www.itsec.ru
№ 1, март 2022 Издание компании
14–16
2023
Спецпроект
DECEPTION
ПроблеМы иМПортозаМещения КоМПонентов объеКтов Кии Сравнение решений КлаССа Deception Глобальная реПутация ip-адреСов для борьбы С КиберуГрозаМи авторизация в Платежных СиСтеМах: ПроблеМы, Которые ПредСтоит решить Deception: СтратеГичеСКое решение для выявления инцидентов безоПаСноСти 8 Причин начать иСПользование Deception защита инфорМации в МедицинСКих орГанизациях С ПоМощью решений UserGate обзор решений КлаССа Deception
Точечный подход в дисТрибьюции и внедрении Технологий на рынке иб Константин Монахов
Реклама
www.itsec.ru
Возвращаемся в ритм Реальность, как обычно, скорректировала все планы.
Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”
В конце зимы и начале весны заметное число иностранных производителей ИБ-решений ушли с российского рынка. Некоторые вендоры сделали это громко хлопнув дверью, лишив своих клиентов не только обновлений и техподдержки, но иногда и функциональности своих продуктов. Дорогое оборудование в один момент стало "золотым кирпичом". Заказчики начали экстренный поиск альтернативных решений для антивирусов, защиты периметра, PAM и других средств защиты. Очевидно, что быстро заместить годами работающие продукты не получится. Какие есть варианты? Может быть, переключиться на производителей из стран, которые более лояльно относятся к российскому рынку? Не исключено, что иностранные решения, доступные на сегодняшний день, теоретически могут оказаться недоступными в ближайшем будущем и использовать их для критически важных процессов стоит с большой осторожностью или с хорошим резервированием. Соблазнительной кажется идея переориентации на китайских вендоров. Но в результате технологическая зависимость от производителей одной страны все равно рано или поздно принесет те же проблемы. Переход на Open Source также не выглядит панацеей, ведь неизвестно, какие сюрпризы уже есть в популярных библиотеках. А компетенций и времени пилотирования для успешного внедрения решений Open Source нужно гораздо больше, чем может предоставить нынешняя ситуация. Практика показывает, что в критически важных процессах полностью полагаться можно только на свои, российские, решения. К счастью, рынок ИБ-решений это уже понял и находится не в стартовой позиции: процесс импортозамещения давно начат и идет довольно высокими темпами. Более того, российские решения показывают хороший уровень функциональности. Да, где-то, возможно, не хватает привычного удобства, но и это вопрос времени. В процессе экстренного импортозамещения в сфере информационной безопасности могут возникнуть две сложности. Во-первых, ресурс производителей и интеграторов, скорее всего, не рассчитан на ажиотажный спрос, поэтому начинать надо как можно раньше. Во-вторых, ряд российских вендоров поднял цены на свои системы, мотивируя это, в частности, необходимостью удержать своих разработчиков. Поэтому потребуется скорректировать бюджеты на ИБ. Но, с другой стороны, многие компании предоставляют льготные периоды использования своих ИБ-продуктов, программы миграции, возможности пилотирования и льготного использования. Кроме того, ряд интеграторов готов подключиться к техподдержке иностранных решений, которые пока остаются у заказчиков. Рынок информационной безопасности сильно меняется. Но паники нет.
• 1
СОДЕРЖАНИЕ ПРАВО И НОРМАТИВЫ Анастасия Заведенская Обзор законодательства. Январь, февраль 2022 . . . . . . . . . . . . . . . .4 стр.
14
В ФОКУСЕ ИмпОртОзамещенИе Тарас Дира первоочередные меры по повышению защищенности Ит-инфраструктуры . . . . . . . . . . . . . . . . . . . . . . . . . .10
КИИ стр.
Константин Саматов
20
проблемы импортозамещения компонентов объектов КИИ . . . . .12
перСОнЫ Константин Монахов точечный подход в дистрибьюции и внедрении технологий на рынке ИБ . . . . . . . . . . . . . . . . . . . . . . . .14
стр.
СПЕЦПРОЕКТ: DECEPTION
22
Александр Щетинин Deception: стратегическое решение для выявления инцидентов и реагирования на них . . . . . . . . . . . .20
Антон Чухнов 8 причин начать использование Deception . . . . . . . . . . . . . . . . . . . .22
Сравнительная таблица решений класса Deception, представленных на российском рынке . . . . . . . . . . . . . . . . . . . . . . .24 2 •
стр.
28
СОДЕРЖАНИЕ Филипп Хюмо
Журнал "Information Security/Информационная безопасность" № 1, 2022 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г.
Глобальная репутация IP-адресов для борьбы с киберугрозами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин
Андрей Нуйкин
Издатель Владимир Вараксин
Deception: честно о технологии обмана Круглый стол заказчиков, вендоров и интеграторов . . . . . . . . . . .28
Выпускающий редактор Амир Хафизов Редактор Светлана Хафизова
ТЕХНОЛОГИИ
Защита сетей Иван Чернов Защита информации в медицинских организациях с помощью решений UserGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
КриптоГрафия Александр Подобных
Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО "Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная
Квантовый переход и безопасность блокчейнов . . . . . . . . . . . . . .38 Оформление подписки тел.: +7 (495) 647-0442, www.itsec.ru
Контроль доступа Федор Музалевский
Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru
авторизация в платежных системах: проблемы, которые предстоит решить . . . . . . . . . . . . . . . . . . . . . . .42
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2022
• 3
ПРАВО И НОРМАТИВЫ
Обзор изменений в законодательстве Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
Январь-2022
В Субъекты КИИ в сфере науки и оборонной промышленности Информационным сообщением от 18 декабря 2021 г. № 240/81/25471 ФСТЭК России уведомляет о порядке рассмотрения перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, а также сведений о результатах категорирования субъектов КИИ в сфере науки и оборонной промышленности. В части субъектов КИИ, являющихся федеральными органами исполнительной власти, государственными корпорациями, головными организациями интегрированных структур, а также включенных в Перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. № 1009, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России. В части субъектов КИИ, являющихся самостоятельными юридическими лицами, дочерними, зависимыми обществами, входящими в интегрированные структуры, а также организациями, подве-
обзоре за январь 2022 г. узнаем об особенностях уведомления субъектами КИИ в сфере науки и оборонной промышленности ФСТЭК России и предполагаемых ужесточениях штрафных санкций за непредставление сведений по результатам категорирования. Рассмотрим нормотворческую деятельность в части регулирования процессов идентификации и (или) аутентификации с использованием биометрических ПДн, в том числе с применением ЕБС, а также в части стандартизации защиты информации.
домственными органам власти субъектов РФ или органам местного самоуправления, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Изменения в КоАП РФ в области обеспечения безопасности КИИ ФСТЭК России 26 января 2022 г. опубликовала проект федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"2 (далее – проект ФЗ). Проектом ФЗ предлагается внесение изменений в ст. 19.7.15 КоАП РФ о непредставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ. Предполагается установление дополнительных мер ответственности субъектов КИИ за представление неактуальных или недостоверных сведений о результатах категорирования, а также за повторное непредставление, или представление неактуальных или недостоверных сведений, или нарушение сроков представления. Так, повторное совершение указанного административного правонарушения, по проекту, влечет наложение административного штрафа
на должностных лиц в размере от 50 тыс. до 100 тыс. руб., а на юридических лиц – от 150 тыс. до 500 тыс. руб.
Идентификация и (или) аутентификация с использованием биометрических персональных данных Минцифры России 28 января 2022 г. опубликовало проект приказа "Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации"3. В проверочный лист включены вопросы по оценке выполнения требований: 1. Ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – ФЗ № 149). 2. Приказа Минцифры России от 27 августа 2021 г. № 896 "Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и
1 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/290-inye/2322-informatsionnoe-soobshcheniefstek-rossii-ot-18-dekabrya-2021-g-n-240-81-2547 – Информационное сообщение ФСТЭК России от 18 декабря 2021 г. № 240/81/2547. 2 https://regulation.gov.ru/projects#npa=124438 – проект федерального закона “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях". 3 https://regulation.gov.ru/projects#npa=124522 – проект приказа “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации".
4 •
www.itsec.ru
ПРАВО И НОРМАТИВЫ
(или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц". 3. Правил аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, утвержденных постановлением Правительства Российской Федерации от 20 октября 2021 г. № 1799. В январе 2022 г. на публичное обсуждение был представлен проект постановления Правительства РФ "Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица"4 (далее – Положение о ЕБС). Положение о ЕБС разработано во исполнение ч. 1.2 ст. 14.1 ФЗ № 149 и определяет цели и задачи создания и развития Единой биометрической системы (ЕБС). Напомним, что ст. 14.1 ФЗ № 149 закреплено отнесение ЕБС к государственным информационным системам, что также отражено в Положении о ЕБС. В январе 2022 г. на общественное обсуждение был представлен проект постановления Правительства РФ "Об утверждении порядка размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также случаев и сроков использования указанных биометрических персональных данных"5 (далее – проект ПП РФ).
Проект ПП РФ определяет порядок размещения биометрических персональных данных (далее – ПДн) в ЕБС посредством мобильного приложения. Предполагается, что программное обеспечение должно быть российской разработки и предполагать штатное функционирование с прошедшими в установленном порядке процедуру оценки соответствия шифровальными (криптографическими) средствами защиты информации. Кроме того, в январе 2022 г. был опубликован проект постановления Правительства РФ "Об утверждении порядка получения кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, согласия субъектов персональных данных для размещения принадлежащих им биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу
информации о степени их соответствия предоставленным биометрическим персональным данным физического лица"6 (далее – проект Порядка). Проект Порядка устанавливает процедуру уведомления субъектов ПДн о возможности размещения их биометрических ПДн в ЕБС организациями финансового рынка, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических ПДн.
Стандарты по защите информации Согласно перспективным планам на 2022–2024 гг.7 Технический комитет по стандартизации "Защита информации" (ТК 362) планирует пересмотреть и разработать 38 национальных стандартов. Для разработки предлагается ряд терминологических стандартов, стандарты по управлению идентификацией и аутентификацией, стандарты по управлению доступом, разработке безопасного ПО и доверенных систем. Пересмотреть планируется: ГОСТ Р 50922; ГОСТы серии 15408; ГОСТ Р ИСО/МЭК 18045–2013; ГОСТ Р 52447–2005; ГОСТ Р 53113.1– 2008 и 53113.2–2009; ГОСТ Р 56939. Технический комитет по стандартизации "Криптографическая защита информации" (ТК 26) в январе 2022 г. опубликовал:
4 https://regulation.gov.ru/projects#npa=124548 – постановление Правительства РФ “Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица". 5 https://regulation.gov.ru/projects#npa=124114 – проект постановления Правительства РФ “Об утверждении порядка размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также случаев и сроков использования указанных биометрических персональных данных". 6 https://regulation.gov.ru/projects#npa=124012 – паспорт проекта. 7 https://fstec.ru/tk-362/deyatelnost-tk362/306-plany/2306-perspektivnaya-programma-na-2022-2024-gody – перспективная программа работы технического комитета по стандартизации “Защита информации" (ТК 362) на 2022–2024 годы.
• 5
ПРАВО И НОРМАТИВЫ l проект предварительного национального стандарта (ПНСТ) "Информационная технология. Криптографическая защита информации. Термины и определения"8; l проект рекомендаций по стандартизации "Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)"9; l проект рекомендаций по стандартизации "Информационная технология. Криптографическая защита информа-
ции. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)"10. Следует также отметить, что с 1 января 2022 г. в силу вступают следующие ГОСТы: l ГОСТ 34.201–2020 "Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" взамен ГОСТ 34.201-89; l ГОСТ 34.602–2020 "Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Тех-
ническое задание на создание автоматизированной системы" взамен ГОСТ 34.602-89; l ГОСТ Р 59853–2021 "Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения" взамен ГОСТ 34.003-90; l ГОСТ Р ИСО/МЭК 27001–2021 "Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования". l
Февраль-2022
В
февральском обзоре за 2022 г. поговорим о нормативных документах, определяющих основные направления госконтроля регуляторов, начиная с лицензирования деятельности по защите информации и заканчивая обработкой персональных данных. Рассмотрим требования к отчетности по ИБ финансового сектора, а также вопросы стандартизации защиты.
Оценка соискателей лицензии (лицензиатов) на соответствие лицензионным требованиям Приказ ФСБ России от 31.01.2022 № 35 "Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 "О лицензировании отдельных видов деятельности"11 (далее – приказ ФСБ России) официально опубликован 16 февраля 2022 г. Приказ ФСБ России вступил в силу с 1 марта 2022 г. Приказ ФСБ России устанавливает ряд форм документов, используемых регулятором в процессах лицензирования, а также определяет содержание оценочных листов, применяемых при оценке соответствия соискателя лицензии (лицензиата) лицензионным требованиям. Так, оценочные листы разработаны для проверки соответствия требованиям: l постановления Правительства РФ от 16.04.2012 № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, рас-
пространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"; l постановления Правительства РФ от 12.04.2012 № 287 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации"; l постановления Правительства РФ от 16.04.2012 № 314 "Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного полу-
чения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"; l постановления Правительства РФ от 03.03.2012 № 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" (далее – ПП РФ № 171) в части, касающейся полномочий ФСБ России. Позднее, 28 февраля 2022 г., были официально опубликованы аналогичные приказы ФСТЭК России по определению форм оценочных листов: l приказ ФСТЭК России от 28.12.2021 № 206 "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации"12; l приказ ФСТЭК России от 28.12.2021 № 207 "Об утверждении формы оценочного листа, в соответствии с которым
8 https://tc26.ru/discussions/pnst-informatsionnaya-tekhnologiya-kriptograficheskaya-zashchita-informatsii-terminy-i-opredeleniya.html – ПНСТ @Информационная технология. Криптографическая защита информации. Термины и определения". 9 https://inlnk.ru/Rj65aO – проект рекомендаций по стандартизации “Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)". 10 https://inlnk.ru/kXmGyY – проект рекомендаций по стандартизации “Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)". 11 http://publication.pravo.gov.ru/Document/View/0001202202160012 – приказ ФСБ России от 31.01.2022 № 35 "Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 “О лицензировании отдельных видов деятельности". 12 http://publication.pravo.gov.ru/Document/View/0001202202280047 – приказ ФСТЭК России от 28.12.2021 № 206 "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации".
6 •
Zavedenskaya 4/5/22 8:16 PM Page 7
www.itsec.ru
Реклама
ПРАВО И НОРМАТИВЫ
ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации"13. Приказы направлены на проверку соответствия требованиям постановления Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и ПП РФ № 171 в части, касающейся полномочий ФСТЭК России, и вступили в силу с 1 марта 2022 г.
Индикаторы риска нарушения требований от Минцифры России Приказ Минцифры России от 06.12.2021 № 1308 "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации"14 (далее – приказ Минцифры России № 1308) официально опубликован 18 февраля 2022 г. Приказ Минцифры России № 1308 вступил в силу 1 марта 2022 г. Приказом Минцифры России № 1308 устанавливаются признаки возможных нарушений требований при осуществлении аккредитованными организациями идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц.
Приказ Минцифры России от 07.12.2021 № 1312 "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи"15 (далее – приказ Минцифры России № 1312) официально опубликован 18 февраля 2022 г. Приказ Минцифры России № 1312 также вступил в силу с 1 марта 2022 г. Приказом Минцифры России № 1312 определяются признаки потенциальных нарушений требований в сфере электронной подписи аккредитованными удостоверяющими центрами. Индикаторы из приказов Минцифры России № 1308 и № 1312 нужны для принятия решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия.
Госконтроль в области обработки персональных данных Приказ Роскомнадзора от 24.12.2021 № 253 "Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными
органами"16 (далее – приказ Роскомнадзора № 253) официально опубликован 28 февраля 2022 г. Приказ Роскомнадзора № 253 вступил в силу с 11 марта 2022 г. Приказ Роскомнадзора № 253 устанавливает контрольные вопросы, определяющие соблюдение контролируемым лицом требований в области обработки персональных данных. В форму проверочного листа включены контрольные вопросы по выполнению требований: l Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"; l приказа Роскомнадзора от 24.02.2021 № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"; l постановления Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"; l постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; l п. 8 ст. 86, ст. 87, 88 Трудового кодекса Российской Федерации;
13 http://publication.pravo.gov.ru/Document/View/0001202202280035 – приказ ФСТЭК России от 28.12.2021 № 207 “Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации". 14 http://publication.pravo.gov.ru/Document/View/0001202202180022 – приказ Минцифры России от 06.12.2021 № 1308 “Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации". 15 http://publication.pravo.gov.ru/Document/View/0001202202180016 – приказ Минцифры России от 07.12.2021 № 1312 “Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи". 16 http://publication.pravo.gov.ru/Document/View/0001202202280005 – приказ Роскомнадзора от 24.12.2021 № 253 “Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами".
• 7
ПРАВО И НОРМАТИВЫ l п.3–6 ч. 1 ст. 42 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации".
Отчетность ЦБ РФ по защите информации Центральный Банк России в феврале 2022 г. опубликовал ряд проектов указаний по формам отчетности регулятору, включающие в том числе и отчетности по защите информации: l "О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков"17. Содержит форму 0420175 "Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией"; l "Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации"18. Включает форму 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями"; l "О формах, сроках и порядке составления и представления в Банк России отчетности негосударственных пенсионных фондов"19. Содержит форму 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом"; l "О составе, формах, сроках и порядке составления и представления отчетов
операторами инвестиционных платформ и отчетности и иной информации операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторами обмена цифровых финансовых активов в Банк России"20. Включает форму 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов"; l "О формах, порядке и сроках составления и представления в Банк России отчетности бюро кредитных историй"21. Содержит формы отчетности 0420764 "Сведения об оценке выполнения требований к обеспечению защиты информации бюро кредитных историй" и 0420753 "Сведения о программно-технических средствах и сетевых коммуникациях бюро кредитных историй, средствах защиты информации, применяемых бюро кредитных историй, и лицах, допущенных к работе с программнотехническими средствами и сетевыми коммуникациями". В феврале 2022 г. Банк России официально опубликовал указание от 08.11.2021 № 5986-У "О внесении изменений в Указание Банка России от 8 октября 2018 года № 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк
17 https://regulation.gov.ru/projects#npa=124650 – проект “О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков". 18 https://regulation.gov.ru/projects#npa=124676 – проект “Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации". 19 https://regulation.gov.ru/projects#npa=124674 – проект “О формах, сроках и порядке составления и представления в Банк России отчетности негосударственных пенсионных фондов". 20 https://regulation.gov.ru/projects#npa=124677 – проект “О составе, формах, сроках и порядке составления и представления отчетов операторами инвестиционных платформ и отчетности и иной информации операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторами обмена цифровых финансовых активов в Банк России". 21 https://regulation.gov.ru/projects#npa=124717 – проект “О формах, порядке и сроках составления и представления в Банк России отчетности бюро кредитных историй". 22 http://cbr.ru/Queries/XsltBlock/File/131643/-1/2344-2345 – указание от 08.11.2021 № 5986-У “О внесении изменений в Указание Банка России от 8 октября 2018 года № 4927-У “О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации". 23 https://fstec.ru/tk-362/deyatelnost-tk362/305-prikazy/2327-prikaz-ot-13-yanvarya2022-g-n-2-st – ГОСТ Р 59548–2022 “Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации". 24 https://fstec.ru/tk-362/deyatelnost-tk362/326-resheniya-4/2333-reshenie-ot-18-yanvarya-2022-g-n-97 – решение председателя технического комитета по стандартизации "Защита информации" (ТК 362) от 18 января 2022 г. № 97 “О реорганизации рабочей группы, назначении руководителя и утверждении состава рабочей группы".
8 •
Российской Федерации"22, которое в том числе вводит формы отчетности: l 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации"; l 0409106 "Отчет по управлению операционным риском в кредитной организации".
Стандарты по защите информации Приказом Росстандарта от 13.01.2022 № 2-ст утвержден и введен в действие с 1 февраля 2022 г. ГОСТ Р 59548–2022 "Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации"23. В феврале 2022 г. на сайте ФСТЭК России было опубликовано решение председателя технического комитета по стандартизации "Защита информации" (ТК 362) от 18 января 2022 г. № 97 "О реорганизации рабочей группы, назначении руководителя и утверждении состава рабочей группы"24 (далее – решение ТК 362). Решением ТК 362 определены приоритеты по проведению работ по разработке классификации средств защиты информации и пересмотру следующих национальных стандартов: l ГОСТ Р 52447–2005 "Защита информации. Техника защиты информации. Номенклатура показателей качества"; l ГОСТ Р 53113.1–2008 "Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения"; l ГОСТ Р 53113.2–2009 "Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов". l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Реклама
Perimetrix 4/5/22 8:26 PM Page 9
В ФОКУСЕ
Первоочередные меры по повышению защищенности ИТ-инфраструктуры Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC
Р Базовые рекомендации ИБ 1. В кратчайшие сроки завершить все переходные процессы в ИТ-инфраструктуре. Минимизировать обновления, глобальные настройки. 2. Постараться достигнуть состояния максимальной стабильности инфраструктуры, необходимого уровня отказоустойчивости. 3. Перенести данные и сервисы из иностранных облачных систем на российские вычислительные ресурсы. 4. Сформировать ЗИП или заключить сервисный контракт для минимизации рисков простоя сервисов в случае выхода из строя оборудования, выбрав партнера с большим складом оборудования и запчастей. 5. При отсутствии технической поддержки со стороны производителя услугу может оказать сервисный партнер. Без участия производителя очевидны некоторые ограничения, тем не менее такой подход позволит минимизировать риски до приемлемого уровня как минимум на период миграции на другого производителя.
ост числа кибератак требует незамедлительных шагов для усиления киберзащиты ИТ-инфраструктуры в отечественных компаниях. Мы составили чек-лист, который, помимо базовых шагов по повышению защищенности, также предлагает алгоритм действий для подготовки к отражению DDоS-атак и повышает готовность к прекращению поддержки продуктов компании Microsoft.
6. Провести аудит правил безопасности. Максимально ограничить доступ в сеть "Интернет" и из нее. Закрыть доступ всем решениям иностранного производства из вашей сети к серверам обновлений и лицензирования там, где это приемлемо, а также рассмотреть временное отключение обновлений софта до стабилизации ситуации. Рассмотреть вариант дополнительной установки отечественных межсетевых экранов на границе с Интернетом, повышая эшелонированность защиты. 7. Провести аудит настроек ИБ: проверить, на всех ли компонентах (как средств защиты информации, так и системного и прикладного ПО) включены доступные меры защиты (управление доступом, логирование, аутентификация, антивирусная защита и т.д.) и их настройки в соответствии с потребностями бизнес-процессов и рекомендациями производителей, а также стандартами безопасности (Hardening Guide). 8. Провести сканирование инфраструктуры на наличие открытых нелегитимных и уязвимых сервисов. Для объективного представления уровня защищенности важно дополнительно провести сканирование и из сети "Интернет". 9. Сменить пароли на оборудовании. Использовать только сложные пароли, не менее 12 знаков (с цифрами, буквами, верхним и нижним регистром).
10. С особым вниманием отнестись к защите удаленных пользователей, особенно администраторов: использовать двухфакторную аутентификацию, усилить защиту всех используемых протоколов удаленного доступа, включая RDP. 11. Провести резервирование данных и конфигураций для обеспечения возможности оперативного восстановления. Резервные копии безопаснее хранить в изолированной среде, недоступной из сети "Интернет", в том числе и на съемных носителях. 12. По возможности ограничить использование внешних ресурсов, API, загружаемых виджетов, сервисов, которые разработаны и хостятся иностранными организациями, например Google Analytics. 13. Внедрить сегментацию и микросегментацию для гранулярного контроля трафика, прежде всего ограничить доступ, в том числе для внутренних пользователей, к инфраструктурным сервисам: AD, SCCM, DNS и т.д. 14. Защитить ключевые сервисы соответствующими решениями. Например, в части защиты веб-приложений и серверов можно обеспечить фильтрацию трафика с помощью Web Application Firewall (WAF). 15. Сохранить на локальные ресурсы используемые программные модули, библиотеки и иные ресурсы, расположенные в иностранных репозиториях (GitHub).
Дополнительные рекомендации 1. Подготовиться к возможным DDoSатакам, так как из-за ухода крупнейших поставщиков релевантных решений некоторые организации остались без защиты. Ограничить количество подключений (Rate Limit), попыток открытия новых сессий с одного ip-адреса, количество полуоткрытых соединений (Embryonic), а также внедрить географические ограничения.
10 •
www.itsec.ru
ИМПОРТОЗАМЕЩЕНИЕ
2. Внедрить мониторинг инцидентов ИБ в вашей инфраструктуре как минимум в части самых критичных сервисов и приложений. 3. Усилить защиту электронной почты. 4. Проработать и протестировать планы на случай нештатных ситуаций (DRP), включая утерю данных и отключение ключевого оборудования. 5. Провести актуализацию моделей угроз и оценки рисков с целью переоценки вероятности угроз ИБ, связанных с рисками цепочек поставок, страновыми рисками и нарушением доступности и работоспособности. Пересмотреть и актуализировать меры, направленные на управление данными рисками. 6. Заблокировать трафик из других стран, если это уместно. Например, если ваши покупатели и целевая аудитория находятся исключительно в России. 7. Заблокировать трафик из сети TOR. 8. Внедрить практику контроля действий администраторов, что особенно важно, и пользователей. Рассмотреть возможность внедрения систем класса PAM. 9. Ограничить средствами прокси-сервера или контентной фильтрации доступ пользователей к информационным ресурсам сети "Интернет", ввести белый список ресурсов и сервисов.
10. Провести инструктажи с пользователями по тематике ИБ для повышения осведомленности об актуальных атаках и приемах нарушителей.
Рекомендации по продуктам Microsoft 1. Почтовая система на базе Microsoft Exchange: l настроить контентную фильтрацию для блокировки сообщений, содержащих потенциально опасные вложения с расширениями CMD, BAT, EXE, PS1, VBS, SCR, HTA; l активировать механизмы проверки подлинности домена-отправителя (DKIM, DMARC, SPF); l проверить актуальность баз антивирусных сигнатур Microsoft Exchange и обновить их при необходимости; l убедиться в отсутствии доступа к Exchange Admin Center (/ecp) из внешней и внутренней сети, организовать возможность доступа администраторов системы только с IP-адресов внутренней сети; l уведомить пользователей о правилах информационной безопасности при работе с внешними почтовыми сообщениями; l рассмотреть возможность внедрения механизма Data Loss Prevention, встроенного в Microsoft Exchange.
2. Сервер автоматических обновлений Windows Server Update Services (WSUS): в случае использования сервера обновлений WSUS выполнить блокировку загрузки любых обновлений ОС Windows и сопутствующих продуктов, выпущенных после 23.02.2022 г. 3. Active Directory Domain Services: l разработать и применить групповую политику по отключению службы "Центр обновления Windows" для всех серверов, клиентских ПК и ноутбуков, использующих ОС Windows; l убедиться в возможности использования доверенных российских вышестоящих DNS-серверов и реализовать ее. 4. Провести аудит лицензий Microsoft на предмет использования облачных версий. Разработать и внедрить политику отказа от использования облачных версий продуктов Microsoft. Осуществить переход на полностью локальные инсталляции версий продуктов Microsoft. 5. Проверить корректность выполнения заданий резервного копирования всех основных информационно-управляющих систем и сервисов и убедиться в их актуальности. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Комментарий министерства
Позиция Минцифры в связи с сообщениями о приостановке или прекращении деятельности на территории России крупных международных ИТ-компаний (вендоров) Обращаем внимание корпоративных заказчиков на невозможность исполнения российскими интеграторами своих обязательств по заключенным контрактам на поставку зарубежного компьютерного и телекоммуникационного оборудования, комплектующих, программного обеспечения или предоставление связанных с ними услуг тех производителей, которые приостановили (прекратили) свою деятельность в Российской Федерации или ввели соответствующие ограничения. Это распространяется на контракты, по которым заказчиками была осуществлена полная или частичная предоплата до даты введения соответствующих ограничений. В связи с этим до прояснения ситуации рекомендуем заказчикам отложить обращения в суд для принуждения интеграторов и вендоров к исполнению взятых на себя обязательств или взыскания с них предоплаты и штрафов. Просим заказчиков и интеграторов до 25 марта направить в Минцифры сведения о предоплаченных и неисполненных контрактах на поставку товаров и услуг зарубежных производителей. Предлагаем вендорам начать срочное обсуждение условий поэтапной передачи российским ИТ-компаниям технической поддержки компонентов информационных систем и объектов инфраструктуры, нарушения в работе которых могут привести к серьезным сбоям в системах жизнеобеспечения. Минцифры готова оказать необходимую помощь в налаживании такого взаимодействия. Просим в случае принятия вендором решения о сокращении персонала в своих российских офисах сообщить о планируемых сроках увольнения сотрудников и организовать взаимодействие с Минцифры для оказания им необходимого содействия в трудоустройстве.
Не поддерживаем идею легализации использования пиратского ПО, но в случае проведенной со стороны заказчика предоплаты за будущие периоды его использования просим с пониманием относиться к факту применения данного ПО до замены на российские конкурентные аналоги. В случае возобновления деятельности на территории России вся недополученная выручка за время использования данного ПО может быть возвращена зарубежным компаниям. Выступаем против введения административной и уголовной ответственности для руководителей российских офисов зарубежных компаний, которые приостановили или прекратили свою деятельность на территории России или работают с соответствующими ограничениями. Понимаем, что решения принимались непосредственно не ими и отвечать за них они не могут. Уверены, что, если зарубежные компании, приостановившие или прекратившие свою деятельность, не возобновят свою работу в России, то занимаемые сегодня этими компаниями ниши будут быстро заполняться российскими решениями, а также продуктами компаний стран, которые не ввели соответствующие ограничения. Также по вопросам организации текущей деятельности на территории России зарубежных компаний, в том числе по проведению платежей, готовы быстро оказывать необходимую помощь и проводить консультации. Контактное лицо – заместитель Министра цифрового развития Максим Паршин (ref.parshin@digital.gov.ru). l Источник: https://digital.gov.ru/ru/events/41451/
• 11
В ФОКУСЕ
Юридическая ответственность субъекта КИИ Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
П
рошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ.
Уголовная ответственность в сфере КИИ
Юридическая ответственность и ее виды Напомню, что юридическая ответственность – это применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера1. Юридическая ответственность бывает нескольких видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная2. Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско-правовая ответственность. В части гражданскоправовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ. Уголовная и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ3) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ4) имеют ряд специализированных в части КИИ составов. Рассмотрим их более подробно.
С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", содержащая описание трех основных составов преступления, один из которых является формальным (ч. 1), то есть для его применения достаточно выполнения описанных в нем действий, а остальные (ч. 2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5): 1. Состав с отягчающими обстоятельствами, который, помимо признаков основного состава, содержит специальные признаки, увеличивающие наказуемость по сравнению с основным составом (квалифицированный состав). 2. Состав с особо отягчающими обстоятельствами, придающий преступлению более высокую общественную опасность (особо квалифицированный состав). Части 1, 2 и 3 ст. 274.1 УК РФ практически полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства. Если в ст. 272–274 предметом является любая информационная инфраструктура, то в ст. 274.1 – только та, которая отнесена, в соответствии с законодательством, к критической. По сути, ст. 274.1 не является какойто новеллой, а представляет собой сборник статей гл. 28 "Преступления в сфере компьютерной информации" УК РФ применительно к сфере КИИ. Об этом, в частности, свидетельствует и судебная практика. Так, согласно
материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch 5 , в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст. 273 УК РФ. Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст. 274.1 УК РФ за 2019– 2021 гг. стало наказание в виде условного осуждения на срок три года и штрафа в размере 70 тыс. руб. Помимо предмета преступного посягательства отличие ст. 274.1 УК РФ от других статей содержится еще и в подследственности: предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России6. Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, установившего эти правила. Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав,
1 Теория государства и права. Учебник для юридических вузов и факультетов. Под ред. В.М. Корельского и В.Д. Перевалова. М.: Издательская группа ИНФРА–М—НОРМА. 1997. 2 Согласно наиболее распространенной на практике классификации по отраслевому признаку. 3 Уголовный кодекс Российской Федерации 4 Кодекс об административных правонарушениях Российской Федерации. 5 https://www.infowatch.ru/analytics/analitika/issledovanie-sudebnykh-del-o-nepravomernom-vozdeystvii-na-kii 6 Федеральная служба безопасности Российской Федерации.
12 •
www.itsec.ru
КИИ
охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы7. Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты8, сотрудник субъекта КИИ, то есть, говоря языком специалиста по информационной безопасности, внутренний нарушитель.
Административная ответственность в сфере КИИ Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ: l ст. 13.12.1. "Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"; l ст. 19.7.15. "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации". Как и в случае с уголовными преступлениями, составы административных правонарушений являются специальными по отношению к общим составам: ст. 13.12 "Нарушение правил защиты информации" и ст. 19.7 "Непредставление сведений (информации)". Как и в случае с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК9 России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета
правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше. Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.). При этом, если в части объективной стороны состава правонарушения10, предусмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толковании), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже пришлось столкнуться на практике). Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия: l непредоставление во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но "забыл" отправить сведения; l нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ категорировался, но своевременно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодательством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ). Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассматриваются поправки в данную статью11, предусматривающие ответственность за: l предоставление во ФСТЭК России неактуальных сведений о категорирова-
нии, то есть субъект КИИ не включил в сведения все важные (значимые), по мнению регулятора, данные на момент их предоставления; l предоставление во ФСТЭК России недостоверных сведений о категорировании, то есть субъект КИИ представил искаженные сведения о категорировании. Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонарушения, предусмотренного ч. 1 этой статьи. Часть 2 ст. 19.7.15 также не менее интересна. В ней предусмотрена ответственность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных ч. 2 ст. 13.12.1 КоАП РФ. Объективная сторона состава данного правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в утвержденных приказом ФСБ России от 24.07.2018 № 367 перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации). Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут: l должностные лица ФСТЭК России – п. 1–4 перечня информации; l субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имеющих категории значимости (п. 5–6 перечня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу наличия соответственной отсылки. В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания рекомендую обратиться к постатейным комментариям УК РФ и КоАП РФ. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
7 Пример взят из документа “Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации” (утв. Генпрокуратурой России). 8 https://www.iksmedia.ru/articles/5868262-KII-vrag-vnutri.html 9 Федеральная служба по техническому и экспортному контролю Российской Федерации. 10 Внешние признаки проявления правонарушения: действия, бездействие, способ совершения, последствия и т.п. 11 https://regulation.gov.ru/projects#npa=124438
• 13
В ФОКУСЕ
Точечный подход в дистрибьюции и внедрении технологий на рынке ИБ Константин Монахов, генеральный директор компании Fortis
К
Создание своего бизнеса – один из лучших вариантов для применения накопленных знаний и реализации идей.
В Fortis применяется интересная система работы, позволяющая нашим партнерам и заказчикам пользоваться решениями и сервисами современных технологичных компаний.
онстантин Монахов, основатель и генеральный директор компании Fortis, российского дистрибьютора высокотехнологичных решений и сервисов в области информационной безопасности, рассказал нашему корреспонденту о том, как создать лучшую команду, какие технологии наиболее востребованы на сегодняшний день, почему необходимо обучать сотрудников и как эффективно строить отношения с заказчиками.
– Константин, расскажите, пожалуйста, о себе. Как быстро определились с профессией? – Я сразу понимал, что буду заниматься именно ИТ, компьютерными сетями и всем, что связано с информационными технологиями. Однако в то время в нашей стране было мало учебных заведений, которые специализировались на информационных технологиях. Я поступил на одну из первых таких кафедр в Московский государственный технический университет гражданской авиации, по специальности "Вычислительные машины, комплексы, системы и сети". Ближе к концу моего обучения появились более профильные направления, в том числе и информационная безопасность, которой я и начал заниматься. Защищал диплом по информационной безопасности и проходил обучение в аспирантуре. Информационная безопасность тогда была чем-то новым, интересным, должен сказать, она до сих пор остается такой для меня. – Как складывался ваш карьерный путь? – Мой карьерный путь начался в компании MONT. За 15 лет работы я получил огромный опыт, который впоследствии решил применить в своем собственном деле, в своей компании. Благодаря этому опыту
14 •
у меня сформировались взгляды на дальнейшее развитие. Я понимал, что создание своего бизнеса – один из лучших вариантов для применения накопленных знаний и реализации идей. Однако отмечу, что "идеи фикс" по поводу открытия своего дела у меня не было. – Как вы придумали название компании? Слово fortis означает храбрый. Вас вдохновило латинское выражение Fortis fortuna adiuvat (судьба помогает смелым)? – В наше время выбор названия – целая история. А как корабль назовешь, так он и поплывет. Я хотел, чтобы название было емким и сильным. Долго перебирал варианты, и Fortis в итоге пришло само собой. – А почему выбрали именно такое направление, почему дистрибуция? – Отталкивался от накопленного опыта. Вся моя прежняя деятельность была связана исключительно с дистрибуцией, технологиями, проектной деятельностью. Сегодня я продолжаю развивать и развиваться в том же направлении. По сути, я не менял сферу деятельности с того момента, как занялся ею. – Каким требованиям нужно соответствовать, чтобы стать поставщиком, партнером Fortis?
– В Fortis применяется интересная система работы, позволяющая нашим партнерам и заказчикам пользоваться решениями и сервисами современных технологичных компаний. Если говорить о выборе вендора, то здесь мы отталкиваемся от имеющихся у него технологий с точки зрения уникальности, востребованности и доступности заказчикам на рынках нашего присутствия. Не так важно, российский ли это вендор или зарубежный. Важны исключительно технология, качество продукта и надежная поддержка пользователей в различных, в том числе нестандартных, ситуациях. За три года деятельности компании мы привели на российский рынок достаточно много вендоров с технологиями, аналогов которым не было в России, а некоторым нет и сейчас. Часть из них легли в основу создания отечественных решений, например Deception – класс этих систем активно развивается российскими производителями. Мы тщательно изучили эту технологию, ее востребованность на нашем рынке и сегодня обладаем, пожалуй, сильнейшей технической экспертизой в разрезе Deception. К нам обращаются за проектированием, мы выступаем экспертами на мероприятиях в рамках решений такого класса. Из перспективных направлений я могу выделить решения для сегментирования и защиты
www.itsec.ru
ПЕРСОНЫ
технологических сетей и АСУ ТП на низких уровнях модели Purdue, решения для автоматизации динамических проверок безопасности в непрерывном цикле разработки приложений, решения класса WAF и защиты контейнеризации, решения для профилактики и предотвращения утечек данных путем съемки содержимого экрана. Например, совсем недавно выбор продуктов DAST и WAF для российских заказчиков был огромен, сейчас решения из нашего портфеля едва ли не единственные доступные локальному бизнесу без ограничений. – Раз уж затронули эту сферу... Что можете сказать по поводу импортозамещения? – К импортозамещению я отношусь спокойно. Портфель решений Fortis адаптирован в том числе и под эти запросы. Мы выбираем несколько якорных и технологически зрелых вендоров, на которых фокусируемся, а далее изучаем варианты, вкладываем ресурсы, привлекаем технических специалистов. После этого ищем ниши
комплиментарных решений, которые могут дополнить функциональность продуктов данных производителей и выделить их из спектра систем своего класса. Мы всегда стремимся предлагать комплексные решения и услуги, а не отдельные продукты вендора. В качестве своих основных задач по импортозамещению мы также видим развитие технической экспертизы партнеров в отечественных решениях, так как зачастую в российской практике производители оставляют экспертизу "внутри" своей команды. Для качественного продвижения и развития любой технологии важно широкое покрытие конечных заказчиков сервисными программами – технической поддержкой, умением внедрить продукт и адаптировать его. Если вернуться к АСУ ТП, то по этому направлению у нас задействованы решения четырех вендоров и они все прекрасно дополняют друг друга. Есть также элементы систем, которые могут заменяться импортозамещающими продуктами. В целом процесс импортозамещения постоянно совер-
шенствуется, правда развитие идет не столь быстрыми темпами, поскольку отечественным продуктам необходимо длительное время на создание и формирование практики, которая зачастую ограничена. В то же время мы видим большой спрос со стороны заказчиков, которым необходимо закрывать потребности, связанные с импортозамещением, согласно требованиям нашего государства. И все это должно не только соответствовать требованиям на бумаге, но еще и эффективно работать в реальной жизни. На стыке этих задач и появляются и зарубежные технологии. Для некоторых решений мы запускаем процесс сертификации, в частности для АСУ ТП, стараемся предоставить полный цикл услуг. – Кто ваши заказчики и с какими запросами они к вам приходят? – Наши заказчики – компании, которые идут по пути улучшения автоматизации инфраструктуры. Это крупные корпорации, которым мы предлагаем не просто базовые решения, а новые, уникальные и сложные технологии.
Мы всегда стремимся предлагать комплексные решения и услуги, а не отдельные продукты вендора. В качестве своих основных задач по импортозамещению мы также видим развитие технической экспертизы партнеров в отечественных решениях.
Процесс импортозамещения постоянно совершенствуется, правда развитие идет не столь быстрыми темпами.
Наши заказчики – крупные корпорации, которым мы предлагаем не просто базовые решения, а новые, уникальные и сложные технологии.
• 15
В ФОКУСЕ
В Fortis четко закреплены обязанности в структуре работы: никого не выкидываем, не отодвигаем из цепочки поставки.
Новые технологии, которые незнакомы интеграторам и заказчикам, подразумевают под собой всестороннее внимание и поддержку с нашей стороны.
В этом и состоит наша миссия – обеспечение устойчивого технологического цикла: мы вкладываемся, инвестируем, создаем полный цикл сервисов, включая проектирование, пилотирование, постпродажную поддержкуи настройку оборудования.
Такие решения подойдут компаниям со зрелой инфраструктурой, нацеленным на ее улучшение и защиту, тем, кто стремится совершенствовать ее и доводить до определенного уровня. Можно сказать, что профиль нашего заказчика – компании, ориентированные на ИТ и ИБ, имеющие определенный вес и авторитет на рынке. – У вас традиционная схема поставки или своя цепочка? – Цепочка поставки традиционная. Я вижу, как многие нишевые дистрибьютеры начинают ломать традиционную цепочку поставок, влезать в интерфейс к заказчикам, пытаться больше заработать на прямых поставках. Это не наш путь. Ведь такой подход негативно отражается на отношениях в канале, с партнерами, интеграторами. Я убежден, что так выстраивать отношения нельзя. В Fortis четко закреплены обязанности в структуре работы: никого не выкидываем, не отодвигаем из цепочки поставки. Это наше правило, ведь иначе успешно существовать на рынке невозможно.
А вот с точки зрения формирования продаж подход вполне может быть гибким и отличным от традиционного. Новые технологии, которые незнакомы интеграторам и заказчикам, подразумевают под собой всестороннее внимание и поддержку с нашей стороны. Поэтому в такой ситуации мы уже подключаемся к интерфейсу заказчиков, контролируя процесс во всей цепочке. Но это опять же касается именно формирования продаж, а не поставок. – У вас также появилась и техническая поддержка? – Да, это изначально логически укладывалось в техническое направление Fortis, так как мы привозим на рынок новые технологии и продукты, компетенций по которым на рынке практически нет. В этом и состоит наша миссия – обеспечение устойчивого технологического цикла: мы вкладываемся, инвестируем, создаем полный цикл сервисов, включая проектирование, пилотирование, постпродажную поддержку и настройку оборудования. Уже сейчас в режиме 24/7 у нас запущены первая и вторая
линии техподдержки. В продуктовом портфеле Fortis есть иностранные вендоры, поэтому заказчику иногда сложно выстраивать коммуникацию. Вот здесь мы и приходим на помощь с нашей техподдержкой, помогая решать вопросы без лишней суеты. Конечно, есть такие компании, как Positive Technologies, которые сами предоставляют поддержку, обладают высокой экспертизой, – в этом случае от нас ничего не требуется. Но встречаются и такие российские производители, которые обращаются к нашим специалистам для решения своих технических вопросов. Это отвечает интересам обеих сторон. Благодаря тому, что нам удалось поработать с очень большим количеством заказчиков, продуктов и решений, у нас сложилось глубокое понимание специфики этой сферы, и накопленный нами опыт в определенных нишах и продуктах, которые только начинают развивать российские компании, помогает производителям получить высококвалифицированную помощь. – Спрос больше на российские продукты или на зарубежные? – С точки зрения информационной безопасности сейчас растет спрос на российскую продукцию. Это связано с импортозамещением, но мы не отказываемся от западных технологий, привозим их, чтобы показать и сравнить на реальных примерах с российскими решениями. – Что касается качества продукции: вы отдаете предпочтение западным продуктам или отечественным? – У российских производителей есть хорошие продукты – это те, кто начали свой путь давно, правильно развивались. Но если посмотреть на вопрос глобально, то в сфере безопасности существуют исторически две школы: американская и израильская. Свое предпочтение на текущий момент, наверное, отдам западным решениям, с точки зрения полноты технологичности. – Видимо, потому что еще 20 лет назад в нашей стране негде было учить-
16 •
www.itsec.ru
ПЕРСОНЫ
ся создавать продукты безопасности. – Да, в том числе и поэтому. Те знания, которые тогда давали в вузах, быстро устаревали. Фактически образование, которое студенты получают в вузах, потом ими не используется, и им приходится продолжать учиться. Вот в этом проблема. В Америке и Израиле уже со школы начинают изучать информационную безопасность. Там есть целая методика, благодаря чему вырастают поколения с заложенными знаниями. Наше государство встало на путь цифровизации не так давно. Я считаю, что это правильный путь, он основан на технологиях. База для создания отечественных технологий растет, и государство это поддерживает. Все мы знаем про "утечку мозгов" в США в 80–90-х годах, эта страна "скупала" специалистов, чтобы встать на путь передовых технологий. – Как руководитель вы придерживаетесь больше демократичных принципов или строгих корпоративных правил? – Я, наверное, больше склонен к демократизации, потому что готов доверять людям и давать им возможность самореализации. Я предоставляю достаточно свободы для самореализации, те, кто это понимает и пользуется, добиваются успеха. Жестко контролировать каждый шаг – не мое. Понятно, что контроль должен быть в отношении плана действий, обсуждения этого плана и т.д. Но в целом я даю людям возможность двигаться самостоятельно. Ну а если возникает ситуация, в которой сотрудники начали двигаться не в ту сторону, тогда мы стараемся обсудить ее, скорректировать их движение. Я никого не пытаюсь загнать в рамки, потому что считаю это неэффективным. Если человек попадает в рамки, начинает исполнять конкретно поставленные задачи, то потом он не может работать самостоятельно. К сожалению, в дальнейшем он сможет работать только по задачам, которые ему спускаются. А я стараюсь максимально уходить от этого стиля управления. Я готов брать в компанию очень амбициозных людей, которые могут предложить креативные новые направления.
Пока у нас не очень большая компания, и нам надо искать новые креативные ракурсы. Вот этот подход мне кажется самым разумным в данной ситуации. – А как вы набирали свою команду? – Изначально это были люди, с которыми я работал много лет. Потом, конечно же, в команде появились другие сотрудники, которые принесли свои интересные идеи и оказали влияние на развитие компании. Сейчас в Fortis много технических специалистов, мы постоянно повышаем их уровень знаний, потому что сталкиваемся с совершенно новыми технологиями. Любой технический специалист с рынка, который попадает к нам в компанию, начинает с обучения. А что касается студентов, то сейчас у них не всегда бывает достаточно даже базовых знаний. Поэтому мы берем молодых специалистов и даем им очень хорошее образование, которое они не смогут получить самостоятельно. Для обучения специалистов мы привлекаем сторонние организации либо вендоров, гарантирующих глубокие знания по продуктам. В том числе наши сотрудники ездят учиться за границу.
– В чем заключается миссия компании Fortis? – Предоставить российскому ИТ-рынку лучшие технологии и технологические услуги, которые будут способствовать дальнейшему развитию бизнеса заказчиков, улучшению их инфраструктуры и автоматизации. Мы точечно выбираем технологичные решения и активно внедряем их на нашем рынке, и вот здесь хочется отметить вторую значительную часть миссии – обучение нового поколения технических специалистов данным технологиям как внутри компании Fortis, так и среди партнерского канала и конечных пользователей. Именно "взращивание" своих специалистов является приоритетным направлением в нашей работе, потому что нехватка кадров в этом сегменте просто колоссальная. За три года работы Fortis обучение в компании прошло много молодых специалистов. Они получили действительно уникальные знания и реальный практический опыт. l
Фактически образование, которое студенты получают в вузах, потом ими не используется, и им приходится продолжать учиться.
Я предоставляю достаточно свободы для самореализации, те, кто это понимает и пользуется, добиваются успеха.
Мы точечно выбираем технологичные решения и активно внедряем их на нашем рынке, и вот здесь хочется отметить вторую значительную часть миссии – обучение нового поколения технических специалистов данным технологиям.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 17
В ФОКУСЕ
Календарь конференций по информационной безопасности и цифровой трансформации в 2022 г.
А
ктуальный список конференций и формат их проведения опубликован на сайте https://www.itsec.ru/online
Апрель 5 апреля. Современные решения для мультифакторной аутентификации: что сейчас актуально на российском рынке 6 апреля. Управление инцидентами: SOAR, IRP, SOC как ответ на новые вызовы 7 апреля. Защита облачных сред и виртуальной инфраструктуры. Как работают приложения в публичных и частных облаках в условиях неопределенности 13 апреля. Безопасный удаленный доступ. Эффективная защита в период массированных кибератак 14 апреля. Защита информации в АСУ ТП. Оперативные меры для защиты объектов КИИ в новой реальности 15 апреля. DLP: быстрый эффект для защиты от внутренних угроз 15 апреля. Инструментарий Lowcode и цифровая трансформация 18 апреля. Куда мигрировать с NGFW Cisco и Fortinet? 19 апреля. Тенденции обработки и хранения данных на крупных предприятиях. Как обеспечить бесперебойную работу и обслуживание систем в условиях санкций 22 апреля. Оптимизация затрат: эволюция управления ИТ-инфраструктурой. Как удерживать стоимость владения ИТ-системами в текущих условиях 25 апреля. Куда мигрировать с IPS TrendMicro и PaloAlto?
16 июня. Комплексная безопасность аэропорта: цифровизация и интеграция систем
28 сентября. Решения для оптимизации ИТ-инфраструктуры в сфере логистики
Июль
Октябрь
6 июля. DevSecOps #5: Автоматизация и критерии измерения безопасности разработки 12 июля. Безопасный удаленный доступ 13 июля. DLP как идеальная платформа для HR. Как задать модель поведения сотрудников 14 июля. Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры 15 июля. Инструменты защиты 1С 19 июля. Интеграция технологии блокчейн в бизнес-процессы 21 июля. Системы хранения данных: мобильность данных и гипермасштабируемая архитектура
4 октября. Безопасный удаленный доступ 5 октября. DLP и UBA: в поисках девиантного поведения 6 октября. Кибербезопасность цифрового предприятия 26 октября. Инновационные технологии анализа и визуализации данных для промышленности, нефтедобывающей отрасли и энергетики 27 октября. Тенденции обработки и хранения данных на крупных предприятиях
Август 3 августа. Облачные решения для цифровой трансформации предприятий 4 августа. Кибербезопасность цифрового предприятия 16 августа. Новые продукты для информационной безопасности 17 августа. Управление инцидентами: SOAR, IRP, SOC 25 августа. Оптимизация затрат: эволюция управления ИТ-инфраструктурой
Май
Сентябрь
26 мая. Облачные решения для цифровой трансформации предприятий 27 мая. Решения для резервного копирования данных: оптимальный режим митигирования рисков
6 сентября. Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики 7 сентября. Умный дом как экосистема: цифровые платформы, платформы IoT и приложения для управления подсистемами 8 сентября. Цифровые технологии в обеспечении безопасности на транспорте: автоматизация процессов и кибербезопасность 14 сентября. Цифровые технологии для ритейла и e-commerce 27 сентября. Цифровая трансформация нефтегазовой промышленности
Июнь 3 июня. Кибербезопасность цифрового предприятия 8 июня. Инновационные технологии анализа и визуализации данных для промышленности, нефтедобывающей отрасли и энергетики 10 июня. Информационные технологии в металлургии и металлообработке 10 июня. Антивирусы: заменить нельзя оставить
18 •
Ноябрь 2 ноября. Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики 3 ноября. Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры 9 ноября. SecuFinance: информационные технологии в банках и финансовых организациях 10 ноября. Новые продукты для информационной безопасности 17 ноября. Цифровая логистика: решения для оптимизации ИТ-инфраструктуры 30 ноября. Умный дом: цифровые платформы и приложения для управления подсистемами
Декабрь 2 декабря. Роботизация бизнес-процессов для цифровой трансформации 8 декабря. Кибербезопасность цифрового предприятия 13 декабря. Технологии защиты периметра для объектов ТЭК, нефтегазового сектора и промышленности 20 декабря. Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики По вопросам выступления и партнерства пишите на is@groteck.ru
Реклама
Securica 4/5/22 8:16 PM Page 19
СПЕЦПРОЕКТ
Deception: стратегическое решение для выявления инцидентов и реагирования на них Александр Щетинин, генеральный директор Xello
С
Современные решения класса Deception – DDP (Distributed Deception Platform) сильно продвинулись за пределы обычных ловушек для хакеров.
огласно отчету M-Trends 2021 компании FireEye1, медианное время незаметного присутствия злоумышленника в инфраструктуре предприятия составляет 24 дня. Этого достаточно, чтобы выявить наиболее слабые места инфраструктуры и получить доступ к ней с правами администратора для дальнейшей эскалации атаки. Будет ошибкой сказать, что бизнес не принимает меры для защиты информационных активов и данных. В среднем компании внедряют 47 различных решений и технологий кибербезопасности, согласно данным Ponemon Institute2. Но насколько они эффективны в условиях цифровой трансформации бизнеса?
Продвинутые межсетевые экраны становятся уязвимыми по мере того, как периметр компании размывается из-за внедрения облачных технологий и организации удаленного доступа с устройств сотрудников. Мониторинг событий безопасности оказывается менее эффективным, если инфраструктура предприятия включает в себя огромный массив информационных активов, который генерирует большой поток ложных срабатываний. Этот метод требует финансовых затрат со стороны бизнеса и квалифицированных специалистов для постоянного анализа и выявления реальных киберинцидентов.
Игра на опережение Принцип технологии обмана был заложен более двадцати лет назад в первой сети ханипотов (Honeynet Projects). Эти специальные компьютерные системы создавались для имитации вероятных целей злоумышленника. Первоначально они использовались для обнаружения новых вредоносных программ и оценки их распространения, об этом уже написана не одна статья. Но современные решения класса Deception – DDP (Distributed Deception Platform) сильно продвинулись за пределы обычных ловушек для хакеров. Команда Xello уже не первый год развивает собственную Deception-платформу. Интерес
Корпоративная сеть до и после внедрения Deception 1 2
20 •
https://content.fireeye.com/m-trends/rpt-m-trends-2021 https://attackiq.com/lp/ponemon-study/
к этой технологии значительно вырос за последние пять лет, но до сих пор наблюдаем, как клиенты отождествляют DDPплатформы с ханипотами. У последних есть существенные ограничения: более узкая область применения, сложности с маскированием, необходимость в постоянной доработке. В отличие от ханипотов технология обмана перенаправляет злоумышленника в контролируемую среду, которая изолирована от производственной.
Новые возможности При разработке стратегии информационной безопасности необходимо учитывать сегодняшнюю парадигму: если кто-то вас хочет взломать, он обязательно это сделает. У киберпреступников могут быть все финансовые и технологические ресурсы для реализации атаки на вашу инфраструктуру или же достаточно времени для того, чтобы изучить ее и найти уязвимости, позволяющие преодолеть периметр компании. К ключевым задачам команд информационной безопасности можно отнести: l сокращение среднего времени обнаружения и реагирования на инциденты (MTTD и MTTR); l минимизацию финансовых и репутационных издержек в результате инцидента безопасности. Многие системы обнаружения угроз базируются на принципах моделирования зловредного поведения и поиска совпадений
www.itsec.ru
DECEPTION
либо хорошего поведения и поиска отклонений. Они становятся менее эффективны в случае сложных и ранее неизвестных атак, в то время как современные решения класса Deception позволяют выявлять еще неизвестные векторы атак. В Xello Deceiption используется безагентский способ распространения и управления ловушками и приманками; хостовые агенты для размещения ловушек и поддержания связи с сервером управления отсутствуют – таким образом, злоумышленнику невозможно детектировать решение.
Раннее обнаружение нелегитимных действий Deception-платформа позволяет создать автономную виртуальную среду, которая будет состоять из различных ложных данных: базы данных, сервера, конфигурационных файлов, сохраненных паролей, учетных записей и т.д. Они автоматически распределяются среди существующих информационных ресурсов компании. Если конечная точка попытается получить доступ к любому из этих активов, вполне вероятно, что она скомпрометирована, поскольку для такой деятельности нет законных оснований. Уведомления мгновенно отправляются на централизованный сервер, который записывает затронутую приманку и векторы атак, используемые киберпреступником. Инструменты технологии обмана предоставляют преимущества для раннего обнаружения злоумышленников, что является ключом к минимизации ущерба.
Предотвращение бокового перемещения злоумышленника Используя скомпрометированные учетные записи пользователей с контроллером домена Active Directory, злоумышленник может проникнуть в корпоративную сеть, повысить свои привилегии и пытаться продвигаться дальше внутрь сети. На этапе внутреннего перемещения он может столкнуться с ложными активами, при взаимодействии с которыми будет направлено предупреждение внутренним специалистам. Технология обмана позволяет создавать данные, наиболее привлекательные для злоумышленника, чтобы натолкнуть его на взаимодействие с ними и продолже3
ние своего движения уже внутри изолированной среды.
Повышение эффективности SOC Ложные данные являются индикаторами для внутренних систем мониторинга и позволяют снизить количество ложных срабатываний. Интеграция Xello Deception c SIEM-системой дает возможность сделать реагирование и мониторинг эффективнее, ведь платформа гарантирует низкий процент ложных срабатываний, что, в свою очередь, экономит ресурсы SOC и повышает точность его работы.
Автоматическая форензика по инцидентам в режиме реального времени Современные Deception-платформы могут агрегировать криминалистические данные, включая индикаторы компрометации и тактики, методы и процедуры злоумышленников. Это позволяет организациям быть на шаг впереди, давая полную картину логики действий злоумышленников.
Расширение видимости киберрисков Информация, получаемая по итогам выявленных инцидентов безопасности, позволяет сформировать более полную карту самых популярных векторов для атак конкретно для вашей организации. Кроме того, вся информация о распространенных по сети приманках хранится в Xello Deception, поэтому их удаление никак не влияет на инфраструктуру.
Поддержка VDI В новом обновлении платформы Xello Deception 4.8 была реализована поддержка инфраструктуры виртуальных рабочих мест (VDI). Спрос на организацию VDIмест обусловлен не только переходом бизнеса на гибридную модель работы, но и трендом на мобильность сотрудников. Однако процесс миграции влечет за собой серьезные риски в аспекте информационной безопасности. 1. Расширение периметра кибератаки: компрометация одного конечного клиентского устройства способна дискредитировать всю среду VDI. 2. Обеспечение кибербезопасности большого числа копий операционных систем. 3. Реализация мер защиты с учетом специфики работы вир-
https://www.interfax.ru/russia/806997
туализированной среды: например, внедрение ресурсоемкого решения для обеспечения безопасности (классические агентские средства защиты) может привести к снижению коэффициента консолидации виртуальных машин или вызвать задержки загрузки операционных систем. Таким образом, переход на подобную модель работы требует от отделов кибербезопасности не только тщательных организационных мер, но и грамотного подхода при выборе решений по кибербезопасности. В среде VDI средства защиты должны оказывать минимально возможное влияние на инфраструктуру. Более короткое время ожидания открытия приложений приводит к повышению производительности труда сотрудников предприятия. С каждым новым релизом разработчики расширяют количество приманок и способы их распространения. Xello Deception тщательно анализирует модель поведения каждого пользователя. Независимо от конфигурации и предназначения защищаемого хоста – это может быть компьютер бухгалтера, сервер базы данных или ноутбук разработчика – система подберет приманки, программное обеспечение которых используется на этом хосте.
В Xello Deception используется безагентский способ распространения и управления ловушками – таким образом, злоумышленнику невозможно детектировать решение.
Технология обмана позволяет создавать данные, наиболее привлекательные для злоумышленника, чтобы натолкнуть его на взаимодействие с ними и продолжить свое движение уже внутри изолированной среды.
Выводы Предприятия, использующие технологию обмана в своей стратегии кибербезопасности, могут обеспечить более высокий уровень защиты как всей корпоративной сети предприятия, так наиболее критичных сегментов, а также улучшить показатели среднего времени обнаружения и реагирования на инциденты. В настоящее время это может быть очень актуально в связи с возросшим количеством атак на критическую информационную инфраструктуру3. Использование в своем арсенале данной технологии значительно сокращает нагрузку на специалистов кибербезопасности за счет минимизации количества ложных срабатываний, предоставляя высокоточные индикаторы и уменьшая объем бесполезного трафика оповещений. l
Современные Deceptionплатформы могут агрегировать криминалистические данные, включая индикаторы компрометации и тактику, методы и процедуры злоумышленников.
NM
Реклама
АДРЕСА И ТЕЛЕФОНЫ Xello см. стр. 48
• 21
СПЕЦПРОЕКТ
8 причин начать использование Deception Антон Чухнов, генеральный директор AV Soft точки зрения антивирусного движка, так и с точки зрения EDR, который может работать на этой машине, ничего недозволенного не происходит. Но если подключение к ловушке все же произошло, это значит, что ни антивирус, ни EDR не обнаружили вредоносную программу. Поэтому тут Deception играет роль дополнительного эшелона защиты внутри сети организации, а с точки зрения такой опасной проблемы, как эксплуатация уязвимостей нулевого дня, это, по сути, единственное решение для обнаружения.
Защиты от уязвимости 0day 0day – это уязвимости, обнаруженные в ходе их эксплуатации либо в ходе исследования экспертами софта или оборудования. Они крайне опасны, поскольку некоторое, иногда весьма продолжительное, время остаются неизвестными для большинства средств защиты. Deception является эффективной технологией защиты от уязвимости нулевого дня, выступая дополнительным эшелоном. Когда взломщик проникает через уязвимость на рабочее место или сервер, его задача – продвинуться по сети, получить доступ ко всем машинам, разобраться, где хранятся данные и их резервные копии. Deception состоит из ловушек и приманок. Ловушки могут имитировать серверы, оборудование, рабочие места внутри сети, а приманки могут имитировать данные для доступа к этим ловушкам. Deception обнаруживает злоумышленника, как только он попадает в ловушку, и продолжает дальше запутывать его в ложной инфраструктуре, параллельно производя анализ его действий. Эти данные можно собирать и использовать как индикаторы компрометации для защиты других сегментов сети, где может осуществиться аналогичная попытка проникновения. Поскольку доступна информация и об источнике атаки, есть возможность заблокировать злоумышленника как на самой ловушке, так и на той машине, откуда он подключился. И это при том, что другие системы безопасности пропустили атаку, поскольку злоумышленники, эксплуатируя 0day, зачастую используют совершенно легитимные инструменты. Например, это может быть обычное RDP-подключение от какой-то машины к серверу, и как с
22 •
Барьер против шифровальщиков и вымогателей Задача шифровальщиков – получить доступ ко всей атакуемой инфраструктуре, в том числе к резервной копии данных, чтобы зашифровать найденную информацию, потребовать выкуп, при этом лишив организацию возможности ее восстановить. Поэтому крайне важно обнаружить таких злоумышленников в сети как можно раньше, пока они осуществляют первые этапы атаки: проводят разведку, изучают инфраструктуру, определяют места хранения данных. В первую очередь вымогатели рассматривают в качестве цели крупные компании с большим оборотом, чтобы получить максимальный выкуп. Deception может быть эффективен с точки зрения раннего обнаружения внутри сети злоумышленников, если они смогли обойти другие средства защиты. Стоит помнить, что есть еще один источник угрозы – внутренние нарушители: подкупленные, увольняющиеся или обиженные сотрудники. Они могут запустить вредоносный продукт, управляемый извне, сразу внутри инфраструктуры, используя свой легитимный доступ. В деле противодействия атаке шифровальщиков Deception отведена важная роль. Приманки и ловушки, которые работают внутри сети, помогают обнаружить и заманить злоумышленника в ложную инфраструктуру. Притом ловушки делаются так, чтобы они были максимально похожи на реальные устройства, на реальные рабочие места или серверы и злоумышленник не смог сразу понять, куда он попал. Кроме того, в качестве ловушек могут использоваться серверы резервного хранения данных. На этапе развертывания Deception в качестве приманки формирует набор ложных данных, которые вымогатель пытается забрать на свои серверы перед шифрованием. И эти
ложные данные содержат в себе определенные признаки, по которым впоследствии можно выйти на след злоумышленников. Эти признаки можно использовать при расследовании инцидента, если через некоторое время в даркнете появляется продавец информации с заложенными с помощью Deception признаками. В таком случае этого конкретного продавца можно связать с произошедшим инцидентом, с конкретными данными, с конкретной ловушкой.
Защита промышленного сегмента сети Технологии Deception в целом инвариантны по отношению к сфере применения. Ловушки могут представлять из себя не только объекты ИТ-инфраструктуры, такие как рабочие места, серверы либо офисная оргтехника, но и создавать копии, аналоги объектов Интернета вещей и промышленного Интернета вещей. В качестве примера можно привести ipтелефоны, камеры, а также другие устройства, которые в наше время подвергаются атакам с целью дальнейшего продвижения по захватываемой инфраструктуре. Технология Deception также применима и для промышленного сегмента сети, где могут быть созданы ловушки, имитирующие контроллеры, датчики, системы управления. Отдельно стоит упомянуть и о медицинском оборудовании, от правильной работы которого зависят здоровье и жизни пациентов. В этом случае задача Deception – как можно более раннее детектирование любых атак на оборудование, обнаружение злоумышленника в сети. Если ловушка сработала, значит, в сети уже присутствует злоумышленник, который остался незамеченным другими системами безопасности, как сетевыми, так и агентами на конечных точках. Выявление зловредов позволяет службе безопасности выиграть время при расследовании инцидента, пока злоумышленник работает с ловушками Deception и пытается продвигаться в обманной инфраструктуре.
Расследование ИБ-инцидентов Обычно используются два основных вида ловушек, легкие и интерактивные. Легкие ловушки не требуют серьезных ресурсов для работы, но полностью поддерживают сетевые протоколы того оборудования, которое они имитируют. Их цель – просто фиксировать попытку проникновения. Такие легкие ловушки могут быть быстро и массово развернуты в реальной инфраструктуре. Поэтому они
www.itsec.ru
DECEPTION
эффективны, если требуется закрыть как можно больше видов оборудования, то есть создать сеть ловушек буквально на одном сервере. Второй тип – интерактивные ловушки, которые представляют из себя полноценные операционные системы с установленным на них софтом. Если вредоносная программа получает доступ к интерактивной ловушке, то система собирает детальную информацию о ее поведении, включая использованный ею доступ, запущенные процессы и их параметры, характер собираемых и подгружаемых извне данных, дополнительные используемые инструменты. Все инструменты автоматически копируются для исследования в другие системы безопасности, например в песочницы. Одновременно собирается полная информация о техниках и тактиках проникновения, а также индикаторы компрометации, такие как хеш-суммы скачанных файлов, используемые команды. Интерактивные ловушки помогут выявить цели злоумышленника и собрать наиболее полную пошаговую картину процесса проникновения, список использованных зловредом инструментов для продвижения по сети. Именно так Deception помогает команде, которая занимается расследованием инцидентов.
Применение технологий машинного обучения Машинное обучение позволяет избавить команду ИБ от лишних усилий при использовании Deception. Оно используется для генерации ловушек, чтобы те выглядели реалистично, но в то же время не являлись полными копиями друг друга или реальных хостов. Машинное обучение позволяет провести анализ реальных данных в сети и сгенерировать ложные данные для приманок, что также снижает объем работы специалистов, которые занимаются внедрением системы.
Машинное обучение также помогает сформировать реалистичное поведение каждой ловушки, проанализировав работу сети и сымитировав реальный трафик.
Deception: еще один очаг автоматизации, легкая интеграция с другими системами Deception естественным образом интегрируется с системами класса SIEM и SOAR. Deception также может интегрироваться с другими системами сетевой защиты, например с файрволами или с агентами на рабочих местах. Самый популярный вариант с точки зрения автоматизации – когда Deception подает сигнал для блокировки процессов или рабочей станции, с которой обнаружена атака. При этом собираемые индикаторы компрометации Deception может передать другим системам в автоматическом режиме для того, чтобы они заблокировали и другие хосты при выявлении этих индикаторов. Это может быть контрольная сумма, IP-адреса или домены внешних соединений, запущенных злоумышленником.
Пилотный проект
ванный заказчиком, в рамках которого показывается работа системы при тех или иных атаках. Иногда возникают интересные кейсы, когда заказчик видит, что установленные у него системы безопасности никак на атаки не реагируют. Таким естественным образом показывается необходимость использования технологии Deception.
Импортозамещение, уход иностранных решений События начала 2022 г. показали, что тренд, который задавало правительство последние несколько лет, пытаясь убедить крупные компании, банки и промышленные предприятия использовать максимально отечественный софт, был крайне правильным и необходимым. Сейчас ряд вендоров информационной безопасности уходит с российского рынка. Причем некоторые вендоры уходят, громко хлопая дверью: они отзывают лицензии на свой софт, и тот либо вовсе перестает работать, либо работает с минимальными возможностями. То есть, по сути, открывается возможность проникновения злоумышленников без обнаружения в сети этих заказчиков. С этой точки зрения Deception российского производства становится важным элементом сохранения защищенности инфраструктуры на переходный период. Отметим, что отечественные решения по информационной безопасности по многим направлениям очень достойно выглядят на общемировом фоне. В частности, российские решения класса Deception прекрасно решают поставленные перед ними задачи защиты инфраструктуры. l
Deception, как и любой программный продукт, может быть развернут в инфраструктуре заказчика для демонстрации своей практической применимости. Впрочем, стоит учесть, что Decepton обычно не проявляет себя, а только ожидает атаку и готовится заманивать злоумышленников к себе. Поэтому в рамках пилотного проекта демонстрируется не только запуск Deception внутри инфраструктуры, но и проводится определенный набор атак, которые потенциально могут быть осуществлены как извне, так Реклама NM и снаружи. АДРЕСА И ТЕЛЕФОНЫ Существует определен"АВ СОФТ" ный набор этапов см. стр. 48 демонстрации, согласо-
• 23
СПЕЦПРОЕКТ Название решения
AVSOFT LOKI
Bastion Security Platform (BSP)
Компания-разработчик
АВ Софт
ООО "Бастион"
Компания, предоставившая информацию
АВ Софт
ООО "Бастион"
Поддержка интерфейса на русском языке
Да
Да
Поддержка интерфейса на других языках
Английский
Английский
Сертификаты, патенты и лицензии
Свидетельство о регистрации программы для ЭВМ, реестр российского ПО
Реестр российского ПО
Позиционирование
Решение для промышленных, телекоммуникацион- Средство обнаружения вторжений ных, государственных и финансовых предприятий с ОКИИ
Необходимость приобретения лицензий сторонних вендоров
Нет
Нет
Наличие агентского модуля
Да
Да
Наличие безагентского модуля
Да
Да
Работа в корпоративном сегменте сети
Да
Да
Работа в технологическом сегменте сети
Да
Нет
Адаптация ловушек к реальной инфраструктуре организации
Да
Да
Имитация живой системы с характерной деятельностью пользователей
Да
Да
Автоматическое развертывание ловушек
Да
Да
Рабочие станции и серверы Windows
Да
Да
Рабочие станции и серверы Linux
Да
Да
Рабочие станции и серверы Mac OS
Нет
Нет
Виртуальные устройства
Да
Нет
Сетевое оборудование
Да
Нет
Промышленные устройства и контроллеры
Да
Нет
Сетевые сервисы
SSH, FTP, gQUIC, HTTP(s), IMAP, IMAPS, NTP, SSH, SMB, FTP, RDP, Mongo, HTTP, POP3, POP3S, RDP, SMTP, SOCKS5, Telnet, Modbus FTP, MSSQL, MySQL, TCP/UDP, Mongo
Конфигурационные файлы утилит администрирования
Да
Нет
Файлы с данными
Архитектура
Типы ловушек
Да
Да
Учетные записи пользователей и администраторов Да
Да
Сохраненные учетные данные в браузерах
Да
Нет
Ключи SSH
Да
Да
Учетные данные для подключения к СУБД
Да
Да
Оповещение об атаке в реальном времени
Да
Да
Автоматическая форензика по инцидентам
Да
Да
Поддержка ретроспективного анализа
Да
Да
Готовые отчеты и дашборды
Да
Да
База знаний и best-practice
Да
Нет
Интеграция с IRP/SOAR
Да
Нет
Интеграция с SIEM
Да
Да
Интеграция с TIP
Да
Нет
Интеграция с MITRE ATT&CK
Да
Нет
Модель тарификации
Приобретение
Подписная модель
Пробный период
1 месяц
3 месяца
Сайт с подробностями
https://avsw.ru/products/confidential-dataprotection/loki
https://bastion-tech.ru/products/deception
Реагирование и отчетность
Интеграции
Приобретение
24 •
www.itsec.ru
DECEPTION
DeceptionGrid
illusive
R-Vision Threat Deception Platform (TDP) Xello Deception
TrapX
Illusive networks
R-Vision
Xello, ООО "Кселло"
FORTIS
АО "ДиалогНаука"
R-Vision
Xello, ООО "Кселло"
Нет
Нет
Да
Да
Нет
Английский
Английский
Английский, испанский
Patent No.: US010372908 (B2)
Свидетельство о регистрации программы Реестр российского ПО для ЭВМ, реестр российского ПО
Технология создания и распроКласс решений Deception странения ложных целей от одного из основоположников класса коммерческих систем DDP
Платформа цифровой имитации объектов ИТ-инфраструктуры для обнаружения кибератак на ранних этапах
Ранее выявление и предотвращение целенаправленных атак даже при условии проникновения в корпоративную сеть
Нет
Нет
Нет
Да
Нет
Нет
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Да
Нет
Да
Нет
Да
Нет
SSH, SMB, FTP, RDP, VNC, HTTP(s), SSH, SMB, FTP, RDP, SSH, SMB, FTP, RDP, VNC, HTTP(s), FTP, Telnet, POP3, IMAP, SMTP, HTTP(s), FTP, Telnet, SMTP, FTP, Telnet, POP3, IMAP, SMTP, SOCKS5, PostgreSQL, MySQL PostgreSQL, MySQL SOCKS5, PostgreSQL, MySQL
SSH, SMB, FTP, RDP, VNC, HTTP(s), FTP, Telnet, POP3, IMAP, SMTP, SOCKS5
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Нет
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Да
Да
Да
Да
Нет
Нет
Да
Да
Да
Нет
Нет
Да
Приобретение / подписка
Подписная модель
Приобретение
Приобретение / подписка
1 месяц
1 месяц
1 месяц
3 месяца
https://fortis.ru/trapx/
https://www.dialognauka.ru/ products/
https://rvision.ru/products/tdp
https://xello.ru
• 25
СПЕЦПРОЕКТ
Глобальная репутация IP-адресов для борьбы с киберугрозами Филипп Хюмо, CEO&Co-founder CrowdSec
К
ак работает глобальная система репутации IP-адресов и почему ее можно рассматривать в качестве перспективного метода для борьбы с киберугрозами?
Периметра давно нет
По данным Check Point Research, в IV квартале 2021 г. был зафиксирован исторический максимум количества кибератак на одну организацию в течение недели – более 900.
IP-адреса представляют собой наибольшую ценность для современных хакеров.
Принцип организации защиты сети компании на базе модели сетевого периметра устарел. До недавнего времени большая часть сотрудников компаний работала в офисе, а внешние подключения к корпоративной сети были скорее исключением, чем правилом. Подготовкой таких подключений занимались в плановом порядке: настраивали VPN, шифрование, готовили отдельные виртуальные рабочие места и пространства для таких сотрудников, уделяли особое внимание изоляции критически важных сегментов внутренней сети от удаленных пользователей. В большинстве случаев дистанционно работали либо сотрудники отделов продаж, которым не требуется доступ к важным ресурсам, либо профессиональные администраторы, которые понимали правила безопасности.
Ситуация изменилась. Пандемия COVID-19 вызвала массовый переход на удаленную работу, фактически превративший защиту сетевого периметра в рудимент. Теперь VPN "поднимаются" для миллионов удаленных сотрудников по всему миру, большая часть которых не имеет даже базового представления об основах информационной гигиены и безопасности. Они работают на домашних компьютерах, наполненных играми и приложениями, не имеющими отношения к рабочим процессам, не используют сильные пароли и даже не задаются вопросом, можно ли подключать их машины к корпоративной сети. Раньше основным фактором разрушения периметра было использование распределенной инфраструктуры на виртуальных машинах, облачных дисках и SaaS-средах. Это делало уровень безопасности от участка к участку сети неравномерным, заставляя периметр буквально трещать по швам. А сейчас от понятия периметра можно и вовсе отказаться с полной уверенностью. С таким количеством потенциальных уязвимостей в ОС и ПО на домашних компьютерах и с безграничными возможностями эксплуатации человеческого фактора удаленных сотрудников никакой периметр не защитит от актуальных угроз.
Атаки разнообразны, угрозы реальны
Количество кибератак на организации в 2020–2021 гг. Источник: Check Point Research
1
По данным Check Point Research, в IV квартале 2021 г. был зафиксирован исторический максимум количества кибератак на одну организацию в тече-
ние недели – более 900. При этом общее количество атак в неделю на корпоративные сети в 2021 г. увеличилось на 50% по сравнению с 2020 г.1 Самыми популярными целями оказались образовательные и научные учреждения. Но, помимо количества, растет и многообразие атак. Это и DDoS-атаки на сетевом уровне и уровне приложений, и брутфорс-атаки на подбор паролей к учетным записям, и попытки похитить реквизиты банковских карт, взломать интернет-магазины или даже просто проверить открытые порты либо известные уязвимости с помощью сканирования. Общим для большинства атак является то, что они: l отображаются в логах системы, и это позволяет обнаружить их по характерным признакам; l проводятся с конкретных IPадресов, давая возможность заблокировать доступ к системе с этих адресов.
Для атак требуются IP-адреса Свободные адреса в пространстве IPv4 давно уже исчерпаны. Но, несмотря на дефицит, массового перехода на IPv6 пока так и не произошло. В связи с этим каждый злоумышленник вынужден использовать для атак ограниченный пул адресов, причем чем дальше, тем дороже будет обходиться для него доступ к этим адресам как в плане материальных затрат, так и в плане принципиальной возможности найти такой доступ. Таким образом, IP-адреса представляют собой наибольшую ценность для современных хакеров. Они как маски, кото-
https://blog.checkpoint.com/2022/01/10/check-point-research-cyber-attacks-increased-50-year-over-year/
26 •
www.itsec.ru
DeCePtIon
рые обеспечивают анонимность: чем больше их доступно, тем лучше.
Простой блокировки IP недостаточно Дефицит IP-адресов и их необходимость для проведения атак приводит к мысли о том, что, если повысить стоимость "игры", количество желающих в нее поиграть значительно уменьшится. Если для каждой атаки на цель придется искать новые чистые IP-адреса, которые не использовались в других атаках, стоимость входа в "игру" значительно повысится. Самым очевидным решением в этом контексте становится блокировка IP-адресов, с которых выполняются вредоносные действия. Разумеется, концепция бана IP-адресов и составления блоклистов не является чем-то новым. Она несовершенна и не спасает от профессиональных хакеров, но при всей своей примитивности даже она может отсечь основную массу хакеров-индивидуалов, которые не имеют значительных ресурсов. Подобная практика может немного выровнять ситуацию в пользу компаний, поскольку после начала пандемии хакерское сообщество получило настоящий подарок в виде армии неквалифицированных "удаленщиков" и периметр как концепция утратил актуальность.
Для хакера IP-адрес критически важен, это его точка входа. Для компании же информация о том, с какого адреса была проведена атака, не имеет никакой ценности и не угрожает ее конфиденциальности. Мы получаем ситуацию взаимной выгоды: даже самый строгий безопасник внутри компании не беспокоится из-за "слива" стратегических данных в общий доступ, а сообщество получает возможность больно бить по важным для злоумышленников точкам. Пользователи CrowdSec составляют сейчас самую большую в истории сеть сбора CTI, с десятками тысяч реальных серверов, обслуживающих реальные сервисы по всему миру. Если каждый следит за серверами и сервисами "соседей", это делает всех сильнее. Обнаруживая и распространяя IP-адреса нарушителей, CrowdSec лишает их самого ценного – анонимности. Когда преступники исчерпают все доступные IP-адреса, это сильно затруднит их деятельность. Большинство баз данных репутации IP страдают от ложных срабатываний, это снижает их надежность или даже делает бесполезными. Чтобы не допустить такой ситуации, CrowdSec полагается исключительно на данные от пользователей с высокой репутацией. Благодаря
После начала пандемии хакерское сообщество получило настоящий подарок в виде армии неквалифицированных "удаленщиков"
Репутация и коллективный иммунитет Бан-лист в отдельно взятой компании не представляет собой большой ценности, поскольку охватывает лишь небольшое количество атак, "доставшихся" этой конкретной сети. Учитывая этот факт, логично использовать коллективно сформированный и коллективно проверенный банлист, над которым работало целое сообщество. Такая концепция используется в коллективной Open-Source-системе предотвращения проникновений CrowdSec: коллективный бан-лист формируется путем обмена информацией между пользователями CrowdSec об IP-адресах, с которых на них выполнялись атаки.
этому база не содержит ложных срабатываний и несуществующих IP-адресов. В версии 1.2 CrowdSec появилась надежная система репутации Consensus V2. В ее задачи входит проверка и установка "ранга доверия" для всех пользователей, обменивающихся сигналами с сообществом. Репутация основывается на: l регулярности обмена сигналами или IP-адресами с CrowdSec; l согласованности совместно используемой информации; l корреляции получаемых данных с ханипотами CrowdSec и данными наблюдателей с высокой репутацией; l результатах перекрестной проверки с помощью сторонних служб;
Концепция бана IP-адресов и составления блоклистов не является чем-то новым. Она несовершенна и не спасает от профессиональных хакеров
l номерах AS (автономных систем), известных как источники массового постоянного агрессивного поведения. К 2025 г. в сети CrowdSec будут миллионы серверов, предоставляющих сообществу выявленные ими мошеннические IP-адреса. Это сделает сообщество CrowdSec крупнейшим на сегодняшний день краудсорсинговым проектом, направленным на борьбу с киберпреступностью. Совместными усилиями участников будет сформирована глобальная база репутации IP-адресов, которая, как предполагается, защитит всех желающих от кибератак в реальном времени. Система бесплатна для пользователей, которые делятся сигналами о вредоносных IP-адресах, за это они также получают
CrowdSec полагается исключительно на данные от пользователей с высокой репутацией. Благодаря этому база не содержит ложных срабатываний и несуществующих IP-адресов.
Если каждый следит за серверами и сервисами "соседей", это делает всех сильнее. Обнаруживая и распространяя IP-адреса нарушителей, CrowdSec лишает их самого ценного – анонимности
блоклисты, собранные сообществом. Факт того, что CrowdSec доступен бесплатно, способствует быстрому росту сообщества пользователей по всему миру, а значит, и масштабированию, и усилению базы репутации IP-адресов. Сейчас подходящий момент присоединиться к сообществу CrowdSec и принять участие в формировании коллективного кибериммунитета. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 27
СПЕЦПРОЕКТ
Deception: честно о технологии обмана Круглый стол заказчиков, вендоров и интеграторов Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗ
Участники: Алексей Макаров, технический директор Xello Александра Савельева, координатор проектов АВ Софт Владимир Соловьев, руководитель направления внедрения средств защиты АО “ДиалогНаука” Ольга Чуприкова, технический специалист Fortis Антон Чухнов, генеральный директор АВ-Софт Иван Шаламов, менеджер продукта R-Vision Threat Deception Platform (TDP) Александр Щетинин, генеральный директор Xello
Ты помнишь, как все начиналось... В свое время мы пришли к пониманию, что необходимы системы, оповещающие о том, что в сети происходит что-то подозрительное или присутствует посторонний. В качестве решения в первую очередь мы обратили внимание на ханипоты, изучили коммерческие решения, потом переключились на Open Source. Его мы для начала и решили попробовать, чтобы проверить наши гипотезы и вообще качественно посмотреть на получаемые результаты. Мы развернули сеть ханипотов, и результат ее работы нам понравился. Основная решенная задача – это условный колокольчик, который должен вовремя прозвенеть, если кто-то его потрогал. У нас стоит система SIEM, которая при-
нимает сигнал от ханипота, а дальше срабатывают наши стандартные процедуры реагирования. При этом мы не ставили себе целью задержание злоумышленника.
Первое знакомство: сложности внедрения Deception Чуть позже мы познакомились с одной компанией, которая предложила модифицировать наш подход и применить платформу класса Deception. То есть теперь не нужно разворачивать фейковые хосты и сервисы, а ловушки размещаются на базе нашей существующей инфраструктуры. Идея нам показалась хорошей: разместить на хостах скрытых пользователей, скрытые папки и отслеживать реакцию на них. Почти сразу возник первый вопрос: как развернуть эти фейковые учетные записи, папки на компьютерах наших пользователей и на серверах? Проблема заключалась в том, что в рассматривае-
мом нами решении для размещения ловушек на все хосты требовались права доменного администратора либо локального, но одинакового на всех машинах. Но права доменного админа мы не предоставляем вообще никому, а от пользователей, которые имели бы доступ ко всем компьютерам, мы целенаправленно отказались. Связано это с тем, что, найдя запись общего администратора на одной машине, потенциальный зловред получал в распоряжение все хосты. Поэтому для создания локальных администраторов у нас используется решение LAPS (Local Administrator Password Solution). На каждом компьютере LAPS создает уникальный пароль локального администратора, прописывает их в домене, но больше никому не сообщает. И в этом состояла непреодолимая сложность во внедрении Deception, поскольку в таких условиях рассматриваемое нами решение работать попросту не могло.
Комментарии экспертов Владимир Соловьев, ДиалогНаука: Одна из основных сложностей при внедрении решений класса Deception – необходимость наличия учетной записи с высокими привилегиями, которые требуются для размещения приманок. Причем, как правило, в основном речь идет об учетной записи локального администратора, расположенной на всех хостах. Для минимизации возможных рисков необходимо поставить учетную запись локального администратора на контроль использования вне системы. Дополнительно можно настроить сценарий блокировки данной учетной записи в связке со сторонними средствами защиты в случае обнаружения нелегитимного использования. Иван Шаламов, R-Vision: В случае R-Vision TDP при размещении приманок права локального администратора потребуются далеко не в каждом случае. Права доменного
28 •
администратора могут пригодиться только для удобства массового распространения приманок в инфраструктуре, а для размещения ловушек административные права не понадобятся вовсе. Алексей Макаров, Xello: При внедрении Xello Deception есть несколько вариантов распространения приманок. Первый способ не требует предоставления прав локального или доменного администратора и ориентирован на встроенные инструменты операционных систем или сторонних решений: групповые политики (Group Policy, GPO), диспетчер конфигурации системного центра (System Center Configuration Manager, SCCM), инструменты управления удаленных устройств (Mobile Device Management, MDM) или, например, с помощью агента стороннего решения. Второй вариант предполагает предоставление прав локального администратора на время рас-
www.itsec.ru
Deception
пространения. По итогам реализации данной задачи права можно отозвать. Третий вариант подразумевает интеграцию с решениями класса LAPS (Local Administrator Password Solution). Ольга Чуприкова, Fortis: DDP включают несколько слоев: сетевые ловушки, данные и приманки на АРМ (сессии RDP/SSH, сетевые диски, фейковые учетные данные, ведущие на сетевые ловушки). Идеально, когда задействованы все слои. Для распространения токенов на АРМ могут использоваться способы, не требующие предоставления административных прав системе (GPO, SCCM etc). Решение TrapX Decep-
tionGrid, например, ориентированно прежде всего на достоверность сетевых ловушек и способно показать эффективность в тех средах, где АРМ пользователей просто нет (например, DMZ). Александра Савельева, АВ Софт: Практика показывает, что Deception-решение LOKI внедряется достаточно несложно и не требует больших ресурсов оборудования. Кроме того, мы стараемся не оставлять заказчиков один на один с дистрибутивом системы, поэтому всегда проводим пилотные проекты, в рамках которых видно, как происходит установка и настройка.
Фиксированная стоимость или подписка? Второй вопрос, который возник к разработчикам Deception, заключался в схеме тарификации: нам продавали подписку. И я как заказчик не совсем понимаю, что в эту подписку включено. Скажем, когда я подписываюсь на антивирус, то понимаю, что периодически приходят обновления, сигнатуры, правила, и здесь применение подписной модели выглядит оправданным. Но при использовании ловушек предмет для подписки совсем не очевиден. Ведь если один раз распространить ловушки по инфраструктуре, то дальше
система живет, не требуя вмешательства извне. В моем представлении это повод оплатить лицензию и стоимость
поддержки на случай, если что-то сломалось и требуется дополнительная экспертиза.
Комментарии экспертов Ольга Чуприкова, Fortis: Коммерческие системы развиваются гораздо быстрей проектов Open Source. Разработчики постоянно шлифуют свои решения, увеличивают количество средств обмана, совершенствуют текущие ловушки и создают новые, добавляют интеграцию с другими системами безопасности, которые способны предотвращать развивающуюся атаку. Системы обладают способностью определять различные типы взаимодействия и тактик атак, что также требует обновления. То есть в рамках подписной модели вы платите за постоянно расширяющуюся функциональность, а не просто за техническую поддержку продукта. Владимир Соловьев, ДиалогНаука: Разработчики Deception-решений не стоят на месте, также как и злоумышленники, которые придумывают всё более изощренные техники. Если установить систему и оставить ее жить своей жизнью, то особого смысла от нее не будет. Злоумышленники поймут, что их обманывают, тем самым будут с легкостью находить фейковые объекты. С выходом новых версий появляются новые модули и компоненты, а также обновляются данные по приманкам (классы, их расположение и т.д.). Что касается схемы тарификации, то она сильно зависит от вендора. По нашему опыту, большинство вендоров предусматривает возможность покупки как подписки, так и бессрочной лицензии с ежегодной техподдержкой.
Deception и другие агенты Еще один вопрос: как будет реагировать установленное на серверах и рабочих станциях антивирусное ПО на то, что некий процесс пытается инжектировать в систему пользователей и файлы? Например, DLP тоже иногда конфликтует с антивирусом, и необходимо добавлять агент DLP в исключения, чтобы антивирус не считал его зловредом с
Александра Савельева, АВ Софт: Рассуждения автора нам близки, поэтому наш подход подразумевает как раз фиксированную стоимость за лицензию LOKI. Иван Шаламов, R-Vision: Мы предлагаем гибкую систему лицензирования, как предоставление услуги по подписке, так и бессрочные лицензии. Оба формата подразумевают наличие технической поддержки, в рамках которой происходит регулярное обновление ПО, то есть добавление нового функционала, новых типов ловушек и приманок. Различие двух вариантов лицензирования заключается в том, что при оформлении подписки доступ к платформе возможен только в течение срока ее действия, в то время как при бессрочной лицензии доступ не ограничен, а в стоимость также входит год техподдержки, которую можно продлить в дальнейшем. Александр Щетинин, Xello: Реальность такова, что единого стандарта в ценообразовании решений класса Deception нет и в первую очередь необходимо смотреть на предложение конкретного вендора. Иногда формат подписки предполагает исключительно удобство в формате оплаты – постепенное внесение платежей. Например, Xello Deception можно приобрести как по подписке, так и оплатив лицензию одним платежом. При этом мы никак не ограничиваем наших клиентов. Реализовывая новую функциональность платформы и расширяя типы приманок, мы даем возможность устанавливать обновления всем клиентам.
удаленным управлением. Пока непонятно, нужно ли для Deception настраивать такое исключение и в каком объеме. Не получится ли так, что потребуется исключать из рассмотрения антивируса целый диск, что само по себе неприемлемо. Отдельный вопрос касается вычислительных ресурсов, ведь кроме собственно рабочего ПО на компьютерах есть EDR, антивирусы, DLP, UBA.
При это создается заметная дополнительная нагрузка на рабочее место, ведь часто агенты требуют достаточно серьезных ресурсов, постоянно или временно. Нужно учитывать, что у нас до сих пор еще есть в регионах компьютеры, для которых норма – 4 Гбайт памяти. Не получится ли в результате безопасное рабочее место, на котором невозможно работать?
• 29
СПЕЦПРОЕКТ Комментарии экспертов Иван Шаламов, R-Vision: Действительно, при агентском способе размещения приманок создается дополнительная нагрузка на рабочие места. Кроме того, агент может быть легко обнаружен не только злоумышленником, но и пытливым пользователем. В R-Vision TDP реализовано безагентское размещение приманок, за счет чего подобные проблемы исключены, при этом платформа не перегружает инфраструктуру заказчика. Таким образом, приманки, размещенные на конечных устройствах, не будут конфликтовать со средствами защиты, поскольку являются обычными файлами. Алексей Макаров, Xello: Сегодня на рынке есть как решения, использующие агент для распространения приманок, так и те, что обходятся без него. Xello Deception как раз относится к последнему типу, не создавая дополнительной нагрузки на инфраструктуру и распространяя приманки без агента. Платформа включает в себя сервер управления и серверловушку. Весь трафик между этими компонентами шифруется. Взаимодействие происходит в одну сторону, от сервераловушки к серверу управления, предоставляя возможность развертывания серверов-ловушек в защищенных сегментах сети. Для установки решения потребуется один или два виртуальных сервера.
Рекомендации для настроек Давно не секрет, что современные зловреды предварительно тестируются в хакерских лабораториях на предмет детектирования антивирусами и другими средствами защиты, а затем пересобираются, чтобы остаться незаметными для них. Попадая в систему, зловреды пытаются разными способами убедиться, что на заражаемой машине работает живой человек или реальный сервер, а не ловушка или песочница. Было бы удобно, если Deception после установки, исходя из ситуации на конкретном хосте, мог давать рекомендации относительно изменения настроек для повышения защищенности этого хоста. И лучше это делать, как только агент системы попал в систему, не дожидаясь реальных инцидентов. Речь о Best Prac-
Александра Савельева, АВ Софт: Наша практика показывает, что агенты (сенсоры) системы LOKI не конфликтуют с другими легитимными агентами на устройстве и в сети. Ольга Чуприкова, Fortis: Токены на АРМ устанавливаются и работают без агентов и не требуют для поддержания их работы никаких ресурсов. Чтобы исключить блокировку распространения токенов, в некоторых системах безопасности эндпойнтов необходимо вносить исключения, но они будут затрагивать не весь диск, а лишь установочный файл или его MD5. Владимир Соловьев, ДиалогНаука: Любое действие, выполняемое Deception-системой на хосте, порождает моментальный процесс, который запускается, выполняет ряд требуемых функций и завершается. Информация по таким процессам обычно доступна и может быть использована для добавления в исключения в сторонних системах, таких как AV, EDR и др. В современном мире любое Enterprise-решение поддерживает из коробки функционал исключений, куда можно добавить имя и хеш процесса для предотвращения конфликтных ситуаций между решениями. Это довольно проработанный механизм, который применяется во всех решениях повсеместно.
tice по конфигурированию операционных систем Windows, Linux. Конечно, мы и сами проводим мероприятия по настройке операционных систем в аспекте информационной безопасности. Но Deception, основываясь на известных тактиках зловредов, могут сделать ценные дополнения для настроек, снижающих риски успешных атак.
Отдельный вопрос касается взаимодействия ловушек с центром управления. Команде ИБ на стороне заказчика важны готовые рекомендации по настройке других установленных средств защиты, чтобы трафик общения элементов Deception с командным центром был защищенным и не поддавался перехвату.
Комментарии экспертов Алексей Макаров, Xello: Современные Deception-платформы ушли далеко за пределы обычных ханипотов. Именно поэтому Xello Deception практически не требует ресурсов со стороны клиента для конфигурации решения. После установки платформа выполняет все необходимые действия в автоматическом режиме: анализирует инфраструктуру, генерирует приманки и распространяет их. Мы как вендор готовы консультировать наших клиентов как по лучшим практикам интеграции решения с другими средствами защитами, так и по развертыванию во всех сегментах сети. Владимир Соловьев, ДиалогНаука: Рекомендации относительно изменения настроек для повышения защищенности хоста относится все же к функционалу другого класса решений – Vulnerabilities Management, которые выявляют уязвимости на хостах и дают рекомендации по повышению уровня защищенности. Идея Deception только в том, как эффективно обмануть злоумышленника. Что касается межкомпонентного взаимодействия, то обычно все соединения шифруются сертификатом и строятся по защищенным протоколам.
30 •
Ольга Чуприкова, Fortis: TrapX DeceptionGrid во время установки токенов проверяет степень защищенности конечного устройства и формирует профиль безопасности для каждого хоста. Он также позволяет выявить все известные инструменты, приемы и тактики атак, описанные в базе знаний MITRE ATT&CK, а также оценить по ним степень защищенности вашей сети. На основе этих данных система выдает рекомендации, какие ловушки лучше всего разместить, чтобы они выглядели максимально реалистично для каждого сегмента сети. Иван Шаламов, R-Vision: Основная задача Deception – обнаружение злоумышленника и замедление его продвижения внутри сети. Несмотря на то что анализ настройки хоста не является прямой задачей этого класса решений, платформа R-Vision TDP может помочь в обнаружении уязвимостей. Индикаторы компрометации, собранные в R-Vision TDP, могут быть переданы в системы киберразведки (TI), которые могут обогатить их контекстом, выявить взаимосвязи с другими данными TI, а также экспортировать на СЗИ для блокировки.
www.itsec.ru
Deception
Не вырастить монстра Постоянная проблема, с которой регулярно приходится сталкиваться, – это постепенное превращение продукта со специализированной функциональностью в универсальный комбайн. Часто вендор, создавший небольшой успешный продукт для решения конкретной задачи, начинает его развивать и нагружать дополнительным функционалом. Наверное, интересно дополнять продукт
новыми возможностями для решения смежных задач, но, может быть, не стоит распылять силы и лучше остаться сфокусированным на изначальной постановке проблемы? В части Deception, наверное, можно и комплаенс проверить, и расследование провести. Но это приводит к увеличению объема агента, растет нагрузка на ресурсы хостов, усложняется администрирование.
Поэтому важно найти баланс, который позволит развивать решение, но не превращать его в монстра с большим количеством отвлеченных и непонятных функций, которые большинство пользователей проигнорирует. Можно в качестве компромиссного варианта развивать в системе модульность, чтобы каждый заказчик мог из конструктора собрать нужный себе функционал и только за него заплатить.
Комментарии экспертов Владимир Соловьев, ДиалогНаука: Увы, некоторые разработчики действительно, как говорится, "скрещивают ужа и гадюку", но сказать это про разработчиков Deceptionрешений, c которыми мы работаем, нельзя! Весь дополнительный функционал, например в виде высокоинтеллектуальных ханипотов, с помощью которых можно наблюдать за действиями злоумышленника, попавшего на этот хост, либо функционал зачистки инфраструктуры от закешированных или сохраненных привилегированных учетных записей, – все это является отличным дополнением к стандартному функционалу Deception. Александра Савельева, АВ Софт: LOKI имеет гибкую функциональную структуру и разработана с учетом возможных ресурсных ограничений на реальной инфраструктуре. Поэтому системные требования к оборудованию у нее весьма низкие, что позволяет рабочим станциям и серверам продуктивно работать, не особо замечая нагрузку от Deception. Иван Шаламов, R-Vision: Мы понимаем ширину спектра задач, стоящих перед ИБ-специалистами, и солидарны в том,
Deception в мультивендорной среде Еще один интересный вопрос касается обмена информацией между разными продуктами. Все обычно хорошо работает в моновендорной среде: все системы обмениваются событиями, индикаторами компрометации. Но в случае, когда антивирус одного производителя, песочницы другого, Deception третьего, общение обычно сильно осложняется, а оно крайне важно. Если Deception обнаруживает попытки проникновения, то очевидно, что необходимо поделиться
что добавлять функционал других классов решений в продукт не всегда уместно. Именно поэтому мы развиваем экосистему продуктов R-Vision с различным функционалом и возможностями, за счет чего при разработке R-Vision TDP сосредотачиваемся на основных задачах этого класса решений. При этом все продукты R-Vision легко адаптируются под специфику заказчика, а также интегрируются друг с другом. В результате заказчик получает от продуктов ровно тот функционал, который ему необходим. Ольга Чуприкова, Fortis: Основная цель Deception – ввести злоумышленника в заблуждение и заставить его выдать себя. Понятной аналогией будет именно охранная сигнализация, а не, к примеру, противоугонная система. Стоит ожидать увеличения покрытия большего количества атакуемых систем, развития активного Defence и покрытия популярных технологий. TrapX DeceptionGrid, например, теперь поддерживает ловушки в Kubernetes. Брать на себя функции других систем действительно нет смысла, и для этого решения развиваются в сторону интеграций с профильными системами.
индикаторами с другими используемыми средствами защиты – с файрволом, антивирусом. Безусловно, хорошо, что вредоносные действия обнаружены и заблокированы, но где гарантия, что повторная атака не пойдет. Нужно внести изменения на периметре, выставить дополнительные барьеры, заблокировать ip-адреса и url, но без дополнительной информации от Deception сделать это практически невозможно. Может показаться, что эту функциональность должны выполнять системы класса SOAR. Это отчасти справедливо.
Но система SOAR весьма недешевое удовольствие, и если ее нет, то все равно должна быть возможность простого получения важной информации об инциденте через выгрузку XML-файлов, через API или другим несложным способом. На следующем уровне этой проблемы системы Deception должны делиться индикаторами компрометации с производителями средств защиты – тех же антивирусов, чтобы они учитывали информацию в своих сервисах, повышая защищенность.
Комментарии экспертов Владимир Соловьев, ДиалогНаука: В основном все интеграции между Deception-системами и сторонними решениями реализуются с помощью API, позволяя выгружать необходимые данные. Решения классов SOAR, IRP и SIEM максимально упрощают интеграционные вопросы, но все равно требуют заметных ресурсов для настройки и администрирования. В случае отсутствия у заказчика вышеупомянутых решений можно написать ряд скриптов, выполняющих похожий функционал, например, на языке программирования Python. Ольга Чуприкова, Fortis: В TrapX DeceptionGrid доступны интеграции с большим количеством ИБ-систем. Подобные связи позволяют оперативно влиять на развитие атаки: добавить запрещающее правило на NGFW, легко или мгновенно отрезать хост от сети с помощью NAC-систем. Из коробки доступно множество подобных интеграций (Sandbox, NGFW, NAC, EDR, SIEM и т.д.), для других систем существует специальный API.
Уже на данный момент решение позволяет эффективно делиться информацией и продолжает совершенствовать этот аспект. Александра Савельева, АВ Софт: Для нас очевидна важность работы Deception как дополнительного эшелона системы защиты, поэтому LOKI может удобно интегрироваться с другими вендорами и системами, такими как песочницы, SIEM, IRP и SOAR. Алексей Макаров, Xello: В Xello Deception есть встроенный модуль для сбора и обработки событий со всех источников платформы, а также смежных систем для реагирования на инциденты безопасности. При возникновении нелегитимной активности решение собирает с зараженного хоста большое количество данных о состоянии системы: активные сетевые подключения, запущенные сервисы и службы, активные пользователи и др. Эти данные могут повысить эффективность SOC, а также помочь в расследовании киберинцидентов. Кроме того, открытый API предоставляет широкие возможности для интеграции со сторонними средствами защиты, обогащая их.
• 31
СПЕЦПРОЕКТ Иван Шаламов, R-Vision: При разработке продуктов R-Vision мы учитываем необходимость интеграции с решениями других вендоров. В R-Vision TDP реализована передача данных по стандартным протоколам в такие внешние системы как IRP, SOAR, SIEM, TIP и др. Кроме того, R-Vision TDP поддерживает
Deception для технологического сегмента сети Идея применить ловушки для технологической сети соблазнительна, но внедрение новых технологий в этом сегменте сети всегда происходит достаточно сложно. Страшновато влезать внутрь промышленных систем, ведь они могут повести себя непредсказуемо и нарушить непрерывность производственных процессов предприятия. Все-таки если в корпоративной сети что-то сломается и пользователь, к при-
тесную интеграцию с платформами R-Vision IRP и R-Vision TIP, в которые также возможно передать данные для настройки сценариев реагирования на инциденты и информацию по индикаторам компрометации для дальнейшей передачи на СЗИ.
меру, не получит почту, эта ситуация не станет критичной. Но выход из строя компьютера в технологической сети может привести буквально к катастрофе. Поэтому с инфраструктурой технологического сегмента приходится обращаться очень аккуратно. Может быть, стоит в качестве первого шага разместить там ханипоты, то есть просто виртуальные машины, которые впрямую не затрагивают инфраструктуру, но уже создают определенный эффект. Очевидно, что надо будет их
настраивать именно на промышленные порты, протоколы, чтобы ханипот обозначал себя именно как промышленный компьютер, а не "десятка" из корпоративной части. А уже после ханипотов можно переходить и к внедрению в промышленном сегменте Deception. Конечно, готовая компетенция вендора в области технологической сети, а также опыт успешных внедрений на предприятиях схожей специфики сильно упростили бы принятие решения.
Комментарии экспертов Александра Савельева, АВ Софт: Система LOKI применяется нами не только для корпоративной сети, но и успешно адаптируется под любые типы устройств в технологическом сегменте. Причем работа Deception не сказывается негативно на работе промышленного оборудования. Ольга Чуприкова, Fortis: Для использования TrapX DeceptionGrid не обязательно лезть внутрь промышленных систем, продукт обладает возможностью сканирования технологической сети, создавая максимально реалистичные сетевые ловушки. В системе присутствуют шаблоны ловушек для разных контроллеров, SCADA-устройств, SAP и т.д. При необходимости можно сэмулировать любое сетевое устройство, для этого предусмотрен встроенный функционал, который сканирует выбранный хост по открытым портам, смотрит отпечаток ОС и создает на базе найденных данных новый шаблон ловушки. Иван Шаламов, R-Vision: Варианты внедрения Deception для АСУ ТП могут разными: размещение ловушек возможно как в технологическом сегменте, так и в КСПД на входе в тех-
Развитие Deception Я думаю, что решения Deception будут развиваться и трансформироваться примерно так же, как антивирусы или DLP. Наверняка будет совершенствоваться незаметность ловушек с точки зрения атакующих, будет появляться новый функционал в агентских модулях. Есть ощущение, что со временем Deception сможет заменить собой антивирусы и EDR на хостах, а может быть и включиться в состав этих решений. Мы, к слову, изучаем возможность миграции с нашего нынешнего антивируса на более современное и интересное решение. Хороший вопрос: можно ли уже сейчас рассматривать Deception как замену EDR? То есть не разворачивать EDR, а установить простейший антивирус, может быть даже встроенный в операционную систему, и добавить Deception. Первый будет защищать от известных зловредов, а второй будет обеспечивать прикрытие от новых угроз и собирать дополнительную информацию для расследования. Конечно, мне как заказчику не очень нравится, когда на эндпойнте функцио-
32 •
нологический сегмент. Обычно в случае, если имеется сетевая связность между корпоративным и технологическим сегментами, заказчики рассматривают гибридное размещение ловушек и приманок. Владимир Соловьев, ДиалогНаука: Внедряя Deception-решения у наших заказчиков, в том числе и на хосты технологического сегмента сети, мы не увидели каких-либо проблем, связанных с воздействием решения на повседневное функционирование серверов. Чаще всего проблемы возникают после сетевого взаимодействия: например, поставили новый шлюз и не прописали правило или кто-то удалил сетевой проход просто потому, что не было оставлено соответствующих комментариев при настройке. В любом случае размещение ханипотов по соседству с высокозначимыми серверами не только поможет обмануть злоумышленника, но и предоставит возможность увидеть в реальном времени все его действия, направленные на достижение своей цели. Предупрежден – значит вооружен.
нируют несколько разных агентов. Гораздо удобнее, если работает один агент, который более рационально тратит ресурсы и которым проще управлять с единой консоли. Проблема усугубляется тем, что у многих до сих работают много старых и относительно слабых компьютеров, которые по тем или иным причинам заменить не получается, а обновление для установленных на них операционных систем уже не выпускают. И нам как раз важно защитить именно эти машины, нуждающиеся в наложенных средствах, для обеспечения нужного уровня безопасности. У нас активно также используется и развивается микросервисная архитектура для приложений. Нам интересно, как и для этой сферы можно применить ханипоты и Deception. В завершение расскажу, как мне на глаза не так давно попалась система, похожая по функциональности на ловушки. Она работает на хостах и на все подозрительные проверочные запросы, которые к ней попадают, всегда отвечает "да". То есть когда зловред спрашивает:
"Я в песочнице?" – "Да, ты в песочнице!" "А русская раскладка установлена?" – "Да, установлена!" – "А антивирус здесь есть?" – "Да, целых два!" Расчет на то, что, ориентируясь только на описание, зловред поймет бесперспективность атаки на хост. Возможно, такая функциональность была бы востребована в Deception уже сейчас.
www.itsec.ru
Deception
Комментарии экспертов Владимир Соловьев, ДиалогНаука: Говорить про взаимозаменяемость разных решений, на мой взгляд, некорректно. Как раз очень хороший пример – антивирус (EPP) и EDR. Оба класса решений защищают конечные точки от злоумышленников и прекрасно дополняют друг друга. Также и в случае с использованием Deception было бы неправильно отказаться от антивирусов и EDR. Да, Deception выявит злоумышленника в сети, но обнаружить вредоносное программное обеспечение или составную целенаправленную атаку, скорее всего, не сможет. На мой взгляд, лучший подход – комплексный. А подход с положительными ответами на все поступающие проверочные запросы выглядит интересным, только, на мой взгляд, это, наоборот, заставит злоумышленника насторожиться и дважды продумывать каждый шаг атаки. Иван Шаламов, R-Vision: Технологии Deception активно развиваются, и мы предполагаем, что в дальнейшем они смогут стать заменой решений класса IDS. За счет учета специфики отрасли и особенностей инфраструктуры заказчиков R-Vision TDP более эффективен, чем стандартные средства обнаружения. Мы уверены, что в будущем каждая компания станет использовать Deception. Алексей Макаров, Xello: Решения класса Deception будут впитывать в себя подходы из смежных областей. Будут развиваться формы обмана злоумышленника, а также методы защиты данных, которые позволят усложнить технологически путь к ним. DDP-платформы уже сейчас предоставляют командам информационной без-
опасности полноценные инструменты не только для раннего обнаружения и реагирования на киберинциденты, но и для исследования техник и тактик злоумышленника. Эти аналитические данные позволят компаниям адаптировать свою стратегию к новым угрозам и обеспечить автоматизацию ответных действий. Александра Савельева, АВ Софт: Наше видение: будущее у Deception радужное. Будут совершенствоваться аналитические возможности платформы, функциональность дополнится и сопутствующими модулями, например сканированием устройств на уязвимости. Ольга Чуприкова, Fortis: Мы не заменяем, а дополняем экосистему организации. Deception вступает в бой, когда периметральная защита не справилась и атакующий уже находится в сети. Для DDP-систем важно затруднить и снизить скорость передвижения злоумышленника внутри корпоративной сети, а также своевременно уведомить об этом, чтобы было максимум времени на анализ происходящего и своевременного принятия мер по локализации атаки. Deception в скором времени станут такой же неотъемлемой частью комплексных систем информационной безопасности, какими в свое время стали IPS, NGFW, SIEM, Sandbox и EDR. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Лаборатория Касперского: количество киберинцидентов в российских компаниях увеличилось в 4 раза В первом квартале 2022 г. эксперты компании расследовали в четыре раза больше таких инцидентов, чем за аналогичный период 2021 г. Такой рост связан в первую очередь с постоянным усложнением ландшафта угроз и расширением поверхности атак: злоумышленники используют разные тактики и техники, в том числе комбинированные, и стремятся проникнуть в инфраструктуру компаниижертвы через разные точки входа. Кроме того, сегодня компании сталкиваются с приостановкой деятельности ряда иностранных вендоров на рынке. В ситуации неопределенности, в частности, когда организации лишились отдельных защитных решений, риски пропустить сложную кибератаку значительно повышаются. Стоит добавить, что начиная с середины марта 2022 г. в России существенно увеличилось количество атак программшифровальщиков после спада, который наблюдался в конце зимы. Пик пришелся на двадцатые числа марта, когда этот показатель был в четыре раза выше, чем в последние дни февраля. Основными мишенями злоумышленников стали корпорации и государст-
венные организации. Большинство атак начинались с письма сотруднику с вредоносным вложением или ссылкой. После проникновения в систему и проведения исследования инфраструктуры компании зловреды шифровали данные и блокировали нормальную работу устройств. Характерной особенностью мартовских атак стало то, что злоумышленники часто не требовали выкуп, стремясь просто помешать работе бизнеса. Для обеспечения безопасности и устойчивости бизнеса в условиях повышенных киберрисков компаниям стоит использовать комплексные решения класса XDR (Extended Detection and Response) – расширенные системы обнаружения и реагирования на сложные кибератаки. Эти системы позволяют контролировать все потенциальные точки входа киберпреступников в инфраструктуру: рабочие места и серверы, сеть, почту, Интернет, в том числе проникновение с использованием инструментов социальной инженерии. Они также предоставляют экспертам по информационной безопасности возможность централизованно отражать сложные кибе-
ратаки, целевые и APT-угрозы в рамках всей инфраструктуры. Важную роль играют встроенные технологии мониторинга, обнаружения, расследования, проактивного поиска угроз, обогащения данными о киберугрозах (Threat Intelligence) и набором действий для реагирования. Усложнение ландшафта угроз и новые реалии рынка требуют от российских компаний комплексного подхода к кибербезопасности, включающего расширенные системы обнаружения и реагирования на сложные кибератаки. Большое значение в современных условиях имеет наличие у экспертов по информационной безопасности оперативных данных об актуальных угрозах, схемах и тактиках злоумышленников. Вкупе с фундаментальными надежными защитными инструментами это сокращает время обнаружения и реагирования на угрозу и, как следствие, минимизирует последствия киберинцидентов. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 33
ТЕХНОЛОГИИ
Защита информации в медицинских организациях с помощью решений UserGate Иван Чернов, менеджер по работе с партнерами компании UserGate
П По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Однако разнообразие информационных систем рождает неоднородность подходов к защите информации, фрагментарность использования СЗИ. Выступая с докладом на SOC-форуме, Александр Дубасов, советник директора ФГБУ ЦНИИОИЗ Минздрава России, отметил1 это как одну из ключевых проблем защиты информационных систем в сфере здравоохранения. Другими проблемами остаются неполнота организационных мер защиты информации, отсутствие подтверждения соответствия требованиям информационной безопасности и недостаток специалистов по защите информации в медучреждениях. Между тем киберпреступники начинают обращать на организации здравоохранения все больше внимания. В течение всего 2021 г. доля медицинских учреждений в статистике жертв кибератак постоянно росла, с 8% в I квартале до 12% в конце года. Среди жертв программ-шифровальщиков медорганизаций больше всего (статистика за III квартал 2021 г.). Хакерская активность может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи или оказанию ненадлежащей медицинской помощи, невозможности точного определения диагноза и назначения лечения, а также
невозможности обеспечения преемственности оказания медицинской помощи. Серьезным последствием будет и неправомерное использование похищенной конфиденциальной медицинской информации. Поэтому для любой медицинской организации важно не только построить комплексную систему информационной безопасности, обеспечивающую соответствие требованиям регуляторов, но и своевременно обнаруживать и предотвращать угрозы информационной безопасности, не допуская утечек информации и остановки деятельности медицинских информационных систем.
Соответствие требованиям по информационной безопасности в медицинских организациях Первоначально понятие "врачебная тайна" было определено еще в законе "Основы законодательства Российской Федерации об охране здоровья граждан" от 1993 г. Устанавливались гарантии конфиденциальности и запрет на разглашение сведений о здоровье гражданина. На смену ему был принят 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (действует на момент публикации), в котором добавлялась обязанность медучреждений соблюдать законодательство о персональных данных при обработке врачебной тайны. А 152-ФЗ "О персональных данных" особо отмечает, что сведения о состоянии здоровья могут обрабатываться только в определенных случаях. Конкретные требования информационной безопасности к медицинским учреждениям можно разделить на три группы.
Законодательство о персональных данных Постановление Правительства РФ № 1119 определяет правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных, – не слабее 3-го уровня защищенности. Приказ ФСТЭК России № 21 перечисляет технические и организационные меры защиты для таких информационных систем.
Медицинские и государственные информационные системы Приказ Министерства здравоохранения РФ № 911н и постановление Правительства РФ № 1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО) в виде запрета на допуск иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), для защиты этого взаимодействия будут применяться меры приказа ФСТЭК России № 17. Эти же меры должны также использоваться для интегрированных с МИС МО информационных систем (постановление Правительства РФ № 447 от 12.04.2018).
Критическая информационная инфраструктура (КИИ) После введения в действия в 2017 г. 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в случае, если медицинская организация является субъектом критической информационной инфраструктуры и одной из ее инфор-
https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Dubasov.pdf https://cisoclub.ru/usergate-summa-ekosistema-produktov-kiberbezopasnosti/
1,3 2
о уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом используются различные региональные или федеральные информационные системы, например Единая государственная информационная система в сфере здравоохранения.
34 •
www.itsec.ru
ЗАЩИТА СЕТЕЙ
мационных систем присвоена категория значимости объекта КИИ (ЗОКИИ), необходимо выполнять дополнительные требования информационной безопасности. Они установлены приказом ФСТЭК России № 239. В итоге система защиты информации медучреждения должна выполнять функциональные требования по информационной безопасности, предъявляемые ФСТЭК России. Используемые средства защиты информации (СЗИ) должны быть сертифицированы ФСТЭК России (и ФСБ для средств криптографической защиты информации) и находиться в реестре отечественного ПО Минкомсвязи.
Применение UserGate в медицинских организациях Решения компании UserGate удовлетворяют требованиям по информационной безопасности для медицинских учреждений. Продукты из экосистемы кибербезопасности UserGate SUMMA2 можно использовать в качестве средств защиты информации информационных систем (ИС) в единой системе обеспечения информационной безопасности в сфере здравоохранения по схеме3 ФГБУ "ЦНИИОИЗ" Минздрава России. Продукты компании UserGate реализуют следующие меры по защите информации, содержащейся в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн): l идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) (полностью); l антивирусная защита (АВЗ) (полностью); l обнаружение вторжений (СОВ) (полностью); l управление доступом субъектов доступа к объектам доступа (УПД); l регистрация событий безопасности (РСБ); l обеспечение доступности (ОДТ); l защита информационной системы, ее средств, систем связи и передачи данных (3ИС); l обеспечение целостности информационной системы (ОЦЛ); l защита среды виртуализации (ЗСВ); l выявление инцидентов и реагирование на них (ИНЦ); l управление конфигурацией (УКФ). Если говорить о критической инфраструктуре, то предъявляемые к ее защите технические требования приказа ФСТЭК России № 31 закрываются следующими мерами: l обнаружение вторжений (СОВ) (полностью); l идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ); l управление доступом субъектов доступа к объектам доступа (УПД); l аудит безопасности (АУД);
Рис. 1. Система информационной безопасности на основе UserGate SUMMA l антивирусная защита (АВЗ); l обеспечение доступности (ОДТ); l защита информационной системы и ее компонентов (ЗИС); l реагирование на компьютерные инциденты (ИНЦ); l управление конфигурацией (УКФ); l управление обновлениями программного обеспечения (ОПО). В экосистеме продуктов кибербезопасности UserGate SUMMA центральным компонентом является межсетевой экран нового поколения UserGate (UserGate NGFW). UserGate NGFW обладает сертификатами ФСТЭК России: l по 4-му уровню доверия к средствам технической защиты информации; l по требованиям к профилям защиты межсетевых экранов типа "А", "Б" и "Д" 4-го класса защиты; l системам обнаружения вторжений 4-го класса защиты. UserGate NGFW занесен в Реестр отечественного ПО Минкомсвязи (запись № 1194). Поэтому при использовании UserGate NGFW в информационной системе ее можно будет аттестовать по требованиям безопасности информации как ГИС и/или ИСПДн по всем уровням защиты, от 4-го до 1-го включительно. Помимо мер, содержащихся в требованиях регуляторов, любая организация нуждается в практической безопасности. UserGate NGFW предоставляет следующий функционал.
Межсетевое экранирование В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т.д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение
(например, мессенджер Skype, сайт "Яндекс.Диск" – всего более 1200 приложений и протоколов). Проверяются также и приложения, работающие по протоколу HTTPS. Все это позволит настроить доступ к определенным сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик из "опасной" страны или в нее. Важным технологическим преимуществом UserGate NGFW является алгоритм обработки правил фильтрации: обработка правил не зависит от их количества, что позволяет добиться высокой производительности.
Обнаружение и предотвращение вторжений (IDS/IPS) Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включенные сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с центром безопасности UserGate, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета. Proxy-сервер в составе UserGate NGFW использует технологию инспекции трафика без задержки скорости передачи.
Защита от DoS-атак и сетевого флуда Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счетчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу его заблокировать.
• 35
ТЕХНОЛОГИИ Защита от вирусов и угроз нулевого дня (Zero Day) Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого еще не написаны сигнатуры.
Защита веб-трафика и почты UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения, в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.
Контроль мобильных устройств UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring Your Own Device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.
Гостевой портал (Captive Portal) UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через е-mail или СМС, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим СМС/OTP.
Кластеризация UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме activeactive (распределение нагрузки на все устройства кластера одновременно).
Защита медицинского оборудования Новая версия UserGate NGFW также способна разбирать технологические промышленные протоколы, позволяя обнаружить атаки или подозрительные операции в сетях. Особенно это актуально для лечебно-профилактических и диагностических учреждений, в которых дорогостоящее медицинское оборудование зачастую располагается в одной локальной сети с рабочими местами медицинского персонала.
Программно-аппаратные комплексы UserGate NGFW Линейка программно-аппаратных комплексов UserGate NGFW рассчитана на то, чтобы покрыть потребности как небольшого филиала, так и крупной территориально распределенной медицинской организации или центра обработки данных. Вся многофункциональность сосредоточена в едином корпусе. Для выполнения требований по информационной безопасности нужно будет установить всего одно устройство. Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам. При этом производительность будет зависеть только от объема выделенных ресурсов, без дополнительных лицензионных ограничений. При необходимости возможно настроить облачный межсетевой экран UserGate as a Service (UGaaS). Такой вариант будет удобен при активном использовании в организации облачных информационных систем, нуждающихся в защите. Функционал UGaaS будет аналогичен версии on-premise.
Защита ЦОД Медицинские информационные системы, объединяющие один или несколько регионов, для своего размещения требуют значительных серверных мощностей. Их можно разместить только в оборудованном ЦОД. Но поток трафика может быть настолько большим, что обычному межсетевому экрану сложно будет его обрабатывать. В таком случае можно использовать высокопроизводительный межсетевой экран UserGate FG. Заявленная про-
изводительность одного устройства – до 80 Гбайт/с, с возможностью объединить устройства в кластер распределения нагрузки. Высокая скорость обработки достигнута благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. В UserGate FG также предусмотрены скоростные интерфейсы QSFP28 (100 Гбайт/с) и 10 Гбайт/с SFP.
UserGate Client Во многих инцидентах ИБ, происходивших с медорганизациями, точкой проникновения злоумышленников в сеть был компьютер пользователя. К примеру, Ascend Clinical была взломана после фишинговой атаки. И конечно, система защиты информации была бы неполной без решения, защищающего рабочее место. В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например шифровальщики или вредоносную активность легитимного ПО. Перечислим функции UserGate Client. 1. Защита рабочего места от сложных угроз. Специальный движок отслеживает происходящие на АРМ процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA). С компьютера также собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределенные по времени и инфраструктуре атаки. 2. Управление безопасностью АРМ. UserGate Client предоставляет возможность, обнаружив угрозу, немедленно на нее отреагировать: установить обновления безопасности, отключить сеть на потенциально зараженной машине. 3. Хостовый межсетевой экран. Блокировка нежелательных сетевых соединений на уровне рабочего места. 4. VPN-клиент. Для безопасной удаленной работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.
Таблица 1. Сравнение моделей UserGate NGFW C100
D200
D500
E1000
E3000
F8000
Производительность межсетевого экрана, Гбайт/с
До 2,0
До 18,0
До 20,0
До 25,0
До 40,0
До 60,0
Производительность межсетевого экрана с определением
До 1,9
До 15,0
До 18,7
До 24,0
До 32,0
До 40,0
приложений L7, Гбайт/с Производительность IPS, Гбайт/с
До 0,3
До 1,8
До 2,0
До 2,8
До 3,9
До 8,0
Контентная фильтрация, Гбайт/с
До 0,8
До 8,7
До 9,5
До 13,0
До 14,9
До 15,0
Инспектирование SSL, Гбайт/с
До 0,30
До 4,0
До 4,4
До 5,0
До 6,5
До 8,0
Одновременных TCP-сессий, млн
До 2
До 8
До 16
До 16
До 16
До 48
Рекомендованное количество пользователей
До 100
До 300
До 500
До 1 тыс.
До 3 тыс.
До 10 тыс.
36 •
www.itsec.ru
ЗАЩИТА СЕТЕЙ
Управление межсетевыми экранами Даже самое функциональное средство защиты информации может стать тяжким грузом и "дырой" в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких – в сети частных клиник или лабораторий сбора анализов. Для удобного централизованного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств. Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО. Возможности управления: 1. Создание областей безопасности. Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью. 2. Группы шаблонов безопасности. Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их. 3. Обновление ПО и библиотек. ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) могут быть загружены на UserGate Management Center и установлены на все устройства. 4. Мониторинг и управление питанием. Для подчиненных устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.
Мониторинг событий безопасности Для повышения уровня безопасности медорганизаций Минздрав России создает отраслевой центр системы реагирования на компьютерные атаки и инциденты информационной безопасности. При этом значительное место в этой системе уделяется именно регистрации событий безопасности и передаче их в этот центр. Если в сети медорганизации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой. После появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится полноценной SIEM-системой. Можно будет,
например, организовать в одном месте обработку событий безопасности для всех филиалов территориально распределенной медорганизции. Причем не только для устройств UserGate, планируется добавлять источники других производителей, уже сейчас возможен сбор по протоколу SNMP. Ее возможности: 1. Сбор и хранение журналов. UserGate Log Analyzer собирает события безопасности с устройств Usergate (по проприетарному протоколу) и с дру- Рис. 2. Инфраструктура сети медицинской организации гих устройств (по SNMP). Благодаря этому высвобождаютнамерено в ближайшие годы создать ся ресурсы конечных устройств и увеединые стандарты защиты информации личивается срок хранения данных собыв сфере здравоохранения, единую оргатий. Хранятся журнал событий (измененизационно-методическую политику реание настроек целевых серверов, обновлизации мер защиты информации. Будет ления и т.д), журнал веб-доступа польпроводиться регулярный контроль зователей, журнал трафика (срабатывыполнения организационных и технивания правил межсетевого экрана, NAT, ческих мер защиты информации. маршрутизации), журнал IPS, история Используя UserGate NGFW, медицинперехваченных поисковых запросов ские учреждения не только выполняют пользователей в поисковиках. требования регуляторов, но и получают 2. Анализ событий и автоматическое дополнительный функционал безопасреагирование. Поступающие журналы ности и фильтрации интернет-трафика, автоматически проверяются на соответвысокую производительность и удобство ствие встроенным правилам UserGate администрирования. Использование Log Analyzer, и при совпадении создается интернет-доступа пользователями, срабатывание. Когда генерируется сраустройствами и приложениями станобатывание, система может выполнить вится более прозрачным. действия, настроенные в правиле созПри наличии EDR-решения UserGate Client снижается вероятность проникнодания инцидента. Можно отправить e-mail вения в сеть вредоносной программы или СМС, создать правило на межсетеили шифровальщика. Большим подвом экране с задаваемыми параметрами спорьем в работе администратора ИБ или создать тикет в системе. станут Log Analyzer и Management Center, 3. Создание отчетов. В UserGate Log ускоряющие процессы управления Analyzer доступна фильтрация, сортиустройствами и анализа событий. ровка и группировка по журналам собыНет нужды лишний раз подчеркивать тий, веб-доступа, трафика, IPS. Отчеты новые вызовы, в противодействии котомогут предоставить подробный список рым сфера здравоохранения росла всех посещенных веб-сайтов, топ блопоследние два года. Кроме этого, глокируемых доменов, топ пользователей бальный тренд на заботу о своем здопо URL-категориям и по заблокированровье становится причиной открытия ным сайтам, топ заблокированных привсе большего количества лечебно-проложений, топ сработавших правил; топ филактических учреждений. Эти оргаIP-адресов источников атак, IP-адреса низации обрабатывают большие объемы целей атакующих, топ протоколов, информационных данных о здоровье используемых в атаках; используемые своих клиентов, а значит, должны их в организации устройства, топ сигнатур достойно защищать. l устройств. Можно настроить генерацию отчета по расписанию и отправку их по протоколу SNMP. Реклама NM
Заключение
Министерство здравоохранения России как отраслевой регулятор
АДРЕСА И ТЕЛЕФОНЫ USERGATE см. стр. 48
• 37
ТЕХНОЛОГИИ
Квантовый переход и безопасность блокчейнов Александр Подобных, эксперт КОСАтка, член АРСИБ
К
вантовые компьютеры – мощные машины, которые могут решать сложные уравнения гораздо быстрее, чем обычные. Эксперты полагают, что квантовые компьютеры способны взламывать системы шифрования за считанные минуты, в то время как обычным на это потребовалось бы несколько тысяч лет. Если эти предположения верны, то под угрозой находится большая часть современной инфраструктуры цифровой безопасности, включая криптографию, лежащую в основе биткоина и криптовалюты в целом.
измениться с развитием новых вычислительных систем, таких как квантовые компьютеры.
Асимметричная криптография Асимметричная криптография (также известная, как криптография с открытым ключом) – важнейший компонент в экосистеме криптовалюты и большей части инфраструктуры Интернета. В ней используется пара ключей для шифрования и дешифрования информации, а именно открытый (публичный) ключ для шифрования и закрытый (приватный) ключ для дешифрования. При этом криптография с симметричным ключом использует только один ключ для шифрования и дешифрования данных. Одно из основных преимуществ асимметричной криптографии – возможность обмена информацией без совместного использования общего ключа с помощью ненадежного канала связи. Без этой решающей особенности информационная безопасность в Интернете была бы невозможной. Например, сложно представить себе банковские онлайн-сервисы без безопасного шифрования информации сторон, у которых отсутствует доверие друг к другу. Некоторые аспекты безопасности асимметричной криптографии основаны на том, что алгоритм, генерирующий пару ключей, делает невероятно трудным вычисление приватного ключа из публичного, в то время как обратное вычисление является простым. В математике это называют односторонней функцией с потайным входом, поскольку произвести расчет чисел в одном направлении гораздо проще, чем в другом. Для решения таких функций не подходит ни один из современных компьютеров, поскольку даже для самых мощных устройств вычисление подходящего значения займет огромное количество времени. Тем не менее все может вскоре
38 •
Квантовые вычисления По оценкам, классической вычислительной системе понадобятся тысячелетия, чтобы подобрать соответствующий 55-битный ключ. При этом минимальный рекомендуемый размер ключа, используемого в биткоине, составляет 128 бит, а во многих других реализациях кошелька – 256 бит. Из этого следует, что классические вычислительные системы не представляют угрозы для асимметричного шифрования, используемого в криптовалюте и инфраструктуре Интернета. В классических компьютерах бит используется для отображения информации и может иметь два состояния: 0 или 1. Квантовые компьютеры работают с квантовыми битами, или кубитами. Кубит – это основная единица измерения информации в квантовом компьютере. Так же, как и бит, кубит может быть в двух состояниях. Однако благодаря особенностям квантово-механических явлений состояние кубита может быть как 0, так и 1 в одно и то же время. Это побудило многие университеты и частные компании начать вкладывать ресурсы в научные исследования и разработки такой новой и захватывающей области, как квантовые вычисления. Технология квантовых вычислений основана на абстрактной теории и практических инженерных задачах. В глобальном смысле ее появление – это достижение для всего человечества.
Риски и угрозы, связанные с квантовыми вычислениями К сожалению, побочным эффектом таких квантовых компьютеров будет то, что алгоритмы, лежащие в основе асимметричной криптографии, станут простыми для решения, таким образом фун-
даментально разрушая системы, которые полагаются на данный тип шифрования. Рассмотрим пример взлома 4-битного ключа. Теоретически 4-кубитный компьютер может принимать все 16 состояний (комбинаций) одновременно в рамках одной вычислительной задачи. Вероятность нахождения правильного ключа составит 100% при выполнении этих вычислений. Появление технологии квантовых вычислений может подорвать принцип работы криптографии, который лежит в основе большей части современной цифровой инфраструктуры, включая криптовалюты. Это поставит под угрозу безопасность и коммуникацию всего мира, от правительств и транснациональных корпораций до отдельных пользователей. Неудивительно, что значительный объем исследований направлен на изучение и разработку мер защиты. Криптографические алгоритмы, которые защищены от угрозы квантовых компьютеров, известны как квантово-устойчивые алгоритмы. На базовом уровне предполагается, что риск, связанный с квантовыми компьютерами, можно уменьшить с помощью криптографии с симметричным ключом путем простого увеличения длины ключа. Эта область криптографии была ограничена криптографией с асимметричным ключом в связи с проблемой использования общего секретного ключа через открытый канал. Проблема c безопасным обменом общего ключа через открытый канал может найти решение в квантовой криптографии. В настоящее время многие криптографы делают успехи в разработке контрмер против перехвата информации. Прослушка на общем канале может быть обнаружена с помощью применения тех же принципов, которые необходимы для разработки квантовых компьютеров. Это позволило бы полу-
www.itsec.ru
КРИПТОГРАФИЯ
чать информацию о том, был ли используемый симметричный ключ ранее прочитан или подделан третьей стороной. Существуют и другие направления исследований, проводимых для защиты от возможных квантовых атак. Они могут включать базовые решения, такие как хеширование, для формирования сообщений большого размера или другие методы, например криптографию, основанную на решетках. Эти исследования направлены на создание типов шифрования, которые будут недосягаемы для квантовых компьютеров. Для майнинга биткоинов также используется криптография. Майнеры конкурируют в решении криптографической головоломки в обмен на вознаграждение за блок. Если хотя бы один майнер получил бы доступ к квантовому компьютеру, он смог бы захватить всю сеть. Это уменьшило бы децентрализацию сети и подвергло ее атаке.. Данная технология не представляет прямой угрозы для блокчейна. Интегральные схемы специального назначения (ASIC) могут снизить эффективность такой атаки, по крайней мере, в ближайшем будущем. Кроме того, если несколько других майнеров также будут иметь доступ к квантовому компьютеру, то риск атаки значительно снизится. Развитие квантовых вычислений, а также связанная с этим угроза для современных реализаций асимметричного шифрования, похоже, остается лишь вопросом времени.
Защита от угроз, связанных с квантовыми компьютерами Учитывая потенциальную угрозу для информационной безопасности, разумно начать разрабатывать способы защиты от возможной атаки в будущем. К счастью, в настоящее время проводится много исследований, по результатам которых могут быть развернуты новые решения в существующих типах систем. Эти решения позволят защитить критически важную инфраструктуру от будущей угрозы со стороны квантовых компьютеров. Квантово-устойчивые стандарты могут быть распространены среди сообщества таким же образом, как и сквозное шифрование, с помощью популярных браузеров и приложений для обмена сообщениями. Как только эти стандарты будут доработаны, экосистема криптовалют сможет относительно легко интегрировать максимально возможную защиту против таких векторов атаки1. Ученые приближаются к тому, чтобы сделать возможным сверхбезопасный и сверхбыстрый квантовый Интернет: теперь они могут "телепортировать" квантовую информацию с высокой точностью на общее расстояние в 44 км. 1 2
Квантовый Интернет В начале января 2021 г. ученые из Национальной ускорительной лаборатории Fermi – национальной лаборатории Министерства энергетики США, связанной с Чикагским университетом, – вместе с партнерами из пяти учреждений сделали значительный шаг в направлении реализации квантового Интернета. Исследователям удалось передать квантовое состояние на 44 км с точностью более 90% по волоконно-оптическим сетям, аналогичным тем, что составляют основу существующего Интернета. Они в восторге от этих результатов. Это ключевое достижение на пути к созданию технологии, которая переопределит развитие глобальной коммуникации. И точность передачи данных, и расстояние передачи имеют решающее значение, когда речь заходит о создании реального, работающего квантового Интернета. Достижение прогресса в любом из этих направлений является поводом для ликования2.
Quantum Key Distribution 18 февраля 2022 г. JPMorgan представил решение для защиты блокчейна от квантовых вычислений. Финансовый конгломерат совместно с корпорацией Toshiba и телекоммуникационной компанией Ciena разработали прототип решения, позволяющего защитить критически важные узлы блокчейн-инфраструктуры от квантовых вычислений. Речь идет о технологии квантового распределения ключей (Quantum Key Distribution, QKD). Это метод передачи ключа, который использует квантовые явления для гарантии безопасной связи. Согласно пресс-релизу, разработанное сторонами решение устойчиво к атакам квантовых вычислений и способно обеспечить скорость передачи данных до 800 Гбит/с. QKD-сеть в виде оптического канала была развернута
поверх корпоративного блокчейна Liink. Стороны утверждают, что в настоящий момент QKD является единственным решением, которое, как математически доказано, позволяет защититься от потенциальных атак на основе квантовых вычислений.
Квантовый блокчейн Однако уже 2–3 года в Санкт-Петербурге в ЛЭТИ также разрабатывают квантовый блокчейн. Как минимум квантовое распределение ключей там уже давно протестировано и используется.
Квантовое шифрование Более того, с 2015 г. OOO "КуРэйт" развивает и внедряет технологии квантового шифрования в инфраструктуры крупнейших российских организаций. Инновационность решений базируется на фундаментальных законах физики. QRate уже сегодня создает инструменты, способные противостоять новым типам атак на критическую инфраструктуру и данные. Компания является резидентом "Сколково" с 2015 г., она также член консорциума НТИ "Квантовые коммуникации" и стратегический партнер НИТУ "МИСиС" с 2018 г. В условиях современной цифровой трансформации можно сказать, что рынок "ожидает" первой хакерской атаки с использованием мощного квантового компьютера, перед которым уязвимы практически все известные алгоритмы шифрования. А значит, под угрозу попадут и критическая инфраструктура, и цифровая экономика, и другие стратегически важные направления. Поэтому в выигрыше останутся те, кто раньше других включил квантовые коммуникации в стратегии информационной безопасности. Например, в 2017 г. наша команда создала первый в мире квантово-защищенный блокчейн (впоследствии он был развернут в Газпромбанке). А недавно совместно с Университетом Иннополис
https://academy.binance.com/ru/articles/quantum-computers-and-cryptocurrencies – Криптовалюта и квантовые компьютеры. https://www.securitylab.ru/news/515254.php – Ученые осуществили квантовую телепортацию на 44 км.
• 39
ТЕХНОЛОГИИ и компанией QRate мы провели демонстрацию квантово-защищенного беспилотного автомобиля. Это важный результат, так как временные горизонты массового появления беспилотников на дорогах совпадают с темпами развития квантовых компьютеров. Поэтому необходимо уже сегодня учитывать квантовую криптографию в тех технических решениях, которые через 5–7 лет будут применяться масштабно. Уже сегодня доступны следующие категории решений: 1. QRate QKD312 – высокоскоростное квантовое распределение ключей. Оборудование использует метод передачи ключей шифрования, основанный на принципах квантовой физики. Установка передает секретный ключ на расстояние до 120 км в заданный период времени, с исключением риска перехвата. Оборудование квантового распределения ключей устанавливается поверх существующей инфраструктуры и работает совместно с предустановленными средствами криптографической защиты информации. 2. QRate Chaos – квантовый генератор случайных чисел. Главное назначение квантового генератора случайных чисел – выдача последовательности числовых данных, в которых текущее число не имеет никакой корреляции с предыдущими значениями. Случайные числа играют важную роль в жизни современного общества. Прежде всего случайность является неотъемлемой составляющей современных криптографических систем, включающих мобильную связь, безналичные платежи, электронную почту, интернет-банкинг и другие. Огромное значение случайность также играет в различных областях науки и техники, которым внедрение стохастических методов дало мощный импульс развития. 3. QRate Lab – учебная квантовая лаборатория. QRate Lab – это комплексный подход к организации учебной квантовой лаборатории. С ее помощью организации и университеты могут самостоятельно заниматься подготовкой специалистов в области квантовых коммуникаций. Лаборатория оснащена передовым оборудованием, созданным специально для этих задач. Она включает в себя аппаратный научнообразовательный комплекс, программное обеспечение и методические материалы. 4. Другое электронное оборудование. Компания QRate осуществляет поставку различного электронного оборудования для систем фотоники, квантовых систем, систем распределения квантового ключа, научно-образовательных комплексов и других решений3.
Постквантовая криптография На российском и международном рынке доступны и решения с постквантовой криптографией, например решения квантово-устойчивой кибербезопасности для блокчейн-экономики, от QApp. Объем данных стремительно растет, а их ценность увеличивается; более 40% данных блокчейн-проектов нуждаются в усиленной защите; криптографическая защита требует наибольшего внимания; квантовые компьютеры представляют реальную угрозу безопасности блокчейн-проектов. Новые поколения вычислительных устройств – квантовые компьютеры – за счет принципиально другой схемотехники и логики работы смогут взломать существующие методы защиты информации. В горизонте нескольких лет полностью небезопасными становятся многие традиционные алгоритмы криптографии: l распределение ключей (ECDH, DH); l асимметричное шифрование (RSA); l электронная подпись (ECDSA, DSA, ГОСТ Р 34.10–2012). Весь мир уже вовлечен в "квантовую гонку". ИТ-гиганты инвестируют сотни миллионов долларов в разработку квантовых компьютеров. Уже сейчас некоторые решения доступны для продажи или через облачный доступ. Международный институт сертификации NIST активно проводит глобальную программу оценки качества квантово-безопасных алгоритмов. Данные с горизонтом хранения в пять и более лет защищать нужно уже сейчас: злоумышленник может сохранить их и расшифровать с появлением у него доступа к квантовому компьютеру. Компания QApp уже сегодня предоставляет комплексные решения квантово-устойчивой кибербезопасности для проектов блокчейн-экономики. Их программные продукты реализованы на основе алгоритмов постквантовой криптографии. Каждое из решений позволяет защитить данные пользователей от атак с использованием квантовых компьютеров. Криптография внутри решений основана на математических алгоритмах, непосильных и для классических, и для квантовых компьютеров. Они предлагают решения как для распределения ключей, так и для электронно-цифровой подписи, а также для инфраструктурных проектов и конечных продуктов блокчейн-экономики. Постквантовые решения не требуют покупки нового дорогостоящего оборудования, как в случае использования квантовой криптографии. Взлом любого из компонентов блокчейн-инфраструктуры неминуемо ведет к компрометации информации, поэтому
все компоненты на различных уровнях должны быть защищены: l блокчейн-инфраструктура (VPN для нод, квантово-устойчивая аутентификация для нод); l блокчейн, кошельки (квантово-устойчивый блокчейн, реализация постквантовой подписи для транзакций); l смарт-контракты (квантово-устойчивые подписи для смарт-контрактов); l интерфейсы доступа к данным, онлайн-кошельки (квантово-безопасный доступ к данным, защита мобильного доступа, расширение для браузеров, защита десктоп-приложений). Внутри решений QApp – PQLR SDK (уникальная библиотека квантово-устойчивых алгоритмов компании QАpp). Реализована также поддержка различных платформ и портируемость: интеграция в OpenSSL (TLS 1.3, KEM, ЭЦП), поддержка российской хеш-функции ГОСТ Р34.11–2012, регулярные обновления и простота интеграции. Внутри библиотеки собраны актуальные квантово-устойчивые алгоритмы. Осуществляется регулярное тестирование самых перспективных алгоритмов и добавление их в библиотеку, параллельно ведутся работы над упрощением процесса интеграции. Оптимизируется каждый добавляемый квантово-устойчивый алгоритм без потери надежности. На сегодня доступны следующие продукты: 1. Qtunnel – передовая защита от квантовой угрозы. Программное решение для создания с клиентами квантово-устойчивого канала передачи данных или в рамках инфраструктуры бизнеса. 2. PQStor – решение для квантовоустойчивого шифрования end-to-end файлов и папок. Пользователь сам выбирает место хранения файлов: локальный компьютер, внешние устройства хранения данных или публичные облака. 3. TAF v2.1 – фреймворк для детектирования атак по времени в криптографических продуктах. Повышение защищенности программно-аппаратных решений. Компания QApp оказывает полный спектр консультационных услуг по квантово-устойчивым решениям кибербезопасности для компаний блокчейн-экономики: l комплексный аудит кибербезопасности; l бенчмаркинг решений квантово-устойчивой кибербезопасности; l подготовка аналитических заключений и разработка стратегии внедрения квантово-устойчивой кибербезопасности; l проведение образовательных воркшопов по квантовым технологиям4.
3 https://goqrate.com/articles/nauchnyy-vzglyad/kak-kvant-menyaet-sovremennyy-mir-k-luchshemu/ – Как квант меняет современный мир к лучшему. 4 https://qapp.tech/pqlr/cases/blockchain – Квантовые блокчейны – решения QAPP для блокчейн-экономики.
40 •
www.itsec.ru
КРИПТОГРАФИЯ
В обозримом будущем наступит Q-day – день, когда большинство современных методов защиты информации станут бесполезны. Квантовые компьютеры смогут чуть ли не моментально подбирать ключи шифрования для популярных криптографических протоколов, а значит, любые данные станут доступны. Уже сейчас высчитывают, какая мощь нужна для взлома алгоритма шифрования биткоина – и хоть таких не будет еще долго, некоторые системы шифрования уязвимы уже сейчас.
Криптография на основе эллиптических кривых В 2018 г. Инженерная рабочая группа Интернета (IETF), виртуальная организация, которая руководит принятием стандартов безопасности в глобальном масштабе, одобрила другую систему с открытым ключом для замены существующей. Эта система называется криптографией на основе эллиптических кривых, она основана на вычислении n-й степени целого числа, которое связано с точкой на кривой. В этом случае только одна сторона знает число n, которое является секретным ключом. Вычислить экспоненту числа легко, но сложно определить, чему равно n. Этот метод безопаснее, чем RSA, и к тому же быстрее. Еще в 1994 г. математик из Массачусетского технологического института (MIT) Питер Шор показал, что квантовый компьютер должен иметь возможность раскладывать большие числа на простые намного быстрее, чем классический компьютер. Один из шагов квантового алгоритма Шора также может эффективно взломать ключ на эллиптической кривой. То есть все существующие распространенные системы криптографии бессильны перед квантовым компьютером, и об этом давно известно. Более того, машины, которых еще не существует, угрожают не только будущим коммуникациям, но и нашим нынешним и прошлым. Злоумышленники уже сейчас способны накапливать зашифрованные данные, которые затем смогут разблокировать, как только квантовые компьютеры станут доступны. То есть почти все, что происходило в Интернете до сегодняшнего дня, возможно будет узнать. Какой из новых алгоритмов станет стандартным, может в значительной степени зависеть от решения, которое вскоре будет объявлено Национальным институтом стандартов и технологий США (NIST). В ближайшие несколько месяцев NIST выберет два алгоритмафиналиста, затем начнет разрабатывать
стандарты для одного, а другой сохранит в качестве резерва на случай, если первый вариант окажется взломанным в результате неожиданной атаки, квантовой или иной.
Квантовая и постквантовая криптография Есть два принципиально новых подхода: квантовая и постквантовая криптография. Первая строится на квантовом распределении ключей, когда биты информации кодируются в одиночные частицы (фотоны). В этом случае легко определить вмешательство злоумышленников по числу ошибок при передаче данных. Если оно не превышает определенный порог, можно сократить ключи таким образом, чтобы информация перехватчика о сокращенных ключах была недостаточной, – это называется "усиление секретности". В таком случае даже при наличии квантового компьютера злоумышленник не сможет получить доступ к информации. Впрочем, у этого метода есть существенные недостатки: чем больше расстояние, на которое передаются фотоны, тем больше частиц теряются из-за шумов и декогеренции, таким образом снижая пропускную способность, используемую для формирования секретного ключа. Кроме того, все же остается опасность наличия уязвимостей. Постквантовая криптография построена на идее создания новых алгоритмов, в которых применяются более сложные математические задачи, чем разложение простых чисел, при решении которых квантовый компьютер не будет иметь существенных преимуществ. Постквантовая криптография хороша тем, что ее можно легко и быстро интегрировать. Из минусов – секретность постквантовой криптографии все еще основыва-
5 https://tjournal.ru/tech/530101-kvantovye-kompyutery-smogut-vzlomat-pochti-vsekak-inzhenery-gotovyatsya-k-q-day-i-zashchishchayut-sistemy-shifrovaniya – Квантовые компьютеры смогут взломать почти все. Как инженеры готовятся к Q-Day и защищают системы шифрования.
ется на некоторых предположениях о сложности решения определенных классов математических задач. А значит, есть вероятность того, что появится "постквантовый" компьютер, который легко разгадает и постквантовые алгоритмы. В любом случае первоначальные реализации будут гибридными, с использованием постквантовой технологии для дополнительной безопасности поверх существующих систем. Если все пойдет по плану, к тому времени, когда вычислительная техника войдет в свою квантовую эру, Интернет уже будет в постквантовой эре. Тогда для взлома криптосистем квантовым компьютерам потребуется примерно в тысячу раз больше вычислительных компонентов (кубитов), чем сейчас. По оценкам исследователей, полный переход всех технологий на квантовоустойчивые займет как минимум пять лет. Но и в этом случае, когда наступит день Q-day, множество устройств и технологий останутся уязвимыми5. За период с 2021 г. по настоящее время технологии блокчейн и квантовой криптографии находятся на волне популярности. Большое количество стандартов ИСО находятся в разработке, в том числе: l ISO/IEC CD 4879 Информационная технология. Квантовые компьютеры. Словарь и терминология; l ISO/IEC CD 23837-1.2 (и 2.2) Информационные технологии. Методы обеспечения безопасности. Требования безопасности. Методы тестирования и оценки квантового распределения ключей. Требования и методы оценки и тестирования; l и другие, связанные с квантово-безопасной криптографией и постквантовой криптографией. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 41
ТЕХНОЛОГИИ
Авторизация в платежных системах: проблемы безопасности, которые предстоит решить Федор Музалевский, директор технического департамента RTM Group
В Для начала обратим внимание на проблемы информационной безопасности, которые предстоит решить. Первым важным этапом в сфере автоматизации по биометрическим данным стало создание в 2010 г. Единой системы идентификации и аутентификации (ЕСИА). Ее разрабатывали для упорядочивания и централизации процессов идентификации, аутентификации и авторизации при предоставлении государственных и муниципальных услуг в электронной форме. Результат мы можем видеть, в частности, на платформе "Госуслуги", при помощи которой граждане России запрашивают и получают различные сервисы, не покидая собственной квартиры: подают заявление на новый паспорт, записываются на вакцинацию, узнают график работы районных отделений и т.д. Первоначальный функционал был ограничен, но система развивается и по сей день. Следующим важным шагом в этом направлении стало начало работы Банка России и компании "Ростелеком" в 2017 г. над Единой биометрической системой (ЕБС). Ее возможности позволяют дистанционно получать банковские услуги, но функционирует она в тесной взаимосвязи с ЕСИА. Через год после запуска ЕБС к ней планировали присоединиться более 400 банков, но появился ряд проблем, замедливших данный процесс. Однако пандемия и возникший спрос на удаленное предоставление финансовых услуг придали ему значительное ускорение. Если до 2020 г. случаи открытия счетов с помощью удаленной идентификации были единичными, то сегодня таким способом ежемесячно открывается уже около 40–50 счетов.
42 •
ласти России уже несколько лет занимаются созданием и развитием систем авторизации по биометрическим признакам для упрощения процессов взаимодействия с гражданами при обработке документов. Были предприняты разные важные шаги в данном направлении, о которых я расскажу далее.
Минцифры России в середине осени 2021 г. подписало приказ № 930, в котором был обозначен порядок сбора биометрических данных, а также определены правила их обработки и хранения. Кроме того, в этот документ включили требования к информационным системам, взаимодействующим с биометрическими данными. В конце 2021 г. был принят закон о внесении изменений в 149-ФЗ "Об информации, информационных технологиях и о защите информации", согласно которому ЕБС получила статус Государственной информационной системы (далее – ГИС). Теперь граждане могут самостоятельно размещать свои персональные биометрические данные на платформе, возможности которой будут значительно расширены. Важно не забывать, что с каждым новым шагом в данном направлении появляются и новые угрозы безопасности. Необходимо принимать их во внимание, чтобы система приносила только пользу, не причиняя вреда.
Возможности применения ЕБС В России для идентификации граждан по биометрическим данным используются голос и изображение лица. С помощью специальных устройств эти данные записываются в базу и преобразуются в цифровой код. Далее при прохождении процедуры идентификации система сравнивает код, полученный в настоящий момент, с кодом, записанным ранее. Если они совпадают, то происходит подтверждение личности. Все данные хранятся в зашифрованном виде. Изначально ЕБС предназначалась для осуществления ряда банковских операций, включая открытие счета, оформление кредита и т.д. Постепенно варианты использования расширились, среди них уже есть такие возможности, как заключение различных договоров, поступление в вузы и оказание нотариальных услуг. Важным шагом стало включение в перечень услуг оплаты товаров и услуг в онлайн- и офлайнмагазинах при помощи биометрии.
Например, в сети магазинов "Перекресток" весной 2021 г. появилась возможность оплаты покупок "взглядом". СберБанк совместно с компанией X5 Retail Group и платежной системой Visa запустили этот функционал на кассах самообслуживания. Эта технология работает на основе собственной базы биометрических данных Сбербанка. Для использования этой системы клиентам, которые ранее сдали свои биометрические данные, необходимо посмотреть в камеру на кассе самообслуживания, и оплата будет произведена. В Московском метрополитене в середине октября 2021 г. была запущена система оплаты проезда при помощи распознавания лица Face Pay. Система охватила более 240 станций метро. Чтобы воспользоваться данной технологией, пользователям необходимо "привязать" свою фотографию в анфас, сделанную при хорошем освещении, а также банковскую карту и проездной "Тройка" в приложении "Метро Москвы". В метро пассажирам необходимо проходить через специально обозначенные турникеты на станциях. Достаточно лишь одного взгляда в камеру, расположенную у турникета, и оплата за поездку спишется автоматически.
Безопасность при использовании биометрии Безопасное использование биометрии беспокоит не только потребителей финансовых услуг, но и представителей банковского сегмента. В отличие от других методов удаленной идентификации биометрия представляет собой некий уникальный "ключ", который пользователь не может потерять, а мошеннику крайне сложно его подделать. Нужно сказать, что сегодня платформа весьма неплохо защищена. ЕБС распознает данные с точностью до 10-7 – это значит, что система может ошибочно идентифицировать только одного человека на 10 млн. Использование дополнительной связки со стандартными средствами идентификации, с логином и паролем ЕСИА делает прак-
www.itsec.ru
КОНТРОЛЬ ДОСТУПА
тически невозможной вероятность обмана биометрических алгоритмов. Сегодня, помимо голоса, для идентификации используются фотографии лица. Биометрические данные пользователей хранятся в системе в виде зашифрованных ключей, которые невозможно расшифровать в исходную фотографию, что обеспечивает безопасное использование системы. Но здесь есть ряд проблем, с которыми придется столкнуться, как только будет запущена оплата по биопризнакам. Пока совершенно непонятно, как противостоять волне дипфейков (подделок аудио и видео), которая непременно возникнет, как только будет запущена в массовом режиме оплата с авторизацией по голосу и фото. Простая ситуация: смоделировав запись голоса жертвы, мошенники звонят в банк и просят оформить кредит. Затем посредством различных манипуляций переводят средства с кредитного счета жертвы на свой счет. Конечно, алгоритмы распознавания фейковых записей могут помочь, но выбор средств пока не очень широк и представлен сертифицированными инструментами ФСБ. Однако когда мошенники вплотную займутся этой темой, если не предпринять серьезных мер, победа будет за ними. Поэтому всем, кто захочет использовать сервисы биометрии, необходимо сразу проявлять бдительность: не переводить большие суммы и ограничивать верхнюю планку сумм для единовременного перевода; постоянно следить за тем, не возникают ли новые способы обмана граждан, чтобы не только самим быть во всеоружии перед киберпреступниками, но и готовить к этому близких. В середине декабря 2021 г. Центральный Банк РФ опубликовал указание № 6017-У1, в котором отражен перечень угроз безопасности информации, циркулирующей в процессе взаимодействия финансовых организаций с ЕБС. Данный документ показывает вектор развития государственного комплекса мер защиты биометрии, который должны выстроить компании, подпадающие под действие данного документа. Пользователям нужно заботиться об актуальности биометрических данных. Рекомендуется пересдавать их не реже одного раза в три года. В случае если пользователь перенес травму или хирургическое вмешательство, изменившее его внешность, необходимо сделать это досрочно. Для обеспечения безопасности стоит обратить внимание на то, в каких условиях происходит сдача биометрических данных. Важными пунктами с этой точки зрения являются участок сбора и участок передачи в ЕСИА. На участке сбора биометрии необходимо: 1
l удостовериться, что помещение защищено от прослушки и записи (неправомерного сбора звуковой информации), которую можно будет применить для прохождения авторизации по голосу; l убедиться, что сбор биометрии происходит в отдельном помещении, где осуществляется контроль физического доступа во избежание проникновения посторонних лиц; l со стороны организации – реализовать систему контроля логического доступа для ее сотрудников, которые осуществляют сбор биометрии, а также обеспечить применение средств защиты информации, включая антивирусные средства, на устройствах, с помощью которых собирается биометрия; l и важно, чтобы на местах периодически проводились мероприятия по контролю применяемых мер защиты биометрии. На участке передачи биометрии в ЕСИА необходимо: l реализовать контроль неизменности собранной и направляемой в ЕСИА информации; l обеспечить построение защищенного соединения при передаче по сети "Интернет".
Дальнейшие перспективы развития и новые вызовы ИБ Согласно исследованиям консалтинговой компании J’son & Partners Consulting, объем мирового рынка биометрических услуг к концу 2022 г. увеличится более чем на $40 млрд. В России уже сейчас он оценивается более чем в $250 млн. По мнению специалистов, применение биометрии во всем мире будет становиться все более массовым и всеобъемлющим. Особенно это затронет сегмент лицевой биометрии. В этот сектор приходят большие инвестиции, значит, здесь появится все больше сервисов и решений. И конечно, сюда активно пойдут киберпреступники, от которых в ближайшее время стоит ожидать появления новых схем мошенничества. Одна из самых мощных опасностей, которая может заявить о себе уже в
https://www.garant.ru/products/ipo/prime/doc/403445912/
этом году, – это кража цифровой личности. Благодаря тому, что сегодня в государственной системе уже есть множество данных о миллионах людей, скоро можно будет объединять их в виртуальные профили. Единая система авторизации госуслуг уже сейчас позволяет проявлять активность, не выходя на улицу. Но когда к ней подключатся и другие платформы, в которых больше данных (биометрических, финансовых, кредитных и т.д.), цифровыми профилями станет гораздо активнее интересоваться киберпреступный мир. Что значит украсть цифровую личность? Это значит завладеть всеми ее основными элементами, включая данные об адресе, паспорте, семейном положении, кредитах, СНИЛС, фото, цифровой подписи. К краже личности преступники будут подходить многоступенчато. Здесь и покупка персональных данных в базах Интернета, и дипфейки, и случайно переданный пароль. От имени чужой личности можно делать много чего: не только голосовать на выборах и авторизовываться в корпоративных системах, но и совершать подозрительные сделки, банковские переводы, а также противоправные действия. Уже сейчас преступники пользуются отдельными устройствами, включая их в бот-сеть для DDoSатак, а хозяева и не знают об этом. Или пользуются данными некоторых ИП в качестве дропов. Ну а теперь мошенники перейдут на новый уровень и станут совершать преступления от имени чужих цифровых личностей. Доказать свою непричастность к преступлениям "оригинальным" владельцам будет очень непросто. Бороться с такими киберпреступниками возможно только масштабно, на уровне государства. Однако готовиться к этому надо уже сейчас. Ведь в ближайшем обозримом будущем биометрия будет свободно применяться во всех сферах человеческой жизнедеятельности и станет незаметным для потребителя практичным повседневным явлением. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 43
ТЕХНОЛОГИИ
Российское решение композиционного анализа программного обеспечения CodeScoring официально добавлено в реестр российского ПО Современная разработка ИТ-продуктов активно применяет программные компоненты с открытым исходным кодом (OSS, Open Source Software). Практически всегда таких компонентов на порядок больше, чем проприетарных. Использование OSS дает значимое ускорение разработки, но при этом его бесконтрольное использование увеличивает риски для безопасности. Для управления этими рисками применяются решения класса композиционного анализа ПО (SCA, Software Composition Analysis), которые автоматически определяют используемые OSS-зависимости, показывают найденные в них уязвимости и предоставляют информацию об их устранении. Продукт CodeScoring повышает безопасность использования Open Source на всех этапах обеспечения жизненного цикла разработки программного обеспечения. База знаний CodeScoring содержит собираемый из крупнейших репозиториев реестр компонентов, который регулярно обогащается данными об имеющихся в них уязвимостях и лицензиях, получаемых из различных источников. CodeScoring поддерживает ключевые OSS-экосистемы популярных языков программирова-
ния, такие как Maven, PyPi, NPM, RubyGems и др. CodeScoring является фундаментом безопасной разработки. l Автообнаружение зависимостей – анализ состава кода, автоматическое нахождение файлов манифестов пакетных менеджеров, выявление прямых и транзитивных зависимостей открытого программного обеспечения (OSS). l Ведение реестра компонентов программных проектов (SBoM). l Проверка совместимости лицензий Open Source – выявление лицензий для обнаруженных OSS-зависимостей и проверка их совместимости друг с другом на основании интегрированных политик. l Выявление уязвимых компонентов Open Source в программных проектах на основании актуальной информации из авторитетных источников NVD NIST и GitHub Advisories. l Предоставление полной информации об уязвимостях, включая имеющиеся рекомендации по их устранению. l Отслеживание новых уязвимостей и изменения лицензионных соглашений в контролируемых программных проектах. l Реализация собственных политик применения открытых программных компонентов.
l Интеграции в жизненный цикл разработки программного обеспечения (SDLC). CodeScoring работает с наиболее распространенными репозиториями кода: GitHub, GitLab, BitBucket и Azure DevOps. Для полноценной работы в CI-/CD-пайплайне реализованы API и возможность интеграции через консольного агента. Решение CodeScoring основано на многолетнем опыте компании Profiscope в сфере анализа исходных кодов с использованием собственных средств автоматизированного технического аудита ПО. Компания проводит профильную конференцию Code Mining в крупнейшем международном сообществе OpenDataScience; с 2021 г. ведет первый в России курс по лицензированию открытого программного обеспечения. l
Solar appScreener выявляет уязвимости и НДВ в проектах Open Source Статический анализатор кода Solar appScreener компании "РостелекомСолар" выявляет уязвимости и недекларированные возможности (НДВ) в проектах Open Source – свободно распространяемых программах, а также компонентах и библиотеках, которые используют разработчики для создания своих проектов. По итогам сканирования инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомендации по их устранению. Для снижения числа ложных срабатываний (False Positive) и пропуска уязвимостей (False Negative) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики. По данным масштабного исследования Red Hat, из 950 опрошенных ИТ-руководителей 95% отмечают значение Open Source для программной инфраструктуры их предприятий как стратегическое. В России, по прогнозам Accenture и фонда "Сколково", Open Source будут
44 •
использовать более 90% компаний к 2026 г. Учитывая уход иностранных вендоров ПО с российского рынка, востребованность Open Source и его проникновение в ландшафт инфраструктуры предприятий в 2022 г. возрастет резко и многократно. Опасность использования решений Open Source в том, что они развиваются силами небезразличных участников отрасли, которые тем не менее не гарантируют защищенности разрабатываемого или дополняемого ПО. Ранее аналитики "Ростелеком-Солар" отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости. Чтобы убедиться в том, какую угрозу несут уязвимости в Open Source, достаточно вспомнить историю с Apache Log4j – библиотекой, которая используется миллионами корпоративных приложений и Java-серверами. Уязвимости в ней позволяли злоумышленникам с легкостью выполнить произвольный код
на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу. В условиях, когда решения Open Source могут представлять большую опасность, анализ защищенности свободно распространяемых библиотек и приложений становится обязательным условием их использования. Поскольку Open Source развивается широким ИТсообществом, не исключена ситуация, когда под видом улучшения злоумышленники могут сами добавить в ту или иную библиотеку элемент кода с уязвимостью. l
All-over-ip 4/5/22 8:17 PM Page 45
а м р о ф т а л п ая т н а д м и р р о б н ф и й г й а о л я в н а и н о | ж | ря я мощ б р а б к я е о д н 8 16 я 5 р 1 б я о 17 н
ИИ Ц А А Р М Р Э О Ф Я С Н А А Р В НИОФРОВОй Т
www.all-over-ip.ru
2 2 20
Реклама
Ц
ЦИФРОВЫЕ ЭКОСИСТЕМЫ | EDGE AI + VISION | SMART HOME | SMART BUILDING | АКАДЕМИЯ СКУД | БИОМЕТРИЯ И DIGITAL ID | МАШИННОЕ ЗРЕНИЕ | PSIM-СИСТЕМЫ | INTELLIGENT VIDEO | ЦОД И ДАТА-ЦЕНТРЫ | УМНАЯ ЛОГИСТИКА | ИННОВАЦИИ ДЛЯ E-COMMERCE | РОБОТИЗАЦИЯ И АССИСТЕНТЫ ДЛЯ БИЗНЕСА | ОБЛАЧНЫЕ РЕШЕНИЯ | КИБЕРБЕЗОПАСНОСТЬ ЦИФРОВОГО ПРЕДПРИЯТИЯ
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
НОВЫЕ ПРОДУКТЫ TrapX DeceptionGrid
Производитель: TrapX Security Назначение: маскирует реальные активы ловушками, заставляя злоумышленника ошибаться Особенности: заполняет слепые зоны существующих систем ИБ в концепции многоуровневой кибербезопасности, обеспечивая покрытие всего ИТ-пространства компании и возможность развертывания активной защиты Возможности: автоматически устанавливаемые ловушки значительно снижают риск для реальных активов. Одна ловушка снижает вероятность негативного воздействия на 50%, две ловушки на 66% и т.д. l Широкие возможности интеграций на единой платформе l Встроенный бенчмарк состояния активной защиты (ADS) l Быстрая, простая, или полностью настраиваемая установка решения l Интеграция с матрицами MITRE ATT&CK l Функционирование без вмешательства в работу систем компании Характеристики: l Искусственные пользователи l Отслеживание хакеров l Пользовательские ловушки l Улучшенная защита контроллеров ROCKWELL/SIEMENS SCADA Ориентировочная цена: по запросу Время появления на российском рынке: 2022 г. Подробная информация: fortis.ru/trapx/ Фирма, предоставившая информацию: FORTIS См. стр. 14–17
Xello Deception 4.8
Производитель: ООО "Кселло" Назначение: платформа для предотвращения кибератак с помощью технологии обмана Особенности: технология создает приманки и ловушки в виде учетных данных пользователей, серверов, сервисов и сайтов, активно заманивая атакующего в плотную сеть ложных данных. Решение действует после того, как традиционные
46 •
средства защиты корпоративной сети пройдены, но раньше, чем злоумышленники причинили вред компании Возможности: l Модуль Xello Endpoint Deception для сбора форензики безагентским способом и распространения приманок, превращения реальных хостов в сеть приманок и ловушек l Модуль FullOS TRAP, сервер-ловушка с полным доступом к операционной системе, позволяет полностью копировать реальные производственные серверы и превращать их в серверы-ловушки l Модуль Xello Management Center для автоматизации и управления всем ложным слоем через единый сервер; интеграция со смежными системами – Active Directory, DNS, SIEM, е-mail и т.д. l Модуль Event Collector для сбора и обработки событий со всех источников платформы и смежных систем для моментального реагирования на инцидент Ориентировочная цена: по запросу Время появления на российском рынке: I квартал 2022 г. Подробная информация: xello.ru/solution Фирма, предоставившая информацию: ООО "Кселло"
AVSOFT LOKI
Производитель: АВ Софт Назначение: система класса Deception для защиты инфраструктуры Особенности: система LOKI имитирует ИТ-инфраструктуру организации для инициализации взаимодействия с атакой киберпреступника, сбора информации о ней и проверки ее артефактов Возможности: l Микросегментация ИТ-инфраструктуры компании l Внедрение слоя ловушек на уровне конечных точек l Классификация сетевой активности l Подробная информация по исследованию l Интеграция с мультисканером и песочницей l Возможность интеграции с другими системами Характеристики: Варианты организации: l Установка системы в тестовой инфраструктуре заказчика l Удаленное подключение к тестовому стенду l Предоставление тестовой физической ИТ-инфраструктуры заказчику Ориентировочная цена: по запросу Время появления на российском рынке: доступно
Подробная информация: avsw.ru/products/confidential-data-protection/loki Фирма, предоставившая информацию: АВ Софт См. стр. 22–23
AVSOFT ATHENA
Производитель: АВ Софт Назначение: система защиты от целенаправленных атак Особенности: система работает по принципу систем класса "песочница" (sandbox); каждый файл проходит многоуровневую проверку статическим и динамическим методами анализа с использованием технологии искусственного интеллекта Возможности: l Проверка более 15 антивирусами l Детальный статический анализ файлов l Проверка во внешних аналитических ресурсах (VirusTotal, Spamhaus и др.) l Запуск файла в эмулируемых средах с имитацией работы пользователя l Фиксация событий и потребляемых ресурсов отслеживаемых процессов l Анализ поведения процессов на предмет вредоносной активности l Проверка сетевого трафика процессов (IP-адреса и домены) Характеристики: Поддерживаемые операционные системы: Windows, Linux, Android Прием файлов на проверку из множества источников: l Веб-трафик l Почтовый трафик l Мобильные устройства l Съемные носители l Ручная загрузка l Telegram-bot Анализ любых типов файлов: l Исполняемые файлы l Офисные документы l Мобильные приложения l Архивы, включая многотомные и закрытые паролем l Скрипты и др. Ориентировочная цена: по запросу Время появления на российском рынке: доступно Подробная информация: avsw.ru/products/anti-apt/athena Фирма, предоставившая информацию: АВ Софт См. стр. 22–23
www.itsec.ru
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
КодСкоринг (CodeScoring)
Производитель: ООО "Профископ" Сертификат: реестр российского ПО Назначение: управление интеллектуальной собственностью компании через автоматическое отслеживание использования программных компонент и оценку качества кода в разрезе команды Особенности: КодСкоринг (CodeScoring) – программное обеспечение, созданное российскими разработчиками. Решение распространяется по SaaS-модели и в виде инсталляции on-premise Возможности: продукт обеспечивает функции компонентного анализа программного обеспечения (Software Composition Analysis, SCA), контроль совместимости лицензий, расширенный анализ для юристов и оценку качества исполнения в разрезе команд Характеристики: l Обнаружение и анализ зависимостей: – по исходному коду; – по файлам конфигураций (манифесты и метафайлы менеджеров пакетов); – по метаданным: по классическим и "нечетким" хешам. l Выявление и оценка совместимости лицензий – идентификация лицензионной информации, добавленной напрямую в исходный код приложений. Отслеживание наличия несовместимости по общим правилам и на основе сформированных политик l Поиск уязвимостей и формирование рекомендаций по исправлению найденных проблем, отображение классификации уязвимостей (CVSS v2, CVSS v3.1, CWE) l Управление политиками лицензий и оповещениями – КодСкоринг обладает предустановленным набором готовых политик, связанных с совместимостью лицензий, безопасностью и качеством ПО. Формирование регулярных отчетов по отслеживаемым событиям с возможностью их отправки на почту или в систему управления задачами l Поиск дубликатов, оценка качества кода – поиск с учетом направления копирования и по кодовой базе внутри
проектов, между проектами и по известным компонентам Open Source. Анализ учитывает не только простой copy-paste, но и переименования переменных l Раскрытие авторского состава, истории, технологий, схожести авторов, в том числе с учетом выявленных характеристик качества Время появления на российском рынке: 2021 г. Подробная информация: codescoring.com/ru Фирма, предоставившая информацию: WEB CONTROL
UserGate Х10
на предприятии контрактного производства в Санкт-Петербурге l В аппаратных платформах серии X предусмотрены два блока питания для повышенной отказоустойчивости l 6 портов 10/100/1000Base-T, 1 порт 10GBase SFP+ l Функция удаленного управления устройствами Out-of-Band Management l Архитектура изделия позволяет создавать платформы как с режимом Bypass, так и без него, максимально удовлетворяя требования заказчиков в конкретном применении l Аппаратные комплексы поставляются в специально созданных корпусах с повышенным теплоотводом Подробная информация: www.usergate.com/ru/ Фирма, предоставившая информацию: UserGate См. стр. 34–37
sPACE PAM Производитель: UserGate Назначение: аппаратная платформа, созданная специально для защиты периметра промышленных сетей Сертификат: № 3905 от 26.03.2018 г., выдан ФСТЭК России Особенности: аппаратные платформы серии X рассчитаны на работу в самых суровых условиях: при температурах от -40 до +70 °C и относительной влажности от 5 до 95%. Модель имеет компактный размер, вес около 1 кг и настенное крепление или крепление на DIN-рейку. Это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе Возможности: l Обнаружение и предотвращение вторжений (IDS/IPS) l Веб-фильтрация l Обнаружение вредоносного ПО, антивирусная защита l Построение VPN-туннелей l Анализ трафика на уровне приложений Эти возможности призваны предотвратить растущее количество атак, происходящих на 4–7 уровнях сетевой модели OSI Характеристики: l UserGate разработала собственную архитектуру для своих аппаратных платформ l Собственный дизайн, схемотехника, разработка печатной платы и сборка
Производитель: ООО "Веб Контрол ДК" Сертификат: изделие не подлежит сертификации Назначение: автоматизация процесса обеспечения безопасного и контролируемого доступа к ИТ-инфраструктуре компаний Особенности: l Простая и удобная в эксплуатации система, предназначенная для работы не только ИТ-специалистов, но и бизнес-пользователей l Быстрая установка и интеграция целевых систем – объектов администрирования l Безагентское решение l Привилегированные учетные данные хранятся в системе и в явном виде для пользователей недоступны l Гибкая ролевая модель Возможности: l Обеспечение единого входа в ИТинфраструктуру l Автоматизация и обеспечение доступа (в том числе удаленного) в ИТ-инфраструктуру l Хранение привилегированных учетных записей в защищенном виде и обеспечение их жизненного цикла (назначение, ротация, отзыв) l Фиксация и контроль действий пользователей (офлайн-аудит завершенных сессий, онлайн-аудит текущих сессий) l Реализация принципа минимизации привилегий l Персонификация разделяемых учетных данных
• 47
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
l Возможность создания собственных
l Возможность распределенной уста-
сценариев доступа Характеристики: l Интеграция с протоколами RDP, VNS, SSH l Поддержка веб-доступа l График доступа, расширенные сценарии доступа l Запись сессий, кейлог клавиатуры и мыши l Мониторинг и контроль сессий в реальном времени l Высокая доступность, автоматическая балансировка компонентов l Хранилище паролей в защищенном виде l Управление сервисными учетными данными l Автоматическая смена паролей (после сеанса, перед сеансом, по расписанию) l Поддержка двухфакторной аутентификации l Поддержка AD и LDAP l Открытый API l Высокая доступность l Поддерживаемые платформы: Windows, Linux, Mac l Поддержка работы с мобильных устройств l Поддержка контейнеризации (Docker, Kubernetes)
новки каждого модуля Время появления на российском рынке: май 2021 г. Подробная информация: https://web-control.ru/space, https://s-pace.ru/ Фирма, предоставившая информацию: OOO "Веб Контрол ДК"
УСЛУГИ Тестирование на проникновение как сервис (PtaaS)
Отрасль: информационная безопасность Регион: РФ Описание: платформа PTaaS позволяет заказчикам видеть результаты проверок в режиме реального времени через панель мониторинга, которая
представляет все необходимые детали до, во время и после проведения теста. Как и традиционные пентестеры, поставщики PTaaS предоставляют своим заказчикам подробные отчеты, которые могут помочь им выявить и устранить обнаруженные уязвимости. PTaaS-платформы предоставляют базу знаний, помогающую отделам безопасности на месте обрабатывать исправления. PTaaS подходит для организаций любого уровня, такие платформы очень гибки и могут выполнять разные задачи, от комплексного тестирования защищенности приложений до отдельных инструментов отчетности для клиентов в соответствии с нормативными требованиями. Виды сервисов по тестированию на проникновение: l Пентесты веб-приложений l Сетевые пентесты l Пентесты API l Пентесты мобильных приложений l Дополнение тестирования на проникновение динамическим тестированием безопасности приложений (DAST) Фирма, предоставившая информацию: FORTIS См. стр. 14–17
НЬЮС МЕЙКЕРЫ АВ-СОФТ 127106, Москва, ул. Гостиничная, 5 Тел.: +7 (495) 988-9225 E-mail: office@avsw.ru avsw.ru См. стр. 22–23
PERIMETRIX 119607, Москва, Мичуринский просп., 45 Тел.: +7 (495) 011-0039 E-mail: info@perimetrix.ru www.perimetrix.ru См. стр. 9
СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 7
USERGATE 630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж Тел.: 8 (800) 500-4032, +7 (383) 286-2913 E-mail: sales@usergate.ru usergate.ru См. cтр. 34–37
FORTIS 105064, Москва, Нижний Сусальный пер., 5, стр. 19, 2 этаж, пом. XII, комн. 17 Тел.: +7 (495) 260-0113 E-mail: welcome@fortis.ru fortis.ru См. стр. 14–17 48 •
XELLO Тел.: +7 (495) 786-0335 E-mail: info@xello.ru www.xello.ru См. стр. 20–21
Реклама
TB_FORUM_2023 4/5/22 8:17 PM Page cov4
Реклама
—
14–16 ФЕВРАЛЯ 2023
31 ЯНВАРЯ - 3 МАРТА 2023 www.tbforum.ru , .