, повышение производительности и снижение затрат.

Оркестрация как инструмент прозрачности на каждом этапе создания ПО В DevOps используется множество инструментов: репозитории исходного кода, серверы сборки, системы управления конфигурациями, виртуальная инфраструктура, системы автоматизации тестирования. При таком большом разнообразии, казалось бы, заинтересованные лица должны получать всю необходимую информацию для сквозного контроля процесса поставки релиза. Однако повсеместно внедренные методологии не позволяют достичь полной прозрачности ситуации. Методика канбан, например, основана на ручном перемещении карточек и не всегда отражает реальное положение дел, а инструменты CI/CD не фиксируют время ожидания или время, потраченное на переработку кода. Это не дает возможность обнаружить "узкие места" проекта. Инструменты оркестрации интегрируются со всеми инструментами разработки и через единую консоль информируют о стадии разработки, обнаруженных проблемах, ответственных лицах за каждый этап производства, собирают заданные метрики проектов.

Управление потоком создания ценности продукта Управление потоком создания ценности – это методика, которая помогает создавать ценность программного продукта, при этом максимально эффективно распределяя усилия и ресурсы. Отслеживание потоков создания ценности нацелено не на разработку отдельно взятых функциональных возможностей, а на концентрацию усилий команд на задачах, добавляющих ценность разрабатываемому продукту на каждом шаге. Такие решения, как правило, не только предоставляют метрики, которые информируют менеджмент о скорости разработки и задачах, выполняемых в данный момент, но и предлагают возможности более глубокого анализа. Подобные решения предлагают Digital.ai, Atlassian, Blueprint, CloudBees, ConnectALL, GitLab, IBM, Plutora, ServiceNow, TargetProcess и Tasktop. Лидерами рынка, по мнению аналитического агентства Forrester, являются Digital.ai, ServiceNow, Tasktop и Plutora. Общий язык, оркестрация процессов и инструментов разработки – это база для сквозного контроля разработки ПО и достижения целей компании, а управление потоком создания ценности продукта на каждом шаге поможет максимально эффективно создать актуальный продукт. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

каких-то внутренних задач, или для чего-то еще. В любом случае общим связующим звеном будут задачи в контексте бизнеса: l точность постановки задач и точность их исполнения; l управляемость процессами и командами; l своевременность результата и его достижение с наибольшей эффективностью; l эффективность затрат и получение выручки и/или прибыли (когда есть эта цель); l актуальность и надежность продукта (продукт должен помогать заказчику достичь его целей); l управление рисками. В части разработки ПО актуальны риски лицензионного комплайнса и требований регуляторов, атаки на отказ в обслуживании и потери управления (как в случае шифрации данных с требованием выкупа расшифровки). Давайте разберем несколько часто встречающихся примеров.

• 41

infotecs 9/18/20 1:24 PM Page 42

ТЕХНОЛОГИИ

Обнаружение атак SQL-injection на веб-сервер без инспекции трафика Анастасия Гурина, аспирантка кафедры УИТ НИУ “МЭИ” Владимир Елисеев, доцент кафедры УИТ НИУ “МЭИ”

асколько эффективна нейросеть, анализирующая динамический отклик сетевого сервера, в обнаружении атак типа SQL-injection? В этой статье мы рассказываем о своем опыте применения метода совместного анализа входных и выходных данных для обнаружения самой опасной уязвимости.

На протяжении последних нескольких лет уязвимость по типу "инъекция кода" возглавляет список самых опасных угроз безопасности для веб-приложений1. SQL-injection занимает лидирующую позицию среди этого вида атак 2, что обусловлено широким применением SQLзапросов к базам данных в коде приложений на основе пользовательского ввода без его должного контроля. Стандартным способом выявления атак, организованных с помощью "инъекции кода", является анализ сигнатур, но известными недостатками этого способа оказываются трудоемкость написания сигнатур и временной зазор от момента обнаружения уязвимости до пополнения базы для масштабного применения сетевой атаки.

Для обнаружения атак SQLinjection путем выявления аномалий во входящем из Интернета трафике многие исследователи предлагают алгоритмы машинного обучения. Но мы уверены, что совместный анализ входных и выходных данных позволяет решить эту задачу более эффективно.

Главные принципы анализа данных для обнаружения SQL-injection Корректное функционирование сетевого сервера может быть описано множеством пар "запрос-ответ", соответствующих всем возможным штатным сценариям обработки сервером входных данных. Построение такого множества позволит проверять каждый "запросответ" на соответствие эталону и выявлять сетевые атаки, ответ на которые выходил бы за рамки этого множества. Значимыми признаками для идентификации штатных запросов и ответов является их размер и тайминг обмена

данными в процессе обработки запроса. Чтобы описать тайминг во взаимосвязи с размерами данных, которыми обмениваются сервер с клиентом, воспользуемся функцией взаимной корреляции (ФВК) временных рядов интенсивности входящего и исходящего трафика сервера. Существует предположение, что форма ФВК выражает уникальность обработки конкретным сервером каждого типового шаблона "запрос-ответ". Определив пространство нормальных ФВК ограниченной размерности, можно выявлять аномальные ФВК, выходящие за его пределы. На рис. 1 изображена условная схема метода обнаружения аномалий на основе ФВК, на которой также показано отличие вида функций взаимной корреляции при обработке сервером нормальных и аномальных запросов – атак. При этом многомерное пространство образуется функциями взаимных корреляций, интерпретируемыми как векторы значений. Дополнительную информацию о характере обработки данных, осуществляемой сервером, можно извлечь из вычислительных ресурсов, потребляемых сервером, что позволит расширить размерность пространства за счет характеристик загруженности сервера обработкой запроса.

Применение метода для обнаружения атак SQLinjection на веб-сервер Рис. 1. Схема обнаружения аномальных откликов сервера на запросы 1

Для апробации метода обнаружения аномалий был выбран веб-сервер с развернутым сай-

OWASP Top Ten, 2020: https://owasp.org/www-project-top-ten/ Lowis L., Accorsi R., On a Classification Approach for SOA Vulnerabilities. Computer Software and Applications Conference (COMPSAC '09). 33rd Annual. 2

42 •

infotecs 9/18/20 1:24 PM Page 43

www.itsec.ru

АВТОМАТИЗАЦИЯ

том для организации форума на основе системы MyBB, использующей типовые инструменты – PHP, MySQL, Apache2. В версии MyBB 1.8.6 в 2016 г. была обнаружена уязвимость SQL-injection. Уязвимость позволяет ввести в числовое поле фрагмент SQL-кода, который будет выполнен СУБД из-за недостаточного контроля за вводимыми значениями. При осуществлении "инъекции кода" видимой реакции веб-сайта не наблюдается, но при выполнении операции доступа к форуму в окне веб-браузера выдается результат выполнения внедренного кода, а также сообщение об ошибке работы MySQL (см. рис. 2). Таким образом, данная уязвимость позволяет внедренному коду быть запущенным через неопределенное время, что потенциально может быть очень опасно. Для разработки системы защиты сайта на основе MyBB был составлен перечень функций (включая настройки), определены типовые шаблоны общения на форуме (короткое сообщение, картинка, параграф, несколько параграфов), а также выявлены места, где некорректные действия пользователя приводят к сообщениям об ошибке. Далее по этому сценарию имитировались несколько сессий работы с форумом. При этом с помощью сетевого сниффера tshark записывался весь входящий и исходящий трафик веб-сервера. Полученные данные о коммуникациях между клиентом и сервером по протоколу HTTP были преобразованы во временные ряды интенсивности передачи данных, обезличенные до числа байт в единицу времени. Шаг дискретизации по времени был равен 0,1 с. Два синхронных временных ряда с интенсивностью входящего и исходящего трафика использовались для расчета функции взаимной корреляции с шириной окна 11 отсчетов времени. Таким образом, имелась возможность регистрировать динамический отклик сервера на запрос в течение 1 с каждую 0,1 с. Значительное число корреляционных функций должно было вычисляться для интервалов с нулевой интенсивностью трафика. Такие интервалы исключались из рас-

четов. Полученные взаимные корреляционные функции образовали профиль нормальной работы сервера. Структура нейросети для классификации ФВК выбиралась исходя из ширины окна корреляции и экспертных представлений о возможностях нейронных сетей типа "автокодировщик" (см. рис. 3). На вход нейросети подавался вектор значений ФВК. Нейронная сеть обучалась для того, чтобы на выходах формировался вектор значений, максимально близкий к вектору входных значений ФВК. При обучении использовался критерий минимизации средней квадратичной ошибки (MSE, Mean Squared Error). Значение мгновенной ошибки реконструкции (IRE, Immediate Reconstruction Error) для заданного входного вектора определяет точность, с которой нейронная сеть опознает входной вектор значений ФВК длины как известный, и вычисляется по формуле. Нейросеть обучалась в пакете MATLAB методом Левенберга – Марквардта по подготовленному профилю нормальной работы, из которого формировалась обучающая выборка. После обучения ошибка реконструкции на профиле нормальной работы не превышала значения 0,0024 (см. рис. 4). Для выявления аномалий был задан порог мгновенной ошибки реконструкции в качестве наибольшего значения среди ошибок реконструкции, рассчитанных для ФВК обучающей выборки, – 0,0024.

Рис. 2. Результат SQL-инъекции с произведенным выводом (выделен красным прямоугольником) и введенным кодом (подчеркнуто красным)

Рис. 3. Структура автокодировщика Для апробации обученного классификатора был проведен сеанс работы с сайтом MyBB, содержащий, кроме нормальных запросов, SQL-injection, и осуществлены дальнейшие действия по вызову результата внедренного кода. По графикам интенсивности измеренного входящего и исходящего трафика были рассчитаны ФВК, представляющие тестовую выборку. На рис. 5 приведен полученный график мгновенной

Рис. 4. Мгновенная ошибка реконструкции для обучающей выборки

• 43

infotecs 9/18/20 1:24 PM Page 44

ТЕХНОЛОГИИ

Рис. 5. Ошибка реконструкции для обучающей (синий цвет) и тестовой (красный цвет) выборки

Рис. 6. Вид нормальных ФВК для малой ошибки IRE и вид аномальных ФВК для ошибки выше порога IRE ошибки реконструкции для ФВК тестовой выборки, а также график ошибки реконструкции для ФВК обучающей выборки и порог обнаружения аномалий.

Рис. 7. Профиль нормальной работы сервера и обнаруженные аномальные отклики сервера

44 •

На графике отмечены значения ошибки реконструкции, превышающие заданный порог, то есть распознанные классификатором как аномальные. Поскольку порядковый номер ФВК по оси абсцисс позволяет однозначно определить временной интервал соответствующего фрагмента трафика, было выяснено, что одно из превышений порога – это ложная тревога (false positive), а три остальных соответствуют трем обнаруженным атакам SQL-injection (SQLIA1, SQLIA2, SQLIA3). Наличие ложного срабатывания может быть объяснено как недостаточным качеством обученного классификатора, так и возмущениями, внесенными средой выполнения во временные характеристики обрабатываемых запросов.

Сравним вид ФВК, которые были распознаны нейросетевым классификатором как нормальные и ошибка для которых была мала, с видом ФВК, ошибка реконструкции для которых превысила пороговое значение IRE (см. рис. 6). Отметим, что ФВК, соответствующие атакам SQL-injection, носят мультимодальный характер, в отличие от ФВК из области нормальных. В "узком горле" обученной нейросети, состоящем из трех нейронов, происходит сжатие поданных на вход данных. В трехмерном пространстве показаны точки нормальных ФВК, характеризующие профиль нормальной работы, и точки тестовой выборки (см. рис. 7). Видно, что большинство ФВК из тестовой выборки нейросеть распознала и отнесла к пространству нормальных ФВК, характеризующих профиль нормальной работы. Некоторые ФВК, отстоящие от выделенной нормальной области, нейронная сеть нашла аномальными, часть из них действительно характеризуют реакцию сервера на вредоносные SQL-запросы. Рассматривая в качестве объекта классификации все ненулевые ФВК тестовой выборки, можно рассчитать стандартные характеристики классификатора (см. табл.).

Таблица. Матрица ошибок классификации и характеристики качества классификатора True

False

Positive

4826

Negative

Recall

99,9%

Precision

100%

F-мера

99,9%

Таким образом, метод обнаружения аномалий на основе автокодировщика был успешно применен для обнаружения трех проведенных атак SQL-injection на сервис МyBB. Полученные результаты позволяют серьезно рассматривать вопрос распространения разработанного метода для обнаружения и других сетевых атак на простые сервисы. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Huawei 9/18/20 1:24 PM Page 45

www.itsec.ru

ТЕХНОЛОГИИ

О стратегии и практике обеспечения ИБ компании Huawei в России Александр Зубарев, директор по информационной безопасности ООО “Техкомпания Хуавэй"

На правах рекламы

омпания Huawei принимает активное участие в глобализации развития ИКТ, создавая и совершенствуя такие новые технологии, как искусственный интеллект, Интернет вещей, 5G, облачные вычисления, конвергенция сетей, Big Data, блокчейн, цифровая трансформация и другие.

Основатель компании г-н Жень Чженфей выдвинул десять правил безопасности, свидетельствующих о голословности обвинений в адрес Huawei со стороны правительства США1. Huawei традиционно уделяет особое внимание вопросам информационной безопасности и защиты персональных данных: l мы встроили функции обеспечения безопасности во все бизнес-процессы, связанные с НИОКР, заказами, поставками, продажами, маркетингом, техническим обслуживанием, сервисами и утилизацией; l утвердили и внедряем новую проактивную стратегию обеспечения ИБ для наших заказчиков; l внимательно относимся и строго следуем принципам безопасности, требованиям законодательства, поддерживаем проведение аудита и сертификации со стороны государственных органов и независимых сторонних агентств в своей практической деятельности. В прошлом году российское представительство Huawei успешно прошло независимый аудит Роскомнадзора на соответствие требованиям в области обработки и защиты персональных данных и, по оценке регулятора, показало лучший результат среди зарубежных вендоров в России. Как глобальный лидер ИКТ, Huawei сосредоточена на защите своих клиентов от современных киберугроз. Компания признает международные правила и методы обеспечения информационной безопасности и строго им следует. За последние годы Huawei стала не просто поставщиком современных ИКТрешений, но и стратегическим партнером для заказчиков, вместе с которыми мы создаем инновационные, комплексные и безопасные решения. В этом году в рамках тренда локализации мы совершенствуем вопросы продвижения продуктов безопасности Huawei нашим заказчикам и сертификации семейств продукции по новым требованиям ФСТЭК России. К таким продуктам относятся МСЭ и СОВ нового поколения, анти-DDoS-решения, шлюзы защищенного доступа, "песочницы", системы управления событиями информационной безопасности и др. 1

Информационная безопасность – ключевой приоритет для Huawei во всех развиваемых современных ИКТ, на каждом этапе их создания. Клиенты компании Huawei более чем в 170 странах доверяют ее продуктам и решениям.

Компания также представила свои передовые решения в области кибербезопасности, которые ориентированы на создание интеллектуальных средств защиты от постоянно меняющихся, более опасных угроз. Это: l HiSec – интеллектуальная система безопасности для ИКТ-инфраструктуры; l SDSec – система централизованного управления сетевой информационной безопасностью в крупных компаниях; l компоненты аналитики CIS (CyberSecurity Intelligent System) и FireHunter для выявления и противодействия сложным атакам (APT). Решения ориентированы на использование новой интеллектуальной архитектуры IPDRR (Identify, Protect, Detect, Respond and Recover), реализуют проактивную защиту и включают в себя следующие компоненты: l выявление и идентификацию атак; l анализ поведения нарушителя; l оценку последствий; l реагирование на события безопасности – выбор и применение оптимальных механизмов защиты; l восстановление безопасного состояния; l единое управление всеми компонентами. Решения используют микропроцессоры собственного производства Huawei, которые могут применяться во всех индустриальных секторах экономики и в таких перспективных областях, как Интернет вещей, 5G, облачные вычисления, безопасный город, интеллектуальные коммуникации. В Москве Huawei открыла OpenLab Moscow (демоцентр и лаборатория), предназначенные для организации совместной работы инженеров компании, ее партнеров и заказчиков с целью разработки, кастомизации и тестирования новых технологических решений для создания цифровой технологической экосистемы, в рамках которой партнеры компании получат возможность использовать современные инженерные ресурсы, а также разрабатывать и тестировать корпоративные решения на стороне вендора.

https://www.huawei.com/ru/news/ru/2019/huawei_10_cybersecurity_rules

Среди ключевых направлений OpenLab – финансовый сектор, транспорт и телеком, энергетика, нефтегазовая отрасль, общественная безопасность, осуществляемая в рамках проекта "Умный город". Демонстрационный центр дает возможность еще на этапе обсуждения и планирования получить представление о том, как будет выглядеть проект в реальной жизни после его завершения. В стратегическом направлении особое внимание Huawei в России уделяет выполнению следующих требований: l лицензирование деятельности в области разработки и производства в сфере защиты конфиденциальной информации (ФСБ и ФСТЭК России); l соблюдение правил экспортно-импортных операций для продуктов с криптографическими функциями и чувствительной информацией; l сертификация новых продуктов и решений Huawei на соответствие требованиям безопасности информации (AR- и NEмаршрутизаторы, коммутаторы S-серии, межсетевые экраны USG, платформы и компоненты виртуализации Fusion Sphere и Fusion Access). Huawei является одной из самых активных международных компанийпроизводителей: l по проведению независимого аудита (включая аудит исходного кода ПО, в том числе встраиваемого в чипы, с привлечением независимых лабораторий); l по реагированию на инциденты ИБ в реальном масштабе времени (реализуется командой PSIRT); l по тестированию и моделированию атак; l по оперативному выявлению и устранению уязвимостей ПО на всем этапе жизненного цикла. Всем этим Huawei на практике доказывает реальное состояние безопасности своих продуктов и решений для своих заказчиков и регуляторов. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 45

drweb 9/18/20 1:24 PM Page 46

ТЕХНОЛОГИИ

Пять мифов о корпоративных антивирусах Александр Михайлов, аналитик компании “Доктор Веб”

бычно списки различных интернет-мифов составляются с целью беззлобно посмеяться над различными безобидными слухами и развенчать их – статьи в духе “почитать в обеденный перерыв”. Однако в этой статье мы поговорим о мифах, которые касаются информационной безопасности, а это уже дает веский повод отнестись к ним с особым вниманием.

Мифы в вопросах безопасности – явление критически вредное. Будь то техника безопасности при работе со станком или вопрос информационной защиты бизнеса – любые ошибки чреваты большими потерями. Чтобы помочь нашим читателям их избежать, я развенчаю пять самых распространенных, а потому и самых опасных заблуждений о корпоративных антивирусах. Не удивляйтесь, если найдете в этом списке то, в чем до сих пор были твердо уверены. Задача современного

Миф первый

корпоративного антивируса – обеспечивать централизованную защиту всех типов устройств, в том числе физически находящихся вне сети предприятия.

Любые вариации на тему "Да кому я нужен" – самый короткий путь узнать, кому именно.

Большинство злоумышленников выбирает своими целями малые предприятия, где защиты практически

Корпоративный антивирус должен защищать только ПК и серверы Давно прошли времена, когда понятия "дом" и "бизнес" были строго разделены по всем параметрам. Сейчас в рабочих целях сотрудники активно пользуются своими личными смартфонами, ноутбуками и другими гаджетами. И если все эти устройства выпадают из "защищаемого периметра", то сама защита в целом становится не более чем формальностью. Задача современного корпоративного антивируса – обеспечивать централизованную защиту всех типов устройств, в том числе физически находящихся вне сети предприятия. Офисные и удаленные сотрудники, командировочные и выездные бригады – все должны быть под защитой, контроль за которой будет осуществляться ответственным специалистом.

нет, а успешная атака возможна при сравнительно

Миф второй

небольших усилиях.

Корпоративный антивирус нужен только крупным компаниям В основе этого мифа лежат сразу два заблуждения. Первое заблуждение: "Наш бизнес слишком маленький,

46 •

чтобы представлять интерес для мошенников". Вообще любые вариации на тему "Да кому я нужен" – самый короткий путь узнать, кому именно. Малый бизнес, как правило, выделяет на информационную безопасность минимум средств и усилий, если вообще заботится об этом, поэтому представляет для злоумышленников куда больший интерес, чем крупные предприятия. В самом деле, чтобы "вломиться" в сеть любой корпорации, надо обладать невероятным багажом знаний и приложить огромные усилия. И даже при этом успех не гарантирован. Поэтому большинство злоумышленников выбирает своими целями малые предприятия, где защиты практически нет, а успешная атака возможна при сравнительно небольших усилиях. Да, украсть у них получится гораздо меньше, чем у крупных фирм, но зато такая кража несет меньше рисков для преступника, а обилие компаний малого и среднего бизнеса чисто статистически повышает шансы на успешную атаку. Иными словами, реальность кардинально отличается от мифа: малый бизнес интереснее для большинства киберпреступников, нежели крупный. Второе заблуждение: "Если предприятие небольшое, то хватит обычного "домашнего” антивируса. Так проще и дешевле". В данном случае решение, которое кажется простым, оборачивается нерациональной тратой большого количества времени. Даже если на предприятии всего десять рабочих мест, использовать корпоративный антивирус выгоднее, чем "домашний". Дело в том, что для бизнес-продуктов практически всегда есть скидка за количество лицензий, что позволяет получить выгоду в цене. К тому же администратору гораздо удобнее централизованно управлять антивирусной сетью со своего рабочего места,

а не постоянно решать любую возникающую проблему за компьютером пользователя. Если антивирусная защита предприятия централизована, то она полностью находится под контролем администратора, а это значит, что можно не волноваться за действия пользователей, будь то случайные ошибки или намеренное вредительство, при определенных настройках антивируса у них просто не будет на это прав. При необходимости можно практически полностью регламентировать доступ сотрудника к сетевому оборудованию и даже к ресурсам его рабочего ПК, что не только сведет к минимуму риски случайных инцидентов, но во многих случаях поможет бороться даже против спланированного саботажа.

Миф третий Корпоративный антивирус должен защищать только "офисную" часть инфраструктуры предприятия Первый миф касался мобильных и других личных устройств сотрудников, но есть и другая его версия – "В защите нуждается только "офис", а всего остального будто и нет. В то же время существует огромное множество аппаратных комплексов, которые имеют доступ в Интернет и которые также должны быть защищены, к ним относятся банкоматы, различные терминалы, дистанционно управляемое оборудование и даже кассовые аппараты. Это может показаться странным, но, когда к заводскому оборудованию внезапно получает доступ хакер, ущерб может превзойти все мыслимые пределы. Не думайте, что это нереально. Несколько лет назад Интернет вещей стал лакомой целью для хакеров. Шпионаж за людьми через их собственные веб-камеры и прочие "невинные шалости" стали настоящей головной болью специалистов по инфор-

drweb 9/18/20 1:24 PM Page 47

www.itsec.ru

КОРПОРАТИВНЫЕ АНТИВИРУСЫ

мационной безопасности. И если "сумасшедший" холодильник максимум закажет вам сотню-другую пицц, то "обезумевшая" промышленная установка может натворить дел в критичных для предприятия масштабах. Большая часть подобного оборудования защищается посредством специальных технических решений, но все рабочие места операторов должны быть защищены именно антивирусом.

Миф четвертый Корпоративный антивирус не нужен, если все сотрудники компании работают удаленно Сейчас, когда значительная часть малого бизнеса представлена компаниями, ведущими деятельность только в Интернете, а их сотрудники работают из дома, актуальным становится вопрос защиты такой структуры. Этот миф быстро сформировался из утверждения "Все работают дома, со своих ПК, вот пусть тогда сами о безопасности и заботятся". Увы, проблемы сотрудников в данном случае – проблемы бизнеса. Появление шифровальщика у удаленного сотрудника чревато длительным простоем, а кража данных компании с его компьютера – прямой путь к финансовым потерям. Если злоумышленники смогут получить доступ к системе онлайн-банкинга, то на счету компании и вовсе останется круглый ноль. Учитывая, что корпоративный антивирус позволяет удаленно настроить

защиту всех устройств сотрудников без визита к ним, этот способ гораздо лучше слабой надежды, что они "позаботятся о себе сами".

Миф пятый Корпоративный антивирус позволяет раз и навсегда забыть о проблемах с ИБ Все мечтают о "волшебной таблетке", применение которой позволит полностью и навсегда решить ту или иную проблему. Но таких лекарств не существует ни в медицине, ни в любой другой сфере, включая информационную безопасность. К сожалению, многие руководители предприятий считают, что, выделив сетевому администратору время и деньги на установку и настройку корпоративного антивируса, они надежно защитили свой бизнес от атак. Увы, это не так. Корпоративный антивирус – необходимый, но недостаточный элемент защиты. Причин несколько. 1. Даже антивирусный комплекс надо регулярно обновлять и пользоваться актуальной версией. Установить и забыть – нельзя. 2. Антивирус – лишь инструмент, и его эффективность напрямую зависит от квалификации и опыта работающего с ним специалиста. Если на небольшом предприятии с защитой может справиться любой технически подкованный сотрудник, ознакомившись с пользовательскими руководствами, то для защиты крупной компании

со сложной сетевой инфраструктурой нужно нанимать профильного администратора безопасности. 3. Все используемые приложения должны регулярно обновляться. Да, антивирус может спасти, "заткнуть" своими действиями большинство эксплойтов за счет контроля целостности процессов, чтобы злоумышленники не смогли ими воспользоваться. Но часто невозможно нейтрализовать уязвимости без обновления ПО. 4. Грамотные и лояльные сотрудники – залог безопасности предприятия. Стоит потратить силы и время, чтобы все работники получили хотя бы базовые знания по информационной безопасности. В противном случае их незнание может свести на нет всю эффективность системы защиты. Знание – сила. Подводя итоги, нужно отметить, что перечисленные мифы – самые распространенные и опасные, но существует и множество других заблуждений, которым лучше не поддаваться. Для построения надежной системы информационной безопасности предприятия стоит обратиться к специалистам. И если у вас есть вопросы и сомнения, решать их нужно совместно с профессионалами, опираясь на их советы, а не на слухи и чужой не подтвержденный реальными знаниями опыт. l

Многие руководители предприятий считают, что, выделив сетевому администратору время и деньги на установку и настройку корпоративного антивируса, они надежно защитили свой бизнес от атак. Увы, это не так.

Грамотные и лояльные сотрудники – залог безопасности предприятия. Стоит потратить силы и время, чтобы все работники получили хотя бы базовые знания по информационной безопасности.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 47

Kondrashin 9/18/20 1:24 PM Page 48

ТЕХНОЛОГИИ

XDR-решения: когда обычный антивирус не поможет Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ

О На протяжении многих лет главным барьером для вредоносного ПО были антивирусные программы. Они проверяли файлы, которые открывал, копировал или запускал пользователь, на наличие характерной для вирусов последовательности байт – сигнатуры. Базы сигнатур регулярно пополнялись с сайта разработчика антивируса, совершенствовались методы поведенческого анализа запускаемых программ, внедрялись эвристические методы для обнаружения неизвестных угроз, однако все это касалось исключительно локального компьютера. Для больших сетей внедрялись антивирусные комплексы с централизованной консолью. Локальные антивирусы получали настройки от центра управления и отправляли туда все предупреждения об обнаруженных угрозах, выполняя указанные в настройках действия (помещали в карантин, удаляли файлы или разрешали работу с ними). С развитием технологий и киберугроз возможностей традиционных антивирусов, защищающих конечные устройства

тличительная черта современного ландшафта киберугроз – возрастающая сложность атакующих технологий и многообразие используемых инструментов, от социальной инженерии до вполне легитимных системных утилит. Задача определения вредоносного воздействия становится чрезвычайно сложной, поэтому возможностей традиционных антивирусов уже недостаточно, чтобы защитить компанию. На помощь приходят решения следующего поколения, объединяющие в себе детектирование, реагирование и обработку событий из множества источников, – XDR-системы.

(Endpoint Protection Suite, EPP), перестало хватать, поскольку для атак теперь используются вполне легитимные утилиты, такие как reg, wmic и powershell. Сами атаки стали многоэтапными, и в этом случае каждое отдельное вредоносное действие не вызывает возражений у антивируса. В сложившейся ситуации появилась острая необходимость в решениях, которые могут не только отреагировать на угрозу в соответствии с заданными правилами, но и действовать проактивно, чтобы не просто уведомить о наступившем инциденте, а заблокировать потенциально вредоносные операции, а также собрать информацию, необходимую для анализа кибератаки. Такие решения относятся к классу EDR – Endpoint Detection and Response, системы обнаружения и реагирования на угрозы конечных устройств.

Зачем нужны EDR-системы? Системы EDR расширяют функциональность традиционных антивирусов модулем детального сбора данных. Это позволяет аналитикам SOC (Security Operations Center – центр обеспечения

информационной безопасности) в случае инцидента ответить на следующие вопросы: l какое устройство стало "нулевым пациентом", допустив выполнение вредоносной программы; l как хакеру удалось проникнуть в систему и закрепиться в ней; l в каком файле содержался вредоносный код; l сколько систем было поражено; l какие данные похищены; l сколько времени заняла атака; l какие действия необходимо предпринять. Большое количество собираемой EDR информации приводит к тому, что даже в компании среднего размера команда SOC оказывается перегружена предупреждениями, из-за чего: l становится сложно выявить корреляции между различными событиями; l уходит много времени на обнаружение атак; l реакция происходит слишком поздно и в недостаточном объеме; l расследование инцидента не дает полной картины произошедшего, поскольку какие-то детали остаются нерассмотренными.

Рис. 1. "Слепые зоны" EDR-решений 1

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

48 •

Kondrashin 9/18/20 1:24 PM Page 49

www.itsec.ru

КОРПОРАТИВНЫЕ АНТИВИРУСЫ

По данным исследования Verizon 2019 Data Breach Investigations Report1, среднее время выявления инцидентов составляет 197 дней. В современных условиях это недопустимо долгий срок: за полгода злоумышленники успеют не только похитить интересующие их данные, но и глубоко внедриться в сеть, детально изучив все происходящее в ней. Может показаться, что совместное применение систем SIEM (Security Information and Event Management – системы управления информацией и событиями безопасности) и EDR позволит выявлять инциденты и реагировать на них более оперативно, однако это не так. SIEMсистемы собирают оповещения от всех устройств, подключенных к сети, но эти оповещения по-прежнему изолированы друг от друга. Настройка правил корреляции решает эту проблему лишь частично, поскольку их уведомления могут потеряться среди остальных сообщений. Чтобы обнаружить атаку с помощью SIEM, потребуется выполнить много ручной работы даже при настроенных корреляциях, ведь одна атака может быть представлена несколькими тысячами событий. EDR-решения обладают еще одним существенным в контексте современных угроз недостатком: они работают исключительно с "конечными точками" – компьютерами, серверами и мобильными устройствами. Однако в сети любой организации есть и другие компоненты, например принтеры, маршрутизаторы, устройства IoT и IIoT, сетевое оборудование и компоненты облачной инфраструктуры (контейнеры и виртуальные машины). С точки зрения EDR их как бы не существует, хотя захваченный злоумышленниками сетевой принтер или маршрутизатор могут стать серьезной угрозой для компании.

Как работают XDR-решения? Следующим шагом в развитии защиты корпоративных сетей стали решения класса XDR, которые охватывают не только конечные точки, но и остальные элементы типичной сетевой инфраструктуры. XDR объединяет в себе уже знакомую по EDR функциональность выявления и реагирования на угрозы конечных точек с возможностями выявления современных кибератак, выполняемых через сеть, почту или облачную инфраструктуру. Новые источники получения сведений об угрозах – важное отличие XDR от решений предыдущего поколения, однако его главное преимущество – в мощной системе сбора и обработки информации. Детали реализации XDR-систем могут различаться у разных вендоров. В случае Trend Micro XDR реализована в виде 2

Рис. 2. Структура взаимодействия компонентов XDR По данным Gartner, угрозы становятся всё более сложными и многослойными, поэтому их легко не заметить, если вы сосредоточились на анализе только одной детали этой головоломки. Чтобы увидеть общую картину и реальные угрозы для организации, требуется слаженная работа различных технологий обеспечения кибербезопасности и правильное использование данных, которые поступают из внешних и внутренних источников.

панели управления, к которой подключаются детектирующие компоненты: l Deep Discovery Inspector, выполняющий глубокий анализ сетевого трафика и выявление аномалий; l Cloud App Security, проверяющий почтовые ящики пользователей на предмет вредоносных писем и ссылок; l Apex One SaaS – для защиты конечных точек; l Cloud One Workload Security – для проверки контейнеров и компонентов облачной инфраструктуры. Через специализированный программный интерфейс (API) к консоли могут быть подключены сенсоры других решений. Вся поступающая информация о событиях собирается в едином хранилище Trend Micro Data Lake, после чего выполняется ее обработка и анализ с помощью искусственного интеллекта и других технологий. Встроенная в XDR система аналитики выявляет атаки как многокомпонентные процессы, объединяя тысячи событий в несколько предупреждений. Система позволяет визуализировать атаку и посмотреть, откуда пришла угроза, как она распространялась по сети и контейнерам в облаках, кого заразила, как происходило перемещение между устройствами, какие команды при этом выполнялись, и все это в виде таймлайна, который можно пройти по шагам. В XDR не используется сигнатурный анализ и правила корреляции, подобные SIEM-системам. Вместо этого здесь работают поведенческие модели, разработанные аналитиками Trend Micro на

https://blog.paloaltonetworks.com/2020/04/cortex-security-and-risk-management/

базе изучения сотен тысяч обнаруженных атак. XDR автоматически объединяет серии малозначимых действий в единое значимое событие и распределяет по приоритету соответствующие оповещения.

Что дает использование XDR? Благодаря сопоставлению найденных угроз по всей организации, исчерпывающей информации о них, искусственному интеллекту и аналитике больших данных, при использовании XDR-аналитики SOC будут получать только значимые оповещения, отсортированные по степени серьезности. В свою очередь, анализ контекста незначительных угроз от разных источников позволяет определить значимые индикаторы компрометации, что дает возможность проводить полезные исследования, создавать единую картину угроз, оперативно обнаруживать их и блокировать. Автоматически анализируя огромные массивы данных, XDR устраняет необходимость ручного вмешательства, позволяя специалистам по безопасности быстро воссоздать развитие атаки. По мнению Gartner, XDR-решения – тренд № 1 в мире2! Крупным компаниям стоит всерьез рассмотреть возможность перехода на такие системы безопасности, поскольку они позволяют повысить эффективность работы аналитиков SOC и существенно поднять уровень защиты компании от киберугроз. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 49

Tiunov-Pankin-David 9/18/20 1:24 PM Page 50

ТЕХНОЛОГИИ

Заметки об использовании антивирусного ПО в организациях Артем Тиунов, Александр Панкин, Денис Давид, ООО “ИНФОРИОН” Ваш единственный начальник – это ваш покупатель. Этот человек способен разорить целую компанию или понизить ее директора в должности до охранника, просто начав регулярно покупать товары в другом магазине. Сэм Уолтон, основатель Wal-Mart

Каким бы опытным ни был пользователь, наличие антивирусной защиты в разы снижает уровень заражений и повышает безопасность.

Изначальная задача антивирусного программного средства – противодействие вредоносному коду, способному нанести ущерб информационной системе. Безусловно, эта функция осталась основополагающей, но на сегодняшний день каждый уважающий себя продукт оброс большим количеством дополнительной функциональности, обеспечивающей комплексную защиту не только от “зловредов” (см. таблицу).

соких требованиях к производительности.

Оптимизация Простота обучения сотрудников – системных инженеров и администраторов. Минимальное количество задействованного персонала при эксплуатации решений, а также возможность централизованного управления безопасностью рабочих станций и серверов.

Возможности Использование антивирусов в окружении стороннего и даже самописного программного обеспечения, а также в свободно распространяемых операционных системах. Интеграция

Таблица. Функция

Описание

Защита от компьютерных вирусов Блокировка в онлайн-режиме компьютерных червей, троянских программ, руткитов и т.д. Защита от нежелательного

Шпионские и рекламные программы, клавиатурные шпионы,

программного обеспечения

программы для целевого фишинга и др.

Выявление "бесфайловых" вирусов Вирусы, расположенные в оперативной памяти Единая панель управления

Центры для сбора анализа и управления защитными механизмами станций из единого операторского места

Контроль доступа к устройству

Инструментарий для защиты от несанкционированного

Кросс-платформенность

Способность программного обеспечения работать в любой

доступа и модификации ресурсов среде операционных систем Низкая ресурсозатратность

Потребление относительно небольшого количества ресурсов, что не мешает производительности систем

Защита от кибератак

Дополнение функциями обнаружения вторжений и межсетевого экранирования

Разнонаправленность защиты

Проверка не только файлов и трафика, но и опасных подключений к открытым сетям, а также оповещение о несанкционированном доступе к фото- и видеокамерам или данным о местоположении

Менеджер паролей

Сохранение и шифрование паролей

Антивирусы с точки зрения ИБ

в имеющуюся информационную структуру компании.

ложить базовую, компро-

Основная цель

миссную конфигурацию

Основная цель использования антивирусного ПО – обеспечить максимальную защиту информационных систем организации при низких затратах на приобретение и относительно невы-

Антивирусы с точки зрения комплаенса

Производители антивирусного ПО стремятся пред-

между защитой и производительностью.

50 •

Особенности законодательства С этой точки зрения выбор антивирусного ПО осуществляется исходя из тех или иных

требований к производителю (реестр российского ПО), сертификации (ФСТЭК, ФСБ), шифрованию (ГОСТ).

Государственный сегмент организаций В этом сегменте важно низкое потребление антивирусом вычислительных ресурсов, возможность работы с морально устаревающими программноаппаратными средствами и операционными системами, а также простота в использовании без дополнительного обучения сотрудников.

Соответствие высоким параметрам защищенности Выполнение требований в соответствии с указаниями регуляторов, но не больше, чтобы случайно не быть заподозренным в нецелевом расходовании бюджетных средств.

Возможно ли представить организацию без антивируса? Как показывает практика, не защищенные антивирусом персональные компьютеры подвергаются заражениям гораздо чаще. Каким бы опытным ни был пользователь, наличие антивирусной защиты в разы снижает уровень заражений и повышает безопасность обрабатываемой в организации информации, что сокращает финансовые убытки и сохраняет конфиденциальность критически важных сведений.

Разворачиваем продукт Централизация управления и дистанционная установка компонентов стали стандартом де-факто, что позволяет обеспечить инфраструктуру минимальным набором функций защиты уже через несколько часов работы. Производители антивирусного ПО стремятся предложить базовую, компромиссную конфигурацию между защитой и производительностью. В особенно важных аспектах, однако, упор дела-

DialogNauka 9/18/20 1:24 PM Page 51

Tiunov-Pankin-David 9/18/20 1:24 PM Page 52

ТЕХНОЛОГИИ Комментарий эксперта На сегодняшний день антивирусное ПО входит в число базовых средств защиты, которые должны быть установлены на любом компьютере. При этом функциональные возможности антивирусов постоянно расширяются. Если раньше антивирус был предназначен только для выявления вредоносного кода, то сейчас он может использоваться и как Виктор Сердюк, клиентская DLP-система, пергенеральный сональный межсетевой экран, антиспам, средство для инвендиректор АО “ДиалогНаука” таризации и управления программами, установленными на защищаемых узлах, и др. Некоторые производители уже стали добавлять в антивирус функции EDR (Endpoint Detection and Response), позволяющие автоматизировать действия по реагированию и расследованию выявленных инцидентов безопасности. Несмотря на то что сейчас на российском рынке представлено достаточно большое количество антивирусов, к сожалению ни один из них не может гарантировать 100%-ную защиту от вредоносного кода. Именно поэтому в соответствии с лучшими практиками и целым рядом стандартов по безопасности рекомендуется одновременно использовать несколько антивирусов от разных производителей. В рамках такого эшелонированного подхода антивирус одного производителя, например, может устанавливаться на рабочие станции, а другой антивирус – на файловые и почтовые серверы. На крупных предприятиях антивирус должен быть интегрирован в общую систему обеспечения информационной безопасности, в том числе иметь возможность отправлять информацию о выявленных инцидентах в SIEM-систему. l

Антивирусная защита позволяет провести гибкую настройку для работы в домашних условиях, чтобы обеспечить безопасность внутренней инфраструктуры организации.

1 2

ется на включение полноценной локальной антивирусной защиты. После этого, как и для большинства решений других типов, наступает долгий период кропотливой точечной настройки, в течение которого происходит оптимизация и добавление новых логических правил, специфичных для конкретной инфраструктуры. Продолжаться это может бесконечно. После этапа установки мы рекомендуем произвести обязательные действия: l настроить график, а также источник обновления антивирусного решения; l сформировать список ресурсов и приложений, к которым доступ пользователей будет ограничен через серверные

оснастки (нежелательные ресурсы, социальные сети, торренты, видеоресурсы, не относящиеся к рабочему процессу).

l постоянное выделение в отдельные модули компонентов защиты, что в итоге делает решение дороже.

Мнение практиков Как защититься "на удаленке"

Особенности инсталляции

Все больше организаций предоставляют служебные лэптопы для работы дома или допускают использование личных ноутбуков и ПК сотрудников. Во втором случае, впрочем, придется решать вопрос увеличения необходимого количества антивирусных лицензий, а также находить решения для маломощных домашних устройств или альтернативных ОС. Несмотря на это, существуют механизмы защиты рабочих станций даже в таких условиях. Антивирусная защита позволяет провести гибкую настройку для работы в домашних условиях, чтобы обеспечить безопасность внутренней инфраструктуры организации. К таким настройкам относятся: l ограничение доступа к внутренним ресурсам организации извне; l дополнительные аутентификации для доступа в безопасные зоны; l логирование и сбор данных на компьютере управления; l выведение отчетов о происшествиях на защищаемом ПК из интерфейса программы управления.

Перед инсталляцией важно проверить настройки устройства, на которое устанавливается программа управления и устройств, где будут устанавливаться агенты: l наличие необходимых для работы открытых портов (подробную информацию можно получить на сайтах производителей1); l настроенные (административные) права доступа учетной записи, из-под которой будет производиться установка ПО.

Нетипичное применение

Острые вопросы заказчиков

Особенности лицензирования

Мы собрали несколько отзывов от реальных пользователей антивирусных средств защиты из нашей практики: l сложности в освоении и настройке; l высокая нагрузка на центральный процессор, жесткий диск и сеть, при полных проверках; l недоработка бесплатных решений, что в итоге заставляет пользователя купить лицензию (бесплатный сыр только в мышеловке); l при покупке лицензии нет гарантии полной защиты от вредоносных программ (как и многое другое ПО, антивирусное решение – это лишь инструмент);

Лицензирование по числу защищаемых рабочих станций, клиентов, подключающихся к терминальному или виртуальному серверу, – основное и главное правило лицензирования всех антивирусных продуктов, но существуют и некоторые исключения, присущие каждому решению в отдельности.

Антивирусы можно использовать для управления установкой и обновления сторонних приложений2.

Нерешенные проблемы Так как любой антивирус – это в первую очередь программа, то у него есть свои уязвимые места, чему злоумышленники уделяют особое внимание. Уже само наличие установленного антивирусного решения добавляет определенное количество возможных векторов атак.

Существует ли универсальный продукт? В данный момент универсального продукта не существует по причине полярных запросов заказчиков. Для каждой организации необходим свой подход как в технических потребностях, так и в финансовых аспектах.

Например, https://download.drweb.ru/esuite/doc_ru/index.html? 1_5.htm, https://support.kaspersky.ru/9297#block2 Например, https://support.kaspersky.com/ksc/sp3/ru-ru/25656.htm

52 •

Tiunov-Pankin-David 9/18/20 1:24 PM Page 53

КОРПОРАТИВНЫЕ АНТИВИРУСЫ

www.itsec.ru

Комментарий эксперта

Подытожим Антивирусные решения стали намного функциональнее и практичнее, но с ростом функционала продукты становятся "громоздкими", и разработчики вынужденно их дробят на отдельные модули для удобства подбора под определенные задачи, бюджет и размеры компании. Применение антивирусных продуктов, несомненно, снизит вероятность заражения систем и повысит общий уровень ИБ организации, но антивирус далеко не панацея от всех болезней ИБ. Стоит ли в ближайшем будущем ожидать, что обычный антивирусный продукт обрастет настолько большими функциональными возможностями, что вытеснит другие узконаправ-

ленные решения? По нашему мнению, вряд ли. Несомненно, суперантивирус может быть плюсом с точки зрения удобства работы, но возрастут требования к знанию продукта, необходимой квалификации обслуживающих специалистов и требуемым вычислительным ресурсам. Многие решения, возможно, будут интегрированы в набирающие большую популярность платформы для работы и управления инцидентами информационной безопасности, что позволит расширить их функционал, тем самым убирая с рынка потребность в использовании отдельного решения. l

Мир антивирусной безопасности за годы существования оброс мифами. Вот, скажем, все знают, что вредоносные программы в обиходе называют вирусами, так как такой тип вредоносных программ появился исторически первым. А уж потом появились трояны и прочие типы вредоносного ПО. На самом же деле разрыв по времени между первым вирусом и первым червем невелик. А называют вирусы вирусами только потому, что это название было придуВячеслав мано раньше, чем создали первый вреМедведев, доносный вирус. И вот перед нами бестелесная проведущий аналитик грамма, которой сейчас пугают все кому отдела развития не лень. Но если посмотреть определекомпании ние, то мы увидим, что вирусы как тип “Доктор Веб” вредоносного ПО – именно бестелесны. Вирусы – это вредоносный код, внедряемый в файлы, и в виде самостоятельного файла вирусы не могут встречаться. Это бестелесное ПО живет в реестре или извлекается из иного файла для запуска. И для антивируса совершенно нет разницы, где искать вредоносный код – в картинке, исполняемом файле или реестре. А еще нас уверяют, что современный антивирус – это не только собственно антивирус, но еще и, скажем, блокировка детям доступа к нерекомендуемым ресурсам. В общем-то это правда. Но весь этот дополнительный функционал на самом деле предназначен опять же для борьбы с вирусами. Антиспам блокирует письма с вредными вложениями по признакам спама, блокировщик доступа к сайтам ограничивает доступ к зараженным ресурсам и т.д. Даже менеджер паролей – это защита от стилеров, похитилей паролей. Маркетинг немного перестарался, рассказывая о комплексных возможностях современного антивируса, и пользователи решили, что от части предлагаемого функционала надо отказываться. Но правда заключается в том, что в антивирусе нет неантивирусных модулей, и, отказываясь от якобы ненужного функционала, пользователь открывает дверь в "железном занавесе". Ну и самый-самый миф – о назначении антивируса. Но об этом, пожалуй, в другой раз. l

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 53

NEW_PROD 9/18/20 1:24 PM Page 54

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

НОВЫЕ ПРОДУКТЫ

Мобильная ОС Аврора

Платформа управления мобильными устройствами Аврора Центр

Производитель: Открытая мобильная платформа Назначение: первая российская мобильная ОС для корпоративного использования Особенности: eсть своя собственная платформа управления мобильными устройствами – Аврора Центр. Встроены средства защиты от НСД. Обеспечивает полный контроль над всеми функциями ОС. Единственная мобильная ОС в реестре российского ПО. Сертифицирована ФСТЭК по А4/УД4 и ФСБ по АК2/КС2. Полный цикл производства в России Возможности: l Доверенная загрузка и контроль целостности загрузчика и файловой системы l Управление политиками безопасности l Встроенная верификация установки и запуска программ l Дистанционный контроль всех функций смартфонов/планшетов l Собственная платформа управления устройствами l Многофакторная аутентификация l Шифрование данных и защита каналов связи (ГОСТ VPN) l Электронная подпись (в том числе квалифицированная) l ПО для решения любых задач: от прикладного (браузеры, мультимедиа, мессенджеры и др.) до профессионального и специализированного (СЭД, управление персоналом, работа с доверенными хранилищами и др.). Характеристики: кросс-платформенная среда разработки Linux/Qt. Использование апробированных технологий (С++, QML). Быстрое прототипирование с Qt QML Live Цена: поставляется вместе со смартфонами/планшетами, рассчитывается индивидуально Время появления на российском рынке: 2016 г. Подробная информация: www.omprussia.ru Фирма, предоставившая информацию: ООО "Открытая мобильная платформа" См. стр. 24

Производитель: Открытая мобильная платформа Назначение: российское EMM-решение. Централизованное управление корпоративными мобильными устройствами и используемым мобильным ПО на основе сценариев и политик безопасности Особенности: разворачивается на территории заказчика. Поддерживает до 500 тыс. устройств на ОС Аврора. Включено в реестр российского ПО. Сертифицировано ФСТЭК по УД4 Возможности: l Обновление и контроль версий ОС на устройствах l Ввод в эксплуатацию мобильных устройств, сброс и изменение пароля/ПИН-кода на устройстве l Фильтрация и сортировка устройств, пользователей и политик в консоли управления l Создание, назначение, редактирование и применение политик на устройствах l Мониторинг соответствия устройств политикам в консоли управления l Проведение диагностики и аудита событий с устройств, действий операторов, применения политик l Добавление и удаление устройств, пользователей и групп пользователей l Установка, удаление и обновление корпоративных приложений l Импорт оргструктуры компании из LDAP Характеристики: l Поддерживаемые ОС: CentOS 7.6.18 или Altlinux Server 8 l Поддерживаемые СУБД: Postgres Pro Standard 11.7.1 или PostgreSQL 11.2 и выше Цена: поставляется вместе с ОС Аврора, рассчитывается индивидуально Время появления на российском рынке: лето 2020 г. Подробная информация: www.omprussia.ru Фирма, предоставившая информацию: ООО "Открытая мобильная платформа" См. стр. 24

Staffcop Enterprise 4.7

Производитель: ООО "Атом Безопасность" Сертификат: № 4234 от 15.04.2020 г., выдан ФСТЭК России Назначение: программное решение, выполняющее сбор и анализ информации с функциональностью DLP и SIEM Особенности: l Доступная цена l Мощный аналитический инструментарий l Простота установки, настройки и управления l Удобная реализация групповых настроек и действий l Контроль трудовой дисциплины l Отчеты, настраиваемые по выбору пользователя l Для работы используется ПО по GNU/GPL-лицензии Возможности: l Мониторинг файлов, папок, запущенных процессов и приложений l Контроль электронной почты, социальных сетей и мессенджеров l Отслеживание поисковых запросов и мониторинг шифрованного трафика l Контроль всей сетевой активности l Контроль печати документов l Кейлоггер l Запись окружения с микрофона и снимки с веб-камеры l Снятие скриншотов экрана и онлайнпросмотр рабочего стола l Логгирование всех системных событий l Контроль входа и выхода из системы l Широкий и гибко настраиваемый аналитический инструментарий Характеристики: рекомендуемые системные требования для сервера (до 50 агентов): l Операционная система: Ubuntu Server 16.04 LTS (14.04 LTS) l Процессор Intel® Xeon E5-2603 v3 l Оперативная память 8 Гбайт l Дисковое пространство 30 Гбайт для ОС и 100 Гбайт для СУБД Ориентировочная цена: от 26 до 50 компьютеров: l Лицензия на 3 месяца – 1017 руб/ПК l Лицензия на 12 месяцев – 3050 руб/ПК Время появления на российском рынке: май 2020 г. Подробная информация: www.staffcop.ru Фирма, предоставившая информацию: ООО "Атом Безопасность" См. стр. 53

54 •

NEW_PROD 9/18/20 1:24 PM Page 55

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

Dr.Web vxCube

Производитель: Доктор Веб, ООО Назначение: интерактивный онлайнанализатор (веб-сервис) подозрительных объектов на вредоносность (песочница) для специалистов по информационной безопасности и киберкриминалистов Особенности: удаленная онлайн-проверка подозрительных объектов на вредоносность производится путем воспроизведения их поведения в изолированной виртуальной среде на серверах компании "Доктор Веб". В случае вынесения вердикта о вредоносности исследованного объекта возможно изготовление утилиты Dr.Web CureIt! для лечения зараженной системы Возможности: l Проверка в среде, заданной пользователем l Возможность воспроизведения любого действия подозрительного объекта в виртуальной среде для наблюдения за ним l Возможность влияния исследователя на ход анализа l Технический отчет о поведении вредоносной программы (в том числе в видеоформате), а также карта ее сетевой активности по результатам проверки l Отчеты о предыдущих проверках в личном кабинете пользователя l Возможность интеграции с внутренними системами компании (SIEM) и получение автоматического ответа о вредоносности файла Характеристики: для доступа к сервису нужен только браузер. Производится анализ: 1) исполняемых файлов, документов, служебных файлов, скриптфайлов, функционирующих в Windows XP x32, Windows 7 x32/x64, Windows 10 x64 и в различных версиях приложений; 2) файлов для мобильной платформы Android в формате APK (включая списки разрешений и намерений – специальных механизмов, описывающих выполняемые программой операции и активности); 3) удаленных сетевых ресурсов на вредоносность с использованием баз Родительского контроля Dr.Web Ориентировочная цена: зависит от параметров доступа Время появления на российском рынке: июнь 2018 г. Подробная информация: www.drweb.ru/vxcube/ Фирма, предоставившая информацию: Доктор Веб, ООО См. стр. 47

Российская сертифицированная цифровая платформа "Синтез"

Производитель: АО "ФИНТЕХ" Сертификат: № СФ/СЗИ-0216 от 07.05.2018 г., выдан ФСБ России Назначение: комплекс программ, предназначенных для создания на основе виртуализации защищенных территориально-распределенных высоконагруженных надежных центров обработки данных и автоматизированных (информационно-аналитических) систем Особенности: доверенная среда виртуализации и механизмы обеспечения отказоустойчивости и высокой доступности серверной группировки КСА или сегмента ЦОД Возможности: применение платформы "Синтез" для создания ЦОД обеспечивает их: l Защищенность l Универсальность l Масштабируемость l Надежность l Отказоустойчивость l Производительность l Экономичность l Гарантии при проектировании и развитии Характеристики: платформа "Синтез" может устанавливаться на следующих аппаратных средствах: l Серверах с аппаратной поддержкой виртуализации на платформе х86_64 l Серверах IBM P- и Z-серий l Рабочих станциях ("толстых" клиентах) на платформе х86_64 l Терминалах ("тонких" клиентах) на платформе х86_64 l Мобильных платформах l Средствах защиты информации от несанкционированного доступа, функционирующих совместно на платформе ЗОС "СинтезМ" l Сетевом оборудовании (Mellanox) Ориентировочная цена: серверная операционная система "Синтез-Сервер" (включая средства виртуализации и защиты информации): l Без лицензии и технической поддержки – бесплатно l С годовой лицензией и технической поддержкой – 150 тыс. руб. Клиентская операционная система "Синтез-Клиент": l Без лицензии и технической поддержки – бесплатно l С годовой лицензией и технической поддержкой – 14 900 руб.

www.itsec.ru

Стоимость лицензий и технической поддержки других компонентов – договорная, в зависимости от требований заказчика Время появления на российском рынке: апрель 2020 г. Подробная информация: www.fintech.ru Фирма, предоставившая информацию: АО "Финтех" См. стр. 27

Сервер аутентификации Blitz Identity Provider

Производитель: ООО "РЕАК СОФТ" Сертификат: изделие не подлежит сертификации Назначение: комплексная IAMсистема Особенности: унифицирует доступ сотрудников, контрагентов, клиентов в собственные приложения компании и используемые облачные сервисы Возможности: l Единый вход (Single Sign-On) l Двухфакторная аутентификация l Поддержка входа через ЕСИА, Mos ID, социальные сети l Сервисы самообслуживания для регистрации учетных записей, ведение настроек безопасности, восстановления пароля l Защита доступа к микросервисам компании Характеристики: производительность одного сервера Blitz Identity Provider до 1000 запросов в секунду l Устанавливается на серверы заказчика Ориентировочная цена: по запросу Время появления на российском рынке: май 2020 г. Подробная информация: identityblitz.ru Фирма, предоставившая информацию: ООО "РЕАК СОФТ" См. стр. 11

• 55

NEW_PROD 9/18/20 1:24 PM Page 56

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

Digital.ai (XebiaLabs DevOps Platform)

Производитель: XebiaLabs, Inc Сертификат: изделие не подлежит сертификации Назначение: оркестрация инструментов и процессов DevOps, автоматизация развертывания релизов

Особенности: l XebiaLabs предоставляет единую платформу для всех инструментов в вашем конвейере l Встроенные средства интеграции с распространенными (250+) инструментами DevOps l Простота и легкость развертывания, использования и масштабирования инфраструктуры выпуска ПО Возможности: l Ускоренный выпуск релизов l Оркестрация всех DevOps-инструментов и процессов, в том числе включая ручной режим l Автоматизация и "самообслуживание" развертывания l Обнаружение узких мест и предупреждение срыва сроков выпусков релизов

Характеристики:

l Самостоятельный быстрый запуск

кода в тестовой и производственной среде l Архитектура системы построена на основе Templates и Blueprints l Гибкая настройка процессов l Предназначена для средних и крупных компаний, которые управляют множеством релизов различных приложений в разных средах и инфраструктурах Время появления на российском рынке: февраль 2020 г. Подробная информация: xebialabs.com Фирма, предоставившая информацию: WEB CONTROL (официальный дистрибьютор в России) См. стр. 41

НЬЮС МЕЙКЕРЫ АТОМ БЕЗОПАСНОСТЬ, ООО 630090, Новосибирск, просп. Академика Коптюга, 4 Тел.: +7 (499) 653-7152, +7 (499) 638-2809 E-mail: sales@staffcop.ru www.staffcop.ru См. стр. 53

ДИАЛОГНАУКА, АО 117105, Москва, ул. Нагатинская, 1 Тел.: +7 (495) 980-6776 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. стр. 51

ДОКТОР ВЕБ, ООО 125040, Москва, 3-я улица Ямского поля, вл. 2, к.12А Тел.: +7 (495) 789-4587 E-mail: secretary@drweb.com, pr@drweb.ru www.drweb.ru См. стр. 47

ОТКРЫТАЯ МОБИЛЬНАЯ ПЛАТФОРМА, ООО Тел.: +7 (495) 269-0979 E-mail: info@omprussia.ru omprussia.ru См. стр. 24 РЕАК СОФТ, ООО 107023, Москва, ул. Суворовская, 19, стр. 1 Тел.: +7 (499) 322-1404 E-mail: info@reaxoft.ru, identityblitz.ru См. стр. 11 СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 39 ФИНТЕХ, АО 119180, Москва, 1-й Хвостов пер., 11А Тел. +7(499) 238-3800, +7 (499) 238-0132 E-mail: fintech@fintech.ru, www.fintech.ru См. стр. 27

Huawei 121614, Москва, ул. Крылатская, 17, к. 2 Тел.: +7 (495) 234-0686 huawei.com См. ст. "О стратегии и практике обеспечения ИБ компании Huawei в России" на стр. 45 uSeRGaTe 630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж Тел.: 8 (800) 500 4032, +7 (383) 286 2913 E-mail: sales@usergate.ru usergate.ru См. ст. "Проблемы контент-фильтрации в межсетевых экранах" на cтр. 12–13

weB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru web-control.ru См. стр. 41

9-11 Реклама

2021

56 •

IB_Monitor 9/18/20 1:25 PM Page cov3

TB_Forum 9/18/20 1:25 PM Page cov4

2021

9–11

InfoSec_04_2020

Articles inside

Новые продукты и услуги

Артем Тиунов, Александр Панкин, Денис Давид

Михаил Кондрашин

Константин Саматов

Дарья Орешкина

Анастасия Гурина, Владимир Елисеев

ТЕХНОЛОГИИ

Александр Михайлов

Юрий Черкас, Виктор Сердюк

Валерий Естехин

Олег Щербина

ЗАЩИТА СЕТЕЙ

КИИ

Анастасия Заведенская, Татьяна Пермякова

Артем Евланов

ПЕРСОНЫ

КОНТРОЛЬ ДОСТУПА

ЯДеРНОе ИМПОРТОЗАМеЩеНИе

Алексей Парфентьев