InfScr32021 by willisdor

Cover_01_END 7/28/21 5:53 PM Page Cov1

Издание компании

XVII МеждунарОдная выставка

Октябрь 2021

Спецпроект

DLP КаК выбрать DLP и не разочароваться? 9 вопросов, Которые нужно заДать венДору DLP от DLP К КомплеКсной аналитиКе мониторинГ аКтивности пользователей в DLP поймать и обезвреДить "шпиона" в офисе без установКи системы виДеонаблюДения чему моГут научить системы безопасности аэропорта моДель "нулевоГо Доверия": хайп или реальный инструмент? от VPN К ZTNA – эволюция безопасной уДаленной работы инструмент управления соответствием требованиям реГуляторов использование IRP в Качестве яДра управления процессом управления инциДентами иб

Дмитрий Григорович

Разумная достаточность безумно необходима в инфоРмационной безопасности

www.itsec.ru

№ 3, июль 2021

IB_Jornal 7/28/21 5:53 PM Page cov2

Preview 7/28/21 5:06 PM Page 1

www.itsec.ru

DLP на распутье Последний год поставил концептуальный вопрос перед рынком DLP-решений.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

В связи с массовым переводом пользователей на удаленный режим работы на службы информационной безопасности легла ответственность не только за организацию безопасности дистанционных рабочих мест, но и за ряд вытекающих из этой ситуации задач, например проведение расследований в новых условиях или контроль рабочего времени сотрудников – по принципу "А кто же еще?". В результате волны требований со стороны заказчиков новый функционал начал появляться и развиваться в DLP-системах. Открытие новых возможностей привело к не вполне однозначной реакции как со стороны вендоров, так и части заказчиков. Ведь изначально DLP-системы подкупали чистотой реализуемой идеи – контроль каналов передачи данных и охота за подозрениями на инциденты. Но с тех пор много воды утекло, и новая функциональность начала размывать сложившийся фокус, зачастую вовлекая безопасников в несвойственную им деятельность, а сотрудников других подразделений – в ряды пользователей DLP-системы. С другой стороны, расширенная функциональность позволяет увеличить количество процессов, которые контролируются службой информационной безопасности, причем в поддержании ИБ начинают участвовать сотрудники других подразделений. Это важно, потому что информационной безопасностью должны заниматься не только сотрудники ИБ, но и ИТ, и юридический отдел, и HR, и топ-менеджмент. И вот он, идеальный инструмент! Более того, из DLP-системы обычно вытекает озеро данных того смыслового уровня, который без особой подготовки может быть понятен сотрудникам нетехнических подразделений, включая руководителей организации. Ситуация осложняется тем, что заказчики, решая сиюминутные задачи, готовы платить за новую функциональность, вводя производителей в искушение. И вопрос "Развивать ли появившуюся функциональность?" уже не стоит, за производителей этот выбор сделали пользователи. Выбор сводится же к тому, выделять ли новую, не вполне профильную функциональность в отдельный продукт или все-таки продолжать ее совершенствовать внутри DLP, расширяя область применения, но при этом рискуя через несколько лет получить монстра, потребляющего для своего поддержания все девелоперские ресурсы. Ближайшие один-два года дадут ответ на этот вопрос, и от него зависит, каким курсом пойдет развитие рынка DLP в России.

• 1

Contents 7/28/21 5:50 PM Page 2

СОДЕРЖАНИЕ ПРАВО И НОРМАТИВЫ Анастасия Заведенская Обзор изменений в законодательстве. Май, июнь – 2021 . . . . . . . .4

В ФОКУСЕ

стр.

ПЕРСОНЫ Дмитрий Григорович Разумная достаточность безумно необходима в информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

СПЕЦПРОЕКТ DLP Галина Рябова Портрет современной DLP-системы . . . . . . . . . . . . . . . . . . . . . . . . . .14

стр.

Алексей Раевский Выбор идеальной DLP-системы: 9 вопросов, которые нужно задать вендору . . . . . . . . . . . . . . . . . . .16 Алексей Парфентьев Как выбрать DLP и не разочароваться? . . . . . . . . . . . . . . . . . . . . . .20 Сергей Вахонин Мониторинг активности пользователей в DeviceLock DLP 9.0 . . .22 Дмитрий Горлянский От DLP к комплексной аналитике . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Александр Пирожков

стр.

Safetica – цифровой помощник для бизнеса . . . . . . . . . . . . . . . . . .26 Дмитрий Кандыбович Как обеспечить ИБ без чрезмерных усилий? . . . . . . . . . . . . . . . . .28 DLP умерла. Да здравствует DLP! . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 Игорь Калайда Поймать и обезвредить "шпиона" в офисе без установки системы видеонаблюдения . . . . . . . . . . . . . . . . . . . .32 Максим Сяглов DLP: взгляд со стороны заказчика. Круглый стол . . . . . . . . . . . . .34 стр.

Обзор DLP-решений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 2 •

Contents 7/28/21 5:50 PM Page 3

СОДерЖание Управление Сергей Меньшаков Чему могут научить системы безопасности аэропорта . . . . . . . . .46 Валерий Естехин Роли в информационной безопасности . . . . . . . . . . . . . . . . . . . . . . .48

Журнал "Information Security/Информационная безопасность" № 3, 2021 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин Издатель Владимир Вараксин

Светлана Прусская, Екатерина Ефремова "Единая контрольная среда" как инструмент

Выпускающий редактор Амир Хафизов

управления соответствием требованиям регуляторов . . . . . . . . . .51 Редактор Светлана Хафизова

АвтомАтизАция Тимур Зиннятуллин Практика работы SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Илья Петров использование IRP в качестве ядра для процесса управления инцидентами иБ . . . . . . . . . . . . . . . . . . .56

ТеХнОлОГии Андрей Жаркевич, Виктор Сердюк от повышения осведомленности – к культуре безопасности . . .58

зАщитА сЕтЕй Новые возможности Ideco UTM 10 . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Сергей Забула от VPN к ZTNA – эволюция безопасной удаленной работы . . . . .62 Александр Ветколь модель "нулевого доверия": хайп или реальный инструмент? . .64

БЕзоПАсНАя РАзРАБотКА Алексей Смирнов, Дарья Орешкина топ-3 вопросов про SCA от тех, кто про него уже слышал . . . . . .66

Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Фото на обложке Софья Ларина Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО “"Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет

нОвЫе прОДУКТЫ и нЬЮСМеЙКерЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72

Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2021

• 3

Zavedenskaya 7/28/21 5:59 PM Page 4

ПРАВО И НОРМАТИВЫ

Обзор изменений в законодательстве ФСТЭК и ФСБ России с 1 сентября начнут штрафовать за нарушение обеспечения безопасности КИИ Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Май-2021

В Аттестация объектов информатизации Информационным сообщением от 29 апреля 2021 г. № 240/24/2087 ФСТЭК России сообщает об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну1 (далее – Порядок аттестации). В этом информационном письме отмечается, что Порядок аттестации был утвержден приказом ФСТЭК России от 28 сентября 2020 г. № 110. Порядок аттестации вступает в силу с 1 июня 2021 г. и отменяет действие следующих документов при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну: l Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.; l Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. № 3; l ГОСТ Р 58189–2018 Защита информации. Требования к органам по аттестации объектов информатизации;

мае 2021 г. ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в том числе по защите информации, для систем оформления воздушных перевозок.

l ГОСТ РО 0043-003–2012 Защита информации. Аттестация объектов информатизации. Общие положения. С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия может быть приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям. Перечень органов по аттестации и органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации в соответствии с приказом ФСТЭК России от 28 сентября 2020 г. № 110, размещен на официальном сайте ФСТЭК России2.

КоАП и КИИ Федеральный закон от 26.05.2021 г. № 141-ФЗ "О внесении изменений в

Кодекс Российской Федерации об административных правонарушениях"3 (далее – Федеральный закон) был официально опубликован 26 мая 2021 г. Федеральный закон вступил в силу с 6 июня 2021 г., за исключением п.1 ст. 13.12 об ответственности за нарушение требований к созданию систем безопасности значимых объектов КИИ, он вступит в силу с 1 сентября 2021 г. (см. табл. 1). В рамках Федерального закона предлагается наделить ФСТЭК России и ФСБ России полномочиями по рассмотрению дел об административных правонарушениях. Краткая сводка статей за нарушение обеспечения безопасности КИИ, вносимых в КоАП РФ, представлена в таблице ниже.

Электронная подпись На официальном интернет-портале правовой информации в мае 2021 г. были опубликованы приказы ФСБ России, устанавливающие требования к использованию электронной подписи: l приказ ФСБ России от 13.04.2021 г. № 142 "О внесении изменения в приказ ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"4 (далее – приказ ФСБ России № 142);

1 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2220-informatsionnoe-soobshchenie-fstek-rossii-ot29-aprelya-2021-g-n-240-24-2087 2 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/590-perechen-organovpo-attestatsii-n-ross-ru-0001-01bi00 3 http://publication.pravo.gov.ru/Document/View/0001202105260038 4 http://publication.pravo.gov.ru/Document/View/0001202105200019

4 •

Zavedenskaya 7/28/21 5:59 PM Page 5

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Таблица 1 Правонарушитель

Административный штраф

Полномочный орган Административное правонарушение исполнительной власти

Должностное лицо

От 10 тыс. до 50 тыс. руб.

ФСТЭК России

Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ

ФСБ России

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредставление или нарушение порядка либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности КИИ, в ГосСОПКА

Юридическое лицо

От 20 тыс. до 50 тыс. руб.

ФСБ России

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

От 50 тыс. до 100 тыс. руб.

ФСТЭК России

От 100 тыс. до 500 тыс. руб.

ФСБ России

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредставление или нарушение порядка либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности КИИ, в ГосСОПКА

l приказ ФСБ России от 13.04.2021 г. № 143 "О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 554 "Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поруче5 6

нию владельцев квалифицированных сертификатов электронной подписи"5 (далее – приказ ФСБ России № 143); l приказ ФСБ России от 13.04.2021 г. № 144 "О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 556 "Об утверждении Требо-

ваний к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи"6 (далее – приказ ФСБ России № 144); l приказ ФСБ России от 20.04.2021 г. № 154 "Об утверждении Правил под-

http://publication.pravo.gov.ru/Document/View/0001202105200017 http://publication.pravo.gov.ru/Document/View/0001202105200024

• 5

Zavedenskaya 7/28/21 5:59 PM Page 6

ПРАВО И НОРМАТИВЫ тверждения владения ключом электронной подписи"7 (далее – приказ ФСБ России № 154); l приказы ФСБ России № 142, № 143, № 144 ограничивают действия приказов, в которые они, соответственно, вносят изменения до 1 января 2027 г. Приказ ФСБ России № 154 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г., регламентирует порядок проверки удостоверяющим центром соответствия ключа электронной подписи (далее – ЭП) ключу проверки ЭП, указанному лицом в заявлении на получение сертификата ключа проверки ЭП. Правила не распространяется на случаи, когда ключевая пара была создана удостоверяющим центром.

Автоматизированные информационные системы оформления воздушных перевозок Постановление Правительства Российской Федерации от 30.04.2021 г.

№ 685 "О внесении изменения в постановление Правительства Российской Федерации от 24 июля 2019 г. № 955"8 (далее – ПП РФ № 685) было опубликовано 6 мая 2021 г. Постановлением Правительства РФ от 24 июля 2019 г. № 955 были утверждены требования к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП), к базам данных, входящим в их состав, к информационно-телекоммуникационным сетям, обеспечивающим работу указанных автоматизированных информационных систем, к их оператору, а также меры по защите информации, содержащейся в них, и порядку их функционирования. Постановление должно было вступить в силу с 31 октября 2021 г., однако ПП РФ № 685 сдвинуло срок до 30 октября 2022 г. Напомним, что основной акцент в контексте информационной безопасности постановление Правительства РФ от 24 июля 2019 г. № 955 делает на защите

обрабатываемых персональных данных9 (далее – ПДн) пассажиров и персонала (экипажа) транспортных средств: 1. При оформлении внутренних воздушных перевозок базы данных (далее – БД) и серверы, входящие в состав АИС ОВП, должны располагаться на территории РФ. Хотя допускается использование БД и серверов, расположенных вне территории РФ, но только при условии исключения обработки в них ПДн пассажиров, осуществляющих внутренний перелет. 2. Операторам и пользователям АИС ОВП необходимо контролировать соответствие трансграничной передачи ПДн пассажиров требованиям законодательства РФ и порядку, установленному договором между операторами и пользователями. 3. При передаче данных по общедоступным каналам связи обязательно применение сертифицированных средств криптографической защиты информации.

Июнь-2021

июне 2021 г. регуляторы вели активную нормотворческую деятельность. В продолжение обзора изменений законодательства рассмотрим регламентацию защиты средств дистанционной работы, новые процедуры контрольно-надзорной деятельности по обработке персональных данных, требования к защите информации в финансовом секторе, штрафные санкции за разглашение информации ограниченного доступа и многое другое.

ФСТЭК России. Средства безопасной дистанционной работы Информационным сообщением от 23 июня 2021 г. № 240/24/3057 ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах10 (далее – Требования). Требования утверждены приказом ФСТЭК России от 16 февраля 2021 г. № 32. К средствам обеспечения безопасной дистанционной работы в информационных системах (ИС)/автоматизированных системах (АC) (далее – средства дистанционной работы) относятся средства защиты информации, использующие средства вычислительной техники, не входящие в состав указанных ИС/АС. Средства дистанционной работы не имеют дифференциации и должны 7

использовать единообразную конфигурацию вне зависимости от категории значимости объектов критической информационной инфраструктуры (далее – КИИ), класса государственных информационных систем, класса защищенности автоматизированных систем управления производственными и/или технологическими процессами, уровня защищенности информационных систем персональных данных (далее – ПДн).

Субъекты КИИ в сфере здравоохранения Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России11 рекомендует порядок представления субъектами КИИ, осуществляющими деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах при-

своения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения). Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.

http://publication.pravo.gov.ru/Document/View/0001202105310030 http://publication.pravo.gov.ru/Document/View/0001202105060001 9 https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-avgust-2019/ 10 https:// fstec. ru/ normotvorc heskaya/ informatsionnye- i- analiticheskie- materialy/2243- informatsionnoe- soobshchenie- fstekrossii- ot-23- iyunya-2021- g- n-240-24-3057 11 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290inye/2240-informatsionnoe-soobshchenie-fstek-rossii-ot-18-iyunya-2021-g-n-240-82-1037 8

6 •

Zavedenskaya 7/28/21 5:59 PM Page 7

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Таблица 2 Группа тяжести

Признаки отнесения к группе тяжести

Группа вероятности

Признаки отнесения к группе вероятности

Обработка специальной категории ПДн и/или биометрических ПДн

Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 ст. 13.11 КоАП РФ

Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 ст. 13.11 КоАП РФ

Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 4, 7 ст. 13.11 КоАП РФ

Отсутствие обстоятельств, указанных в группах вероятности 1–3

Сбор ПДн, в том числе в сети "Интернет", осуществляемый с использованием баз данных, находящихся за пределами РФ Трансграничная передача ПДн на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и обеспечивающих адекватную защиту прав субъектов ПДн Передача третьим лицам ПДн, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн Б

Обработка ПДн в целях, отличных от заявленных целей обработки ПДн на этапе их сбора Обработка ПДн несовершеннолетних лиц в случаях, не предусмотренных федеральными законами Обработка ПДн в ИСПДн, содержащих ПДн более чем 20 тыс. субъектов ПДн в пределах субъекта РФ или РФ в целом Сбор ПДн, в том числе в сети "Интернет", осуществляемый с использованием иностранных программ и сервисов

Обработка ПДн близких родственников субъекта ПДн Обработка ПДн в ИСПДн, содержащих ПДн от 1 тыс. до 20 тыс. субъектов ПДн Трансграничная передача ПДн на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн Обезличивание ПДн, обработка ПДн, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн, без передачи третьим лицам

Обработка ПДн в ИСПДн, содержащих ПДн менее чем 1 тыс. субъектов ПДн Обработка ПДн без предоставления в Роскомнадзор информации уведомительного характера, предоставление которой предусмотрено ФЗ № 152 Обработка ПДн, полученных из общедоступных источников ПДн Трансграничная передача ПДн на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн

Государственные информационные системы Постановление Правительства Российской Федерации от 31.05.2021 г. № 837 "О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"12 (далее – ПП РФ № 837) официально опубликовано 1 июня 2021 г. ПП РФ № 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней. 12 13

Персональные данные. Государственный контроль (надзор) Постановление Правительства Российской Федерации от 29.06.2021 г. № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"13 (далее – ПП РФ № 1046) официально опубликовано 30 июня 2021 г. ПП РФ № 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 "Об утверждении Правил

организации и осуществления государственного контроля и надзора за обработкой персональных данных" признано утратившим силу. Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий: l инспекционный визит; l документарная проверка; l выездная проверка. При этом согласно ПП РФ № 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований. Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При

http://publication.pravo.gov.ru/Document/View/0001202106010044 http://publication.pravo.gov.ru/Document/View/0001202106300055

• 7

Zavedenskaya 7/28/21 5:59 PM Page 8

ПРАВО И НОРМАТИВЫ осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска): l высокий риск; l значительный риск; l средний риск; l умеренный риск; l низкий риск.

Единая биометрическая система ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации "О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ"14 (далее – проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г. Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения В конце июня 2021 г. на сайте Роскомнадзора опубликована информация о действии с 1 июля 2021 г. сервиса для операторов ПДн15, позволяющего оператору ПДн подготовить шаблон формы согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, с учетом профессиональной специфики деятельности оператора. Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получе14 15 16 17

ния рекомендаций по формированию такого согласия. Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПДн в соответствии с п.1 ч.6 ст.10.1 ФЗ № 152. Напомним, что с 1 сентября 2021 г. для операторов вступают в силу обязательные требования к форме согласия на обработку ПДн, разрешенных для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его ПДн установлена Федеральным законом от 30 декабря 2020 г. № 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", который вступил в силу 1 марта 2021 г.

Электронная подпись (ЭП) Приказ ФСБ России от 01.05.2021 № 171 "Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц"16 (далее – приказ ФСБ России № 171) официально опубликован 1 июня 2021 г. Приказ ФСБ России № 171 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г. Ниже приведем несколько требований по информационной безопасности к доверенным лицам согласно приказу ФСБ России № 171: l обеспечение контролируемой зоны в зданиях и помещениях, предназначенных для размещения технических средств, обеспечивающих выполнение доверенным лицом своих функций; l организация и ведение учета машинных носителей информации, используемых средствами криптографической защиты информации (далее – СКЗИ), включая средства ЭП, а также обеспечение их защиты от несанкционированного доступа; l соблюдение требований эксплуатационной документации на используемые СКЗИ, включая средства ЭП; l применение для выполнения возложенных на доверенное лицо функций ИС, аттестованных на соответствие Требованиям o защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17; l разработка, введение и утверждение локальных актов, регламентирующих меры реализации требований по информационной безопасности.

https://regulation.gov.ru/projects#npa=117301 https://regulation.gov.ru/Projects/List#npa=116536 http://publication.pravo.gov.ru/Document/View/0001202106010058 https://regulation.gov.ru/projects#npa=116751

8 •

Банк России. Кредитные организации В июне 2021 г. Банк России опубликовал проект указания "О внесении изменений в положение Банка России от 17 апреля 2019 года № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (683-П)"17 (далее – указание). Предполагается, что изменения, вносимые указанием в 683-П, должны будут вступить в силу с 1 апреля 2022 г. Приведем несколько основных пунктов изменений 683-П, предлагаемых указанием: 1. Требования по сертификации программного обеспечения (далее – ПО) по требованиям ФСТЭК России уточнены и унифицированы с положением Банка России от 4 июня 2020 г. № 719 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". 2. Усилены требования по оценке соответствия прикладного ПО, также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного ПО – самостоятельно или с привлечением лицензиатов ФСТЭК России по технической защите конфиденциальной информации. 3. Уточнены требования по идентификации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мониторингу поведения клиентов, осуществляющих операции с мобильных устройств. 4. Уточнено, что кредитные организации должны осуществлять информирование Банка России не только о выявленных инцидентах защиты информации, но и о предпринятых мерах реагирования на инцидент.

Некредитные финансовые организации Положение Банка России от 20 апреля 2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осу-

Zavedenskaya 7/28/21 5:59 PM Page 9

www.itsec.ru

ПРАВО И НОРМАТИВЫ

22 августа – день рождения Кирилла Солодовникова, генерального директора Infosecurity Команда Infosecurity поздравляет генерального директора Кирилла Солодовникова, своего идейного вдохновителя, прекрасного руководителя и просто чудесного человека, с днем рождения! Для своих сотрудников Кирилл является примером для подражания. Благодаря его профессионализму, пониманию всех бизнеспроцессов и умению видеть перспективу компании удалось занять достойное место в сфере информационной безопасности. Infosecurity желает Кириллу сил и энергии для новых свершений, креативных идей и возможностей для их реализации, а также преданных друзей и единомышленников! Какими бы сложностями ни грозил новый день, Кирилл может быть уверен, что его команда всегда будет рядом, подставит плечо и поддержит! С днем рождения!

ществлению незаконных финансовых операций"18 (далее – 757-П) официально опубликовано 22 июня 2021 г. 757-П вступило в силу 3 июля 2021 г. (за исключением отдельных положений) и отменило предыдущее положение Банка России от 17 апреля 2019 г. № 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций". Основные изменения, вносимые 757-П для некредитных финансовых организаций: 1. Изменились критерии исполнения ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее – ГОСТ Р 57580.1): произошло перераспределение, какие организации какой уровень защиты по ГОСТ Р 57580.1 должны реализовать. Для части организаций понижен уровень соответствия со второго (стандартного) до третьего (минимального) уровня по ГОСТ Р 57580.1, а регистраторы финансовых транзакций должны соответствовать первому (усиленному) уровню по ГОСТ Р 57580.1 (с 1 января 2022 г.). Добавились требования для организаций по соответствию третье18 19 20

му (минимальному) уровню по ГОСТ Р 57580.1. 2. Определять уровень защиты информации нужно теперь не позднее 10-го рабочего дня в году (ранее была формулировка о первом рабочем дне). 3. Оценка соответствия по ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (далее – ГОСТ Р 57580.2–2018) обязательна только для организаций, реализующих усиленный или стандартный уровень защиты информации по ГОСТ Р 57580.1. 4. Добавлено уточнение, что в случае выявления уязвимостей информационной безопасности по результатам анализа уязвимостей или тестирования на проникновение организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости. 5. Как и для всех положений Банка России, приведены уточнения по сертификации ПО в системе сертификации ФСТЭК России или оценке соответствия. Оценка соответствия ПО может проводиться как самостоятельно, так и с привлечением лицензиата ФСТЭК России по технической защите конфиденциальной информации.

Бюро кредитных историй Проект положения Банка России "О требованиях к обеспечению бюро

https://www.cbr.ru/Queries/UniDbQuery/File/90134/2334 https://regulation.gov.ru/projects#npa=117118 http://publication.pravo.gov.ru/Document/View/0001202106110078

кредитных историй защиты информации"19 был опубликован 21 июня 2021 г. (далее – проект положения). Предполагается, что проект положения должен вступить в силу с 1 октября 2022 г., за исключением некоторых пунктов. Проект положения схож по своей концепции и требованиям с другими нормативными актами Банка России по защите информации. Бюро кредитных историй должны будут обеспечивать выполнение ГОСТ Р 57580.1, осуществление оценки соответствия по ГОСТ Р 57580.2–2018, использование сертифицированного ПО или ПО, в отношении которого проведена оценка соответствия, уведомление Банка России об инцидентах защиты информации и т.д.

Информация ограниченного доступа Федеральный закон от 11.06.2021 г. № 206-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"20 (далее – ФЗ № 206) официально опубликован 11 июня 2021 г. ФЗ № 206 вносит изменения в КоАП РФ, предусматривающие усиление административной ответственности за разглашение информации с ограниченным доступом, а также вводится новый состав правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 9

Grigorovich 7/28/21 5:51 PM Page 10

В ФОКУСЕ

Разумная достаточность безумно необходима в информационной безопасности Дмитрий Григорович, руководитель по информационной безопасности АО “Элемент” (ГК “Элемент”)

Мы движемся вперед, и цифровизация – естественная часть этого процесса.

Федеральный закон о защите персональных данных дал огромный толчок развитию информационной безопасности.

Пандемия отлично показала, насколько сильно мы зависим от инфраструктуры технически. Другими словами, удаленные сервисы становятся обыденностью.

10 •

аждый руководитель в ИБ основывает свою деятельность на нескольких базовых принципах. Именно они помогают, с одной стороны, принимать правильные решения в условиях ограниченных ресурсов и недостатка времени, а с другой стороны – планомерно готовить эшелонированную защиту вверенной инфраструктуры. Своими опробованными годами практики принципами, а также взглядами на важность импортозамещения в информационной безопасности поделился с читателями руководитель по информационной безопасности ГК “Элемент” Дмитрий Григорович.

– Дмитрий, расскажите, с чего вы начинали свою деятельность в ИБ? – Так же, как и большинство моих коллег, я пришел в информационную безопасность в 2000-х гг. из ИТ. Первый опыт работы в ИБ был в компании МТС в должности руководителя по информационной безопасности и технической защите макрорегиона "Поволжье ЮгоВосток". Это был большой и интересный опыт, потому что на тот момент все только начинали заниматься информационной безопасностью, а региональные структуры МТС только зарождались и все нужно было выстраивать с нуля. К тому же сотовая связь на тот момент была еще не очень сильно развита. Если помните, у каждого тогда было по два-три телефона разных операторов, потому что связь была нестабильной. Далее в моей биографии был опыт работы в компаниях нефтяного, а затем финансового, производственного и торгового секторов. Потом я вернулся в периметр АФК "Система", которая сейчас входит в состав группы компаний "Элемент" и занимается развитием российской микроэлектроники, отечественной элементно-компонентной базы. К сожалению, в этой сфере был

упущен ряд возможностей, и поэтому теперь мы наблюдаем заметное отставание. А я занимаюсь вопросами информационной безопасности. – Какие задачи вы ставите перед собой как руководитель ИБ? – Главная задача – это обеспечение безопасности процессов, которые происходят в компании, начиная от кадровых, финансовых и заканчивая верхним уровнем – защитой критической инфраструктуры, конфиденциальной информации и персональных данных. – Каким образом развитие цифровизации влияет на вашу работу? – Чтобы ответить на этот вопрос, нужно вернуться к истокам. И для начала стоит уточнить, что такое цифровизация, иначе с таким же успехом можно спросить "Как вы относитесь к закату или восходу солнца?". Мы движемся вперед, и цифровизация – естественная часть этого процесса. Если раньше для того, чтобы зайти в Интернет с телефона, нужно было потратить много времени и нервов, то сейчас можно спокойно слушать музыку в режиме реального времени, смотреть видео, даже находясь в метро.

И единственный способ к этому правильно относиться – принять как данность. Конечно, цифровизация поставила серьезные вопросы перед информационной безопасностью. В качестве иллюстрации стоит вспомнить историю с федеральным законом о защите персональных данных, который, в моем понимании, дал огромный толчок для развития информационной безопасности в целом. Сейчас же мы наблюдаем дальнейшее развитие цифровизации – переход большинства сотрудников компаний в онлайн. То есть фактически большинство корпоративных процессов становятся цифровыми. Пандемия отлично показала, насколько сильно мы зависим от инфраструктуры технически. Другими словами, удаленные сервисы становятся обыденностью, в облака переносится все больше и больше информации. А чем больше информации оказывается в онлайне, тем больше требований к ее защищенности, от этого никуда не деться. Вспомним утечки последних двух-трех лет, когда большие объемы данных оказывались в публичном доступе. И что бы мы ни делали, попытки похитить данные будут всегда. Соответственно, наша первоочередная задача – сохранить данные

Grigorovich 7/28/21 5:51 PM Page 11

www.itsec.ru

ПЕРСОНЫ

и сделать так, чтобы стоимость сохранности не была дороже стоимости самих данных. – Как вы справляетесь с нехваткой квалифицированных кадров? – Наверное, любая компания ощущает нехватку специалистов. Но в ИБ складывается достаточно странная ситуация. С каждым годом специалистов по информационной безопасности на рынке появляется все больше и больше, вузы выпускают их в промышленных масштабах. Но при этом найти хорошего специалиста достаточно сложно. Во-первых, крупные компании за счет возможности увеличить заработную плату переманивают хороших специалистов. В регионах же людей вообще найти очень сложно из-за менее конкурентной заработной платы сотрудников. Поэтому все хорошие специалисты в основном уезжают в Москву или уходят в крупные компании. Поэтому часто приходится нанимать людей сразу после выпуска, с минимальным набором знаний, умений и навыков, а затем тратить много ресурсов на переобучение. Ведь проблема кадрового голода заключается не в том, что мало людей, а в том, что их уровень образования достаточно низок. В вузах студентов не учат даже базовым вещам, а найти

преподающего специалистапрактика практически невозможно, да и вузы сами часто не хотят привлекать таких преподавателей. Приведу реальную историю: приходит выпускник – вроде бы что-то знает. Задаешь ему вопрос, мол, в состоянии ли ты понять, как работает операционная система, ты ее хоть раз ставил? В ответ – нет, зачем, я же ИБ-шник. В вузах этого просто не преподают, сводя все профильное образование к штудированию законодательства, которое, кстати, достаточно часто меняется. С тем багажом знаний, с которым студенты приходят устраиваться на работу, они не конкурентоспособны. Если студента не направлять на практику во время обучения, то настоящим специалистом он не станет. А как руководитель по информационной безопасности я лично не готов брать на практику студентов третьего-пятого курсов, потому что не могу допустить их к рабочему процессу, где цена ошибки очень высока. В результате кадровый вопрос компании решают своими силами, подчас набирая людей без образования. Кто-то оплачивает обучение своих сотрудников, кто-то берет студентов с минимальными знаниями, навыками и отправляет их учиться. Я все больше и больше сталкиваюсь с тем, что, например, крупные предприятия

и банки скупают целые курсы для своих будущих сотрудников. Приведу еще один пример. На собеседование пришла девушка с не очень большими знаниями и навыками, и когда я начал задавать вопросы, она мне сказала замечательную вещь: "Инженер – это не тот, кто все знает, а тот, кто знает, где посмотреть". И вот когда я вижу, что сотрудник старается думать, старается проводить аналогии, пускай первоначально неправильные, готов конструктивно спорить и отстаивать свое мнение, тогда я как руководитель оцениваю это положительно.

С каждым годом появляется все больше специалистов по информационной безопасности, вузы выпускают их в промышленных масштабах. Но при этом найти хорошего специалиста достаточно сложно.

Проблема кадрового

– Как вы относитесь к принципу нулевого доверия? – Я его полностью разделяю, в том числе применительно к сотрудникам. Понимаете, есть хороший способ не разочаровываться в людях: нужно сразу относиться к ним без ожиданий. Зато потом, если человек окажется лучше, чем вы думали, то в ваших глазах он будет расти. Проиллюстрировать это можно фразой "Мы с вами незнакомы, поэтому оба имеем право думать друг о друге все, что угодно".

голода заключается не в том, что мало людей, а в том, что их уровень образования достаточно низок.

С тем багажом знаний, с которым студенты приходят устраиваться на работу, они не конкурентоспособны.

– Какие постулаты для вас являются нерушимыми в сфере информационной безопасности?

• 11

Grigorovich 7/28/21 5:51 PM Page 12

В ФОКУСЕ

Мое понимание разумной достаточности -- когда и "гайки не закручены", и люди могут работать, и при этом все четко ощущают безопасность процессов.

Информационная безопасность должна быть в штате безопасности. Она не должна быть в ИТ

– Вопрос очень серьезный. Назову главным принципом разумную необходимость. Можно вспомнить про классическую триаду "целостность – доступность – конфиденциальность". Но если мы все эти три составляющие поставим на условные весы, то станет понятно, что соблюсти паритет, когда и бизнесу будет комфортно, и защищенность обеспечена, крайне сложно. И в этом заключено мое понимание разумной достаточности, когда и гайки не закручены, и люди могут работать, и при этом все четко ощущают безопасность процессов.

и не должна быть выделена в отдельное подразделение.

Я придерживаюсь в своей работе принципа разумной достаточности.

У нас "безопасность для бизнеса", а не "бизнес для безопасности".

12 •

– Многие говорят о том, что бизнес должен подстраиваться под информационную безопасность. – Не согласен. Давайте попробую пояснить. Я придерживаюсь мнения, что информационная безопасность должна быть в штате безопасности. Она не должна быть в ИТ, она не должна быть выделена в отдельное подразделение, хотя иногда это возможно. Вспомните, лет 10–15 назад на переднем крае актуальности находилась экономическая безопасность. Все понимали, что безопасность – это защита денег и материальных ценностей, которые злоумышленник может украсть, продать, повредить.

Сейчас же концепция сдвинулась в сторону "цифры", а деньги и процессы существуют преимущественно в электронном виде. Вектор начинает смещаться, и если сейчас информационная безопасность не начнет участвовать во всех процессах с самого начала, то потом мы получим ситуацию "Вот вам вещь – обеспечьте безопасность". Но это крайне неэффективно, ведь нужно было просто в определенный момент сделать небольшую корректировку со стороны ИБ, и все стало бы нормально! Вот это в моем понимании правильно, вот к этому мы сейчас идем. Если раньше проведение тендера было отдельной историей с конвертами, то теперь все происходит на электронной площадке. А для того, чтобы нормально на ней работать, нужны информационные силы, средства и ресурсы. Я сам придерживаюсь в своей работе принципа разумной достаточности. Я всегда помню, что ИТ готовы освоить любые финансовые вложения, но исхожу из того, что у нас "безопасность для бизнеса", а не "бизнес для безопасности". То есть если я могу сделать что-то с помощью недорогих решений, я так и стану делать. Можно, конечно, "уйти в бренды" и крупные информационные системы, но нужно четко понимать, что

в довесок появляется потребность в дорогих кадрах, технических средствах защиты, средствах поддержки и многом другом. И в этом случае информационная безопасность начинает стоить существенных денег. В моем понимании все должно быть разумно и достаточно. Если мы в состоянии обеспечить необходимый уровень защищенности минимальными средствами, то нужно его обеспечивать этими средствами. – Чего не хватает современному бизнесу для более эффективного развития импортозамещения? – Тяжело признавать, но если не принимать законодательных ограничений поставок импортных продуктов информационной безопасности, то произвести российские будет очень сложно. Чтобы мы начали использовать что-то отечественное, нас надо заставить не покупать импортное. Приведу абстрактный пример: одна компания приобрела иностранные средства защиты, потратив определенную сумму денег на покупку и ежегодное обслуживание. Но позже обнаружилось, что на рынке есть решение с аналогичным функционалом, но отечественное, да и стоимость которого меньше, чем год обслуживания у импортного. Да, аналогия в функциях не на 100%, но давайте говорить

Grigorovich 7/28/21 5:51 PM Page 13

www.itsec.ru

ПЕРСОНЫ

честно: 100% функционала используется редко. Устройство вполне закрывает потребности, а стоит дешевле. В результате было принято решение о замене импортного решения на отечественное, и импортное железо нынче лежит на складе. И вот все с ужасом обсуждают, что в ближайший год может быть принято высокое решение о том, что можно использовать только отечественное. Как же мы будем жить?! Да будем мы жить хорошо! Гайки сразу никто не закрутит, дадут нужное время – это во-первых. Во-вторых, отечественные разработки не хуже импортных, просто, как ни странно, мы о них меньше знаем, они еще не настолько популярны. Если говорить про критическую инфраструктуру, а это достаточно серьезная вещь, взять, к примеру, энергетический комплекс, – никому не хочется, чтобы в определенный момент злоумышленник из далекой страны по указке или ради забавы нажал на кнопку и в каком-либо российском городе зимой отключилась котельная. И это не самый опасный пример! А в худшем случае может быть практически все что угодно. С понимания этого надо подходить к вопросам защиты КИИ. Понятно, что еще не все налажено в этом направлении, мы на первых этапах долгого пути. Но, как говорят китайцы, дорога длиной в тысячу ли начинается с первого шага. Наверное, первые полкилометра мы уже прошли, продолжаем идти дальше. Иногда регулятор требует, чтобы темп нашего движения был выше. Но мы определенно хотим, чтобы у нас в стране было безопасно. – Какие задачи в части ИБ были актуальными для вашей компании последние два года? – Последние полтора года прошли под тотальным влиянием пандемии – быстрый перевод офисов на удаленку и содержание их в таком состоянии. Мы видим, что эпидемиологическая обстановка лучше не становится, и задачи информационной безопасности полуторагодовой давности сохраняют актуальность. Самые интересные задачи связаны как раз с переходом на удаленку: мы научились быстро переводить бизнес из офиса в онлайн

в ограниченные сроки. Мне лично нравится решать задачи в условиях ограниченного времени, это заставляет быстрее думать и точнее действовать. В этот период мы в "Микроне" провели пилотное внедрение KICS с помощью Infosecurity для защиты АСУ ТП и технологического сегмента сети. Ведь при большом масштабе производства необходимо смотреть не только за тем, что происходит в офисном сегменте. Помню, был опыт работы в компании, которая занималась добычей нефти и газа за границей. И бывало очень страшно от понимания, что из-за того, что где-то кто-то что-то "проморгал", может произойти катастрофа и пострадать люди. Железо, если его правильно сконфигурировали, правильно спроектировали, правильно поставили, ошибается редко. Как ни печально, но 90% инцидентов – это человеческий фактор. – Как ваша компания защищается от утечек информации? – Мы защищаемся, как и все: техническими средствами, локально-нормативной базой и т.д. И самое главное, работа с людьми первична. Хотя, по моим наблюдениям, с людьми работать не любят и даже в крупных компаниях с сотрудниками не прорабатывают вопросы ИБ. С другой стороны, я знаю компанию, где в лифтах, помимо зеркал, висят большие плакаты по информационной безопасности: что можно делать, что нельзя. По-моему, очень интересная практика. Я считаю, что все инструкции для пользователя должны быть написаны простым языком, с житейской логикой. Ведь чем проще написано, тем проще будет понять. – Не так давно вы начали использовать решение класса DCAP, зачем? – В информационной безопасности есть такое понятие – избыточность. То есть у нас, как у Плюшкина из "Мертвых душ", есть один недостаток: мы начинаем тащить в сеть все, что попало, мы храним это на компьютерах, на сетевых дисках, на съемных носителях, в облаке. А решение класса DCAP позволяет контролировать информационные "помойки", к которым очень часто доступ

имеют все сотрудники, но никто уже не помнит, откуда что взялось. Каждый, как Плюшкин, себе что-то тащит, не особо беспокоясь о последствиях

Отечественные разработки не хуже импортных, просто, как ни странно, мы о них меньше знаем,

– Функционал DCAP перекликается с DLP. В чем их принципиальное различие? Принципиальная разница заключается в том, что они решают разные задачи, хотя возможно, это не всем очевидно. DLP-система может обнаружить файл и проанализировать его на наличие конфиденциальных данных, а DCAP не только находит такие документы, но и выявляет много дополнительных критериев относительно файла: всех сотрудников, имеющих доступ к нему, кто и когда редактировал его или копировал, определяет, какие были внесены последние изменения в файле, и многое другое. По сути, DCAP видит то, что не видит DLP и, таким образом, эти решения дополняют друг друга.

они еще не настолько популярны.

Мне лично нравится решать задачи в условиях ограниченного времени, это заставляет быстрее думать и точнее действовать.

Мы определенно хотим, чтобы у нас в стране было

– Какие изменения вы ждете в ближайшее время в отрасли? – Наверное, главное – принятие бесповоротного решения об импортозамещении в ИБ. Истерия, которую мы наблюдаем в связи с этим ожиданием, пройдет. Потому что, давайте откровенно, крупные компании стараются брать оборудование и поддержку на 3–5 лет, чтобы сэкономить. Если подпишут указ, что с 2023 г. софт, а с 2024 г. железо переходят на отечественное, то те, кто в этом году купил оборудование на пять лет, останутся в проигрыше. Но, с другой стороны, наверное, по-другому решить вопрос невозможно. И конечно, будет еще больше цифровизации, потому что эти процессы уже не остановить.

безопасно.

Как ни печально, но 90% инцидентов – это человеческий фактор.

Работа с людьми первична. Хотя, по моим наблюдениям, с людьми работать не любят и даже в крупных компаниях с сотрудниками не прорабатывают вопросы ИБ.

– Основной тезис информационной безопасности в вашем понимании? – Информационная безопасность должна быть с человеческим лицом. – Спасибо за интересную беседу. l

DCAP видит то, что не видит DLP и, таким обра-

Ваше мнение и вопросы присылайте по адресу

зом, эти решения дополняют друг друга.

is@groteck.ru

• 13

RT-Solar 7/28/21 5:51 PM Page 14

СПЕЦПРОЕКТ

Портрет современной DLP-системы Галина Рябова, директор Центра продуктов Dozor компании “Ростелеком-Солар”

Н Ответом отрасли на эти вызовы стало бурное развитие технологий анализа данных. Накопленный разработчиками опыт и технологическая база еще пять лет назад позволяли для защиты от утечек делать подходы к использованию технологий искусственного интеллекта, нейронных сетей и т.п. Но только на рубеже 2020-х эти наработки стали применяться в передовых DLP-системах для решения конкретных задач.

Ехать на надежном Hyundai?.. Стандартный набор технологий в среднестатистической DLP-системе – то, что называется must have, – зависит от целевой аудитории. Потребности небольших компаний и крупных организаций существенно различаются, поэтому можно выделить два вида "средних" DLP-систем для этих сегментов. Требования компаний нижнего B2Bсегмента к качеству перехвата и анализа данных в целом не отличаются от крупного бизнеса, а вот их реализация имеет ряд особенностей. Как правило, небольшие компании используют DLP-систему в режиме мониторинга, а не блокировки, поэтому они не столь требовательны к быстродействию фильтрации и автоматизации процесса работы с заблокированными сообщениями. С учетом недостаточно развитой ИТ-инфраструктуры или построения ее части в сервисной модели (например, почты) для пере-

а рубеже 20-х гг. нашего века DLP-системы накрыла волна стремительной цифровизации, подстегнутая массовым переводом сотрудников на удаленную работу: все коммуникации перешли в онлайн и периметр организации фактически исчез. Мы наблюдаем очередной виток нелинейного роста объемов информации, который параллельно с укрупнением и монополизацией бизнеса выдвигает самые серьезные требования к производительности и отказоустойчивости DLP-систем.

хвата информации может быть достаточно только агентов. Но требования к их возможностям довольно широки: запись микрофона и видео рабочего стола, функции управления съемными носителями и контроль рабочего времени. То есть компании стараются повысить отдачу от инвестиций, минимизируя количество средств защиты и решая смежные задачи бизнеса. При этом они стремятся контролировать каждого сотрудника. В must have-набор также входит функциональность управления жизненным циклом инцидента, аналитические инструменты для проведения расследований в разрезе сотрудников и групп и аналитическая отчетность для принятия управленческих решений. В условиях экономического кризиса цена риска для крупного бизнеса становится неприемлемо высокой и внимание смещается на предотвращение инцидентов. Использование DLP "в разрыв" начинает быть нормой, повышаются требования к скорости анализа и реагирования на инциденты. На фоне тенденций монополизации и укрупнения бизнеса численность сотрудников enterprise-компаний стала определяться не десятками, а сотнями тысяч. За последний год к росту количества участников корпоративных коммуникаций добавился и нелинейный рост объемов трафика, вызванный стремительной цифровизацией. Поэтому, вопреки ожиданиям, базовые требования крупный бизнес выдвигает не к функционалу DLP-систем,

Компания "Ростелеком-Солар" выпустила новую версию флагманского программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально распределенной конфигурации – для компаний с разветвленной филиальной сетью. Кроме того, в новой версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.

14 •

а к их быстродействию, надежности и отказоустойчивости, обеспечение которых – непростая задача для производителя. Кратное увеличение анализируемого трафика приводит к тому, что качественные и хорошо зарекомендовавшие себя в прошлом классические технологии контентного анализа не обеспечивают одновременно требуемой для работы "в разрыв" скорости и сохранения высокой точности анализа. Например, мы заменили классические инструменты распознавания графических объектов, таких как паспорта, печати, платежные карты и т.п., на технологию глубокого обучения на основе нейронных сетей Faster RCNN (RegionBased Convolutional Neural Networks). Скорость работы этой технологии практически не зависит от размера изображения, объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей. Для обеспечения отказоустойчивости архитектура системы должна позволять продублировать любой узел системы и легко заменить любой вышедший из строя узел резервным. При этом консистентность данных должна сохраняться не только при переходе на резервный узел, но и при последующем возвращении на основной. Когда речь идет о коммуникациях десятков и сотен тысяч сотрудников, о персональном мониторинге каждого сотрудника речи быть не может. Поэтому аналитические инструменты, дающие представление об общей оперативной обстановке, фокусирующие внимание на зонах риска, подсвечивающие негативные тенденции, входят в "минимальную потребительскую корзину". Однако с учетом объемов информации, с которыми сталкивается на практике служба ИБ, классической аналитики недостаточно. И мы видим, как использование технологий поведенческого анализа (User Behavior Analytics, UBA) становится привычной рутиной. Технологии UBA позволяют выявлять в поведении сотруд-

RT-Solar 7/28/21 5:51 PM Page 15

www.itsec.ru

DLP

ников аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, о предпосылках к возникновению утечек информации, о скором увольнении сотрудников и т.п. Это дает возможность службам безопасности прогнозировать риски, заниматься профилактикой нарушений, повышать выявляемость. Анализ поведения помогает фокусироваться на тех областях, где риск возникновения угроз максимально высок. Компании enterprise-сегмента, как правило, имеют территориально распределенную структуру. Здесь требуются решения, компоненты которых физически размещаются по всей стране, а из единого центра можно ими управлять, проводить сквозные расследования, видеть общую аналитику. Такая система должна обеспечивать надежную работу вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия. Еще один аспект – требования к безопасности самой DLP-системы. Наверное, "средние" требования зависят от решаемых задач и величины потенциального ущерба. Основная задача СЗИ – не только обеспечить функциональность, но и защитить пользовательскую информацию от потери целостности, конфиденциальности и доступности. Для этого в ПО закладываются функции безопасности, которые различаются для систем разных категорий. И там, где одной компании будет достаточно соответствия требованиям к средствам контроля подключения съемных машинных носителей от 2014 г., минимальным требованием другой будет соответствие уровню доверия для систем I класса защищенности.

Это то, что сегодня де-факто уже является стандартом отрасли. А теперь о том, что отличает наиболее передовые системы.

…Или на роскошном Rolls-Royce? Обычно, когда говорят про продвинутую DLP-систему, подразумевают наличие широкой функциональности. И этот аспект важен. Однако, на мой взгляд, класс системы определяется удобством использования, продуманностью деталей и высоким качеством реализации каждой функции. То, что в небольшой компании является досадным неудобством, в масштабе крупной корпорации выливается в колоссальные потери времени. Так, например, в одной из версий мы изменили дизайн карточки сообщения, сделав ее больше и лучше структурировав, однако допустили usability-ошибку: контрастность важных для анализа параметров в новом дизайне оказалось недостаточной. Это привело к заметному снижению скорости работы группы реагирования на инциденты одного крупного заказчика. Поэтому высокая степень автоматизации рутинных процессов и операций ИБ-службы, столь значимая для крупных компаний, пока относится к "люксовым" возможностям DLP. Сегодня DLP-система является инструментом корпоративной безопасности в целом, применяемым для решения таких задач, как профилирование и выявление групп риска, мониторинг групп особого контроля, выявление признаков мошенничества и коррупции, расследование гипотез, управление конфликтом интересов и т.п. Это значит, что у DLP появилось большое количество функциональных пользователей, которым необходимо обеспечить конфиденциальность работы. Это совершенно иной уровень требований к разделению прав пользователей.

Достигшая определенной зрелости компания приходит к осознанию необходимости интеграции DLP в экосистему безопасности. Здесь от DLP-системы требуется наличие развитых средств интеграции со смежными системами. Если раньше в стандарт интеграции входили AD, прокси и SIEM и лишь отдельные заказчики выгружали данные DLP в BI, то сейчас появился спрос на интеграцию с IGA, IRM, IRP.

А нужен ли вообще автомобиль? Необходимость системы безопасности определяется величиной и приемлемостью потенциального ущерба. Приемлема ли утечка конструкторской документации предприятия оборонного комплекса к вероятному противнику? Как это скажется на обороноспособности страны? А утечка логинов и паролей от сотрудника металлургического предприятия, приведшая к кибератаке и экологической катастрофе? Каков ущерб от утечки к конкуренту базы благонадежных заемщиков небольшого банка? Как это повлияет на доходность и устойчивость бизнеса? Или, скажем, срыв выполнения госконтракта и попадание в реестр недобросовестных подрядных организаций как результат накопившейся критичной массы нарушений в процессе взаимодействия в течение длительного времени с большим количеством субподрядчиков. Такой ситуации можно было избежать, поставив на мониторинг коммуникации по ключевой сделке. Так нужен ли вам автомобиль? l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 15

Zecurion 7/28/21 5:51 PM Page 16

СПЕЦПРОЕКТ

Выбор идеальной DLP-системы: 9 вопросов, которые нужно задать вендору Алексей Раевский, генеральный директор Zecurion

D Некоторые вендоры стараются выпустить продукт как можно быстрее, при этом его качество, удобство и надежность оставляют желать лучшего.

Преимущество технологически зрелого корпоративного решения заключается в том, что у вендора не будет проблем с его поддержкой и выпуском новой функциональности.

Многие организации предпочитают использовать DLP-системы в режиме наблюдения, без активного вмешательства в информационные потоки.

16 •

LP-системы сегодня стали необходимым, уже обыденным инструментом в арсенале корпоративных служб информационной безопасности, к их выбору подходят достаточно вдумчиво. Имея значительный опыт на рынке DLP, мы решили собрать в этой статье несколько практических вопросов, ответы на которые помогут понять, насколько зрелое решение вы рассматриваете и не получится ли так, что, потратив значительные средства, вы вложитесь в продукт, которому еще далеко до общепринятых стандартов корпоративного ПО.

В процессе выбора системы, кроме всего прочего, заказчики учитывают и свои симпатии к бренду, и рекламируемость, и, конечно, стоимость. Тем не менее "под капотом" DLP-систем можно обнаружить много такого, о чем не пишут в рекламных буклетах, при этом цена ошибки достаточно высокая. Чтобы избежать ошибок и связанных с ними затрат, ИБслужбам полезно глубже погружаться в технические подробности, не ограничиваясь формальным сравнением галочек по списку "фич". На рынке много решений разного уровня зрелости, и наличие плюса в строке таблицы сравнения не гарантирует, что в реальности эта функция работает так, как нужно пользователю. Некоторые вендоры стараются выпустить продукт как можно быстрее, при этом его качество, удобство и надежность оставляют желать лучшего. Преимущество технологически зрелого корпоративного решения заключается в том, что у вендора не будет проблем с его поддержкой и выпуском новой функциональности. Обычно DLP-системы выбираются исходя из трех-, а то и пятилетнего горизонта планирования, поэтому соответствие текущим требованиям – это не единственный критерий выбора. Надо понимать, куда двигается вендор, и прогнозировать, какие задачи могут возникнуть у вашей компании в среднесрочной перспективе. Если вендор сможет за это время только довести продукт до надлежащего enterprise-уровня, возможно, связываться с ним не стоит.

Для каких каналов возможна блокировка по контенту Этот вопрос может показаться странным, ведь буква P в аббревиатуре DLP означает Prevention. То есть DLP-система по определению должна предотвращать утечки, а это можно сделать, только заблокировав подозрительную операцию. Тем не менее многие организации предпочитают использовать DLPсистемы в режиме наблюдения, без активного вмешательства в информационные потоки. Вся информация сохраняется в архив, и служба безопасности реагирует на утечки постфактум, выявляя нарушителей и применяя к ним меры дисциплинарного воздействия. В связи с этим потребность в функциях блокировки отходит на второй план, поскольку активное их использование и не планируется. Часто такая постановка задачи объясняется рисками ложноположительных срабатываний или сбоев DLP-системы. Если из-за DLP-системы будет нарушено функционирование электронной почты или какогото другого жизненно важного сервиса, ущерб репутации ИБи ИТ-отделов может быть очень высоким. Однако этот аргумент относится только к незрелым DLP-системам, которые практически невозможно внедрить и настроить так, чтобы они работали без сбоев. При этом потенциальная утечка из-за отсутствия режима блокировки может стоить бизнесу очень дорого. Кроме того, многие руководящие документы (например, GDPR) прямо требуют иметь защиту от утечек в режиме блокировки и предусматри-

вают серьезные штрафы для нарушителей. Некоторые каналы, которые контролируются DLP-системами, не позволяют реализовать блокировку по сугубо техническим причинам. Например, для мессенджеров WhatsApp и Telegram возможен только пассивный мониторинг, в противном случае они не будут работать. Однако вряд ли рассматриваемую DLPсистему можно считать достаточно зрелой, если в ней нет блокировки по содержимому файлов следующих каналов: электронная почта, внешние USB-диски, принтеры, веб-сервисы (протоколы HTTP / HTTPS).

Где выполняется контентный анализ и применение политик Такой вопрос возникает, потому что очень немногие DLPсистемы из присутствующих сейчас на рынке изначально создавались как единые полноценные системы с продуманной архитектурой. Большинство вендоров начинало с какого-то одного модуля. Далее вокруг этого модуля достраивалось окружение для контроля остальных каналов, и хорошо, если оно было разработано тем же вендором. При таком хаотичном развитии приходилось учитывать все ограничения и особенности, которые имелись у первого модуля. Естественно, что результат нельзя назвать образцом эффективной архитектуры, а это неизбежно сказывается на потребительских характеристиках продукта. Таким образом, по тому, где выполняется контентный анализ, зачастую можно определить, с чего начиналась история той или

Zecurion 7/28/21 5:51 PM Page 17

www.itsec.ru

DLP

иной DLP-системы. Например, если endpoint-агент передает информацию для анализа на DLP-сервер по протоколу SMTP, то можно предположить, что продукт начинался с модуля контроля электронной почты. При этом сервер может возвращать результат анализа на агент, а может и не возвращать. В последнем случае функция блокировки по содержимому при записи на USB-диск или при печати вообще отсутствует. Понятно, что при такой архитектуре требуется постоянное соединение с сервером, а загрузка сети может быть слабым местом. В тендерной документации иногда можно встретить вопрос, поддерживает ли DLPсистема приоритизацию сетевого трафика (QoS, Quality of Service). Это, скорее всего, означает, что рассматривалась только одна такая система, поскольку при грамотном проектировании контентный анализ выполняется там же, где применяются политики. Необходимость в передаче больших объемов информации по сети просто отсутствует, и вопрос приоритизации сетевого трафика неактуален.

Как работает агент системы, когда нет соединения с корпоративной сетью Этот вопрос является логическим продолжением предыдущего. Но проблема не только в том, чтобы оптимизировать использование сетевого трафика. Агент, кроме выполнения контентного анализа и применения политик, должен передавать информацию о событиях, а также теневые копии и другие данные на сервер для записи в архив. Если связь с архивом отсутствует, то вся эта информация не должна теряться. Как правило, она сохраняется на локальном диске и передается на сервер в момент, когда соединение установлено. В идеале политики должны применяться на агенте в зависимости от того, есть ли непосредственное подключение к локальной сети, или компьютер подключен через VPN, или подключение отсутствует. Таким образом, для каждой среды можно устанавливать соответствующие правила. Это бывает важно, когда сотрудник с рабочим компьютером находится вне офиса, например в командировке или на удаленке.

Удобно ли управлять системой Удобство управления – это весьма субъективный критерий. Кому-то привычнее управлять системой с помощью командной строки, а кому-то удобно создавать политики и правила, программируя на скриптовом языке. Тем не менее продуманный и удобный интерфейс может быть косвенным признаком того, что разработчик в состоянии обеспечить квалитативную разработку, а функциональные компоненты системы качественны и эффективны. В плане удобства и проработанности интерфейса важно отметить два аспекта. Во-первых, единая консоль управления. Сейчас чаще всего предпочтение отдается веб-консолям. Они платформонезависимы, не требуют установки дополнительного ПО, могут работать на мобильных устройствах. Если же консолей несколько, например имеются специальные консоли для управления отдельными модулями, это говорит о том, что продукт не проектировался и не разрабатывался как единая, логически законченная система. Возможно, модули дописывались разными командами и "прилеплялись" (каждый со своей консолью) друг к другу в ходе ускоренного эволюционного развития. Может, они вообще собраны "с миру по нитке" – лицензированы у разных производителей и интегрированы не так, как следовало бы, а так, как получилось. Во-вторых, зрелая DLP-система должна иметь омниканальные политики. Это означает, что если требуется создать политику для контроля, например, тендерной документации, то достаточно сделать это один раз и просто указать, к каким каналам она будет применяться (электронная почта, веб, USB-устройства и т.д.). Менее совершенная система потребует создавать однотипные политики для каждого канала отдельно. Это может показаться небольшой проблемой, но количество политик имеет тенденцию к росту. Когда оно переваливает за сотню, а в правилах используются сложные условия, где присутствуют не только контентные правила, а еще и группы пользователей, дни недели и т.д., поддержание такого набора в синхронизированном состоянии может превратиться в серьезную головную боль.

Какое минимальное количество серверов нужно для внедрения Еще одним явным признаком дефектной архитектуры, видимым уже на "пилоте", может стать количество серверов, необходимых для работы системы. Если для "пилота" на 50–100 клиентов нужно более одного сервера, это означает, что архитектура системы не оптимальна и, скорее всего, будет требовать повышенных ресурсов и на этапе промышленной эксплуатации. Качественная система уровня enterprise одинаково хорошо масштабируется в обе стороны. Безусловно, при увеличении масштаба внедрения потребуется возможность разнесения отдельных компонентов системы на разные серверы и их кластеризация. Но на малых внедрениях DLP-система не должна требовать неоправданно больших ресурсов.

Продуманный и удобный интерфейс может быть косвенным признаком того, что разработчик в состоянии обеспечить квалитативную разработку, а функциональные компоненты системы качественны и эффективны.

Если же консолей несколько, например имеют-

Легко ли развернуть систему? Набор вариантов внедрения Для серьезной DLP-системы характерна поддержка множества вариантов внедрения. Это, вопервых, упрощает задачу совмещения DLP-системы с существующей ИТ-инфраструктурой, а вовторых, позволяет гибко балансировать функциональную и вычислительную нагрузку при контроле различных каналов. Сегодня на рынке есть ряд систем, предусматривающих контроль всех каналов на уровне только endpoint-агента. Это сильно упрощает задачу вендору, позволяет сэкономить на команде разработчиков и сократить сроки разработки и выпуска новых версий. Однако такая архитектура не может считаться уровнем enterprise. Большинство сетевых каналов более естественно контролировать на уровне шлюза, особенно для масштабных внедрений. Зрелая DLP-система кроме агента для конечных точек предлагает следующие варианты шлюзового внедрения: l интеграция с почтовыми серверами (например, Microsoft Exchange), в этом случае можно удобно контролировать и внутреннюю почту; l прием почты из технического почтового ящика; l интеграция с имеющимся интернет-шлюзом по протоколу ICAP; l собственный почтовый транспортный сервер.

ся специальные консоли для управления отдельными модулями, это говорит о том, что продукт не проектировался и не разрабатывался как единая, логически законченная система.

Если для "пилота" на 50–100 клиентов нужно более одного сервера, это означает, что архитектура системы не оптимальна и, скорее всего, будет требовать повышенных ресурсов и на этапе промышленной эксплуатации.

Для серьезной DLPсистемы характерна поддержка множества вариантов внедрения.

• 17

Zecurion 7/28/21 5:51 PM Page 18

СПЕЦПРОЕКТ Отдельно следует сказать о поддержке мобильных устройств на базе iOS и Android. О ней часто спрашивают, но, к сожалению, реализовать полноценный агент для смартфонов и планшетов, особенно от компании Apple, практически невозможно по объективным техническим причинам. С другой стороны, при реализации стратегии BYOD можно (и нужно) использовать решение класса Mobile Device Management. Оно позволит задействовать встроенные возможности мобильной ОС, настроить политики конфиденциальности и снизить риск утечки через гаджеты до приемлемого уровня.

Наиболее зрелые вендоры предлагают еще собственный прокси-сервер, который обеспечивает интеграцию с DLPсистемой для контроля HTTPи HTTPS-трафика. В отечественной корпоративной среде проблема использования DLP-системы возникает весьма часто, при этом она может иметь разные аспекты.

Если DLP-система не поддерживает размещение собственных серверных модулей в облачной среде, это в какой-то момент может стать неприятным сюрпризом.

Поддержка нескольких endpoint-платформ также является признаком солидной DLP-системы.

DLP должны в первую очередь решать реальные производственные задачи.

Поддерживает ли облачную инфраструктуру В отечественной корпоративной среде проблема использования DLP-системы возникает весьма часто, при этом она может иметь разные аспекты. Во-первых, иногда требуется установить серверные компоненты DLP-системы в облаке. Такое случается, как правило, на "пилотах" или у небольших организаций. Все-таки архив DLP-системы хранит в себе все корпоративные секреты, и размещать его в неконтролируемой среде рискнут немногие. Тем не менее, если DLP-система не поддерживает размещение собственных серверных модулей в облачной среде, это в какой-то момент может стать неприятным сюрпризом. Второй аспект – контроль облачных хранилищ и сервисов. Речь тут может идти как о банальной выгрузке файла с конфиденциальной информацией в облако, так и о более сложных схемах, например, когда организация использует почтовые сервисы Office 365 или G Suite. Здесь есть много нюансов и возникающих из-за них проблем. Скажем, для выгрузки файлов в облачные хранилища могут использоваться веб- или "толстые" клиенты. Та же история с почтовыми службами: для доступа к ним можно использовать как браузерный клиент, так и классический, например Microsoft Outlook. И для каждого варианта приходится применять различ-

АДРЕСА И ТЕЛЕФОНЫ Zecurion см. стр. 72

18 •

ные протоколы и разные варианты внедрения. При использовании облачных хранилищ в организации также необходимо обеспечить их регулярное сканирование DLP-системой для выявления хранящейся там конфиденциальной информации. Для подобных задач появился целый класс решений – CASB (Cloud Access Security Broker, брокер безопасности облачного доступа), сути решаемых задач эти системы концептуально очень близки к DLP. Так или иначе, подобные задачи необходимо решать, поэтому соответствующая функциональность будет появляться и в DLPсистемах.

Интеграция с другими корпоративными системами Здесь речь, конечно, не идет об интеграции с Microsoft Active Directory, которая должна быть реализована в любой современной DLP-системе. Чаще всего при внедрении DLP-системы бывает полезно, если поддерживается интеграция с нижеперечисленными классами ПО. 1. Управление информацией и событиями сферы безопасности (SIEM). Это, пожалуй, наиболее частый вопрос о совместимости, что вполне объяснимо: сейчас постройка центров SOC – одна из самых горячих тем в ИБ и всем хочется, чтобы события из DLP попадали в поле зрения SIEM. В принципе большинство SIEM-систем умеют самостоятельно загружать информацию из базы данных DLP, но гораздо удобнее, если DLP-система поддерживает Syslog, CEF и другие подобные протоколы. В этом случае при настройке DLP-системы можно более гибко управлять тем, какая информация и в каком виде будет попадать в базу данных SIEM, и добиваться большей эффективности. 2. Управление правами документов (EDRM). Чаще всего в этом контексте упоминается Microsoft RMS. В принципе системы DLP и управления правами удачно дополняют друг друга по функциональности и обеспечивают более надежную защиту, если правильно развернуты и настроены. В этом случае DLP-система понимает политики документов RMS, и их можно использовать в политиках DLP, при поиске в архиве,

построении отчетов и т.д. Кроме этого, DLP-система может сама применять политики RMS по конкретным правилам, например при обнаружении определенного контента. 3. Системы классификации данных. Наиболее совершенные DLP-системы понимают метки в свойствах документов, которые проставляют системы классификации данных, такие как TITUS, Bolden James и т.п., и позволяют их использовать в политиках. В этом случае можно извлечь двойную выгоду из уже потраченных усилий на работы по классификации данных. Впрочем, в наших широтах такие системы встречаются не так уж и часто, в основном у крупных корпоративных заказчиков.

Мультиплатформенность Поддержка нескольких endpoint-платформ также является признаком солидной DLP-системы. Самые простые решения предлагают агентский модуль только для Windows. Однако сегодня этого может быть уже недостаточно. Давно взятый политический курс на импортозамещение может привести к массовому переходу на один из клонов Linux в обозримом будущем. Понятно, что связанная с этим замена DLP-системы – самая маленькая боль при решении данной проблемы. Тем не менее стоит отметить, что уже сегодня есть более зрелые продукты, в которых агент работает и на Linux, и на Mac.

Выводы Как мы увидели, DLP-системы развивались неоднородно, что может сказываться и на степени целостности системы как слаженно работающего механизма, и на наличии поддержки отдельных каналов распространения информации, и на объеме данных, которые необходимо передавать по каналам связи для функционирования системы. Конечно, в современном мире также имеют значение и страна происхождения используемого программного продукта, и цена решения, и стоимость владения им. Но всё же DLP должны в первую очередь решать реальные производственные задачи и по возможности работать не только в режиме мониторинга. l

dialognauka 7/28/21 5:51 PM Page 19

Searchinform 7/28/21 5:51 PM Page 20

СПЕЦПРОЕКТ

Как выбрать DLP и не разочароваться? Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”

Одному нашему клиенту было важно блокировать пересылку файлов по метаданным, другие случаи пересылки его не интересовали. Перед покупкой нашей DLP-системы ("СёрчИнформ КИБ") компания тестировала несколько других, и выяснилось, что они с задачей не справляются, хотя в брошюрах напротив этого типа блокировки стояла галочка.

Ситуации, когда в известном решении не хватает именно базовых, "DLPшных" функций, большая редкость, а для нас они вообще скорее исключение.

20 •

LP-системы давно переросли свое первоначальное назначение (предотвращение утечек) и используются для решения гораздо более широкого круга задач информационной, экономической и кадровой безопасности. Заказчикам бывает сложно сориентироваться в том, какую именно систему необходимо купить, например система может оказаться избыточной по функционалу, но действительно нужные опции там могут быть не реализованы. Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”, рассказывает, как избежать разочарования в процессе покупки DLP.

– Несмотря на то что DLP – это высокофункциональные решения, возможностей ПО заказчику бывает недостаточно. Почему так происходит? – В этом нет парадокса, требования к классу DLP-решений уже сложились, но это база. Дальше вендоры развивают свои продукты в зависимости от понимания, куда идет рынок, а также под влиянием пожеланий конкретных заказчиков, которые могут высказывать специфические требования. Если это важные функции, которые окажутся востребованными и другими заказчиками, вендоры включают их в план разработки. У нас в DLP так появилась интеграция со СКУД, BI-системами, таск-менеджер, элементы фразового поиска, обработка аудиоречи и многое-многое другое. Но так развиваются не все продукты, поэтому и функционал у них может быть беднее. Ограничение функциональности также может быть связано с тем, что в DLP применяются сторонние разработки. Иногда это целые движки, модули, платформы или даже White Labeling чужого продукта под видом своего. В результате вендор ограничен возможностями чужого программного продукта и его планами развития. Это частая проблема, которая встречается и в иностранных, и в ряде отечественных DLPсистем. Мы в свое время приняли решение работать на собственном поисковом движке, его используем не только в DLP, но и в других продуктах. Все

остальные элементы наших систем тоже самописные. Если клиенту потребуются доработки, исправление ошибок или техническая поддержка, он гарантированно их получит. – DLP-системы обычно покупают надолго, если не навсегда. Как понять во время покупки, достаточен ли функционал? – Часто разочарование возникает из-за того, что заказчик пренебрегает полноценным тестированием, ориентируясь на маркетинговые описания и составленные кем-то другим сравнительные таблицы. Я их понимаю: очень часто принять решение нужно быстро, а тестирование отнимает значительное время. Тем не менее время, затраченное на тестирование, впоследствии оборачивается экономией во время эксплуатации. Поэтому я рекомендую составлять свою сравнительную таблицу: последовательно ставить на тест несколько DLPсистем и смотреть, как они отработают по наиболее критичным для вас задачам. – Часто сталкиваетесь с тем, что заказчикам недостаточно функционала вашего КИБа? – Такое бывает, но нечасто. Чаще мы сталкиваемся с тем, что клиент только думает, что функционала недостаточно. А потом выясняется, что для решения его задачи можно применять комбинацию существующих функций ПО, но заказчик об этом не догадывается. Да он и не обязан. Лучшими практиками должен делиться сам разработчик. Но у многих вендоров

это просто не предусмотрено, и все сопровождение ограничивается техподдержкой. У нас, кроме техподдержки, есть отдел внедрения. Специалисты подключаются к работе вместе с инженерами с первых дней тестов, учат работе с DLP, рассказывают о нюансах, помогают сделать настройки, чтобы "подогнать" систему под конкретные задачи, а потом сопровождают клиента во время эксплуатации. Поэтому ситуации, когда в известном решении не хватает именно базовых, "DLP-шных" функций, большая редкость, а для нас они вообще скорее исключение. Заказчики чаще всего обращаются с просьбами об интерфейсных доработках. Помню клиента, которому мы реализовали за несколько лет более 150 подобных доработок. Готовность вендора к такой работе – важный показатель уровня продукта, ведь и клиентские пожелания во многом формируют Road Map. Бывает еще так, что не хватает функционала смежных решений. Например, при том, что любая продвинутая DLP выполняет функции e-discovery, для полноценного аудита и защиты данных в покое нужна другая система – DCAP. Нам тут проще, чем другим вендорам, потому что в нашей линейке пять продуктов, которые бесшовно интегрируются друг с другом. Это DLP, SIEM, DCAP, DAM и ProfileCenter. – Один из главных вопросов – требовательность сложных программ к "железу". В случае с DLP-системами это неизбежное зло?

Searchinform 7/28/21 5:51 PM Page 21

www.itsec.ru

DLP

– Нет, не неизбежное. Ниже определенного уровня загрузки опуститься, конечно, невозможно, но системы сильно различаются по "прожорливости", потому что разработчики поразному подходят к оптимизации работы DLP-систем. Несмотря на то что вендоры подробно описывают минимальные технические требования, во время внедрения может произойти неприятный сюрприз. Чем больше объем внедрения, тем более он вероятен. Идеальный вариант – устраивать полноценный нагрузочный тест (развернуть все модули на максимальном количестве компьютеров). Но это не всегда возможно. Второй вариант – спрашивать мнение тех ИБ-специалистов, у которых стоит DLPсистема для схожего с вашим объема машин. Просите рассказать откровенно, с какими трудностями столкнулась компания. – Ваша программа насколько требовательная к "железу"? – Наша DLP-система всегда была на хорошем счету именно как одна из самых бережных к ресурсам. Но мы продолжаем оптимизацию, в течение нескольких лет это наша приоритетная задача. Еще в прошлом году изменили архитектуру, что позволило увеличить быстродействие DLP на 30% и расширить спектр решаемых задач, например искать данные в очень больших сетях. Раньше для этого заказчикам приходилось выделять большие мощности, размещать дополнительные серверы. В результате нашему КИБу нужно в 2–3 раза меньше серверных ресурсов, чем ближайшим конкурентам. Мы также среагировали на запрос заказчиков и с прошлого года можем развернуть DLP в облаке. – Сколько должно занимать внедрение DLP-системы? – Нормальная скорость внедрения типового пилота – несколько часов. Процесс может затянуться, если клиент ограничивает доступ или у него нет технического специалиста в штате, если у заказчика сложная ИТ-инфраструктура. Но в любом случае ненормально, если внедрение занимает недели и уж тем более месяцы.

– Еще одна проблема, которую упоминают ИБспециалисты, – это обилие ложных срабатываний. Можно ли от них избавиться? – Опытные ИБ-специалисты понимают, что совсем эту проблему не решить. Лучше разобрать лишние алерты, чем упустить важное. Но это не значит, что вся работа должна превратиться в рутину. У продвинутых программ число ложных срабатываний можно свести к минимуму за счет гибкой настройки политик безопасности. Важно вовремя остановиться и найти баланс. Например, можно исключить из мошеннической политики срабатывания на слово "кинуть", чтобы не получать ложные алерты "кинь мне деньги на карточку/телефон". Но мы советуем этого не делать, потому что можно пропустить действительно важный инцидент. В поиске этого баланса большую роль играет служба поддержки вендора: она должна не только решать технические проблемы, но и передавать лучшие практики. Разработчики с большим опытом отработали огромное количество всевозможных кейсов, скорее всего у них уже есть готовый ответ на вашу проблему. – Можно ли как-то облегчить жизнь ИБ-специалисту? – Если в DLP-системе есть возможность настроить политики гибко – это сильно снизит процент ложных срабатываний. Поэтому мы всегда обращаем внимание на обилие видов поиска, которые реализованы в КИБе (их девять). Это значит, что можно настроить политику, учитывая множество нюансов, но при этом до такой степени эффективно, чтобы не пропустить важное. Если один раз посвятить время вдумчивой настройке, это сильно сэкономит вам время в работе. В нашем случае с настройкой всегда могут помочь менеджеры внедрения. – Должна ли DLP-система окупаться? – Мое мнение – не обязательно. Ведь это, по сути, страховка, как КАСКО: не всегда окупается, но вы платите за спокойствие. Но опыт кол-

лег из сферы бизнеса говорит, что DLP окупается, причем очень быстро. Они считают, что система оправдывает себя уже в первый месяц эксплуатации. – Но все же бывает так, что DLP оказывается "мертвым грузом", потому что с ней просто некому работать. В условиях кадрового голода эта проблема только нарастает. – Так и есть. К сожалению, DLP-система – не антивирус, который установил – и работает. Даже в таком режиме DLP будет защищать от утечек данных, отрабатывая по предустановленным политикам безопасности. Но актуальную защиту можно обеспечить, если корректировать политики безопасности под новые бизнес-процессы, проводить расследования. И если у заказчика нет понимания, что делать с этими данными дальше, он будет использовать от силы 10–20% возможностей DLP. Мы давно работаем над тем, чтобы заказчики умели брать от нашего решения максимум. Так появился учебный центр и сильный отдел внедрения. Он снимает существенную часть забот с заказчика. В результате мы можем развернуть и обеспечить работу DLP-системы независимо от того, какова квалификация ИБ-специалистов и укомплектован ли их штат у клиента. На случай, если в штате просто некому работать с системой, мы запустили услугу – аутсорсинг DLP. Всякое бывает: специалиста может не быть в штате в принципе, он может уволиться, а может быть перегружен. Благодаря аутсорсингу проблема решается очень быстро. Вы получаете не просто временную подмогу, а независимого и высококвалифицированного ИБ-специалиста. Эта услуга, как и все описанные выше опции, доступна для бесплатного тестирования. Залог успешной работы с DLP – узнать все ее плюсы и минусы до покупки. Сделать это можно, только тестируя ее. l

Большую роль играет служба поддержки вендора: она должна не только решать технические проблемы, но и передавать лучшие практики.

Для тех, у кого в штате просто некому работать с системой, мы запустили услугу – аутсорсинг DLP.

АДРЕСА И ТЕЛЕФОНЫ "СЕРчИНФОРм" см. стр. 72

• 21

DeviceLock 7/28/21 5:51 PM Page 22

СПЕЦПРОЕКТ

Мониторинг активности пользователей в DeviceLock DLP 9.0 Сергей Вахонин, директор по решениям, Смарт Лайн Инк

Контроль действий сотрудников на базе графических (видеозапись и снимки экранов) и текстовых данных, собранных в централизованном архиве сплошным потоком без разделения на корпоративные и личные, призван так или иначе решать те же задачи, что и полноценные системы класса DLP, то есть отслеживать передачу конфиденциальной информации за пределы организации в сочетании с детальным протоколированием действий пользователей. При этом обработка архива всегда требует участия сотрудника службы ИБ, поскольку обработка видеозаписей проводится в ручном режиме без возможности автоматизированного анализа содержимого того, что было на экране пользователя. Однако подход к защите информации, построенный на базе только мониторинга, порождает у

22 •

ак известно, самый простой подход к защите от утечек информации с компьютеров начинается с применения превентивных мер – запрета передачи данных для конкретных пользователей по различным портам и устройствам. Другой не менее простой, но гораздо менее эффективный способ борьбы с утечками – это контроль действий сотрудников постфактум или на основании видеозаписи экрана, когда служба безопасности осуществляет регулярный мониторинг переданных по всем каналам данных и их криминалистический анализ с целью наказания совершивших кражу данных сотрудников – дабы прочим было неповадно. Оптимальный и наиболее эффективный путь – проверка содержимого передаваемых данных на наличие персональных данных или конфиденциальной информации в режиме реального времени, с последующим автоматическим принятием решения о запрете или разрешении передачи данных и регистрацией детализированной информации о событии, включая видеозапись экрана.

служб ИБ ложное ощущение защищенности при том, что в реальности администраторы беспомощно наблюдают на экранах своих мониторов, как конфиденциальные данные беспрепятственно утекают из их информационных систем. В то же время нет смысла отрицать важность и значимость процедур расследования инцидентов и постоянного анализа журналов событий, вплоть до изучения экранных видеороликов с полной картиной рабочего дня отдельно взятых сотрудников, например отнесенных к группе риска, – это и косвенная мера предотвращения утечек (когда сотрудники знают о ведущемся наблюдении, число желающих нарушать правила резко сокращается), и аналитический инструмент для дальнейшего усовершенствования системы безопасности.

DeviceLock User Activity Monitor На российском рынке мониторинг активности пользователей, равно как и расширенный анализ архива DLP-системы, включающий работу со скриншотами и видеозаписями экрана, а также построением сводных отчетов по пользователям, исторически является одним из наиболее востребованных. Следуя требованиям рынка, весной 2021 г. компания "Смарт Лайн Инк" представила рынку новую версию DeviceLock DLP 9, включающую в себя новый компонент – DeviceLock User Activity Monitor (UAM). Компонент DeviceLock User Activity Monitor (UAM) реализован как опциональный, точно так же, как и другие компоненты системы DeviceLock DLP. Этот модуль является неотъемлемой частью агента DeviceLock DLP, который устанавливается на каждый защищаемый компьютер и обеспечивает возможность записи действий пользователя посредством таких инструментов, как видеозапись экрана компьютера, запись нажатий клавиш, сохранение информации о процессах и приложениях, которые выполнялись и запускались во время записи. В процессе видеозаписи DeviceLock способен записывать один или несколько пользовательских экранов в заданном разрешении, в цвете или полутонах, приостанавливать запись при неактивности пользователя. Функция кейлоггера предусматривает опцию отключения или включения записи паролей. Принципиальное отличие мониторинга активности в DeviceLock – это избира-

DeviceLock 7/28/21 5:51 PM Page 23

DLP

тельный принцип включения видеозаписи экрана и/или клавиатурного ввода, а также сведений о запущенных процессах по наступлению заданных системных событий (триггеров). Такими событиями могут быть запуск определенного процесса или переключение на определенное окно, обнаружение подключений VPN, LAN, WLAN, подключение периферийных устройств, в том числе включенных в белый список USB-устройств, блокировка доступа к устройству или сетевому протоколу и, что самое важное и полезное, срабатывание DLP-политики, включая основанные на анализе содержимого при детектировании заданного содержимого в передаваемых, сохраняемых, печатаемых данных, независимо от наличия подключения АРМ к корпоративной сети/серверам. При необходимости записи активности пользователя в течение всего его рабочего дня за компьютером таким триггером может служить вход в систему. В общем случае запись ведется до тех пор, пока активен триггер (например, будет закрыто целевое окно или пользователь выйдет из системы), или по заданному времени.

UAM как качественное расширение правил контентного анализа Возможность включения функции видеозаписи экрана и записи клавиатурного ввода по триггерам является критически важной, поскольку позволяет ограничить объем мониторинга до разумно необходимого и достаточного с помощью современных технологий контентной фильтрации. Такие технологии, реализованные в DeviceLock DLP, позволяют ограничить доступ и обработку DLPсистемой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, представляющих ценность для организации, как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением видеозаписей экрана. Грамотный и взвешенный подход к использованию контентных фильтров с исключением из мониторинга неактуальных для службы ИБ данных (например, личные данные сотрудников) приводит к существенному повышению качества мониторинга и содержимого централизованного архива. Для этого следует включать опцию записи экрана и клавиатурного ввода не только по базовым триггерам, таким как запуск определенного процесса, или помещать в архив не все видеозаписи подряд, а только связанные с детектированием процесса передачи защищаемых данных – тех, на которые еще на агенте сработали правила анализа содержимого. Безусловно, это потребует некоторых трудозатрат на всех этапах внедрения DLP-системы в организации, но в результате сведет к минимуму этические

www.itsec.ru

В заключение подчеркну, что полнои правовые проблемы, вызываемые сбоценные DLP-решения должны быть спором теневых копий и видеозаписью собны функционировать без участия сплошным потоком, тогда как автомачеловека, только тогда анализируемая тизированный отбор передаваемой и собираемая в архив информация не в архив информации на базе анализа станет достоянием посторонних глаз, контента без участия ИБ-специалистов включая даже сотрудников службы безрешает эту проблему. опасности. Решение о запрете или разПриведем пример, когда видеозапись решении передачи информации, экрана может быть полезной даже при а также видеозапись экрана и нажатия срабатывании правила защиты конфиклавиш должно осуществляться DLPденциальной информации, то есть при системой на компьютере сотрудника фактическом предотвращении утечки в полностью автоматическом режиме. защищаемых данных. Пользователь Это означает, что анализ информации пытается отправить по электронной должен проводиться в режиме реальпочте сообщение с вложением в виде ного времени на основании заранее архивированного документа. Однако при предопределенных политик для детеканализе передаваемого сообщения тирования защищаемых данных, а не и вложения DeviceLock DLP детектирует сбора всей передаваемой служебной совпадение цифрового отпечатка докуили личной информации подряд. Как мента, предварительно запакованного следствие, проанализированные агензлоумышленником в архив, с образцом том DLP-системы данные не покидают в базе цифровых отпечатков и классирабочую станцию без необходимости фикацией уровня "конфиденциально" и, ее дальнейшего просмотра службой следуя заданной политике, блокирует безопасности или хранения в центраотправку сообщения. Наш злоумышленлизованном архиве DLP-системы, при ник понимает, что наткнулся на протиэтом такие данные с высокой долей водействие и, намереваясь "замести вероятности будут относиться к катеследы", старательно удаляет и черновик гории защищаемых, а не личных или сообщения, и сам архив с конфиденциобщественно доступных. Только при альным документом. Очевидно, что дейтаком условии использование DLPствия по скрытию следов нарушения решений позволит исключить нарушеуже никак не будут отслежены штатными ния прав сотрудников на личную средствами DLP-системы, ведь никакой и семейную тайну. передачи информации уже не происхоDeviceLock DLP является одним из дит. Однако начавшаяся по триггеру лучших и единственным российским "сработало контентно-зависимое правирешением класса Endpoint DLP среди ло" видеозапись экрана предоставит представленных на мировом рынке, глазам службы безопасности весь этот обладающим полным функциональным прекрасный процесс. арсеналом современных DLP-систем. Стоит отметить еще один немаловажБлагодаря использованию DeviceLock ный функциональный аспект реализации DLP предотвращаются хищения информониторинга активности пользователей мации через съемные накопители и друв DeviceLock DLP, он реализован с подгие подключаемые внешние устройства, держкой консолидации журналов, как канал печати, электронную почту, месэто было сделано ранее для централисенджеры, облачные файлообменные зации сбора событий событийного просервисы и т.д. Технологии избирательтоколирования и теневых копий. Это ного мониторинга деятельности сотрудозначает, что в организациях, имеющих ников, реализованные в DeviceLock DLP несколько филиалов, DeviceLock будет версии 9 как часть полноценного DLPподдерживать схему с централизованрешения, обеспечивают юридическую ным сбором данных мониторинга активдокументируемость и повышение уровня ности на сервер в центральном офисе доказательности несанкционированных (он же мастер-сервер) с серверов филиапопыток доступа и фактов копирования лов по заданному расписанию. Для агензащищаемых организацией данных при тов DeviceLock может быть задано расследовании инцидентов информанесколько серверов системы и указаны ционной безопасности, упрощая процесс правила выбора сервера при передаче выявления подозрительного поведения накопленных данных в архив. Каждый пользователей и злоупотребления притакой сервер подключается к SQL-сервилегиями доступа или политиками веру и хранит свои данные (события, защиты данных, что в результате притеневые копии, а теперь еще и видеозаводит к снижению рисков утечки инфорписи экрана и нажатия клавиш) в отдельмации. l ной базе данных. Более того, к одному SQL-серверу может быть подключено несколько серверов хранения. Такая схема позволяет организовать работу с архивом Реклама NM событий на разных уровАДРЕСА И ТЕЛЕФОНЫ нях организации – и в Смарт Лайн Инк филиалах, и в головном см. стр. 72 офисе.

• 23

garda 7/28/21 5:51 PM Page 24

СПЕЦПРОЕКТ

От DLP к комплексной аналитике Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии”

связи с переходом на дистанционный режим работы многие специалисты по безопасности столкнулись с проблемами удаленного доступа к критической информации. Вопросы контроля пользователей стали приоритетными. Использование привычных средств противодействия утечкам информации, таких как DLP-системы (Data Leak Prevention, предотвращение утечек), потребовало новых подходов и дополнительных функций, так как устоявшиеся методы борьбы с утечками перестают работать.

Как работают DLP-системы в новых условиях Рост угроз безопасности и необходимость контроля большего числа источников информации от DLP требует расширения функциональных возможностей.

"Гарда Аналитика" от "Гарда Технологии" существенно расширяет возможности DLP, выявляя группы риска среди сотрудников, фиксируя индикаторы нарушений и превентивно обнаруживая их.

"Гарда Аналитика" обеспечивает глобальную видимость за счет интеграции и анализа информации из внутренних и внешних источников.

24 •

DLP-система активно применяется для контроля действий сотрудников и защищает от утечек конфиденциальной информации, позволяет выявлять, оперативно расследовать инциденты безопасности и контролировать распространение информации. Но в современных реалиях использование DLP-систем встречает ряд таких сложностей, как: 1. Рост объемов контролируемой информации. Значительно увеличилось число контактов и случаев передачи информации в онлайн-режиме, возрос и объем корпоративной переписки, появились корпоративные мессенджеры, значительная часть деловой переписки теперь происходит в Whatsapp, Telegram и других мессенджерах. Это усложняет настройку правил детектирования утечек, приводит к увеличению количества ложных срабатываний и, как следствие, отнимает больше времени у специалистов по безопасности на разбор и анализ данных. 2. Формальное описание утечки информации. Рассмотрим один из примеров, с которыми мы сталкивались в ходе эксплуатации DLP-системы: данные об объемах продаж за полугодие переданы в виде таблицы с цифрами без каких-либо комментариев, только дата и сумма. При этом таблица вставлена в документ, который отправлен сотрудником на личную почту. Сам документ не является важным объектом, это, предположим, дипломная работа, которую сотрудник делает в

Аналитическая платформа "Гарда Аналитика" – основа экосистемы безопасности "Гарда Технологии" – всестороннего комплекса защиты от угроз информационной и экономической безопасности, с которым интегрируются системы информационной безопасности "Гарда Предприятие", "Гарда БД", "Гарда Монитор", а также другие информационные системы. Ключевые возможности платформы "Гарда Аналитика": l Поиск последовательности событий среди огромного количества данных, поступающих из различных внутренних и внешних источников l Выявление и построение связей между объектами реального мира l Обнаружение угроз безопасности на основе поведенческого анализа с помощью методов машинного обучения l Автоматизация деятельности службы безопасности l Система открыта для подключения дополнительных информационных систем и бизнес-приложений Технологическая платформа BigData позволяет выявлять инциденты в реальном времени, оценивать поведение, а также превентивно реагировать на мошенничество.

свободное время. Таким образом, с точки зрения DLP-системы это не является инцидентом, так как нет никаких данных, которые она могла бы самостоятельно идентифицировать как критически важные. Ситуация осложняется тем, что отправка личных документов на личную почту сейчас встречается часто и сотруднику службы безопасности не хватает времени разбирать каждый факт подобных срабатываний. Рост угроз безопасности и необходимость контроля большего числа источников информации от DLP требует расширения функциональных возможностей. Среди них – интеграция с другими системами безопасности, а также использование средств предиктивной аналитики, то есть поведенческий анализ и выявление инцидентов по косвенным признакам и взаимосвязям между событиями из множества систем безопасности.

Расширение возможностей DLP за счет комплексного анализа Комплексные решения, объединяющие в себе разные инструменты информационной безопасности, в том числе и DLP, позволяют единовременно контролировать и внутренние, и внешние источники данных, доступ к базам данных, а также защищать доступ к корпоративной сети извне. Они помогают автоматизировать все процессы обеспечения информационной безопасности, выявления поведенческих отклонений пользователей и систем. Для этого в системах комплексного анализа применяются инструменты поведенческой аналитики, построение связей и цепочек событий в момент времени, что позволяет настраивать индикаторы событий, выстраивать последовательность событий, анализируя и обрабатывая каждое событие цепочки.

garda 7/28/21 5:51 PM Page 25

www.itsec.ru

DLP

Система комплексного анализа, объединяющая в себе множество источников данных и подключаемых инструментов безопасности, – "Гарда Аналитика" от "Гарда Технологии" существенно расширяет возможности DLP, выявляя группы риска среди сотрудников, фиксируя индикаторы нарушений и превентивно обнаруживая их.

"Гарда Аналитика" – платформа информационной и экономической безопасности "Гарда Аналитика" обеспечивает глобальную видимость за счет интеграции и анализа информации из внутренних и внешних источников. Система собирает данные не только из имеющихся систем безопасности, но и из прикладных информационных систем компании и внешних источников, таких как ЕГРЮЛ, ФССП и прочих, работая при этом в режиме реального времени. Исходные события постоянно обогащаются новыми сведениями, предоставляя службе безопасности полную картину происходящего в инфополе организации. Принцип работы системы – автоматизация процессов обнаружения отклонений в поведении сотрудников и систем благодаря непрерывному сбору и анализу поступающих данных.

Платформа определяет и строит связи между ними, позволяя раскрывать мошеннические схемы, выявлять злоумышленников и оперативно реагировать на различные виды инцидентов.

Практика применения аналитической платформы "Гарда Аналитика" открывает широкие возможности для решения задач безопасности, таких как: оперативная оценка кандидата или контрагента, контроль бизнес-процессов организации, анализ финансовых операций, контроль целостности и защита критических данных в информационных системах, обнаружение атак, заражений и теневых информационных технологий, выявление транзакционного и телекоммуникационного фрода, мошенничества при закупках, на производстве и в сбыте. Допустим, сотрудник промышленного предприятия написал заявление на увольнение, но решил не уходить с пустыми руками. За оставшиеся 14 дней на отработке он скопировал выгрузку из crm-системы, включая сведения о контрактах с контрагентами. В системе "Гарда Аналитика" такие сотрудники с момента подачи заявления на увольнение, а чаще заранее по поведенческим признакам автоматически ставятся на повышен-

ный контроль безопасности. Информация не сохранилась на флешку, не была распечатана и не была отправлена по электронной почте, так как эти действия были заблокированы. Сотрудник попытался сфотографировать экран, но был зафиксирован камерой видеонаблюдения, и его удалось перехватить на КПП при блокировке пропуска. Таким образом, многофакторный анализ данных из разных информационных систем позволяет предотвращать утечки критических данных. Возможность гибко адаптироваться к новым угрозам – одна из ключевых особенностей платформы. "Гарда Аналитика" позволяет построить экосистему безопасности, которая осуществляет защиту информации на уровнях сети, баз данных, на рабочих местах и устройствах, в частности благодаря бесшовной интеграции решений "Гарда Технологии" ("Гарда БД", "Гарда Монитор", "Гарда Предприятие"). С помощью платформы "Гарда Аналитика" оперативно формируется всесторонний комплекс защиты организации от угроз информационной и экономической безопасности. l

"Гарда Аналитика" открывает широкие возможности для решения задач безопасности.

Многофакторный анализ данных из разных информационных систем позволяет предотвращать утечки критических данных.

"Гарда Аналитика" позволяет построить экосистему безопасности, которая осуществляет защиту информации на уровнях сети, баз данных, на рабочих местах и устройствах.

АДРЕСА И ТЕЛЕФОНЫ "Гарда Технологии" см. стр. 72

• 25

eset 7/28/21 5:51 PM Page 26

СПЕЦПРОЕКТ

Цифровой помощник для бизнеса Александр Пирожков, руководитель направления ESET Threat Intelligence

фисный контроль – это не про справки о COVID-19 или стиль одежды на работе, это забота о сохранности данных и мониторинг эффективности труда персонала. Полноценный комплекс DLP (Data Loss Prevention) Safetica охватывает широкий спектр угроз безопасности, связанных с человеческим фактором. Он защищает компанию от спланированных или случайных утечек данных, злонамеренных действий инсайдеров и BYOD-рисков, а также помогает повысить продуктивность работы. В этой статье мы подробнее рассмотрим функционал DLP Safetica.

Человеческий фактор

Зачастую люди, работающие с конфиденциальными данными, не обладают достаточными знаниями о правилах безопасности.

Решение Safetica создано для оперативного контроля поведенческих особенностей людей в офисе и на удаленной работе.

Каждый третий сотрудник хотя бы раз в своей карьере вредил работодателю: копировал данные, чтобы использовать на новом месте; удаленно подключался к корпоративным ресурсам после увольнения; уничтожал документы; терял интерес к текущей деятельности и использовал оборудование и ПО работодателя в личных целях. Далеко не всегда ущерб становится следствием злого умысла. Зачастую люди, работающие с конфиденциальными данными, не обладают достаточными знаниями о правилах безопасности, и даже профессионалы совершают ошибки, критичные для бизнеса. В итоге только в 2019 г. каждая пятая компания в России пострадала от случайных утечек данных. Решение Safetica создано для оперативного контроля поведенческих особенностей людей в офисе и на удаленной

Рис. 1. Как работает Safetica работе. Эта система DLP выявляет подозрительное и потенциально опасное поведение персонала, а также колебания производительности. Благодаря ей у руководителей есть возможность получать отчеты об изменившейся активности сотрудников еще до того, как их деятельность нанесет реальный ущерб компании. С помощью Safetica вы можете обучать сотрудников правильной и безопасной работе с конфиденциальной и критически важной информацией. С решением Safetica проще соблюдать законодательные требования и стандарты в области защиты данных, включая GDPR, ISO/IEC 27001, HIPAA, PCI DSS и др.

лицензии, без скрытых затрат и сложных технических требований. Закупать дорогостоящее оборудование и нанимать в штат специалистов по информационной безопасности не потребуется. Safetica разработана таким образом, чтобы заказчик мог внедрить и настроить продукт силами собственного ИТ-отдела, при этом развертывание, как правило, занимает несколько часов.

Всесторонний подход Продукты и модули Safetica способствуют построению безопасных процессов работы с наиболее важными данными в зависимости от сферы деятельности предприятия и его потребностей.

Удобство использования

Рис. 2. Каналы данных под защитой Safetica

26 •

Уже через несколько дней после развертывания системы заказчик получает мониторинг, аналитику и защиту данных в одном решении. Запуск опции глубокого анализа данных позволит выяснить, что происходит в команде и на каких проблемных пользователях необходимо сосредоточиться. Safetica даст четкие ответы на вопросы, когда и каким образом используются конфиденциальные данные конкретной компании. Стоимость проекта внедрения решения равна стоимости

Safetica Discovery Cориентирует вас в потоке конфиденциальных данных компании и сформирует подробные отчеты о важных событиях. В продукт включен базовый обзор поведения пользователей, аудит безопасности и аудит соответствия нормативным требованиям.

Safetica Enterprise Это продукт для защиты данных, дополняющий стек решений корпоративной ИТ-безопасности. Включает в себя автоматическую интеграцию

eset 7/28/21 5:51 PM Page 27

www.itsec.ru

DLP

сторонних решений и функции для расширенных вариантов использования. Упрощает управление рабочими процессами и поддержку мультидоменных сред, а также позволяет персонализировать Safetica с использованием фирменного стиля вашей компании.

Safetica UEBA (User and Entity Behavior Analytics) Подробно изучает реальную активность и поведение пользователей, затем предоставляет детальные обзоры использования рабочего времени.

Safetica Protection Позволяет получить полный контроль над потоками конфиденциальных данных, сочетающий в себе аналитику, классификацию и предотвращение утечек (DLP). В него также включены такие функции, как регулярные отчеты о безопасности, уведомления об инцидентах в режиме реального времени и зонирование для упрощенной защиты данных высокого уровня.

Safetica Mobile Этот модуль предоставляет отчеты о состоянии мобильных устройств для выявления рисков и проводит аудит активности

Рис. 3. Архитектура Safetica как в приложениях на смартфоне или планшете, так и на сайтах, которые посещает пользователь. С помощью Safetica компании по всему миру решают проблемы ненадежного хранения важной информации и настраивают функции DLP с учетом индивидуальных потребностей: одним для контроля конфиденциальности достаточно проводить аудит жизненного цикла файлов и печати документов, другим необходимо классифицировать типы носителей, которые можно подключить к рабочим станциям пользователей, третьим, помимо прочего, нужно решить вопросы сертификации.

Safetica предлагает простой для понимания обзор всех возможных угроз в едином интерфейсе управления. Настройте доставки оповещений о подозрительном поведении по e-mail или через SIEM, добавьте любые данные на панель управления или экспортируйте их в XLS и PDF для дальнейшего анализа – вы сможете в любое время и с любого устройства, даже со своего смартфона, получать полезную информацию. l

С помощью Safetica компании по всему миру решают проблемы ненадежного хранения важной информации и настраивают функции DLP с учетом индивидуальных потребностей.

Safetica предлагает простой для понимания обзор всех возможных угроз

Ваше мнение и вопросы присылайте по адресу

в едином интерфейсе управления.

is@groteck.ru

• 27

Staffcop 7/28/21 5:51 PM Page 28

СПЕЦПРОЕКТ

Как обеспечить ИБ без чрезмерных усилий? Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность")

М При выборе варианта решения важно принимать во внимание не только бюджет, но и реальные потребности компании.

ногие компании сталкиваются с рядом проблем при организации процессов, обеспечивающих информационную безопасность. И хотя встречаются уникальные случаи, зачастую бизнес ищет решение самых распространенных задач, связанных с соблюдением требований законодательства, ограниченным бюджетом на внедрение необходимых систем, возможностью одновременно решать несколько задач ИБ, необходимостью использования отечественных решений.

Наша компания является разработчиком программного комплекса DLP Staffcop Enterprise, который контролирует АРМ сотрудников, обеспечивая при этом необходимый уровень защиты от утечек информации. Мы понимаем задачи, стоящие перед заказчиками, и предлагаем варианты решения.

Когда нужно решать сразу несколько задач ИБ Основная угроза безопасности исходит изнутри самой компании.

Скачать StaffCop Enterprise

При необходимости одновременно решать несколько ИБзадач у компаний всегда есть два пути: 1. Использовать набор из нескольких специализированных решений (этот вариант приводит к серьезным денежным тратам). 2. Использовать одно-два гибридных решения, которые не настолько глубоки, как специализированные решения, но решают сразу несколько задач и не наносят большой урон бюджету. При выборе варианта решения важно принимать во внимание не только бюджет, но и

В StaffCop Enterprise 4.9 реализованы новые возможности: l новый ETL-модуль значительно сокращает требования к технической части сервера, заметно ускорена работа системы генерации отчетов и количество агентов, которые можно подключить, увеличилось до 10 тыс.; l усилен DLP-модуль и теперь можно блокировать файлы по содержимому, в дополнение к контролю операций с файлами и модулю удаленного индексирования. Расширен также функционал версии для Astra Linux; l расширена интеграция с AD, появилась возможность интеграции со СКУД и SIEM-системами, улучшен менеджмент установщиков агентов и расширены возможности расследования преступлений.

28 •

реальные потребности компании, а убить двух зайцев одним выстрелом всегда приятно. Нужно также понимать специфику ИБ в России, а она заключается в том, что: l основная угроза безопасности исходит изнутри самой компании; l сотрудники, несмотря на то, что много времени работают с компьютером, обладают крайне ограниченными познаниями в его использовании; l в силу природной доверчивости и/или лени сотрудники легко поддаются манипуляциям. Все вместе эти факторы провоцируют злонамеренные, халатные или просто некомпетентные действия сотрудников, поэтому важен контроль не только той информации, которая циркулирует в компании и ее каналах передачи, но и тех, кто с этой информацией работает. Как этого достичь? Основываясь на следующих тезисах: 1. Разделение рабочего и личного. Если сотрудник занимается личными делами на рабочем компьютере, то вероятность заражения или утечки данных заметно повышается. Рабочий компьютер должен быть только для работы – это позволит осуществлять мониторинг и контроль деятельности сотрудника на законных основаниях. Необходимо также создание черного списка запрещенных сайтов и приложений, чтобы у работников не было физической возможности заниматься чемто еще кроме работы. 2. Учет рабочего времени. Если сотрудник не занят своей работой в рабочее время, то,

как показывает практика: он занят личными делами, развлечениями; возможно, работает на стороне, используя ресурсы вашей компании; работает на конкурентов, саботируя рабочий процесс или пытаясь изъять данные. Конечно, платить сотруднику ни за что вышеперечисленное не стоит, поэтому важно видеть, сколько времени он работает на вас. Это позволяет выявлять как тех, кто "халявит", так и тех, на кого "свесили" работы больше, чем нужно. Необходимо также выявлять недисциплинированных сотрудников – любителей опаздывать, отлучаться, уходить пораньше. 3. Контроль информации. Система должна уметь: l выявлять файлы, которые находятся на компьютерах сотрудников, чтобы избежать неправомерного доступа к информации тех, кто не должен с такой информацией работать; l отслеживать любые действия с файлами, чтобы всегда можно было просмотреть жизненный путь файла; l контролировать различные каналы передачи файлов – почту, печать, загрузку на внешние носители; l отслеживать циркуляцию файлов внутри компании, что позволит видеть, кто получает доступ к файлам, а также как протекают бизнес-процессы в компании; l блокировать данные по содержимому файла; l контролировать переписку, ведь данные необязательно передавать файлом, можно просто написать по памяти в мес-

Staffcop 7/28/21 5:51 PM Page 29

www.itsec.ru

DLP

сенджере. Помните первый пункт – "разделение рабочего и личного"? На рабочем компьютере не должно быть личных переписок и файлов, к которым у сотрудника не может быть доступа или которые не нужны ему для работы. 4. Контроль АРМ. Здесь важен целый комплекс таких возможностей, как: l контроль состава АРМ – ПО и железа, чтобы исключить установку вредоносного ПО, развлекательного ПО и контролировать, что компоненты компьютера не подменяются/не изымаются; l контроль используемых внешних носителей – подключение только разрешенных USBустройств, чтобы исключить использование неизвестных флешек; l контроль доступа к АРМ – отслеживание использования RuToken, идентификация тех, кто действительно находится за компьютером (например, распознавание с помощью нейросетей, по снимкам с веб-камер), использование кейлоггера, возможность удаленного просмотра рабочего стола, удаленное подключение и перехват управления, запись звука с микрофона АРМ и т.д. Таким образом, осуществляя контроль АРМ, информации, каналов передачи информации и операторов АРМ, вы будете владеть ситуацией и сможете оперативно реагировать на возникающие угрозы ИБ, а если инцидент уже произошел, то собранные данные можно легко использовать во время расследования и сбора доказательств, что значительно упрощает нахождение виновных и восстановление цепочки событий.

Когда у вас ограничен бюджет Ни для кого не секрет, что довольно часто приобретение решения для обеспечения ИБ сопряжено с дополнительными расходами (закупкой нового железа, приобретением лицензий на стороннее ПО и т.д.). Кроме того, в полный рост стоит проблема интеграции новой системы с уже имеющейся. Ну и, конечно, существуют трудности использования системы (необходимость выделять отдельного сотрудника, который будет разбираться в ней, тратить время и средства на его обучение).

Отсюда можно сделать следующие выводы: 1. Система защиты должна использовать ПО, распространяемое по свободной лицензии, в то же время платных продуктов должно быть минимальное количество. Стоимость далеко не всегда означает качество. 2. Системные требования должны укладываться в возможности имеющегося парка машин (без ограничения функционала). 3. Новая система должна обладать функциями взаимодействия с уже использующимися решениями. 4. Интерфейс системы должен быть прост/интуитивен и/или нагляден, как и процесс внедрения системы и настройки "под себя". Если у вас нет времени учиться разбираться в продукте, то вам нужно простое легковесное решение, в котором все можно получить парой кликов, не тратя несколько часов, чтобы "выудить" собранные данные.

Соблюдение требований законодательства Описанный выше подход полностью укладывается в требования руководящих документов по ИБ.

Использование отечественных решений Требования по импортозамещению – это та реальность, с которой компании должны считаться. На рынке есть множество достойных решений, как узкоспециализированных, так и гибридных. Наша компания, полностью российская, является резидентом Центра инноваций "Сколково" и Технопарка Новосибирского Академгородка, при этом мы на рынке с 2006 г. Разработанное нами решение – легковесное endpoint DLP Staffcop Enterprise соответствует описанному выше подходу. Это полностью отечественная разработка, в которой все функциональные возможности можно разделить на три основные группы: l контроль информации и действий сотрудников; l учет рабочего времени; l системное администрирование. Staffcop Enterprise соответствует каждому из перечисленных тезисов, которые, в свою очередь, соответствуют требованиям регуляторов.

В Staffcop используются современные технологи (ClickHouse, OLAP-кубы, нейросети), доступные по свободной лицензии. Staffcop легко масштабируется, сохраняет свою функциональность и скорость работы даже при большом количестве компьютеров. Staffcop легко интегрируется с SIEM-системами и со СКУД, имеет единую консоль управления и не нагружает рабочие станции, что позволяет безболезненно внедрить его в уже имеющуюся инфраструктуру. При этом вам не придется платить ничего дополнительно: если вы решаете приобрести Staffcop Enterprise, вы оплачиваете только стоимость лицензии, никаких скрытых платежей. Отдельно стоит сделать акцент на расследовании инцидентов. С этой целью разработан конструктор отчетов, который благодаря используемым технологиям и виджетам позволяет за считанные минуты сформировать отчет, и вам не нужно обладать специальными знаниями, чтобы в нем разобраться. Кроме того, имеется консоль инцидентов и уведомления, которые помогают оперативно реагировать на происходящее. В сложных экономических условиях, при различных возможностях всегда можно обеспечить ИБ своей компании, главное – следовать принципам и исходить из понимания того, что необходимо сделать, чтобы поддерживать бесперебойное функционирование предприятия, учитывая особенности ИБ на территории РФ (основные угрозы и менталитет сотрудников). Предлагаем вам опробовать Staffcop Enterprise в течение месяца совершенно бесплатно, с полным функционалом, нашей полной поддержкой и сопровождением. Как показывает наша статитстика, 97% компаний обнаружили серьезные нарушения в течение пилотного проекта. Помните, наша цель – действий меньше, а результат лучше! l

Рабочий компьютер должен быть только для работы – это позволит осуществлять мониторинг и контроль деятельности сотрудника на законных основаниях.

Осуществляя контроль АРМ, информации, каналов передачи информации и операторов АРМ, вы будете владеть ситуацией и сможете оперативно реагировать на возникающие угрозы ИБ, а если инцидент уже произошел, то собранные данные можно легко использовать во время расследования и сбора доказательств.

Если у вас нет времени учиться разбираться в продукте, то вам нужно простое легковесное решение, в котором все можно получить парой кликов, не тратя несколько часов, чтобы "выудить" собранные данные.

Требования по импортозамещению – это та реальность, с которой компании должны считаться.

Ссылка на статью нашей компании, посвященную требованиям регуляторов

АДРЕСА И ТЕЛЕФОНЫ Атом Безопасность см. стр. 72

• 29

infowatch 7/28/21 5:51 PM Page 30

СПЕЦПРОЕКТ

DLP умерла. Да здравствует DLP!

Н Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от

есмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не уменьшается. В гонке за вниманием производители DLP добавляют новые возможности, иногда выходя за границы задач защиты информации от утечек и усложняя продукты. А что могло бы на самом деле изменить жизнь специалистов ИБ, сделать актуальной их роль в современном бизнесе на современных скоростях?

утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ.

DLP должна ощутимо снижать трудоемкость обработки инцидентов Качество технологий анализа определяет трудоемкость обработки инцидентов. Если нельзя настроить систему так, чтобы она давала минимум ложных срабатываний без ущерба для надежности защиты, то неминуемо стоит ожидать большого количества ложноположительных срабатываний. Все их придется либо просматривать вручную, либо игнорировать.

Чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система

Как SIEM называют кладбищем логов в безопасности, так и DLP скоро будут называть кладбищем нарушенных политик.

сама уведомляла специалиста ИБ, на что ему стоит обратить внимание.

Отсюда первая очевидная задача – не пропустить важное. Удивительно, но она до сих пор не решена во многих DLP. Ведь ловить надо разные форматы документов: текстовые, несколько видов графических и т.д. Мы много лет занимаемся разработкой своих методов защиты, и, по нашим наблюдениям, защищать графику мало кто умеет. Под каждый тип гра-

фики есть свои технологии распознавания, которыми может похвастаться далеко не каждая современная DLP-система. Например, есть конфиденциальные фотографии (фото, связанные с исследованиями, технологическими разработками, медицинского характера), карты застройки территории, схемы помещений, карты георазведки, чертежи, схемотехника и пр. Максимум, что может большинство DLP-систем, – детектировать формат файлов и сообщать безопаснику: "Это документ AutoCAD". А нужно уметь "залезть" в файл и понять, что содержит изображение. Только так в ответственный момент DLP-система сможет определить, была ли отправлена через мессенджер фотография с корпоратива или фотография важного чертежа. Претендовать на защиту конфиденциальных данных и обходить стороной качественное распознавание графической информации никак не получится. Разница в эффективности технологий защиты графики на реальных кейсах заказчиков очевидна. Возьмем, например, компанию-застройщика, кото-

InfoWatch Traffic Monitor – ИБ-решение года в России Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в "ИБ-решение года России – 2021". Выбором TAdviser 2021 года среди ИБ-продуктов стала DLP-система Traffic Monitor за уникальные технологии анализа, расширяющие возможности DLP. DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте.

30 •

рая часть своих чертежей размещает публично в Интернете вместе с официальной конкурсной документацией. А другая часть чертежей остается конфиденциальной, к примеру планы застройки территории. Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ. Вторая понятная задача – не перегрузить ИБ-специалиста ненужными действиями. Например, в случае с персональными данными отлично видно, как использование системы без развитых технологий контентного анализа "аукается" отделу ИБ. Представьте себе, что у вас в мессенджере два сообщения с персональными данными, но в одном из них – ФИО, телефон и адрес клиента компании из вашей бизнес-системы, а в другом – такие же данные, но другая ситуация: кто-то по дружбе рекомендовал специалиста и поделился контактами. Если пытаться ловить утечку таких данных с использованием регулярных выражений, то оба сообщения будут нарушением. Более того, каждое письмо с подписью в почте будет считаться инцидентом. И другое дело, когда ваша DLP интегрирована с бизнес-системами и вы защищаете конкретные данные, которые имеют реальную ценность. Итак, мы кратно снизили количество инцидентов, на которые надо реагировать. Но ведь есть события или череда событий, где совершенно неочевидно, что это надвигающийся инцидент. Здесь приходит на помощь возможность прогнозировать

infowatch 7/28/21 5:51 PM Page 31

www.itsec.ru

DLP

риски безопасности с использованием технологий машинного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной аналитики InfoWatch Prediction, способный "увидеть" в разрозненных событиях цепочку и предупредить службу безопасности до того, как наступит реальная угроза. И снова, чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить внимание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать оповещения об аномальном поведении и даже цепочке событий. Офицеру безопасности остается только настроить, что он хочет видеть и как часто хочет получать оповещения.

Анализ данных должен быть удобным Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования: требуется перекопать горы данных, нащупать направление и по крупицам восстановить картину произошедшего. Увеличить скорость реакции специалисту ИБ помогают инструменты визуальной аналитики.

Может ли офицер безопасности сам быстро составить маршрут движения конфиденциального документа и провести расследование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструменту визуальной аналитики данных DLP и построит граф перемещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал периметр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жизненного пути" документа. Например, "договор" и "договор_правки" – это может быть один и тот же документ, название которого в процессе его "путешествия" дополняется комментариями и пометками. Факторы такого рода не должны стать помехой для поиска.

DLP должна быть актуальной Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за скоростью изменений? На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, коммуникации с одним адресатом по двум параллельным каналам –

личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциальной информации. В частности, и такое можно увидеть, используя инструмент визуализации InfoWatch Vision. Второй пример – когда нужно оперативно настроить политику защиты новых типов документов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа. Следующий логичный шаг – вовремя узнать о появлении новых типов документов в компании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работающих с DLP-системами, и способен думать на несколько шагов вперед с позиций заказчика. l

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования.

Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать.

Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала. Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 31

niisokb 7/28/21 5:52 PM Page 32

СПЕЦПРОЕКТ

Поймать и обезвредить "шпиона" в офисе без установки системы видеонаблюдения Игорь Калайда, генеральный директор НИИ СОКБ

Если искажения уникальны, то по ним можно распознать каждую копию документа даже по части страницы.

Один из эффективных способов скрытой маркировки – это аффинные преобразования.

SafeCopy распознает копии даже по фотографиям низкого качества.

32 •

нализ судебных решений на портале ГАС РФ “Правосудие” свидетельствует о том, что у российских граждан достаточно часто возникает желание не только заработать на продаже конфиденциальных документов, но и навредить своим работодателям. Прежде чем продавать конфиденциальные документы, рекомендуем всем будущим “шпионам” ознакомиться с возможными последствиями, которые содержатся в ст. 81, 192 ТК РФ, ст. 14 закона “О коммерческой тайне", ст. 13.14 КоАП и ст. 183 УК РФ.

Обостренное чувство справедливости толкает на безрассудные поступки не только российских граждан. Так, в 2018 г. бывшая сотрудница американских спецслужб Риэлити Виннер (Reality Winner) была осуждена на пять лет тюрьмы за передачу в издательство The Intercept секретного отчета разведки. Риэлити распечатала отчет на принтере, вынесла его с режимного объекта в колготках и затем отправила в издательство по почте. Получив секретный отчет, издательство The Intercept решило проверить его подлинность. Наивно полагая, что сканкопия документа не позволяет определить источник утечки, издательство отправило отчет на проверку в АНБ, которое по скрытой маркировке установило время, дату и принтер, на котором был напечатан документ. Через несколько дней на пороге дома Риэлити уже стояли бывшие "коллеги по цеху". За прошедшие три года издательство The Intercept не сделало выводов из допущенных ошибок. В марте 2021 г. в издательство был передан документ с грифом Amazon Confidential. В документе подробно описаны антисанитарные нарушения водителей Amazon, в том числе "публичное мочеиспускание" и "публичная дефекация" непосредственно на рабочем месте, "…в связи с напряженным режимом работы и отсутствием времени на поиски туалета". Издательство The Intercept сообщает, что гарантирует анонимность курьеру из Amazon, чтобы избежать "профессио-

нальных репрессий", но при этом публикует документ в неизменном виде… Чтобы развеять иллюзии продавцов и покупателей конфиденциальных документов о том, что по ксерокопии, фотографии или скриншоту документа невозможно определить источник утечки, предлагаем описание технологии скрытой маркировки конфиденциальных документов.

Аффинная защита конфиденциальных документов Если маркировка будет заметной, то ее легко удалить или скрыть при копировании. К заметным способам маркировки относится нанесение на каждую страницу водяных знаков, грифа, номера копии или имени ее получателя. Скрытая маркировка основана на внесении незаметных искажений в текст документа. Удалить такую маркировку без

изменения содержимого документа нельзя. Если искажения уникальны, то по ним можно распознать каждую копию документа даже по части страницы. Один из эффективных способов скрытой маркировки – это аффинные преобразования, с помощью которых можно незаметно смещать части текста относительно друг друга (см. рис. 1). Этот способ реализует система SafeCopy, которая не только автоматически вносит аффинные преобразования в копии документов, но и распознает маркированные таким образом копии. SafeCopy распознает копии даже по фотографиям низкого качества, несмотря на то, что: 1. Фотографии делаются под углом. Документ или экран, на котором он изображен, невозможно сфотографировать строго под углом 90 град., как в сканере. 2. На фотографиях экранов будет цветная рябь (муар), потому что экран мерцает.

Рис. 1. Иллюстрация маркировки

niisokb 7/28/21 5:52 PM Page 33

www.itsec.ru

DLP

Рис. 2. Интеграция с СЭД

Рис. 3. Интеграция с печатью

Рис. 4. Интеграция с почтой 3. При отправке фотографий с помощью мессенджеров их размер уменьшается больше чем на порядок. Сервис маркировки SafeCopy можно встроить в корпоративные системы, которые обрабатывают конфиденциальные документы. Типовыми являются нижеследующие сценарии интеграции SafeCopy с корпоративными системами.

Интеграция с системами электронного документооборота (СЭД) Каждый раз, когда сотрудник запрашивает конфиденциальный документ в СЭД, интегрированной с SafeCopy, он получает его маркированную копию (см. рис. 2).

Интеграция с системами управления печатью Сотрудник отправляет документ на печать. Система управления печатью определяет, что этот документ конфиденциальный, и запрашивает у SafeCopy

его маркировку. В результате сотрудник забирает из лотка принтера маркированную копию (см. рис. 3).

Интеграция с электронной почтой Во многих организациях нельзя использовать электронную почту для рассылки конфиденциальных документов, но эти запреты регулярно нарушаются. С помощью SafeCopy сотрудник может запросить маркировку вложений при отправке конфиденциального письма. В этом случае каждому получателю будут отправлены не оригиналы документов, а их маркированные копии. Модуль интеграции SafeCopy с электронной почтой предоставляется бесплатно. Нашим заказчикам не нужно ничего дорабатывать. Достаточно установить клиентские библиотеки SafeCopy на свой почтовый сервер, и сотрудники смогут маркировать конфиденциальные вложения.

Интегрировать SafeCopy в другие корпоративные системы также просто, так как в состав продукта входит API, с помощью которого любая корпоративная система может запросить маркированную копию документа.

Сервис маркировки SafeCopy можно встроить в корпоративные системы, которые обрабатывают кон-

Заключение Корпоративные "шпионы" фотографируют документы, потому что это быстро и просто, а главное – можно остаться безнаказанным. Если же промаркировать все конфиденциальные документы, предупредить об этом своих сотрудников и объяснить им, что в случае утечки гарантированно найдете виновных, то можно безошибочно прогнозировать резкое сокращение желающих "поиграть в шпионов". l

фиденциальные документы.

Модуль интеграции SafeCopy с электронной почтой предоставляется бесплатно.

АДРЕСА И ТЕЛЕФОНЫ НИИ СОКБ см. стр. 72

• 33

Syaglov 7/28/21 5:52 PM Page 34

СПЕЦПРОЕКТ

DLP: взгляд со стороны заказчика Круглый стол Максим Сяглов, руководитель направления информационной безопасности НПО Петровакс Фарм

Участники: Роман Ванерке, технический директор АО “ДиалогНаука” Алексей Дрозд, начальник отдела ИБ “СёрчИнформ” Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии” Александр Клевцов, глава направления InfoWatch Traffic Monitor Алексей Кубарев, руководитель группы развития бизнеса Центра продуктов Dozor компании “Ростелеком-Солар” Анна Попова, руководитель блока DLP Infosecurity Владимир Ульянов, руководитель аналитического центра Zecurion

Давно и достаточно надежно в российских компаниях укоренились решения класса DLP. Каждый заказчик желает видеть в этой технологии решение своих индивидуальных проблем и бизнесзадач, и разработчики идут навстречу. Но разнообразие решаемых задач привело к тому, что отечественные DLPрешения обросли невероятным функционалом, который, на взгляд практикующего безопасника, избыточен и даже вреден. Учитывая многообразие практик применения DLP-решений в российских компаниях, в настоящее время сложно согласиться с изначальной расшифровкой Data Loss Prevention (предотвращение утечек данных).

Предотвращение утечек или расследования? В большинстве российских компаний системы DLP применяются по большей части для расследования инцидентов информационной безопасности. Но

проблема в том, что такой подход предполагает свершившимся сам факт утечки информации. И офицер безопасности либо вынужден превентивно прибегать к иным организационным мерам для снижения вероятности реализации таких инцидентов, например заблаговременно ограничивать доступ к различным каналам передачи информации, либо вообще теряет возможность отреагировать на инцидент в случае, если нарушитель успел расторгнуть трудовые отношения с работодателем. Да и практика показывает, что привлечение работника к административной, а тем более уголовной ответственности за нарушение режима коммерческой тайны для многих компаний является практически невыполнимой задачей. В компаниях с прозападным мышлением, наоборот, встраивают DLP "в разрыв", интегрируя их с совместимыми узлами информационной системы: это могут быть антиспам-системы, межсетевые экраны и др. Такой подход требует от офицера безопасности, во-первых, грамотной настройки системы, концентрации вни-

мания исключительно на чувствительных для компании данных, и для его реализации компания должна четко понимать, какие данные для нее имеют ключевую ценность. Во-вторых, требуется индивидуально и оперативно расследовать каждый инцидент, так как это напрямую влияет на бизнес-процессы компании и скорость принятия решений. Например, работник отправляет письмо контрагенту с вложением конфиденциального характера. В DLP срабатывают настроенные на такой случай триггеры, и система останавливает процесс отправки письма, оповещая офицера безопасности. Офицер в течение установленного SLA проверяет инцидент и принимает решение о подстройке системы или дальнейшем расследовании инцидента. В таком случае информация не покинет периметр компании, а с виновым будет проведена необходимая работа. Но российские вендоры удивляются применению технологии в таком режиме, хотя он, казалось бы, заложен в самом названии! Может, стоит переименовать продукт в систему расследования утечек информации?

Комментарии экспертов Анна Попова, Infosecurity: Несмотря на существенную эволюцию в сторону аналитических возможностей и инструментов для расследований, DLP все так же продолжают выполнять свою первоначальную функцию – контроль каналов передачи данных и защиту от утечек. Расследования подразумевают не только действие постфактум, но и разбор отчетов, анализ текущих событий и прочие собранные системой данные. Например, технология поведенческого анализа UBA фиксирует действия, указывающие на отклонение в поведении. Кроме того, есть успешные кейсы, в которых данные DLP-системы успешно применялись в ходе судебных разбирательств. Александр Клевцов, InfoWatch: Современная DLP – это и предотвращение утечек, и проактивное прогнозирование рисков, и сбор данных для расследования, и правильная пра-

34 •

вовая база – без нее внедрение не имеет смысла. Так устроено в Traffic Monitor. Дискурс об избыточной функциональности возник из-за того, что некоторые вендоры "допиливали" DLP по просьбе заказчиков порой в неожиданную сторону, отсюда и сумбур, от которого страдают и сами вендоры, и репутация продуктов класса DLP. Владимир Ульянов, Zecurion: DLP-система должна уметь предотвращать утечки информации, это ее прямая обязанность. Когда вендор советует своим заказчикам "пассивный" режим работы – это индикатор того, что возможности системы ограниченны по каналам предотвращения утечки, выдерживаемой нагрузке или другим критериям. Да, режим блокировки требует тщательной настройки, но это штатный режим работы для DLP, который позволяет не только расследовать инциденты, но и реально предотвращать утечки.

Syaglov 7/28/21 5:52 PM Page 35

www.itsec.ru

DLP

Дмитрий Горлянский, Гарда Технологии: Действительно, тенденция использования DLP как инструмента расследований значительно усилилась за последние годы. Несмотря на обилие инструментов, формальное описание инцидента остается довольно сложной задачей. Часто данные DLP-систем используются как фактор "подозрительности", а инцидентом является уже совокупность событий, причем поступивших не только из самой DLPсистемы: например, факты клавиатурного ввода в определенных документах, факты отправки почты без темы письма и др. Роман Ванерке, ДиалогНаука: Безусловно, первичная задача DLP системы – обеспечивать защиту конфиденциальной информации при ее использовании, хранении или передаче. Но появившиеся инциденты ИБ необходимо расследовать. Подход к архивации трафика имеет как свои плюсы – возможность провести ретроспективный анализ, так и ограничения, например высокие требования к подсистеме хранения или возможность получить доступ к чувствительным данным сотрудника. Проактивная защита требует более тонкой настройки DLP-системы, выверенных процессов и сильной команды. Зачастую как раз поэтому именно "архиваторы" находят более широкое распространение среди заказчиков.

Гибкость настройки политик Для четкого описания документов конфиденциального характера требуется гибкая настройка правил. Нередко я замечаю тупиковую, на мой взгляд, прак-

Алексей Кубарев, Ростелеком-Солар: Современные DLP-системы позволяют блокировать утечки, вопрос лишь в том, кто применяет систему. Например, служба информационной безопасности заинтересована в режиме блокировки, который, по сути, является технической реализацией режима коммерческой тайны. А вот службе экономической безопасности блокировки неинтересны, их больше интересуют оперативнорозыскные мероприятия и наличие в системе богатой аналитики, которая есть далеко не во всех решениях. На практике блокировка утечек используется в довольно зрелых в плане ИБ организациях – лидерами являются банки и представители финансового сектора. Алексей Дрозд, СёрчИнформ: Действительно, на Западе DLP понимают как, по сути, блокировщик трафика, что-то вроде proxy. Аналитика и форензика там востребованы не в рамках ИБ, а в риск-менеджменте и комплаенсе. В России же запрос на "спайку" функционала шел от бизнеса, у нас внутренняя ИБ исторически ближе к "следствию", чем к администрированию, отсюда и различия. "Зарубежное" исполнение DLP в виде блокировщика не справится, если требуется не перерубить все исходящие каналы, а установить хоть сколько-то гибкие правила контроля, поэтому комбинированный подход в целом выигрывает. Он также позволяет делать выводы по итогам расследований и менять процессы так, чтобы нарушения не повторялись.

тику, основанную на словарях, когда вендоры считают, что если встречается слово "работа", то мы обязательно имеем дело с человеком, желающим сменить работу. Особенно нелепо это выглядит,

когда системы определяют корни в слове, например "разРАБОТАли". Возможно, применяя технологии машинного обучения на площадке заказчика, получится добиться более точных результатов при поиске инцидентов. Несомненно, данные методы потребуют больше ресурсов от инфраструктуры заказчика и времени его квалифицированных специалистов. Но, несмотря на это, пора начать более широко применять нейросети с учителем. Механизм машинного обучения уже можно встретить в некоторых западных DLP. Мы наблюдаем применение подобных технологий и у отечественных производителей в виде подсистем распознавания лиц и машинного зрения.

Комментарии экспертов Дмитрий Горлянский, Гарда Технологии: Поддержу еще одним примером: выявление мошенничества по наличию слова "откат" на кабельном заводе, где откаты катушек кабеля происходили по сотне раз в день. Словари неплохо могут себя зарекомендовать для определения тематики большого объема данных – переписка в мессенджерах и соцсетях, тематические сайты ("Форекс" и др.). Но они не подходят для работы с небольшими текстами. Роман Ванерке, ДиалогНаука: Простые механизмы выявления конфиденциальной информации, такие как ключевые слова, словари, регулярные выражения, могут применяться, но требуют аккуратного использования и тонкой настройки. Встроенные политики, которые, по сути, с помощью скриптов описывают защищаемые данные немного гибче, чем простые ключевые слова, – удобный способ базовой настройки системы. Цифровые отпечатки — гораздо более точный способ обнаружения конфиденциальной информации, но, чтобы этот механизм работал качественно, необходимо на регулярной основе пополнять базу DLP соответствующими документами. Наиболее простой и удобный способ – обучить систему с помощью ML. Один из вендоров UEBA/SIEM решений предлагает такой сценарий:

пересылать все выявленные DLP инциденты в UEBA для построения моделей поведения, а на выходе получать информацию о выявленных аномалиях, тем самым снижая загрузку офицера безопасности. Александр Клевцов, InfoWatch: Не перестаю повторять, насколько важно качество контентного анализа в DLP! Если в вашей DLP есть полноценный лингвистический анализ, учитывающий морфологию, значимость каждого слова в контексте документа, взаимоотношения разных словарей и многие другие особенности, это будет на несколько порядков эффективнее, нежели просто работа со стоп-словами. Технологии машинного обучения в Traffic Monitor давно применяются, и не только для качественного распознавания и защиты текстовой информации, но и для графики. Владимир Ульянов, Zecurion: Точность классификации информации и распознавание конфиденциальных данных крайне важна для DLP. Набор технологий контентного анализа является одним из важнейших критериев выбора. И если вендор предлагает скромный набор коробочных технологий и дополнительные услуги для "тонкой настройки словарей", стоит задаться вопросом об эффективности такой системы. Самая замечательная настройка словаря не заменит прогрес-

• 35

Syaglov 7/28/21 5:52 PM Page 36

СПЕЦПРОЕКТ сивные технологии с элементами искусственного интеллекта, которые сократят число ложных срабатываний и будут эффективно ловить утечки. Алексей Кубарев, Ростелеком-Солар: Мы применяем технологии машинного обучения в своей DLP-системе для детектирования печатей и графических объектов, а также исследуем применимость машинного обучения для тонкой настройки политик системы. Чтобы осуществить точную настройку, требуется четкое описание информационных объектов, тогда можно свести ложные срабатывания к минимуму. К сожалению, гарантировать отсутствие ложных срабатываний ни одна DLP-система не может. Словарь – лишь малая толика политики DLP. У ведущих вендоров есть много других методов, которые работают в комплексе: атрибуты, шаблоны, цифровые отпечатки и др. Алексей Дрозд, СёрчИнформ: Некачественный поиск – проблема не DLP как класса, а отдельных вендоров. В "СёрчИнформ КИБ" реализовано более 10 видов поиска, их можно комбинировать. Мы постоянно добавляем новые виды, чтобы снизить число ложных срабатываний: по комбинации фраз, по последовательности символов, наше собственное

Надежность и совместимость Надежность и безотказность работы DLP-системы олицетворяют нашу ответственность перед бизнесом, который доверил нам заботу о своей информации. Но вопросы качества работы системы как программного продукта огорчают заказчиков чаще, чем им хотелось бы. Сложно говорить о высоконаучных мет-

ноу-хау – поиск похожих. Но и "примитивные" поиски тоже имеют право на жизнь. Например, тот же стемминг нужен, когда требуется найти что-то специфическое – термин, сленг, иноязычное заимствование, когда "умные" алгоритмы могут перемудрить и выдать мусор. Все зависит от задачи. Эти виды поиска с ними справляются, так что не вижу смысла в нейросетях с машинным обучением – результат достигается проще и дешевле. Анна Попова, Infosecurity: На сегодняшний день технология машинного обучения в DLP не получила своего развития. В некоторых системах на рынке она уже применяется, но это еще довольно сырые решения, ведь для зрелости необходимы большой объем данных и время на обучение. Поэтому основной остается старая добрая настройка правил силами ИБ-специалистов в зависимости от требований заказчика, его отрасли и внутренних бизнес-процессов. Если же у штатных сотрудников недостаточно компетенции для скрупулезной настройки, всегда можно прибегнуть к сервис-провайдеру, который предоставит специалистов и услуги. Только так можно повысить качество работы DLP.

риках эффективности, когда системы показывают нестабильную работу, вызывают различного рода ошибки памяти, сбои в модулях индексации. А вопросы совместимости DLP в работе с приложениями и почтовыми системами, по моим ощущениям, будут преследовать заказчиков еще довольно продолжительное время.

Комментарии экспертов Александр Клевцов, InfoWatch: Перечисленные проблемы могут говорить о наличии у системы "детских болезней". Мне трудно представить, что в 2021 г. у зрелой системы есть проблема совместимости с почтовыми сервисами – ведь это основы DLP. Настоятельно рекомендую заказчикам требовать от вендора пилотный проект, чтобы выявлять подобные болезни, а заодно и проверять стабильность функционирования системы на большом количестве рабочих мест, генерирующем достаточный поток передачи данных. Анна Попова, Infosecurity: На сегодняшний день все системы работают стабильно тогда, когда им уделяется должное внимание. Да, DLP – сложные системы с широкими возможностями, и успешность их эксплуатации во многом зависит от того, как они настроены. Регулярная поддержка системы со стороны сервисной компании позволяет избежать этого опыта на 99,9%, ведь в их зоне ответственности как обеспечение бесперебойности работы, так и адекватная настройка под требования бизнеса. Алексей Дрозд, СёрчИнформ: Вопросы совместимости, действительно, есть, потому что не все вендоры DLP сотрудничают с производителями остального софта. Пока происходит "война брони и снаряда", то если нет партнерства с разработчиками, например, ОС, DLP всегда будет в роли догоняющего. Но это вопрос решаемый: например, у нас есть опыт интеграции с отечественными ОС (Astra Linux, РОСА, Ред ОС и др.), когда мы получаем предрелизные сборки новых версий и можем оперативно "подогнать" КИБ под них. Другой вариант – включаться в программы бета-тестирования, вроде Windows Insider от Microsoft, но таких программ, увы, мало. Ведь условному WhatsApp с миллиардной аудиторией нет дела, что какой-то локальный вендор DLP не сможет стабильно перехватывать информацию. Владимир Ульянов, Zecurion: Чаще всего трудности с интеграцией в корпоративную среду испытывают сложные продукты, с разрозненными модулями. Нет ничего удивительного в сбоях и проблемах, когда каждый модуль – фактически

36 •

отдельный продукт со своей консолью управления и собственными политиками безопасности. Даже если повезет успешно внедрить подобный продукт в корпоративную среду, эффективность такой кусочной защиты представляется сомнительной. Для эффективной работы как с технической точки зрения, так и с позиций защиты от угроз DLP должна быть единым продуктом с омниканальными политиками безопасности, настраивающимися централизованно для всех каналов и модулей. Алексей Кубарев, Ростелеком-Солар: Отказоустойчивость системы всегда закладывается в проект, и обычная ее цена – усложнение требуемой ИТ-инфраструктуры. Соглашусь, что основные неприятные моменты у любой DLP-системы возникают на уровне конечного хоста, а именно совместимости с новыми версиями перехватываемых приложений. Это вечная гонка для DLP-систем, и здесь ничего не поделаешь: заказчику можно только посоветовать всегда закладывать в бюджет стоимость обновления до новых версий. Наш продукт Solar Dozor – высокопроизводительная система класса Enterprise, которая подтвердила свою надежность в режиме блокировки на 400 тыс. контролируемых хостах. Дмитрий Горлянский, Гарда Технологии: Многие сотрудники отделов ИБ, особенно из числа молодых специалистов, хотят иметь "серебряную пулю", которая сможет все. Но если десять лет назад бóльшая часть задач DLP решалась обычным сниффером, то сейчас чуть ли не под каждый мессенджер требуется написать свой механизма контроля. Из-за возросшего количества подобных интеграций с ОС, с прикладным ПО, со сторонним софтом и возникает повышенное количество ошибок. Другая проблема – противоречия в удобстве развертывания, использования и безопасности. Например, очень многие сейчас пользуются терминальными серверами для работы с критическими данными. А для любой DLPсистемы работа на терминальном сервере – повышенный риск отказа каких-либо компонентов. В результате, с одной стороны, мы имеем единую точку доступа к информации, с другой – проблемы с ее контролем.

Syaglov 7/28/21 5:52 PM Page 37

www.itsec.ru

DLP

Избыточность непрофильного функционала В процессе эволюции системы DLP стали превращаться в универсальный комбайн. В условиях развития современных технологий может быть оправданно совмещение в DLP-агенте, к примеру, антивируса и средства шифрования конечного устройства. Но у меня вызывает вопрос совмещение функционала, который подразумевает привлечение в систему сторонних подразделений, например HR. Рядовому офицеру безопасности совершенно неинтересно,

сколько времени сотрудник отработал, тем более что в условиях удаленной работы этот показатель кажется абсолютно размытым. К тому же я в своей практике еще не встречал случаев,

чтобы служба ИБ предоставляла доступ другим подразделениям к системе DLP. Более того, многие компании пытаются скрыть от сотрудников факт использования таких систем.

Комментарии экспертов Дмитрий Горлянский, Гарда Технологии: В большинстве типичных закупочных ТЗ есть лишь небольшой список задач, которые должна решать система, но присутствует огромный, на несколько десятков листов, раздел с описанием желаемой функциональности, построенный по отраслевым рейтингам и обзорам. Но такой подход дает лишь общее представление о существующих на рынке системах. Мы всегда предлагаем проводить тестирование, запускать пилотный проект, в рамках которого и появляется возможность определить перечень решаемых задач. Анна Попова, Infosecurity: Развитие DLP-систем подразумевает решение задач не только службы ИБ, но и бизнеса в целом. Из решения вырастают новые сервисы, которые решают разные бизнес-задачи, начиная от соответствия требованиям законодательства и заканчивая кадровыми вопросами. Сейчас вектор развития DLP направлен в сторону анализа и предоставления общего портрета пользователя на рабочем месте: с какими данными работает, с кем общается, какие ресурсы посещает и даже в каком эмоциональном состоянии находится. Но нужно понимать, что речь идет именно о вспомогательных инструментах. Для топ-менеджеров и руководителей подразделений такая информация будет полезной для общего понимания состояния ИБ и атмосферы в коллективе. Что касается службы HR, то DLP может помочь бизнесу работать с лояльностью сотрудников, пересматривать рабочие процессы между подразделениями, контролировать обстановку в коллективе и пр. Владимир Ульянов, Zecurion: Zecurion долго сопротивлялся идее внедрения инструментов контроля рабочего времени в DLP-систему, так как формально это не задача офицера безопасности. Однако настойчивые требования рынка говорили об обратном. Более того, несмотря на формальное обилие предложений, мы не видели на рынке достойных решений для внедрения в enterprise-сегменте, все популярные продукты оказались хороши лишь для СМБ. Это подтолкнуло нас к выпуску модуля Zecurion Staff Control, который пользуется хорошим спросом в компаниях от 5 тыс. рабочих мест. Алексей Кубарев, Ростелеком-Солар: В современных DLP много избыточного функционала. В погоне за заказчиками и при высокой конкуренции вендоры стремятся

Обновления Российские DLP-системы развиваются и в связи с этим постоянно требуют обновления, что само по себе нормальное и даже хорошее явление. Но на практике это приводит к тому, что у заказчика появляется "зоопарк" версий DLP-агентов. Данная проблема относится не только к DLP-системам. Но все же было бы здорово решить проблему обновления

отстроиться друг от друга и как можно раньше анонсировать новые возможности на рынке. Для Solar Dozor домашний рынок – Enterprise, и некоторый функционал – прослушивание микрофона, запись камеры мы не спешим реализовывать, нам его надо детально продумать, чтобы надежно поддерживать на инсталляциях в 10 тыс. хостов. А поддержка на 100–300 хостов – вполне посильная задача для SMB-вендоров. Что касается привлечения HR, это уловка для продажи решения: на практике службы ИБ не готовы допускать посторонних в систему. Именно поэтому мы выпустили отдельный продукт Solar addVisor, который помогает принимать управленческие решения не только HR-директорам и топ-менеджерам, но и линейным руководителям, и самим сотрудникам: доступ в систему может иметь вся компания. Алексей Дрозд, СёрчИнформ: Модульное исполнение DLP-системы решает проблему избыточного функционала. Клиенты могут внедрить только те модули, которые для них актуальны. От компании к компании необходимый набор различается. Если в организации важно считать, сколько времени сотрудники пили чай вместо работы, ИБ-специалист будет это делать. И кстати, во время удаленки самым востребованным модулем КИБ стал ProgramController – как раз для контроля дисциплины, его стали запрашивать на 56% чаще. С помощью DLP можно делать выводы не только о безопасности, но и об эффективности процессов. Например, если какой-то линейный руководитель допускает злоупотребления и в отделе растет текучка – это организационный прокол, который DLP обнаружит, а бизнес устранит. Александр Клевцов, InfoWatch: Безопасность бывает информационная, кадровая, экономическая. И все эти направления идут за данными к ИБ. Клиентам мы рекомендуем использовать инструмент визуальной аналитики для совместных расследований и работы с данными других отделов. Благодаря разграничению прав доступа можно не волноваться за утерю контроля над данными, а визуализация помогает тем, кто ранее не работал с DLP. Делиться данными выгодно, безопасник перестает быть тем, кто пугает, и становится тем, кто всем помогает. А это помогает легче защищать бюджеты на СЗИ в будущем.

без прекращения функционирования DLP-системы на конкретном обновленном рабочем месте, ведь переустановка агента нередко требует перезагрузки удаленного хоста, а до тех пор данные перестают поступать в систему мониторинга. В результате появляется лазейка, способная приводить к утечкам, которые пройдут мимо DLP и службы информационной безопасности.

• 37

Syaglov 7/28/21 5:52 PM Page 38

СПЕЦПРОЕКТ Комментарии экспертов Владимир Ульянов, Zecurion: Когда заказчик сталкивается с трудностями обновления агентов или поддержки DLP, скорее всего, это индикатор технического несовершенства продукта. Операции установки и обновления агентов должны производиться плавно и бесшовно, со средствами автоматизации. Если же обновления встают криво, если для этого нужно бегать по компьютерам и устанавливать вручную, это вообще не enterprise-продукт, не стоит его рассматривать для использования в корпоративной среде, либо нужно задуматься о скорейшей замене. Дмитрий Горлянский, Гарда Технологии: Процесс перехода с одной системы на другую планируется заранее, с обязательной разбивкой на этапы и контрольными точками. Анна Попова, Infosecurity: Да, нельзя утверждать, что DLP всегда и везде работает на 100%. Все же такой класс решений довольно сложный, но и нельзя сказать, что при обновлении система прекращает функционировать. Старая версия в любом случае работает должным образом, а значит система выполняет свою функцию. Самое плохое, что может произойти во время обновлений, – это временное ограничение по новым возможностям версии. В таких случаях просто необходимо удостовериться в том, что пользователи перезагрузили свои рабочие станции. Александр Клевцов, InfoWatch: Было бы здорово, если б автосервис осуществлял техническое обслуживание машины на ходу, но он этого не делает. Так и здесь: правильное планирование обновлений помогает предотвратить проблему. Также важно, чтобы агенты всех решений работали совместимо

Защита облачных периметров Бизнес в условиях пандемии стал более активно использовать облачные решения, а часто и полностью переходить на них. Это абсолютно позитивный и смелый тренд, который, впрочем, требует пересмотра подходов к обработке и защите информации. Безусловно, вероятность инцидентов при этом существенно возрастает, но компании смогут увидеть возможности для утечек только после того, как DLP-системы научатся это показывать.

и стабильно. С нашей точки зрения, недопустимо, чтобы агенты отваливались или их приходилось отключать при конфликте с другими приложениями. Алексей Кубарев, Ростелеком-Солар: В нашей системе основной функционал вынесен на серверную часть, но у нас есть и свой агент. В случае работы агента в режиме блокировки перезагрузка необходима ввиду встраивания агента в драйверы и библиотеки операционной системы и контролируемого ПО. К сожалению, другого способа не существует. Если же агент работает только в режиме мониторинга, то можно его обновить и без перезагрузки. Работа разных версий агента в принципе возможна, но у наших заказчиков редко такое встречается: для поддержки новой версии агента может потребоваться обновление и серверной части системы, так как они связаны. Алексей Дрозд, СёрчИнформ: Мы разработали два режима обновлений на выбор, оба исключают вероятность остановки работы DLP. В первом режиме на ПК пользователя фоново устанавливается новая версия агента, но она "спит" до следующей перезагрузки. Старая версия продолжает работать, перехват не останавливается. В случае, если обновление критичное (а мы об этом предупреждаем), можно принудительно перезагрузить пользовательский ПК. Во втором режиме старый агент автоматически заменяется новой версией. Это происходит очень быстро, максимум за 10 секунд. Вероятность пропустить инцидент за это время минимальна. Даже в случае потери связи с сервером данные перехвата не исчезнут: в КИБ на агенте предусмотрены хранилища, которые могут отправлять данные на сервер в отложенном режиме.

А для этого требуется качественно иной подход со стороны систем предотвращения утечек информации, подход, ориентированный на интеграцию с облачными решениями, в том числе и иностранными. Подобные интеграции в условия политической и конкурентной напряженности мне кажутся затруднительными, но, возможно, вендоры найдут возможности преодолеть эти трудности и мы увидим заоблачные результаты работы отечественных DLP-систем.

Комментарии экспертов Алексей Кубарев, Ростелеком-Солар: Если речь идет об инфраструктуре, то нет никакой разницы: DLP разворачивается в облаке и настраивается в обычном режиме, а сервиспровайдер обеспечивает информационную и физическую защиту, доступность и SLA. В случае защиты данных в облачных сервисах типа Miro безопасность обеспечивается другими классами продуктов, например CASB. Анна Попова, Infosecurity: DLP-системы изначально создавались для защиты периметра сети организации, и они практически беззащитны, когда речь идет об облачных приложениях. Для защиты данных за пределами периметра существуют специализированные решения – CASB (Cloud Access Security Broker), которые могут функционировать в связке с DLP. То есть одна система видит, кто и что загружает в облако, а вторая отслеживает выгрузку документов. Таким образом формируется эффективная защита данных внутри и за пределами периметра организации на стыке работы DLP и облачных решений. Александр Клевцов, InfoWatch: Без облачных решений уже не обходится ни одна компания. Мы это понимаем и считаем, что обработать риски можно только интеграцией. Мы

38 •

интегрированы, например, с Microsoft Exchange Online, Office 365, с корпоративными облачными решениями и др. У Traffic Monitor открытый API, поэтому мы в любой момент можем интегрироваться как с распространенными решениями, так и с теми, которые были разработаны внутри компаний. Владимир Ульянов, Zecurion: Несмотря на то что динамика проникновения облачных сервисов в корпоративную среду явно отставала от оптимистичных прогнозов Gartner и других мировых аналитиков на протяжении многих лет, 2020 год ясно обозначил необходимость поддержки облаков и в DLP. Zecurion уже сейчас предлагает полноценный контроль Office 365, Dropbox, Google Docs, Яндекс.Диск и многих других сервисов, а помимо этого и веб-почты, и браузерных клиентов. В разработке также находится собственный CASB-модуль, который будет востребован не только конечными заказчиками, но и операторами облачных сервисов. Алексей Дрозд, СёрчИнформ: В "СёрчИнформ КИБ" есть универсальные технологии (вроде ICAP), которые позволяют нам из коробки интегрироваться со многими облачными сервисами. Для остальных случаев есть API. Мы сотрудничаем с разными вендорами облачных сервисов, например c Microsoft 365,

Syaglov 7/28/21 5:52 PM Page 39

www.itsec.ru

DLP

реализуем полноценные интеграции. Поэтому данные не выпадают из перехвата, когда пользователь работает в облаке не с корпоративного ПК с агентом DLP, а с телефона или из дома. Больше того, КИБ и сам работает в облаке. Например, в июле мы стали партнерами Microsoft Azure и сделали облачную инсталляцию под ключ, доступную по всему миру. Роман Ванерке, ДиалогНаука: Когда компания начинает работать с облачными сервисами, необходимо обеспечивать не только контроль их использования и аудит доступа к ним

(например, с помощью решений класса CASB), но и реализовывать контроль хранимых и передаваемых данных. С одной стороны, в рамках бизнес-процессов может допускаться хранение критичных данных (например, в рамках сервисов Office 365), но, с другой стороны, остаются задачи контроля хранения и передачи данных за периметр облака. В таких случаях возможна как непосредственная интеграция DLP-решения с облачными сервисами, так и обеспечение контроля посредством интеграции с решением CASB.

Сообщество пользователей Неочевидный, но очень важный аспект, с которым многим приходится сталкиваться при поиске решения возникающих проблем, – недостаточно развитое или не очень удобное общение пользователей выбранной DLP-системы. Первое и зачастую последнее, с чем приходится иметь дело специалисту, ищущему решение проблемы в поисковой системе, – это рекламный буклет того или иного решения. К сожалению, мы не наблюдаем профильных площадок, форумов, на которых участники делились бы своим опытом и лучшими практиками. Ведь практически все сталкиваются с одними и теми же проблемами, и многие из нас, я уверен, наработали свои методики выявления инцидентов или стабилизации работы систем. Производители DLP-решений могли бы помочь нам, организовав свои базы знаний на общих площадках. Такой

подход не только помог бы при решении конкретных проблем, но и стал бы очевидным преимуществом для тех, кто пока только выбирает DLP-систему.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Комментарии экспертов Владимир Ульянов, Zecurion: Попытка найти решение проблемы с DLP в Интернете мне представляется результатом некорректной работы службы технической поддержки. Приобретая серьезный продукт корпоративного уровня, заказчик может рассчитывать на помощь со стороны разработчика или партнера, в том числе и в настройке системы. База знаний – тоже хорошая практика. А на активное открытое сообщество пользователей вряд ли можно рассчитывать: щепетильные заказчики DLP не очень охотно делятся проблемами и хинтами в работе системы, а многие просто не хотят афишировать свои инциденты. Александр Клевцов, InfoWatch: Такие площадки и форумы для общения пользователей DLP есть. Из самых крупных – Ассоциация BISA и ежегодный BIS Summit. Кроме больших событий есть и более камерные. Как вендор мы каждую неделю проводим митапы, где говорим про технологии в DLP, про то, как ИБ-специалистам жить в новом мире, и это глубоко профессиональное общение участников с разным опытом и из самых разных отраслей. Мы всегда готовы к открытой дискуссии и обсуждению любых аспектов, связанных с DLP, в том числе правовых. Анна Попова, Infosecurity: Организация базы знаний на общей площадке – довольно спорный вопрос. Не каждый вендор захочет, чтобы на таких открытых площадках обсуждались проблемы, связанные с их решением. К тому же есть риск того, что после советов и лайфхаков пользователей могут возникнуть проблемы в работе системы. Лучше оставить решение проблем специально обученным этому людям, то есть техподдержке. Ну а базы знаний есть у большинства вендоров, как правило они на официальных сайтах, а также на специализированных площадках по информационной безопасности. Алексей Кубарев, Ростелеком-Солар: К сожалению, на рынке действительно мало доступной информации о прак-

тике эксплуатации DLP-систем. В этом году мы впервые провели Форум DLP+ – мероприятие для обсуждения, обмена идеями и практическим опытом борьбы с внутренними угрозами. Его цель – обмен реальными кейсами и лучшими практиками, которых так не хватает российскому ИБ-сообществу. Планируем проводить его ежегодно и восполнить таким образом существующий недостаток реальных знаний на рынке. Для своих клиентов мы также организовали неформальную группу в Telegram, где любой может спросить совет или пообщаться напрямую с командой центра продуктов Dozor. Алексей Дрозд, СёрчИнформ: Мы уделяем этому вопросу много внимания. Наши клиенты имеют доступ ко всей базе знаний, от технической документации до гайдов по решению точечных задач. Ежегодно мы проводим RoadShow, а в этом году попробовали формат отраслевых конференций, где ИБ-директора компаний из одной сферы разбирают схожие проблемы. Есть и закрытые клиентские чаты, где пользователи нашего софта обмениваются лайфхаками – от настройки ПО до оформления отчетов регуляторам или расследования инцидентов. Сообщество живет. Кроме того, у нас есть уникальный для рынка отдел внедрения, который создан специально, чтобы аккумулировать опыт клиентов и советовать эффективные практики. Так мы узнали, что общих "болей" у заказчиков нет, сходство на уровне отрасли, а дальше – индивидуальная специфика. Поэтому считаю, что вендору незачем пытаться дать пользователям универсальные ответы, лучше формировать диалоговую площадку. Дмитрий Горлянский, Гарда Технологии: Мы проводили клиентские мероприятия для обмена опытом между нашими клиентами. На практике немногие готовы афишировать интересные кейсы, так как они включают в себя подробности инцидентов. Как правило, делятся общими подходами к построению процессов, мер защиты, выполнению требований регуляторов и др. l

• 39

Obzor_DLP_NEW 7/28/21 5:52 PM Page 40

СПЕЦПРОЕКТ

Обзор решений DLP Название DLP-решения

Гарда Предприятие

Контур информационной безопасности СёрчИнформ (СёрчИнформ КИБ)

DeviceLock DLP

Компания-разработчик

Гарда Технологии

ООО "СёрчИнформ"

АО "Смарт Лайн Инк"

Компания, предоставившая информацию

Гарда Технологии

ООО "СёрчИнформ"

АО "Смарт Лайн Инк"

Поддержка русского языка

Да

Поддержка других языков

Да

Необходимость приобретения лицензий сторонних вендоров

Нет

Для ОС (Windows Server) и СУБД (MS SQL)

Нет

Лицензии, сертификаты и патенты

Лицензия Лицензии ФСТЭК на разработку СЗИ и ФСБ на разработку, лицензия ФСТЭК на сопровождение. Сертификат ФСТЭК по четвертому уровню доверия

Лицензия ФСТЭК на деятельность по разработке и производству СЗКИ. Свидетельство Роспатента о государственной регистрации в реестре программ для ЭВМ

Позиционирование

DLP-система для крупного и среднего бизнеса

Защита от утечек данных и корпоративного мошенничества, входит в топ-3 востребованных DLP в России. Включена в "магический квадрант" Gartner

Комплексная DLPсистема с полнофункциональными endpointагентами для предотвращения утечек данных с рабочих станций Windows и Mac

Контроль данных на шлюзе сети

Да

Нет

Контроль данных на уровне рабочих станций

Да

Шифрование данных при хранении на серверах и в хранилищах (data at rest)

Нет

При передаче на USB

Да

Поиск конфиденциальной информации в корпоративной сети (data discovery)

Да

Перехват и контроль сессий привилегированных пользователей

Да

Прокси-сервер

Не требуется

Да, сторонний

Не требуется

Минимальный срок развертывания продукта, дни

Возможность развернуть все модули на одном физическом сервере

Да

Возможность развернуть все модули на одном виртуальном сервере

Да

Платформа шлюзового решения (если есть)

Linux (свой дистрибутив)

Не привязан к конкретному оборудованию

Агент под Windows

Да

Агент под Linux

Да

Нет

Агент под MacOS

Да

В ближайших планах Да

Поддерживаемые СУБД для архива событий и файлов

СУБД своей разра- MS SQL, PostgreSQL ботки

MS SQL, PostgreSQL

Автоматическое выявление и группировка неизвестных документов по новым тематикам (кластеризация)

Нет

Да

Нет

Автоматическое создание словарей на основе сырых данных

Нет

Да

Нет

1. Архитектура решения 1.1. Архитектура и модули

1.2. Поддерживаемые платформы

1.3. Автоматизация

40 •

Obzor_DLP_NEW 7/28/21 5:52 PM Page 41

www.itsec.ru

DLP

Infowatch Traffic Monitor

Safetica Protection

Solar Dozor

Staffcop Enterprise

Zecurion DLP

АО "Инфовотч"

Safetica

"Ростелеком-Солар"

ООО "Атом Безопасность"

Zecurion

ГК Infowatch

ESET

"Ростелеком-Солар"

ООО "Атом Безопасность"

Zecurion

Да

Нет

Сертификаты ФСТЭК: Действующие лицензии НДВ-4, СВТ-5; РФ и других государств, сертификаты СНГ: действующие патенты Беларусь, Таджикистан, Казахстан; 28 действующих патентов

Лицензии ФСТЭК, ФСБ и Действующие лицензии МинОбороны РФ РФ и других государств, действующие патенты

Лицензии и сертификаты ФСБ, ФСТЭК. Также имеются международные патенты на технологии, применяемые в DLP

DLP-система для контроля и анализа информационных потоков и защиты от утечек данных. Контентный анализ, передовая аналитика, автоматизация

Защита от утечек конфиденциальных данных и мониторинг эффективности труда персонала

DLP-система корпоративного класса с уникальными функциями анализа поведения пользователей и объединения территориально-распределенных инсталляций в единое целое

Контроль деятельности сотрудников, обеспечение информационной безопасности предприятий, удалённое администрирование

Одна из лучших в мире DLP по версии IDC, Gartner, Forrester и других международных аналитиков

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Не требуется

Да, Zecurion SWG

Да

Нет

Да

RHEL, CentOS, Astra Linux

Solar webProxy

Windows

Да

Нет

Да

В ближайших планах

Да

PostgreSQL, Oracle

MS SQL

PostgreSQL, Oracle

PostgreSQL, Clickhouse

MS SQL, PostgreSQL

Да

Нет

Да

Нет

Да

• 41

Obzor_DLP_NEW 7/28/21 5:52 PM Page 42

СПЕЦПРОЕКТ Название DLP-решения

Гарда Предприятие

Контур информационной безопасности СёрчИнформ (СёрчИнформ КИБ)

DeviceLock DLP

Автоматическая актуализация базы цифровых отпечатков

Нет

Да

Автоматическое помещение сотрудника в группу риска

Нет

Да

Нет

Единая консоль управления всеми модулями и продуктами

Да

Веб-интерфейс консоли управления

Да

Нет

Единые политики безопасности (для шлюзового и агентских модулей) Да

Да

Не применимо

Работа с несколькими архивами данных и событий

Не применимо

Да

Система совместного расследования инцидентов

Да

Диаграмма связей пользователей

Да

Статусы пользователей

Нет

Да

Шаблоны отчетов

Да

Кастомизируемые отчеты

Да

Нет

Граф связей пользователей

Да

Поведенческий анализ (UBA, UEBA)

Нет

Да

Оценка морального состояния пользователей (выявление групп риска)

Нет

Да

Нет

Контроль фотографирования экрана

Нет

Да

Нет

Анализ клавиатурного почерка

Нет

Поиск конфиденциальных данных на локальных рабочих станциях

Да

Контроль голосового трафика

Да

Запись сессий пользователей

Нет

Да

Контроль звука и возможность подключения к микрофонам компьютеров

Да

Нет

Контроль видео и возможность подключения к камерам рабочих станций

Нет

Да

Нет

Запись нажатий клавиатуры

Да

Снимки экрана контролируемых рабочих станций

Да

Теневое копирование данных

Да

Контроль запуска приложений

Да

Нет

URL-фильтрация

В ближайших планах Да

Да

Контроль выхода данных за пределы ограниченной группы пользователей

Да

Карантин

Нет

Да

Нет

Морфологический анализ, стемминг

Да

Анализ документов на иностранных языках

Да Подключаются при необходимости

Да 33 языка

Да 9 языков

Детектирование документов, написанных на двух и более языках

Да

Нет

Детектирование транслита и замаскированного текста

Нет

Да

2. Управление и расследование инцидентов

3. Возможности выявления утечек 3.1. Функциональность

3.2. Технологии контентного анализа

42 •

Obzor_DLP_NEW 7/28/21 5:52 PM Page 43

www.itsec.ru

DLP

Infowatch Traffic Monitor

Safetica Protection

Solar Dozor

Staffcop Enterprise

Zecurion DLP

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

В ближайших планах

Да

Нет

В ближайших планах

Да

Нет

В ближайших планах

Да

Нет

Да

Нет

Да

Нет

Да

Да Да 42 языка, 20 – с поддержкой морфологии

Да

Да Все по UTF8

Да 200 языков

Да

• 43

Obzor_DLP_NEW 7/28/21 5:52 PM Page 44

СПЕЦПРОЕКТ Название DLP-решения

Гарда Предприятие

Контур информационной безопасности СёрчИнформ (СёрчИнформ КИБ)

DeviceLock DLP

Бинарные цифровые отпечатки

Нет

Да

Векторные графические отпечатки

Да

Нет

Растровые графические отпечатки

Нет

Да

Нет

Отпечатки таблиц и баз данных

Нет

Да

Нет

Распознавание текста (OCR)

Да

Регулярные выражения

Да

Строки со спецсимволами

Да

Категоризация текста с использованием тематических и отраслевых словарей

Да

Возможность составления словарей под терминологию заказчика Да

Да

Детектирование изображений кредитных карт

Да

Нет

Детектирование печатей

Нет

Да

Нет

Детектирование заполненных бланков

Нет

Да

Нет

Использование машинного обучения для классификации текста

Нет

Да

Нет

Возможность блокировки передачи на USB-устройства на основе контентного анализа

Да

Возможность блокировки передачи на принтер на основе контентного анализа

Да

Возможность блокировки передачи на другие локальные устройства на основе контентного анализа

Да

Возможность блокировки данных на основе контентного анализа для электронной почты

В ближайших планах

Да

Возможность блокировки данных на основе контентного анализа для веб-почты

Да

Возможность блокировки данных на основе контентного анализа для HTTP

В ближайших планах

Да

Возможность блокировки данных на основе контентного анализа для FTP

Нет

Да

Возможность контентного анализа данных в облачных хранилищах (CASB)

Нет

Да

Возможность контентного анализа мессенджеров

Да

Нет

4. Каналы контроля и предотвращения утечек

Возможность контроля обращения с информацией ограниченного Нет доступа на мобильных устройствах сотрудников Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании корпоративных устройств

Да, при контроле Да агентом отправки сообщений и файлов

Да

Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании личных устройств

Нет

Да

Нет

Наличие открытого API

Нет

Да

Нет

Импорт событий из внешних перехватчиков

Нет

Да

Нет

Экспорт событий в SIEM и SOC

Да

Возможность изменить решение по инциденту из SOC

Нет

Да

Нет

Возможность обогащения специфичными атрибутами событий из внешних систем

Да

5. Интеграции

44 •

Obzor_DLP_NEW 7/28/21 5:52 PM Page 45

www.itsec.ru

DLP

Infowatch Traffic Monitor

Safetica Protection

Solar Dozor

Staffcop Enterprise

Zecurion DLP

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

В ближайших планах

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

В ближайших планах

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

Нет

Да

• 45

Menshakov 7/28/21 5:52 PM Page 46

УПРАВЛЕНИЕ

Чему могут научить системы безопасности аэропорта Сергей Меньшаков, инженер-пресейл направления McAfee

лужба безопасности аэропорта может стать примером того, как следует продумывать, проектировать и реализовывать систему ИТ-безопасности в своей организации. Ведь аэропортам необходимо проявлять бдительность в отношении множества угроз, исходящих от террористов, преступников, недобросовестных сотрудников и т.д. Их системы безопасности противостоят как масштабным атакам, так и отдельным угрозам, например препятствуют проникновению на борт безбилетных пассажиров и провозу контрабанды, параллельно заботясь о безопасности людей. При этом меры безопасности не должны мешать пассажиропотоку, потому что любая задержка запускает цепную реакцию последствий для бизнеса. И это только начало!

Руководство аэропортов может научить нас взаимодействию с участниками цепочки поставок и сторонними органи-

зациями. Они сотрудничают с авиакомпаниями, ритейлерами и государственными ведомствами. А угрозы, с которыми они сталкиваются, могут иметь катастрофические последствия. Специалисты аэропорта также решают такие рутинные задачи, как быстрое перемещение большого количества людей, определение судьбы забытого багажа, поиск баланса между снижением возможных рисков и комфортом для путешественников. Многое необходимо учесть и подготовить план действий, который нужно незамедлительно осуществить при выявлении угрозы. И все это без учета проблем, связанных с состоянием ИТ-инфраструк-

туры, кражами в розничных магазинах, оценкой работы, обучением сотрудников, безопасностью зданий, отслеживанием перемещений людей и т.д. Список практически бесконечный. Потребности в информационной безопасности вашего бизнеса могут казаться не настолько обширными. Однако у каждого предприятия есть свои внешние и внутренние факторы риска, такие как: l хакеры; l программы-вымогатели; l DDoS-атаки, направленные на выведение из строя ваших систем; l мошенничество недобросовестных сотрудников;

Комментарий эксперта Виктор Вячеславов, технический директор группы компаний Innostage На настоящий момент в информационной безопасности есть два понятных и работающих подхода. Первый подход – регуляторный, его еще называют "формальная безопасность". В этом подходе основным источником требований к работе ИБ-систем являются регуляторы: они регламентируют, что и как следует делать, предъявляют требования к организационным процессам, устанавливают критерии контроля. В итоге мы получаем комплексную, эшелонированную, а местами даже избыточную систему защиты информации. Второй подход, практическая безопасность, заключается в формулировании недопустимых событий информационной безопасности на понятном бизнесу языке, и ответе с их помощью на вопросы "Насколько мы защищены?", "Сколько стоит защита?", "Почему это важно?". Второй подход не подменяет и не отменяет первый. Формальную безопасность надо рассматривать как набор базовых мер, которые обязательно должны быть реализованы в информационной системе. А практическая безопасность закрывает лакуны, которые не затрагиваются требованиями регуляторов. Формальная безопасность априори несколько отстает по времени от практической в силу изменчивости реального мира. Но синергия двух подходов позволит любому CISO, руководствующемуся ими, построить эффективную комплексную систему защиты.

46 •

Menshakov 7/28/21 5:52 PM Page 47

www.itsec.ru

УПРАВЛЕНИЕ

l непреднамеренные действия добросовестных сотрудников, которые не понимают, по какой ссылке они переходят или какие данные распространяют. Для компаний важно иметь возможность использовать новейшие и наиболее эффективные приложения и системы, однако сотрудникам не нравится, когда что-то, по их мнению, мешает работе. Итак, давайте посмотрим, чему аэропорты могут научить нас в области анализа потенциальных угроз и соответствующих мер безопасности для развертывания многоуровневого подхода, который защищает ваши данные, пользователей и инфраструктуру. Существует более 20 уровней безопасности в отношении только одной угрозы – терроризма. Такой подход сочетает в себе человеческие действия и технологические меры безопасности. Не существует "серебряной пули" – универсальных мер безопасности на все случаи жизни или единственной технологии, которая могла бы решить все проблемы. Однако комплексный подход помогает составить полную картину потенциальной угрозы. Системы безопасности в организациях не должны полагаться только на одну технологию, но, когда у нас есть несколько решений, работающих совместно, мы можем оценивать, определять и удовлетворять наши потребности в обеспечении безопасности. Ниже приведена таблица, в которой некоторые области обеспечения безопасности в аэропортах сопоставлены с аналогичными сферами ИТбезопасности. Как и в аэропорту, отдельные элементы имеют ограниченную эффективность, если они не интегрированы. Несмотря на то что каждый элемент повышает общий уровень безопасности, единая система управления, способная соотносить все данные и предлагать или принимать решения в рамках стратегии безопасности, имеет решающее значение для обеспечения максимальной эффективности.

Что дает аналогия с аэропортом? Во-первых, работа по обеспечению безопасности в аэро-

Сопоставление мер безопасности в аэропортах с корпоративными мерами безопасности Меры безопасности в аэропорту

Меры безопасности в корпоративных информационных системах

Сверка данных в билете с данными в паспорте

Глобальная технология единого входа и многофакторная аутентификация для каждого приложения (включая облачные)

Проверка багажа (сканирование багажа рентгеновскими лучами)

Сканирование прикрепленных файлов на наличие вредоносных программ

Арочные металлодетекторы и проверка ручной клади

Технологии предотвращения утечек информации для контроля конфиденциальных данных

Распознавание лиц для сравнения данных при прохождении контрольно-пропускных пунктов и зоны выхода на посадку с данными в билете

Концепция Zero Trust ("нулевое доверие") – постоянная проверка на всех этапах

Проверка веса багажа

Проверка вложенных файлов в письмах электронной почты – рассмотрение файлов незнакомого формата в качестве подозрительных

Система видеонаблюдения за перемещением пассажиров по аэропорту

Аналитика поведения пользователей на предмет потенциально опасного поведения

База данных путешественников, предыдущие перелеты, информация о пункте назначения

Ведение журнала событий/аналитика

Принятие решения о допуске на основании замера температуры как симптома СOVID-19

Блокировка перехода на небезопасные вебсайты

Визовые требования

Контроль доступа к конфиденциальным областям или конфиденциальным данным

Проверка даты истечения срока действия паспорта

Повторное подтверждение учетных данных по истечении определенного периода

История предыдущих перелетов

Аналитика поведения пользователей, которая позволяет определить "нормальный трафик" для каждого отдельного пользователя и предупредить о нетипичном поведении

Инициатива по открытому небу – обмен данными с пунктом назначения – разрешение на арест по приземлении

Аналитическая информация для проверки и внедрения системы защиты от атак на основании угроз, с которыми сталкиваются другие организации

Иммиграционная карточка (место пребывания, причина и т.д.)

Обоснование действий сотрудников – обратная связь при возникновении проблем

Отпечатки пальцев по приземлении – сверка с историей предыдущих перелетов

Выводы из анализа данных

l Сотрудники службы охраны; l сотрудники таможенной службы; l сотрудники на стойках регистрации; l диспетчеры системы видеонаблюдения

Индивидуальный подход: сотрудники центра мониторинга информационной безопасности расследуют угрозы, а также определяют и внедряют принципы и правила политики безопасности

Различные линии безопасности для дополнительных проверок

Удаленная изоляция браузера

Общий центр мониторинга информационной безопасности для сопоставления всех входных данных

Глобальное управление

портах сложна и включает в себя тщательное планирование, сотрудничество со сторонними организациями, а также интеграцию работы сотрудников службы безопасности и системы безопасности, основанной на технологиях. Во-вторых, как и аэропортам, нам нельзя полагаться лишь на одно средство защиты.

В-третьих, такие концепции, как Zero Trust, программная матрица MITRE ATT&CK, Cyber Kill Chain, нацелены на всестороннюю оценку угроз – нам необходимо рассматривать угрозы. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 47

Estehin 7/28/21 5:52 PM Page 48

УПРАВЛЕНИЕ

Роли в информационной безопасности Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

ценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью. Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой – предполагают вовлечение всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдет речь в данной статье.

ИБ не работает без помощи изнутри организации

Создание атмосферы прозрачности – еще одна задача топ-менеджмента при выработке стратегии безопасности.

При обсуждении ролей в ИБ роль CISO (Chief Information Security Officer), директора по информационной безопасности, сознательно выведем за скобки, так как речь пойдет вовсе не о службе информационной безопасности. Деятельность по выстраиванию процессов информационной безопасности эффективна лишь в том случае, если она органично встроена в корпоративную культуру компании. В случае организационной и операционной обособленности функций информационной безопасности только в службе ИБ компания не сможет эффективно реагировать на сложные, качественно новые вызовы в современных условиях ведения бизнеса. Чтобы обеспечение информационной безопасности стало общей заботой в организации, ее требуется вывести на уровень бизнес-подразделений и топ-менеджмента.

Перечислим, пропуская руководителя службы ИБ, еще примерно семь различных руководящих должностей в компаниях, отвечающих в качестве основных исполнителей за операционную отказоустойчивость, безопасную инфраструктуру, правильное распределение ресурсов, репутационные риски, реагирование на инциденты и другие аспекты информационной безопасности: l топ-менеджмент; l кадровая служба; l ИТ-служба; l риск-менеджмент; l служба внутреннего аудита; l юридическая служба; l общая безопасность. Проанализируем возможные точки взаимодействия указанных подразделений, и прежде всего их руководителей, в разрезе информационной безопасности компании.

Кадровая служба Топ-менеджмент CEO (Chief Executive Officer), генеральный директор – главное должностное лицо Руководство компании обеспечивает создание и поддержание внутренней среды, которая позволяет сотрудникам в полной мере участвовать в достижении стратегических целей компании. ИБ начинается с генерального директора и спускается вниз, охватывая весь персонал. Именно топменеджмент в ответе за создание строгой культуры безопасного поведения, и он лично должен показывать пример пра-

48 •

вильного отношения к требованиям информационной безопасности. Такой настрой руководства повлечет за собой активизацию диалога между теми, кто определяет культуру компании и требует соблюдения определенных правил, и теми, кто отвечает за бизнес-деятельность. Сегодня бизнесу нужны внутренние лидеры, сочетающие хорошую осведомленность в передовых технологиях с широким кругозором. Важно, чтобы в компании была создана открытая обстановка, в которой поощряется не только информация об успехах, но и негативная информация о любых процессах. Создание атмосферы прозрачности – еще одна задача топ-менеджмента при выработке стратегии безопасности.

CHRO (Chief Human Resources Officer), директор по персоналу Информационная безопасность в значительной степени зависит от организационной структуры и корпоративной культуры компании, а роль директора по персоналу – одна из ключевых в обеспечении информационной безопасности. В чем это выражается? Прежде всего в том, что такой руководитель должен принять на себя часть ответственности за нанимаемых компанией сотрудников. Причиной любого ИБ-инцидента может быть злой умысел или некомпетентность

Estehin 7/28/21 5:52 PM Page 49

www.itsec.ru

УПРАВЛЕНИЕ

работника. Понимание повседневных интересов и мотивации нанимаемых сотрудников – важная составляющая работы кадровой службы. Организации могут обращаться со своими сотрудниками по принципу "нанял-уволил". Но в этом случае не стоит рассчитывать на высокое качество персонала и хорошую репутацию на рынке труда. Управление наймом и уходом сотрудников с учетом возникающих рисков, связанных, например, с утечкой информации, является одним из наиболее важных вкладов кадровой службы в безопасность компании. Еще одной значимой составляющей в работе кадровой службы является применение передовых программ обучения информационной безопасности и распространение их по всей организации. Важна также роль кадровой службы в обеспечении этичности мер безопасности, применяемых компанией, согласовании ее задач, целей, интересов с задачами и целями работников. Эффективное корпоративное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным интересам. Мониторинг действий сотрудников часто вызывает вопросы о доверии к персоналу. Кадровая служба понимает этическую подоплеку этих вопросов лучше всех и может дать совет топ-менеджменту и службе ИБ относительно того, сработают ли принимаемые политики безопасности и соответствуют ли они корпоративной культуре.

ИТ-служба CIO (Chief Information Officer), директор по информационным технологиям Для ИТ-директора важно, что информационная безопасность повышает стабильность и надежность ИТ-систем и это сказывается на операционной отказоустойчивости бизнес-процессов. Что касается технических аспектов, то руководство компании в первую очередь обеспокоено перебоями в работе ИТ-систем или неудовлетворенностью сотрудников их использованием, поскольку эти системы поддерживают текущие бизнес-процессы и в той или иной

степени обеспечивают бизнесдеятельность. На протяжении жизненного цикла компании часто происходит так, что ИБ-команда приходит и через непродолжительное время уходит, а ИТ-команда остается на долгое время. Это является следствием стратегических приоритетов бизнеса, которые формировались с развитием и внедрением ИТ-технологий. Действительно, со службой ИТ зрелый бизнес живет уже плюс-минус 40 лет и привык следовать и доверять всему, что она говорит (все в компании в курсе: как 20 лет назад запустили ИТ-инфраструктуру, так до сих пор все худо-бедно работает). В случае смены ИТ-команды нужно будет заново разбираться, как работает устаревшая ИТсистема, как нетривиально осуществляется процесс обновления и т.д. С ИБ бизнес знаком в лучшем случае последние 10–15 лет. И именно служба ИБ сообщает наверх о всех косяках ИТ: неисполнительности сотрудников (например, в вопросах смены паролей сетевых администраторов), наличии технических учетных записей в Active Directory, несвоевременном закрытии уязвимостей и пр. В противостоянии ИБ-команды с "косяками" ИТ последние формально на стороне информационной безопасности, но по факту в реальном мире между службами существует непонимание, соперничество, явные или скрытые действия со стороны ИТ-инженеров ("гуру в ИТ"), привыкших самостоятельно устанавливать те или иные правила. В силах директора по информационным технологиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопасности для устойчивости компании.

Риск-менеджмент CRMO (Chief Risk Management Officer), директор по управлению рисками, главный риск-менеджер Одной из обязательных и постоянных стратегических задач компании должно быть непрерывное совершенствование. Идентификация рисков в контексте приоритетов бизнеса – одна из ключевых целей компании в сфере информационной безопасности.

Риск-менеджмент отслеживает все риски организации. Поэтому участие директора по управлению рисками в обеспечении информационной безопасности компании можно считать прямо вытекающим из его обязанностей. Определение приоритетности рисков – не техническая задача. Это задача управления компанией. Директор по управлению рисками должен играть важную роль в разработке программы мероприятий по обеспечению информационной безопасности, а также контролировать, как выявленные риски документируются, принимаются и устраняются. Не следует также полагать, что все подходы к регулированию рисков идеальны или просто разумны. Технологическому сектору необходимо избавиться от иллюзии, что только он сам способен понимать информационные технологии и их тонкости. Ему нужно больше делиться информацией об этих тонкостях с тем, чтобы топменеджмент и сотрудники службы управления рисками лучше разбирались в них.

Эффективное корпоративное управление не может опираться на сотрудников, вынужденных действовать вопреки собственным интересам.

На протяжении жизненного цикла компании часто происходит так, что ИБкоманда приходит и через непродолжительное время уходит, а ИТ-команда остается на долгое время.

Служба внутреннего аудита CAE (Chief Audit Executive), директор по внутреннему аудиту Деятельность службы внутреннего аудита очень важна как для служб ИБ и ИТ, так и для руководства компании. Для служб ИБ и ИТ это сторонний взгляд на проблемы ИТбезопасности, сфокусированный на наиболее важных направлениях бизнес-деятельности компании. Для топменеджмента деятельность службы внутреннего аудита существенно экономит время и избавляет от рутинных процедур надзора. Выявленные нарушения в ходе внутреннего аудита немедленно эскалируются

В силах директора по информационным технологиям развернуть ситуацию в сторону осознания его сотрудниками важности информационной безопасности для устойчивости компании.

• 49

Estehin 7/28/21 5:52 PM Page 50

УПРАВЛЕНИЕ

У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отношении того, что соответствие стандартам защитит компанию от любых неприятностей.

"наверх", так как у службы внутреннего контроля традиционно налажены коммуникации с руководством компании. Все, что может иметь негативные последствия для компании, – штрафы, санкции, карательные меры со стороны регуляторов обсуждается с руководством, с целью выработки мер для предотвращения негативных последствий. Но в деятельности внутреннего аудита есть и подводные камни. Для этой службы соблюдение реальных требований информационной безопасности может иметь меньший приоритет, чем соответствие отраслевым нормам и законодательству. У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отношении того, что соответствие стандартам защитит компанию от любых неприятностей. Тут важно не пренебрегать другими профилактическими мероприятиями, предлагаемыми всеми заинтересованными сторонами компании.

Особо важную роль с точки зрения информацион-

Юридическая служба

ной безопасности играет юридическая служба при реагировании на утечки информации ограниченного доступа и персональных данных.

Современные руководители, как правило, понимают скрытые технологические риски и при разработке стратегии безопасности опираются на широкий спектр мнений в компании.

50 •

CLO (Chief Legal Officer), главный юрисконсульт, директор юридической службы Директор юридической службы призван существенно влиять на убеждения и взгляды руководства компании, в том числе на стратегию. Если специалисты юридической службы хорошо разбираются в законодательстве, связанном с защитой персональных данных, понимают основы технологий, знают надежные юридические практики из области соблюдения законодательства по информационной безопасности, то это может свидетельствовать о наличии в компании глубокой юридической экспертизы в технологиях безопасности. Специалисты юридической службы играют ключевую роль в определении политики компании по обмену значимой информацией с госструктурами, они участвуют в судебных разбирательствах, их привлекают к оценке требований контролирующих органов, к оценке процедурных вопросов реагирования на проверки и расследования. Особо важную роль с точки зрения информационной безопасности играет юридическая

служба при реагировании на утечки информации ограниченного доступа и персональных данных.

Общая безопасность (внутренняя безопасность, экономическая безопасность, служба режима) CSO (Chief Security Officer), директор по обеспечению безопасности бизнеса, начальник службы безопасности В современных компаниях организация физической безопасности обычно отдается на аутсорсинг, а служба безопасности чаще всего наделяется функционалом внутренней и/или экономической безопасности. Сотрудники службы безопасности проверяют послужной список кандидатов, пытаются выяснить негативные эпизоды в их биографии и другие моменты, важные с точки зрения надежности кандидата на должность в компании. При расследовании инцидентов служба безопасности традиционно выходит на первый план. Служба ИБ предоставляет всю необходимую фактуру по проштрафившемуся сотруднику: логи, электронную переписку и прочее, а служба безопасности доводит расследование до логического конца.

Заключение Перечисленные выше руководители подразделений нередко смотрят на проблемы обеспечения информационной безопасности по-разному, однако под управлением руководства компании они могут прийти к общему пониманию, которое будет определять стратегию безопасности в бизнес-деятельности компании. Одним из ключевых условий сотрудничества большого числа участников является признание ролей, которые должна играть каждая группа в компании. На представителей топ-менеджмента ложится роль лидеров в этих процессах. Только у них есть полномочия определять, что важно для компании, а что нет. Выше перечислены особенности участия в стратегии безопасности каждого из руководителей ключевых подразделений. Но есть одна область, в которой сходятся все усилия, – это реагирование на

инциденты, связанные с информационной безопасностью. Разработка и применение продуманных, последовательных планов реагирования на инциденты – огромная задача, которая абсолютно необходима для успеха компании в борьбе с негативными событиями. Разработка таких планов – многопрофильный проект, в котором каждый из ключевых руководителей должен играть свою роль. При подготовке планов реагирования компания должна ответить на многие вопросы. Кто входит в команду реагирования? Кто возглавляет эту команду? В какой момент компания обязана сообщать о негативных событиях государственным или федеральным регулирующим органам? Какие соглашения и контракты необходимо иметь в случае, если инфраструктура компании будет неработоспособна? В соответствии с законами о конфиденциальности, трудовым законодательством или политиками компании обязано ли руководство уведомлять своих сотрудников, клиентов или акционеров? Кто несет ответственность за оплату возможных восстановительных работ, которые необходимо выполнить после окончания инцидента? И так далее. Решение многих проблем информационной безопасности невозможно без компромисса между участниками. Топменеджмент не привык действовать по чужой указке, а регулирование со стороны неожиданно появившихся в компаниях технологических лидеров в лице ИТ- и ИБ-директоров часто ограничивает их свободу действий и ущемляет самолюбие. Но современные руководители, как правило, понимают скрытые технологические риски и при разработке стратегии безопасности опираются на широкий спектр мнений в компании. Полная вовлеченность в деятельность компании сотрудников всех уровней способствует применению их знаний, навыков и способностей на благо организации. Только так можно выстроить стратегию безопасности современной компании. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

sber 7/28/21 6:01 PM Page 51

www.itsec.ru

УПРАВЛЕНИЕ

"Единая контрольная среда" как инструмент управления соответствием требованиям регуляторов Светлана Прусская, руководитель направления отдела киберкомплаенс, Сбербанк Екатерина Ефремова, менеджер отдела киберкомплаенс, Сбербанк

о количеству транзакций и объему операций Сбербанк является третьим эквайером в мире и первым – в Европе, он представлен в 18 странах в макрорегионах Europe & APAC. Сбербанк – первый эмитент в России и Восточной Европе, а также самый крупный банк в Российской Федерации. У нас более 100 млн активных частных клиентов, а мобильное приложение Сбербанка ежемесячно используют 67 млн пользователей. В банке ежедневно проходят миллионы транзакций и традиционно его инфраструктура, клиенты и сотрудники становятся объектами множества атак злоумышленников. Для того чтобы защитить банк и его клиентов, мы постоянно повышаем уровень кибербезопасности и работаем над повышением уровня осведомленности клиентов в области безопасности и защиты от мошенников.

Тонкости управления соответствием в крупном банке Банковская отрасль традиционно является самой зарегулированной с точки зрения кибербезопасности, так как любая атака на инфраструктуру организации несет финансовые риски как для самой организации, так и для ее клиентов. Существует более 80 международных и российских нормативно-правовых актов регуляторов, которым Сбербанк, как и другие организации финансово-кредитной сферы, должен соответствовать с точки зрения кибербезопасности, в том числе: l документам международных платежных систем, таким как PCI DSS, PA DSS; l требованиям по защите персональных данных; l стандартам Центрального Банка России и т.д. Эти требования написаны на разных языках мира сложным техническим стилем, зачастую они противоречат друг другу, а порой пересекаются. Управлять таким многообразием требований тяжело, и далеко не всегда понятно, каковы критерии соответствия или даже какой объект должен быть защищен, к примеру: сама система или процесс работы с ней; документ, файл или способ его передачи.

Соблюдать требования регуляторов необходимо ради безопасности процессов компании, защищенности ее клиентов и сохранения их доверия. В этом векторе главная задача функции комплаенса кибербезопасности – обеспечение соответствия всего банка всем тем требованиям, которые принял на себя банк, в том числе и в части добровольного соответствия требованиям лучших практик.

Способ унификации требований регуляторов В Сбербанке данная задача решается с помощью системы

"Единая контрольная среда", в которой собраны все требования регуляторов в части кибербезопасности. Требования нормализованы: объединены дублирующие элементы, а в каждом нормативно-правовом акте определен точный список требований, которым банк должен соответствовать, и список неприменимых сейчас. "Единая контрольная среда" – это ядро системы управления соответствием, инструмент раз-

Рис. 1. "Единая контрольная среда"

• 51

sber 7/28/21 6:01 PM Page 52

УПРАВЛЕНИЕ

Рис. 2. Уровни зрелости процессов комплаенс Существует более 80 международных и российских нормативно-правовых актов регуляторов, которым Сбербанк, как и другие организации финансовокредитной сферы, должен соответствовать с точки зрения кибербезопасности.

"Единая контрольная среда" – это ядро системы управления соответствием, инструмент развития системы защиты.

Задача подразделения комплаенса информационной безопасности в том, чтобы совместно с профильными специалистами зафиксировать тот конкретный способ соблюдения требования, который является наиболее эффективным, бизнес-ориентированным и быстрым.

52 •

вития системы защиты. В ней описаны: l контроли (требования регуляторов); l объекты контроля (то, к чему применяется данное требование, а именно техническое средство, ПО, процесс, документ, сотрудник и т.д.); l описание того, как эти требования должны исполняться в Сбербанке (набор конкретных технических и/или организационных характеристик, артефакты, подтверждающие соответствие); l процессы, в которых реализовано исполнение каждого требования; l внутренние нормативные документы, где описано исполнение каждого требования. Они обязывают всех сотрудников банка следовать установленным процессам; l подразделения, которые осуществляют исполнение требования; l технические средства, обеспечивающие исполнение требования и контролирующие это исполнение; l метрики соответствия для Сбербанка (это точные цифровые характеристики – при каких показателях можно считать, что соответствие требованию обеспечено). Задача подразделения комплаенса информационной безопасности в том, чтобы совмест-

но с профильными специалистами зафиксировать тот конкретный способ соблюдения требования, который является наиболее эффективным, бизнес-ориентированным и быстрым для данной компании, но при этом обеспечивает полное соответствие требованию. Создание единого списка контролей позволяет оптимизировать временные, трудовые и финансовые затраты. l Объединение дублирующих требований сокращает число внутренних проверок на 30%. l Выявление требований, не описанных в процессах и внутренних документах, позволяет найти и объединить существующие разовые решения, установить и зафиксировать в процессах лучшие практики. Сокращает время принятия и согласования решений. l Определение объекта контроля помогает защитить именно то, что требуется. Необходимо понимать, какой именно объект должен соответствовать тому или иному требованию (это может быть сервер, сотрудник, документ и т.д.) l Точное описание способа реализации требования помогает в проведении внешних и внутренних аудитов и, главное, сокращает трудозатраты подразделений при обеспечении безопасности.

l Список конкретных метрик соответствия не только позволяет исполнителям понимать цели и настраивать свою работу, но и сокращает время проверок, а с помощью автоматизации трудозатраты по некоторым проверкам можно сократить на 90% (оставшиеся 10% – это разработка и актуализация самого алгоритма проверки и валидация результатов). l Определение подразделений, которые участвуют в обеспечении соответствия, помогает избежать ситуации, когда "знаем что, знаем как, есть ресурсы, но делать некому, или это делают все подряд". Даже самый прекрасно описанный процесс не работает без исполнителей, поэтому назначение ответственного подразделения является ключом к получению результата. l Определение способов контроля соответствия позволяет в режиме онлайн видеть не только разрозненные показатели, но и картину комплаенса в целом, а также возникающие риски, потребность в ресурсах. На текущий момент в "Единой контрольной среде" Сбербанка более 1500 требований. Но "Единая контрольная среда" постоянно развивается, потому что меняются как требования регуляторов, так и технологии Сбербанка. Поэтому 1500 требований – не конечное число.

sber 7/28/21 6:01 PM Page 53

www.itsec.ru

УПРАВЛЕНИЕ

Использование "Единой контрольной среды" при автоматизации процесса управления соответствием Вследствие перехода многих сфер бизнеса в цифру компании стали понимать, что соответствовать требованиям кибербезопасности нужно не ретроспективно, а проактивно. Уже недостаточно раз в год проводить аудиты, просто делая срез, – это заведомо тупиковый и опасный путь. Система контроля соответствия призвана отслеживать состояние на данный момент и предугадывать риски будущих несоответствий. В рамках международной практики выделено пять уровней зрелости процессов комплаенс (Рис. 2). В Сбербанке "Единая контрольная среда" проводит автопроверку соответствия различным требованиям, создает задачи по устранению нарушений и назначает за них ответственных сотрудников, попутно контролируя процесс. Это позволяет существенно сократить трудозатраты на проведение проверок и устранение нарушений. Примеры автоматических проверок соответствия: l проверка полноты данных о конфигурационных элементах ИТ-инфраструктуры, а также соответствия настроек элементов инфраструктуры установленному шаблону (система сама ежедневно загружает данные и проверяет их по настроенным алгоритмам); l настройка единого автоматического контроля для кластера похожих требований из разных нормативно-правовых актов (позволяет оптимизировать трудозатраты сотрудников и затраты времени работы контролирующего ПО); l автоматический сбор информации обо всех несоответствиях любого типа, как полностью по компании, так и в разрезе каждого нормативного акта (позволяет оптимизировать трудозатраты при подготовке к аудитам, при планировании мероприятий по устранению несоответствий и создать решения, которые закрывают несколько проблем сразу); l анкетирование представителей подразделений (система не только сама создает опрос в соответствии с однажды заданным графиком, но подгружает необходимый пул вопросов, рассылает их по списку участ-

Рис. 3. Управление соответствием требованиям ников процесса и обрабатывает результаты, выдавая готовый итог аудитору); l актуализация процессов и документов – при любом изменении извне (требования НПА) или внутри компании (изменение скоупа автоматизированных систем, организационной структуры, ИТ-инфраструктуры) система предлагает внести изменения в связанные процессы или внутренние документы, чтобы обеспечить непрерывную плановую работу по комплаенс; l контроль и учет мероприятий по устранению несоответствий в связи с тем, что многие из них являются длительными разработками, занимающими годы, многие привязаны к сроку следующего аудита. Проводятся эти мероприятия в разных подразделениях, а отдельные задачи могут быть в работе у абсолютно не связанных с типовым процессом комплаенс сотрудников (значительно снижает трудозатраты и риск упустить из виду какой-либо важный пункт работ).

Будущее "Единой контрольной среды" Есть множество возможностей для дальнейшего развития "Единой контрольной среды". Во-первых, использование искусственного интеллекта. С помощью технологий искусственного интеллекта можно проводить автоматический анализ новых требований регуляторов и их связи с существующими процессами компании, что позволит частично уйти от ручного анализа. Искусственный интеллект будет полезен

в парсинге регуляторных стандартов и разбиении их на атомарные требования, в классификации требований, в определении объекта соответствия и других свойств требования. Во-вторых, "Единая контрольная среда" является инструментом контроля выполнения в том числе внутренних требований кибербезопасности компании. Всем известно, что в этой сфере законодательство не успевает за изменениями и содержит только базовые требования, далеко не всегда обеспечивающие приемлемый уровень безопасности для отдельных компаний. Если организация хочет быть защищенной, она всегда имеет свои собственные разработки и процессы, обеспечивающие безопасность ее деятельности, которые также нужно описывать, организовывать и контролировать, и "Единая контрольная среда" идеально подходит для этой задачи. В-третьих, не лишним будет добавить в "Единую контрольную среду" требования регуляторов в других сферах. Она содержит универсальные вопросы для любой области бизнеса. Можно взять соответствие процесса лечения официальным клиническим рекомендациям или соответствие проведения закупочных процедур законодательству – в любом случае "Единая контрольная среда" поможет оптимизировать процесс и снизить трудозатраты. l

Вследствие перехода многих сфер бизнеса в цифру компании стали понимать, что соответствовать требованиям кибербезопасности нужно не ретроспективно, а проактивно. Уже недостаточно раз в год проводить аудиты, просто делая срез.

"Единая контрольная среда" поможет оптимизировать процесс и снизить трудозатраты.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 53

Angara 7/28/21 6:36 PM Page 54

УПРАВЛЕНИЕ

Практика работы SOC Тимур Зиннятуллин, директор Центра киберустойчивости ACRC

ынок информационной безопасности развивается, и компании часто оказываются перед выбором, построить свой SOC или воспользоваться услугами внешнего. Универсального ответа на этот вопрос нет, но в рамках настоящей статьи мы попробуем привести аргументы в пользу обоих решений, а также дополнить выбор новыми вариантами.

видна необходимость опыта в обосновании всех своих предложений и проектов перед бизнесом. Мы в группе компаний Angara поняли это достаточно рано, нам удалось накопить такой опыт, и мы продолжаем его наращивать.

ских потребностей Security Operations для бизнеса. В связи с этим на рынке будут востребованы профессиональные компании, которые готовы оказывать гибридные услуги и способны меняться вместе с запросами заказчиков, развиваться вместе с индустрией.

Влияние отраслевой специфики Необходимость создания такого технически и организационно достаточно сложного подразделения, как SOC, на практике обусловлена объективными факторами экономического характера, и не так важно, возникла ли такая надобность под влиянием требований регулятора или без них. Зачастую на выбор пути реализации SOC оказывает влияние общая структура расходов компании: у кого-то превалирует CAPEX, у кого-то OPEX, учитывается стоимость владения, увеличение фонда оплаты труда, затраты на обучение и повышение квалификации, стоимость сопутствующего оборудования и многое другое. На основе всех перечисленных факторов принимается решение о том, какие функции Security Operations будут выполняться заказчиком самостоятельно, а какие будут отданы под ответственность внешнему партнеру.

Гибридные форм-факторы для SOC На сегодняшний день четкость привычной дилеммы "свой SOC или внешний" оказывается размыта. Происходит это по причине растущей сложности архитектуры информационных систем, которые нас с вами сейчас окружают, и степени их проникновения в повседневную жизнь. При этом функции Security Operations разделяются между партнерами в определенной пропорции, и эта пропорция уникальна для каждой отдельной компании. Аналогичным образом разделяются архитектурные и операционные схемы их взаимодействия. Поэтому для формирования и тем более внедрения SOC нужен надежный партнер с большим накопленным опытом реализации центров реагирования как в формфакторе on-premise, то есть построение инфраструктуры в рамках классического интеграторского направления, так и в форм-факторе MSSP, то есть в виде сервисов и услуг. Помимо опыта внедрения и реализации SOC, сегодня явно

54 •

Наша практика показывает, что на сегодняшний день услуги внешнего SOC пользуются популярностью у организаций, работающих в сфере финансов, – банков, страховых компаний, активно включается финтех. И для этого есть объективные причины: ведь процессы управления рисками в таких компаниях изначально находятся на более зрелом уровне по сравнению с предприятиями из других отраслей, а возможности снижения потенциального ущерба от реализации операционного риска начинают прорабатываться на более ранней стадии развития компаний. На ситуацию, конечно же, влияет свойственная финансовому сектору регуляторная специфика, начиная с российского ГОСТа и заканчивая зарубежным PCI DSS.

Расширение поля выбора В настоящий момент точка равновесия между форм-факторами SOC уверенно движется в сторону гибридной модели. Например, последнее время наша экспертиза часто привлекается к работе с внедренными собственными средствами защиты информации заказчика, его процессами и сервисами, включая SOC как один из сервисов. В то же время нас продолжают привлекать с подключением исключительно нашего инструментария по причине отсутствия у компании необходимых средств, процессов и сервисов. Но возможно также использование только наших технологий Security Operations в формате SaaS c дополнительным консалтингом, при этом мы размещаем на своих производственных мощностях системы, которыми заказчик пользуется удаленно – просто потому, что он не хочет держать это железо у себя и следить за его доступностью самостоятельно. По нашему прогнозу, экспертиза будет и далее привлекаться в различных гибридных форматах с целью полного или частичного замещения и дополнения любых функциональных и технологиче-

Центр киберустойчивости Для того чтобы идти в ногу со временем, в группе компаний Angara был сформирован Центр киберустойчивости ACRC, объединивший в себе опыт и экспертизу двух отдельных направлений: l подразделения Angara Technologies Group, занимавшегося развитием и внедрением решений по направлению Security Operations в формате on-premise; l второго подразделения, Angara Professional Assistance, изначально оказывавшего услуги коммерческого SOC, то есть исключительно в качестве сервиса. В результате произошедшего объединения мы смогли приступить к формированию той самой гибридной модели предоставления услуг, уже сейчас востребованной на рынке и популярность которой будет расти в ближайшей перспективе. Кроме того, Центр киберустойчивости ACRC изначально учитывал необходимость удовлетворения меняющихся запросов со стороны бизнеса, ведь по мере роста и усложнения информационных систем запросы в части обеспечения безопасности также будут меняться.

Проблема кадрового обеспечения SOC Кадровая проблема носит общемировой характер и свойственна ИБ-сообществу в целом, но у нее есть и российская специфика. Мы как высокотехнологичная компания постоянно с ней сталкиваемся и нашли для себя несколько путей ее решения. Во-первых, и это, пожалуй, основной элемент нашей кадровой стратегии, мы ведем свой авторский практический курс по Security Operations для студентов старших курсов в одном из технических вузов Российской Федерации. Это позволяет делиться с будущими специалистами своим практическим опытом, ведь, к сожалению, на сегодняшний день в системе образования столь важный компонент

Angara 7/28/21 6:36 PM Page 55

www.itsec.ru

АВТОМАТИЗАЦИЯ

представлен недостаточно полно. Мы передаем знания об актуальных технологиях, методах и средствах, которые используют злоумышленники, а также путях защиты от них. Таким образом, мы обеспечиваем хороший кадровый резерв, в первую очередь для себя, но на самом деле для индустрии в целом, потому что наши выпускники работают и в других российских ИБ-компаниях. Во-вторых, в группе компаний Angara реализуется ряд проектов, направленных на обучение, поддержку и формирование дополнительных возможностей для начинающих специалистов, и для студентов в том числе, включая организацию профильных состязаний с последующей возможностью стажировки с наставником, что, в нашем понимании, критически важно. В-третьих, мы организуем выездные лектории, в рамках которых специалисты различного профиля рассказывают о безопасности прикладных систем, современных технологиях, облачных решениях и т.д. Эти три основные, проверенные меры дают нам постоянную кадровую подпитку для Центра киберустойчивости ACRC и других профильных подразделений и, что не менее важно, позволяют самостоятельно отвечать за качество всех оказываемых нами услуг, не привлекать аутсорсинг на свои проекты и сервисы.

Обязательный редтиминг Крайне важным элементом киберустойчивости нашего центра является регулярное проведение спринтов с нашим редтим. Мы проводим их в первую очередь на достаточно объемной инфраструктуре группы компаний Angara, но периодически подключаем к мероприятиям и инфраструктуру заказчиков, разумеется заранее заручившись их поддержкой и содействием. Спринты мы проводим каждый квартал, и аналитики нашего SOC не предупреждаются о времени начала проведения учений. Это знаю только я и руководитель "красной команды". Мы не придерживаемся какой-то одной внешней методики, будь то европейский Тайбер или натовский Cyber Red Teaming, нами сформирована своя экосистема киберучений, и мы ее планомерно реализуем и развиваем.

Совершенствование метрик эффективности На сегодняшний день формальные метрики эффективности реализуются в форме SLA, который указывается в соглашениях об оказании услуг и за которые партнеры несут финансовую ответственность. Чтобы способствовать совершенствованию используемого набора метрик, в центре устойчивости уже не первый год функционирует и развивается направление Security Intelligence, в рамках которого наши эксперты разрабатывают решения для оценки эффективно-

Для того чтобы идти в ногу со временем, в группе компаний Angara был сформирован Центр киберустойчивости ACRC, объединивший в себе опыт и экспертизу двух отдельных направлений: l подразделения Angara Technologies Group, занимавшегося развитием и внедрением решений по направлению Security Operations в формате on-premise; l второго подразделения, Angara Professional Assistance, изначально оказывавшего услуги коммерческого SOC, то есть исключительно в качестве сервиса. В результате произошедшего объединения мы смогли приступить к формированию той самой гибридной модели предоставления услуг, уже сейчас востребованной на рынке и популярность которой будет расти в ближайшей перспективе.

сти средств защиты информации и различных процессов ИБ. Это подразделение разрабатывает наиболее важные, с нашей точки зрения, показатели эффективности, которые помогают нам как представителям ИБ говорить с бизнесом о результатах нашей деятельности в терминах эффективности, а еще лучше – в финансовых терминах. По нашей практике, деньги и эффективность – одни из основных проблем, мешающих более активному распространению ИБ. Ведь если, например, целый год все системы работают хорошо, никакие контрактные обязательства не нарушаются, то в конце года возникает вопрос: а чем вообще служба информационной безопасности занималась? В ответ на этот вопрос мы готовим методики нашей собственной разработки, в создании которых нам помогает консалтинговое подразделение из Angara Technologies Group. С методиками можно ознакомиться, оставив запрос на демонстрацию через наш сайт. Мы также используем ряд общедоступных метрик от ведущих профессиональных сообществ, в основном по методике SMART, которую мы просто реализуем для различных решений. Главное, чтобы метрики позволяли экспертам ИБ показать и доказать свою эффективность бизнесу даже в ситуациях, когда подразделения работали настолько хорошо, что их деятельность не была заметна.

Строим SOC

яснить, что это действительно того стоило, и доказать свою эффективность руководству. Отмечу наше недавнее достижение – это автоматизированная атрибуция потенциальных угроз, тактик и техник злоумышленников, основанная на данных, полученных в ходе расследования реальных подтвержденных инцидентов по всему миру. Это наша собственная разработка, включающая возможность приведения результатов атрибуции к новой методике оценки угроз ФСТЭК и БДУ в целом.

Компетенции для корпоративных SOC Центр киберустойчивости ACRC предоставляет экспертизу для замещения любых функциональных ролей внутри корпоративных SOC нашими специалистами по подписной модели или на проектной основе. У нас есть уникальный для рынка опыт, когда мы выполняем функции реагирования на подозрения на инциденты ИБ, причем не только в дистанционном режиме, но и с присутствием наших инженеров на площадке заказчика, обрабатывая уведомления, направляемые не нашим коммерческим SOC, а одним из наших конкурентов. Можно привести и пример атрибуции потенциальных угроз. Для SOC, построенных не нами, мы можем составить различные карты покрытия тех или иных тактик и техник текущими процедурами и процессами и вместе спланировать реализацию сценария и соответствующего хардеринга на практически любых уже внедренных решениях. При этом результаты данных работ будут внесены в базу знаний самого заказчика, что очень важно, потому что очень часто при увольнении ключевых кадров часть экспертизы теряется. Исходя из всего изложенного выше можно сказать, что Центр киберустойчивости ACRC предоставляет полный сервис или дополняет систему сервисов Security Operations на протяжении всего ее жизненного цикла и на всех этапах развития этого направления в организации. l

Классическое интеграторское направление, вошедшее в Центр киберустойчивости ACRC, – это сопровождение жизненного цикла систем и сервисов безопасности на всех этапах их развития. Речь идет об автоматизации процессов в части организации мониторинга, SIEMменеджменте, обогащении процессов ИБ сторонней аналитикой, когда мы анализируем процессы и внедряем решения для использования фидов или TI, мониторинге управления инцидентами, внедрении решений класса IRP и SOAR, написании плейбуков под них и т.д. То есть все, что связано с документальным сопровождением процессов, визуально дополняет контроль метрик эффективности с подключением Security Intelligence. Реклама NM Самое тяжелое для АДРЕСА И ТЕЛЕФОНЫ организации, которая ANGARA (ГРУППА КОМПАНИЙ) решила построить свой см. стр. 72 SOC, – в конце года объ-

• 55

innostage 7/28/21 5:52 PM Page 56

УПРАВЛЕНИЕ

Использование IRP в качестве ядра для процесса управления инцидентами ИБ Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage

лавная идея использования IRP-системы заключается в максимальной автоматизации полного цикла обработки инцидентов, включая реагирование, расследование и устранение негативных последствий. годаря модулю "Взаимодействие с ГосСОПКА"); l настроить вычисление и контроль изменений ключевых показателей эффективности процессов информационной безопасности компании для отслеживания общего уровня ИБ (в Innostage IRP автоматизируется благодаря модулю "Визуализации ключевых показателей эффективности").

Для того чтобы выстроить эффективный процесс управления инцидентами ИБ, необходимо выполнить ряд мероприятий: l сформировать единую конфигурационную базу ИТ-активов защищаемого объекта и обеспечить ее поддержку в актуальном состоянии (в Innostage IRP это автоматизируется благодаря модулю "Управление ИТ-активами"); l выстроить на базе IRP процессы учета, расследования и реагирования на инциденты ИБ, включая корректирующие воздействия на элементы ИТинфраструктуры или отправки команд на существующие СрЗИ, например блокирование сетевых портов на средстве МЭ (в Innostage IRP автоматизируется благодаря модулю "Управление инцидентами ИБ"); l организовать деятельность по устранению уязвимостей и контролю за этим процессом с возможностью формирования отчетных документов (в Innostage IRP автоматизируется благодаря подсистеме "Управление уязвимостями"); l организовать передачу информации о компьютерных атаках и инцидентах ИБ на объектах КИИ в центр ГосСОПКА (в Innostage IRP автоматизируется бла-

Как проверить эффективность IRP IRP как средство автоматизации и единая точка взаимодействия специалистов различных линий SOC и других задействованных подразделений заказчика должна повышать эффективность управления инцидентами. При выборе решения IRP, по нашей практике, важно обратить внимание на ряд ключевых моментов, которые позволят измерить пользу и эффект от внедрения. 1. Использование IRP должно позволять снизить общее время обработки инцидента и, как следствие, обеспечить рост производительности команды SOC или группы реагирования. Тут на помощь приходит целый арсенал инструментов: а) возможности использования автоматизированных сценариев реагирования (плейбуков), в рамках которых необходимые действия по работе с инцидентом детализированы до уровня понятных задач, часть которых выполняется автоматизировано; б) возможности автоматизации типовых действий аналитиков SOC, которые обычно выполняются вручную, например обогащение информации по инциденту данными о затронутом ИТ-активе, о проверке вредоносности выявленного инди-

CyberART, входящий в группу компаний Innostage, является оператором сервисов киберзащиты, отвечающим за противодействие современным компьютерным угрозам, и обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты, включая взаимодействие с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о сотрудничестве с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.

56 •

катора компрометации и прочими данными; в) возможности объединения однотипных инцидентов и их массового закрытия, применения для них единых сценариев реагирования; г) возможностей ведения базы знаний решенных инцидентов для быстрого поиска подходящих решений и предоставления аналитики по схожести текущего инцидента с ранее решенным. 2. Использование IRP должно позволять снизить требования к квалификации части персонала SOC, прежде всего персонала первой линии, то есть снизить "порог входа" в виде знаний и навыков, которыми должен обладать сотрудник. В этой части IRP, во-первых, должна обладать интуитивно понятным и удобным интерфейсом, чтобы сотрудники могли быстро разобраться и включиться в процесс работы, во-вторых, автоматизировать типовые действия по типовым инцидентам и давать набор понятных инструкций в рамках плейбуков, разработанных "старшими товарищами" команды SOC – аналитиками и экспертами. 3. Применение IRP должно повысить прозрачность и измеряемость работы SOC и процесса управления инцидентами в целом. Должен увеличиваться контроль эффективности работы команды SOC с инцидентами за счет отслеживания метрик эффективности и визуализации ключевых показателей. 4. Архитектура IRP должна позволять учесть организационную структуру компании и особенности реализации тех или иных процессов. В частности, зачастую для крупных распределенных компаний важна возможность размещения на уровне дочерних обществ полнофункциональных инсталляций IRP, подчиненных центральной, например в случае слабых каналов связи между центром и дочерними обществами. Это позволяет организовать полноценную автоматизацию реагирования на уровне дочерних обществ, например в случае инцидентов на объектах КИИ, где тре-

innostage 7/28/21 5:52 PM Page 57

www.itsec.ru

АВТОМАТИЗАЦИЯ

Рис. 1. Архитектура Innostage IRP

Innostage IRP в свете импортозамещения Innostage IRP является российской разработкой, в ближайшее время ожидается включение продукта в реестр российского ПО. В свете активного развития цифровизации и ускорения процесса перехода на отечественные решения и продукты в ГК Innostage хорошо понимают серьезность задач, стоящих за импортозамещением. На данном этапе мы в активно вкладываемся в развитие дополнительного функционала платформы Innostage IRP, чтобы еще более точно отвечать запросам российского бизнеса, госструктур и субъектов КИИ.

Заключение Innostage IRP помогает поддержать в организации правильные процессы ИБ, а также избавить от лишних затрат, соблюдая законодательство в сфере вопросов защиты КИИ, так как может использоваться в качестве ядра для создания SOC и быть ядром центров ГосСОПКА. Гибкость архитектуры Innostage IRP позволяет добавлять дополнительный функционал в конкретные проекты с учетом индивидуальных запросов заказчиков. Такой подход дает возможность накапливать значительный опыт, лучше понимать потребности бизнеса и эффективно развивать продукт. Автоматизация процессов реагирования позволяет сократить время реагирования на инциденты, значительно уменьшить влияние человеческого фактора, освободить время высококвалифицированных и высокооплачиваемых специалистов для решения более значимых задач, а самое главное – эффективно реагировать на возникающие киберугрозы. l

буется вовлечение локальных служб эксплуатации в процесс реагирования на инциденты. 5. IRP должна реализовывать сервисную изолированность при автоматизированном реагировании на инцидент. 6. Функционал IRP должен развиваться и наполняться сценариями реагирования, в том числе за счет практического использования решения в различных SOC. Особенность процесса разработки и развития платформы Innostage IRP заключается в наличии в ГК собственного коммерческого SOC CyberArt, команда которого на практике испытывает функционал продукта и дает полезную обратную связь с учетом своей ежедневной практики отражения киберугроз. Это позволяет постоянно дорабатывать и развивать возможности Innostage IRP, делая продукт более гибким и эффективным. В качестве примера стоит привести недавнее добавление функции автоматической проверки выявленного индикатора компрометации в TI-системах и на внешних ресурсах, таких как VirusTotal.com. Результаты этих проверок теперь отображаются в карточке инцидента автоматически, вместо того чтобы аналитик выполнял их каждый раз вручную, что помогает сэкономить время и дает возможность сосредоточиться на глубокой аналитике инцидента. Innostage IRP – это ядро нашего коммерческого SOC, который одновременно является и одним из наших ключевых заказчиков в части формулирования требований к функционалу системы и источником идей развития. В то же время Innostage IRP используется и во внутренних SOC ряда компаний. Функционал решения Innostage IRP позволяет решать актуальные задачи информационной безопасности за счет гибкой архитектуры (см. рис. 1).

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 57

dialognauka 7/28/21 5:52 PM Page 58

ТЕХНОЛОГИИ

От повышения осведомленности – к культуре безопасности Андрей Жаркевич, редактор ООО “Антифишинг” Виктор Сердюк, генеральный директор АО “ДиалогНаука”

Воздействуя на слабые места людей с помощью психологических приемов, преступники убеждают сотрудников компаний выполнить нужные им действия. Вот лишь несколько примеров успешных атак: 1. 7 мая 2021 г. произошла кибератака на оператора крупнейшего в США топливопровода Colonial Pipeline. Злоумышленники использовали фишинговую схему для получения доступа к компьютерным системам компании: один из сотрудников перешел по ссылке в фишинговом письме и заразил информационные системы компании. В итоге компания была вынуждена заплатить выкуп в размере $5 млн, но при этом получила неработающий инструмент для расшифровки данных. 2. В декабре 2020 г. в Интернете были выставлены на продажу данные 16 тыс. клиентов инвесткомпании "Фридом Финанс", в том числе квалифицированных инвесторов. В свободном доступе оказались сведения о 50 из 1. https://antiphish.ru/news/report2020

58 •

настоящее время у большинства успешных компьютерных атак есть одна общая черта: первичным вектором в них становятся не уязвимости в системах, а использование человеческого фактора, связанного с сотрудниками, подрядчиками или клиентами организаций. В основе таких атак лежат не технические методы, а социальная инженерия. В этой статье поговорим о том, что нужно для создания надежного “человеческого файрвола” и как в этом может помочь платформа “Антифишинг”.

них: паспортные данные, адреса, данные о счетах в банках. Злоумышленники атаковали сегмент внутренней сети компании и похитили часть информации с локальных машин ряда сотрудников брокера в РФ. 3. В середине мая 2021 г. Национальная служба здравоохранения Ирландии (Health Service Executive, HSE) стала жертвой атаки шифровальщика Conti. Злоумышленники находились в сети HSE более двух недель и похитили 700 Гбайт файлов, включая конфиденциальную информацию о пациентах и сотрудниках, контракты, финансовые отчеты, платежные ведомости и многое другое. За расшифровку и удаление похищенных данных преступники требовали выкуп в размере $19,9 млн. В таких условиях затраты на формирование навыков и культуры безопасного поведения сотрудников должны стать обязательной частью бюджета информационной безопасности.

О платформе "Антифишинг" – платформа для формирования навыков противодействия всем видам атак на персонал компании. В состав платформы входят обучающие курсы, тесты, а также специальная методология и технологии для имитации некоторых видов атак. Это позволяет практически полностью автоматизировать работу HR- и ИБ-подразделений в части проведения и контроля результатов обучения, а также тренировки сотрудников в условиях, максимально приближенных к реальным инцидентам ИБ.

Как ведут себя люди во время атак По данным исследований "Антифишинга", собранных в отчете о защищенности сотрудников в 2020 г., в среднем 37% людей открывают письма мошенников, а 79% из них совершают

затем опасные для компании действия: вводят свои логины и пароли на сторонних сайтах, открывают потенциально опасные вложения или даже скачивают и устанавливают вредоносное ПО, замаскированное под обновления системы.

Почему обучения недостаточно Очевидным способом решения проблемы человеческого фактора чаще всего становится проведение обучения. По этому пути идет значительная часть компаний во всем мире, но ожидаемого результата они не достигают. После года обучения лишь 9% сотрудников1 не допускает ошибок в условиях имитации реальных атак. Работа с сотрудниками, состоящая только из обучения на курсах, практически не влияет на их поведение во время атаки злоумышленников. Не удалось выявить корреляции между декларируемым качеством курсов, их дизайном, геймификацией и действиями сотрудников на практике в условиях имитированных атак. Эти результаты отражают закон забывания Г. Эббингауза, в соответствии с которым обучение эффективно только в течение трех дней, а затем 90% материала забывается, если он не закреплен на практике.

6 шагов к созданию культуры кибербезопасности В комплект поставки платформы "Антифишинг" входят методические рекомендации по организации обучения и тренировок для персонала компании. Приведем наиболее важные шаги, выполнение которых, с нашей точки зрения, позволит укрепить корпоративную киберкультуру и выработать у сотрудников навыки безопасного поведения.

dialognauka 7/28/21 5:52 PM Page 59

www.itsec.ru

ТЕХНОЛОГИИ

Шаг 1. Оцените ситуацию Прежде чем принимать меры, нужно выяснить текущий уровень киберграмотности. Сделать это, например, можно посредством имитации некоторых видов атак, шаблоны которых поставляются вместе с платформой и адаптируются под каждую организацию. Имитированная атака полностью аналогична атаке мошенников, за исключением того, что вместо вредоносного кода сотрудник получает моментальную обратную связь с объяснением, что он сделал не так и как нужно действовать в подобной ситуации.

нии в системе нового пользователя можно назначить ему прохождение базового курса по информационной безопасности. Уведомление о назначении курсов направляется пользователям по электронной почте.

Система контролирует прохождение обучения, и администраторы системы в любой момент могут получить отчет о состоянии дел.

Шаг 3. Проведите серию имитированных атак Платформа позволяет наглядно просмотреть, как действовали сотрудники при получении фишинговых писем, сколько человек открыли письмо, сколько запустили вложение или перешли по ссылке. На основе собранных данных система показывает, как сотрудники компании справляются с имитацией реальных хакерских атак. Реализованная в "Антифишинге" система визуализации дает актуальную и объективную информацию об уровне подготовки пользователей – сотрудников компании, с позиций ИБ.

В составе платформы имеется модуль для управления имитированными атаками. Он позволяет отправлять пользователям письма в соответствии с разработанными экспертами "Антифишинга" шаблонами, чтобы выработать у сотрудников навык распознавания фишинговых атак и закрепить полученные знания на практике. Вы можете предоставить сотрудникам простой и наглядный инструмент, с помощью которого они смогут выявить атаку и сообщить о ней в службу безопасности, например такой, как плагин "Антифишинга" для Microsoft Outlook:

Шаг 2. Организуйте регулярное обучение В составе "Антифишинга" имеется система электронного обучения, поддерживающая стандартный для LMSсистем формат SCORM. Это позволяет не только использовать входящие в комплект поставки адаптированные курсы "Антифишинга", но и добавлять уже имеющиеся в компании обучающие материалы, чтобы управлять ими из единого интерфейса. Платформа интегрируется в корпоративную ИТ-инфраструктуру и получает данные о сотрудниках и организационной структуре из Active Directory или другой LDAP-совместимой службы каталогов, а также из кадровых систем. Это избавляет от рутинных операций по синхронизации "Антифишинга" с базой данных пользователей и позволяет всегда иметь актуальную картину состояния ИБ организации. В составе платформы имеется планировщик, который автоматизирует назначение пользователям обучающих курсов и контроль их прохождения. Он позволяет назначать курсы для групп сотрудников по времени или по событиям-триггерам. Например, при появле-

Шаг 4. Проанализируйте результаты Оценить результаты сотрудников можно с помощью встроенных показателей покрытия и других визуальных представлений:

всегда эти приоритеты отражаются организационной структурой: часто сотрудники из разных подразделений и отделов должны быть объединены в единую параллельную структуру, которая имеет свой приоритет и позволяет вести процессы особенным способом. Для решения этой задачи и визуального представления разных категорий сотрудников в "Антифишинге" появилась возможность группировать сотрудников – объединять их без привязки к организационной структуре. Сотрудников, которые представляют наибольший риск с точки зрения процессов безопасности, рекомендуется помещать в группу наиболее высокого приоритета.

Шаг 6. Повторите и автоматизируйте процессы Закрепление усвоенного материала и фиксация выработанных навыков требуют регулярного повторения. Для этого можно воспользоваться встроенным в систему планировщиком, который дает возможность назначить повторное прохождение курсов с заданной периодичностью. Проведение имитированных атак также следует повторять, используя шаблоны с разными вариантами психологического воздействия. Это обеспечивает формирование закрепления устойчивости к различным видам атак и обеспечивает высокий уровень бдительности у пользователей. Группировка и все последующие действия с сотрудниками могут быть автоматизированы встроенными средствами платформы, а также через API "Антифишинга". Из вышеизложенного можно сделать следующие выводы: 1. Устойчивость компании к компьютерным атакам определяется не только функциональностью технических средств защиты, но и уровнем киберграмотности людей. 2. Теоретические знания о кибератаках не помогают в случае реальных инцидентов ИБ. 3. Чтобы обеспечить эффективную защиту, необходимо обучить сотрудников принципам информационной безопасности и сформировать правильные навыки и поведение на тренингах/тренировках, которые проводятся в условиях, максимально приближенных к настоящим атакам. 4. Систематическое повторение цикла "обучение – тренировка – контроль" обеспечивает формирование долговременного тренда на закрепление навыков безопасного поведения и формирование сильной культуры безопасности в организации. l

Шаг 5. Выделите группы риска Разные категории сотрудников имеют различные приоритеты с точки зрения рисков и процессов безопасности. Не

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 59

Ideco 7/28/21 5:52 PM Page 60

ТЕХНОЛОГИИ

Новые возможности Ideco UTM 10

люз безопасности Ideco UTM – современное, быстро развивающееся российское решение для защиты сетевого периметра, включающее возможность глубокого анализа трафика, систему предотвращения вторжений, подсистему контент-фильтрации на уровне приложений и другие модули, что позволяет создать надежный барьер для защиты локальной сети от современных угроз безопасности.

Классический полнофункциональный шлюз безопасности Наши замеры показывают, что в отсутствие контент-фильтрации до 40% трафика можно отнести к мусорному: это торренты, контент от развлекательных сервисов и реклама.

Для подключения удаленных пользователей должно использоваться VPN-соединение, от его защищенности и удобства во многом зависит эффективность работы удаленных сотрудников.

Удобство работы администратора сетевой безопасности – один из приоритетов разработчиков Ideco UTM.

60 •

За последний год понятие сетевого периметра сильно изменилось: сотрудники с удаленным режимом работы из исключений стали нормой. В новой реальности проблемы защиты периметра остались актуальными, но к ним добавились задачи доступности и производительности корпоративных сервисов, контроля удаленных сотрудников, в том числе и с точки зрения поддержания их рабочего режима. По нашим подсчетам, в среднем два часа рабочего времени сотрудника ежедневно приходится на интернет-активность, не связанную с поставленными работодателем задачами. Развлекательные, новостные сайты, соцсети – основные поглотители рабочего времени. Безусловно, тайм-трекеры содействуют решению данной проблемы, но возможность фильтрации на уровне приложений в шлюзе безопасности сильно поможет в этом вопросе, если предварительно ограничить доступ сотрудников к контенту нежелательных типов. Стоит также отметить еще один негативный эффект от посторонних сервисов: многие из них снижают производительность сети, особенно это касается видеоконтента и торрентов. Наши замеры показывают, что в отсутствие контент-фильтрации до 40% трафика можно отнести к мусорному: это все те же торренты, контент от развлекательных сервисов и реклама. С удаленным режимом работы проблема стала еще актуальнее, к мусорному трафику добавились онлайн-игры и стриминговые сервисы, которые способны заметно снизить производительность даже самого широкого канала. Сопутствующим грузом к мусорному трафику зачастую идет зловредное ПО, послед-

Модель Ideco SX+ ствия от которого могут быть весьма и весьма неприятными. Активность Ransomware в последние месяцы находится на пике, и если дать ей проникнуть внутрь периметра и закрепиться, ущерб будет исчисляться реальными суммами выкупа. Для решения проблемы фильтрации трафика шлюз безопасности Ideco UTM работает на 7-м уровне модели OSI, уровне приложений, что позволяет определить и заблокировать трафик нежелательного типа и от нежелательных сервисов. Более того, в новой, 10-й версии Ideco UTM появилась возможность не только применять правила фильтрации, но и проводить мониторинг, отслеживая, с какого именно рабочего места был запрошен трафик, для которого сработала блокировка. А в 12-й версии Ideco UTM добавится отчетность для проведения ретроспективных расследований. Мониторинг трафика в Ideco UTM происходит в реальном времени с использованием модуля DPI (Deep Packet Inspection) на уровне приложений, при этом трафик проверяется антивирусными средствами, анонимайзеры автоматически блокируются и задействуется подсистема IPS (Intrusion Prevention System).

Удаленный доступ по VPN Корпоративные сервисы в новых условиях частично

остаются внутри периметра компании – почта является самым распространенным примером. В условиях удаленной работы, ставшей де-факто основной формой подключения сотрудников к корпоративным сервисам, потребность защищенного подключения к офисной сети становится определяющей. Стандартно для подключения удаленных пользователей должно использоваться VPN-соединение, от его защищенности и удобства во многом зависит эффективность работы удаленных сотрудников. В части VPN Ideco UTM поддерживает не только классические, но и новые протоколы – IKEv2 и WireGuard, нативно поддерживаемые современными операционными системами. В 10-й версии Ideco UTM появился собственный VPNагент. Он дает возможность быстро и удобно настроить VPNсоединение на рабочем месте удаленного сотрудника, а также решать проблемы автоматического переподключения при неустойчивом интернет-соединении и собственного обновления, избавляя пользователей от рутинных действий. В будущем агент будет выполнять и дополнительные функции для повышения надежности и безопасности соединения с корпоративной сетью. При этом настройки VPNдоступа в Ideco UTM интегрируются с настройками групп

Ideco 7/28/21 5:52 PM Page 61

www.itsec.ru

ЗАЩИТА СЕТЕЙ

безопасности корпоративного Active Directory, избавляя администраторов от необходимости поддержания нескольких пользовательских реестров. В новой версии Ideco UTM добавился отчет по авторизации пользователей, позволяющий посмотреть сессии, когда каждый конкретный пользователь работал внутри сети или с использованием VPN.

Рабочий инструмент администратора Удобство работы администратора сетевой безопасности – один из приоритетов разработчиков Ideco UTM. Из версии в версию совершенствуется интерфейс работы администратора UTM, как с точки зрения широты параметров мониторинга и удобства, так и с точки зрения добавления правил и записей об объектах инфраструктуры. Например, разработчиками была проведена большая работа для увеличения скорости обработки трафика, в частности, в модуле системы предотвращения вторжений и контроля приложений. Увеличилось также количество типов оповещения в Telegram о событиях на сервере. Например, администратору полезно будет оперативно узнать об удачном входе в административную панель, скажем, из Китая.

Форматы исполнения и внедрение Программное решение Ideco UTM представляет собой операционную систему Linux, устанавливаемую на сервер или виртуальную машину. Ideco UTM основан на Fedora 31 и содержит ядро Linux с набором драйверов, адаптированных для задач шлюза безопасности. Таким образом, Ideco UTM поддерживается большим количеством оборудования, поддерживащего Fedora 31. Для установки и работы Ideco UTM не требуется предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного CD или USB-flash, при этом автоматически создается файловая система и устанавливаются все необходимые компоненты. Вся функциональность Ideco UTM доступна из коробки, а установка и внедрение занимают десять минут, согласно

нашим замерам в реальных проектах. Шлюз легко интегрируется в существующую инфраструктуру, в том числе позволяя удобно провести миграцию на Ideco UTM с других решений. Ideco UTM также легко интегрируется с системой класса SIEM. Для решения вопросов настройки и работы с Ideco UTM имеется служба технической поддержки, а также есть сообщество пользователей системы, позволяющее обмениваться знаниями, опытом и рецептами успеха. Кроме того, интеграционное подразделение Ideco предоставляет услугу интеграции под ключ, включающую в себя установку решения, конфигурирование сетевых параметров и настройку всех служб фильтрации согласно требованиям заказчика, в том числе включая перенос настроек с используемого решения. Для интеграции под ключ специалист Ideco подключается к сети заказчика удаленно или лично присутствуя в офисе.

Линейка аппаратных решений Ideco Ideco SX+ Ideco SX+ предназначен для небольших организаций численностью от 50 до 75 активных пользователей Интернета. Ideco SX+ позволяет ввести ограничения по трафику для каждого из сотрудников или отдельных групп, защитить периметр сети, сегментировать сеть и использовать несколько интернет-провайдеров благодаря шести сетевым интерфейсам, а также предоставить возможность удаленной работы сотрудников по VPN.

Ideco MX Ideco MX – аппаратный шлюз для средних предприятий с численностью активных пользователей от 50 до 350. Он дает возможность защищать локальную сеть предприятия от внешних угроз, контролировать потоки трафика и обеспечивать все основные потребности сетевой инфраструктуры. Компактная форма, решение широкого круга задач и возможность интеграции с AD/LDAP позволяют линейке Ideco MX отвечать всем важным запросам компаний малого и среднего бизнеса относительно защиты периметра.

Ideco LX Модель Ideco LX предназначена для предприятий малого и среднего бизнеса численностью от 300 до 3 тыс. активных пользователей Интернета. В качестве аппаратной платформы данной линейки используются серверы с высокой производительностью и отказоустойчивостью. Серверы серии LX обладают повышенным уровнем надежности, производительности и управляемости в сочетании с возможностью наращивания ресурсов вычислительной системы. Это обеспечивает непрерывность бизнес-процессов как малых, так и крупных предприятий.

Вся функциональность Ideco UTM доступна из коробки, а установка и внед-

Планы развития Релизы Ideco UTM выходят несколько раз в год, и в ближайших планах разработчиков находятся важные и востребованные на реальных объектах функции: l конструктор отчетов по вебтрафику и трафику приложений; l поддержка кластеризации для резервирования и повышения производительности; l улучшение системы мониторинга и оповещений, поддержка временного периода действия для правил контроля приложений, контент-фильтра и управления полосой пропускания; l резервное копирование конфигурации в облачном кабинете для быстрого восстановления настроек и тиражирования устройств; l поддержка авторизации по MAC-адресам.

рение занимают десять минут, согласно замерам в реальных проектах.

Интеграционное подразделение Ideco предоставляет услугу интеграции под ключ, включающую в себя установку решения, конфи-

Сертификация и импортозамещение Решения Ideco сейчас находятся в процессе сертификации ФСТЭК, и к концу 2021 г. ожидается получение сертификата. Кроме того, разработчики уже тестируют использование в ПАК процессоров "Байкал", чтобы удовлетворять требованиям импортозамещения. Впрочем, стоит отметить, что в задачи, подразумевающие работу с гостайной, разработчики включаться не планируют. l

гурирование сетевых параметров и настройку всех служб фильтрации.

АДРЕСА И ТЕЛЕФОНЫ "Айдеко" см. стр. 72

• 61

Zabula 7/28/21 5:52 PM Page 62

ТЕХНОЛОГИИ

От VPN к ZTNA – эволюция безопасной удаленной работы Сергей Забула, руководитель группы инженеров по работе с партнерами Check Point Software Technologies

V Основная идея VPN состоит в том, чтобы окружить сеть виртуальным периметром или, иными словами, "барьером", не пропускающим злоумышленников. Однако в современной децентрализованной среде управлять подобной моделью становится все труднее. Далеко не всем пользователям сети необходим одинаковый уровень доступа. Например, администраторам и сторонним пользователям (таким, как консультанты), вряд ли потребуется доступ к одним и тем же приложениям или понадобится одинаковый уровень разрешений (на чтение, запись, управление и т.д.). VPN теряет актуальность по мере того, как организации переносят приложения из корпоративной сети в облака, при этом количество сотрудников, работающих хотя бы часть времени удаленно, продолжает расти. Эти изменения сказываются на решении о необходимости использования VPN. Рассмотрим несколько сценариев, при которых традиционные VPN могут подвести. Затем обратимся к новой модели безопасности, которая проще в управлении и предоставляет больше возможностей для обеспечения безопасности сети.

Ограничения VPN в отношении удаленного доступа к сети Многие организации уже поняли, что традиционных VPN и средств контроля доступа, предназначенных для защиты закрытого периметра, в современных условиях, когда преобладает удаленный доступ сотрудников ко внутренним ресурсам компании, недостаточно. Корпоративные сети стремятся к децентрализации. Работа из дома (WFH) и необходимость доступа сторонних пользователей (например, консультантов

62 •

PN тормозит работу? Когда дело касается удаленного доступа к сети, приходится принимать ряд непростых решений. Однако все они сводятся к двум моментам: 1. Необходимость максимально упростить доступ для своих пользователей. 2. Максимальное усложнение доступа для посторонних лиц. До сих пор многие организации полагались на традиционную модель сетевой безопасности, ориентированную на защиту периметра, поэтому использовали виртуальные частные сети или VPN.

и партнеров) приводят к тому, что запросы на удаленный доступ к сети поступают отовсюду. В условиях локальной архитектуры безопасности на основе периметра, где весь трафик проходит через центр обработки данных, это может привести к увеличению времени отклика и снижению производительности труда.

Отсутствие контроля персональных устройств сотрудников в рамках концепции BYOD (использование персональных устройств в рабочих целях) Разрешение доступа с неуправляемых и не принадлежащих организации устройств означает, что доступ к вашей сети и активам осуществляется с неизвестных конечных точек, которые представляют собой фактор риска и могут оказаться зараженными вредоносными программами. В подобной ситуации не всегда представляется возможным выявлять такие конечные точки и отслеживать их на предмет установки всех необходимых обновлений безопасности и устранения риска заражения. Взломав такое устройство, злоумышленник с легкостью проникает в сеть.

Отсутствие безопасного доступа к облачным приложениям Сетям VPN не хватает гибкости, столь необходимой в современных ИТ-средах. Их сложно разворачивать в облаке, и они, как правило, не в полной мере обеспечивают безопасный доступ к облачным приложениям и решениям "инфраструктура как услуга" (IaaS), таким как AWS, GCP, Azure.

Чрезмерно широкие права доступа для третьих лиц Что касается сторонних пользователей, то использование VPN может быть полностью запрещено правилами, которые не позволяют устанавливать клиен-

ты VPN на устройства людей, не являющихся сотрудниками компании. В случае отсутствия таких правил сторонним пользователям могут быть предоставлены широкие привилегии, позволяющие установить клиент VPN и, таким образом, получить неоправданно высокий уровень доверия, что может упросить доступ к активам и конфиденциальной информации компании.

Недостаточные возможности управления сетью или приложениями Модель безопасности на основе периметра, которую предлагает VPN, проста, но лишает вас и вашу группу безопасности гибкости в управлении. При использовании VPN не хватает детального контроля над рядом ключевых областей, что создает множество проблем. Вот лишь некоторые из них: l управление авторизацией и доступом на уровне сети не позволяет организовать детальный контроль; l потенциальный риск атаки через боковое перемещение и обнаружение конфиденциальных активов; l отсутствие централизованного управления приложениями; l отсутствие встроенных в приложения элементов контроля над действиями пользователей (разрешения на чтение, запись, редактирование и т.д.).

Альтернативы VPN В свое время, когда большинство пользователей находились в офисах, а почти все приложения размещались на локальных серверах, сети VPN были отличным решением. Однако сегодня безопасность данных находится под серьезной угрозой, поскольку хакеры знают, что, если они смогут обойти сетевую защиту, велика вероятность того, что они не встретят значительного сопротивления со сторо-

Zabula 7/28/21 5:52 PM Page 63

www.itsec.ru

ЗАЩИТА СЕТЕЙ

ны внутренних систем. Использование VPN и брандмауэров может породить чрезмерную уверенность в уровне сетевой безопасности. По прогнозу Gartner1, к 2023 г. до 60% предприятий откажутся от VPN в пользу другой архитектуры – сетевого доступа с нулевым доверием, или ZTNA.

Эпоха нулевого доверия и ZTNA Проблемы, связанные с VPN, помогли осознать потребность в модели безопасности, которая не будет позволять доверенным пользователям свободно перемещаться по корпоративной сети. Удовлетворить эту потребность призвана модель безопасности нулевого доверия (Zero Trust) – концепция, первоначально предложенная компанией Forrester. Модель нулевого доверия, одобренная такими влиятельными организациями, как Министерство обороны США2, работает по принципу "Никогда не доверяй, всегда проверяй". Таким образом, эта модель позволяет реализовать сценарий, при котором необходимый минимум прав доступа к нужному приложению в нужной роли при каждой попытке доступа получают только соответствующие лица. В идеале при этом доступны встроенные в сами приложения элементы контроля, а также возможность отслеживания деятельности пользователей после входа в систему. Модель Zero Trust – это скорее образ мышления или новая парадигма, нежели конкретный инструмент. Принцип нулевого доверия не реализуется как отдельное решение. Модель нулевого доверия обладает такими особенностями, как: l принцип ограниченного доступа на уровне отдельных приложений; l аутентификация каждого отдельного устройства и пользователя независимо от того, где они находятся; l признание сложного характера современных сетей и отсутствие допущений иного. Модель нулевого доверия сложно развернуть, но тем не менее рано или поздно большинство организаций перейдут на нее. В документе Министерства обороны США3 поясняется, что "модель Zero Trust допускается внедрять постепенно, группа за группой или приложение за приложением, но при этом всегда следует учитывать удобство работы для конечных пользователей". Грамотный подбор инструментов поможет значительно упростить и ускорить переход на архитектуру с нулевым доверием. Аналитическая компания Gartner расширила концепцию нулевого доверия,

1 2 3 4 5

определив архитектуру под названием "Сетевой доступ с нулевым доверием" (Zero Trust Network Access, ZTNA). Компания дает следующее определение ZTNA4: "Сетевой доступ с нулевым доверием (ZTNA) – это продукт или услуга, которые создают вокруг приложения или группы приложений логическую границу доступа на основе идентификации и контекста". Проще говоря, службы ZTNA заменяют разрешения сетевого уровня разрешениями для конкретных приложений. При этом применяется контроль доступа на основе идентификационной информации и контекстная аутентификация, то есть учитываются группы пользователей или роли, многофакторная аутентификация, IP-адреса, местоположения и временные ограничения. Приложения невозможно обнаружить, а доступ осуществляется через брокер доверия и ограничен четко заданной группой объектов

На практике это может быть реализовано в облачном решении ZTNA-as-aservice (ZTNA как услуга), которое делает сеть невидимой из общедоступного сегмента Интернета. По сути, такое решение выступает в роли облачной демилитаризованной зоны, которая "скрывает" центр обработки данных. Брокер доверия разрешает или запрещает доступ к определенным приложениям в каждом конкретном случае. Прежде чем разрешить доступ, брокер доверия проверяет личность, контекст и права доступа каждого пользователя, а также делает невозможным боковое перемещение в другие области сети

При предоставлении доступа только к запрошенному ресурсу исключается риск атаки через боковое перемещение, поскольку пользователи видят только те приложения, доступ к которым им разрешен. Все остальные приложения оказываются скрыты для них (например, посредством персонализированного портала, на котором доступны только те приложения, к которым имеет доступ конкретный пользователь). Это позволяет скрыть приложения от сторонних наблюдателей и значительно уменьшить поверхность атаки

Существует множество причин ускорить переход к модели нулевого доверия. Компании уже испытывают проблемы с сетью VPN по мере роста и перехода в гибридные и облачные среды, особенно когда работа из дома стала обычным делом. Не исключено, что многие уже размышляют над переходом на модель нулевого доверия из соображений безопасности и соответствия требованиям, чтобы обеспечить максимальную защиту активов организации.

Переход от сетевого доступа к доступу на уровне приложений Одним из инструментов, который может облегчить переход к модели нулевого доверия и современной сетевой среде, является Harmony Connect Remote Access6 от Check Point. Инструмент Harmony Connect Remote Access, который входит в решение Check Point на базе подхода SASE (Secure Access Service Edge) – Check Point Harmony Connect, призван устранить ограничения существующих инфраструктур, предоставляя достойную альтернативу VPN, позволяющую реализовать следующее: l переход от физического к логическому периметру доступа; l аутентификацию и авторизацию при каждой попытке доступа; l поддержку концепции BYOD и доступа для сторонних пользователей; l сокрытие центра обработки данных и сети (снижение риска бокового смещения и DDoS-атак путем сокрытия сети и всех ресурсов, к которым явно не предоставлен доступ, с использованием облачного брокера доверия); l определение и применение разрешений в рамках приложений (управление политиками не только на уровне приложения, но и на уровне запросов и команд, включая, например, разрешения на чтение, запись, администрирование и т.д.); l полный контроль активности пользователей (централизованный журнал аудита с возможностью интеграции SIEM позволяет всегда знать, какие приложения запускал тот или иной пользователь, какие действия он выполнял, а также поддерживает дополнительную возможность записи сеансов). l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

https://www.gartner.com/en/documents/3999828-2021-strategic-roadmap-for-sase-convergence https://www.defense.gov/Explore/News/Article/Article/2431541/covid-related-telework-accelerates-disas-zero-trust-adoption/ https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7972065/ https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztnahttps://www.checkpoint.com/harmony/connect-sase/clientless-remote-access/vpn-replacement/

• 63

Vetkol 7/28/21 5:55 PM Page 64

ТЕХНОЛОГИИ

Модель нулевого доверия: хайп или реальный инструмент? Александр Ветколь, ведущий системный инженер Varonis Systems

егодня Zero Trust – “модная" тема: о ней пишут все издания, посвященные информационным технологиям. Действительно ли Zero Trust столь популярна у российских корпоративных заказчиков, как утверждают выступающие на конференциях по кибербезопасности эксперты? Попробуем разобраться.

Разработанная в 2010 г. бывшим аналитиком Forrester Джоном Киндервагом модель безопасности с нулевым доверием считается одной из основных отраслевых концепций. Главное ее преимущество – отсутствие необходимости строить детальную модель угроз, что стало актуальным из-за пандемии коронавируса и перевода сотрудников на удаленную работу. Если подвоха можно ждать откуда угодно, значит, доверять нельзя никому, а если доверяешь, то постоянно перепроверяй.

С чего все начиналось Хотя новая концепция безопасности была сформулирована более 10 лет назад и благосклонно принята аудиторией, реальное внедрение Zero Trust началось далеко не сразу. Бизнес крайне неохотно тратит деньги на новые "игрушки", если те не дают измеримый в твердой валюте эффект. Даже государственные зарубежные организации не торопились выделять бюджеты, пока Эдвард Сноуден в 2013 г. не "положил на обе лопатки" систему обеспечения безопасности АНБ США. Конечно, значительный объем попавших к журналистам секретных документов требовался Сноудену по работе, но к большей их части он не должен был иметь доступа. После столь показательного, да еще и публичного, инцидента началось уже осознанное развитие Zero Trust и появились конкретные рекомендации, а также лучшие отраслевые практики. На них, к слову, основан и наш подход к проблеме. Сейчас с необходимостью построения корпоративных систем обеспечения безопасности в соответствии с требованиями концепции нулевого доверия никто не спорит и даже прописывают положения политик ИБ и ИТ с целью обеспечения их выполнения техническими средствами. Но это на Западе. В российских реалиях дело обстоит несколько иначе.

"Наши сети притащили мертвеца" Когда в России говорят про Zero Trust, обычно имеют в виду корпоративные сети. Это связано с высокой активностью на рынке производителей оборудования,

64 •

продвигающих концепцию нулевого доверия в интересном им направлении. Сети защищать, безусловно, необходимо, но однобокий подход затуманивает специалистам по безопасности взгляд на концепцию в целом. Так сложилось, что они не знают другой безопасности, кроме сетевой, чаще всего в виде межсетевого экранирования и шифрования, VPN-соединений, большей частью – по ГОСТу; сейчас будет чрезвычайно сложно найти организации среднего бизнеса, у которых нет описанных решений. Реже – "расширения" функциональности межсетевых экранов или отдельные решения для обнаружения/предотвращения проникновений (IDS/IPS – Intrusion Detection/Prevention System) и фильтрации трафика на прикладном уровне (L7 – Application Filtering), еще реже используется защита от атак на отказ в обслуживании ((D)DoSP – (Distributed) Denial of Service Protection) и защита веб-приложений (WAF – Web Application Firewall). Еще можно вспомнить широко распространенные антивирусные решения (здесь вообще хоть пиратский антивирус или Microsoft Defender, он есть на каждом компьютере с Windows даже в малых организациях), сканеры безопасности или системы управления уязвимостями, и иногда руки доходят до применения средств противодействия утечкам данных (DLP – Data Loss/Leak Prevention). При этом чаще всего внедрение последних не доводится до конца, ограничиваясь поиском в пересекающих периметр файлах и текстовых сообщениях регламентированных данных лишь по ключевым словам, с большим числом ложных срабатываний. Кроме того, часто эти данные только обнаруживаются в потоке. Зачастую никто не блокирует происходящую утечку, поскольку не задумывались о критериях риска при выявлении или же о технической реализации этой возможности даже на этапе проекта, отсекая себе пути к демаршу и развитию функциональности настройкой правил, а не переработкой архитектуры уже внедренного решения. Если же злоумышленник обходит систему, данные уйдут за периметр незамеченными.

Встречаются и инсталляции систем информирования о событиях информационной безопасности (SIEM – Security Information and Event Management). Эти системы чаще являются банальными сборщиками журналов в пыльном архиве, а не фактически оповещают об инцидентах, хотя подходы отдельных производителей и радуют реально приносимой ИБ-пользой при корреляции данных из нескольких источников, правда настроены они часто на этапе пилота и впоследствии не обновляются и не улучшаются заказчиком. Этим подход к практической безопасности зачастую и ограничивается. То есть, например, то же централизованное шифрование самих данных или томов дисков/контейнеров на серверах совершенно не распространено, хоть изредка и встречается, не говоря уже о понимании того, кто к каким данным имеет доступ, легитимно ли этот доступ предоставлен и не начата ли подготовка данных к "выносу". Безусловно, используя перечисленные технологии, можно реализовать защищенный периметр и даже частично увидеть след атаки в собранных журналах. Но систему с нулевым доверием невозможно построить без глубокого погружения в первичные активы – в живущие внутри сети информационные системы и хранящиеся в них данные, о которых постсоветская информационная безопасность часто не думает. Как оборонять нажитое непосильным трудом от внешних и внутренних злоумышленников, имея только защиту периметра, антивирус и систему оповещения о части утечек данных, с неким архивом событий в довесок? Сложно дать ответ на этот вопрос.

Меняется ли ситуация? Вендоры стали больше говорить про Zero Trust, заказчики, разумеется, начинают задавать вопросы. Поскольку исторически на российском рынке самые сильные позиции у поставщиков сетевых решений, то их голоса громче остальных. Какие-то комплексные проекты по нулевому доверию в стране, безусловно, реализуются, но по-прежнему только на

Vetkol 7/28/21 5:56 PM Page 65

www.itsec.ru

ЗАЩИТА СЕТЕЙ

уровне доступа к сети и, возможно, отдельным сервисам, зачастую только к тем, что опубликованы за традиционным периметром. Что касается защиты конкретных активов, приложений и сервисов, то зрелые модели использования технического инструментария для реализации Zero Trust декларируются в основном российскими филиалами зарубежных компаний, хотя и у них руки до практики не всегда доходят. Например, недавно подобный кейс был у компании Varonis, которая обеспечила автоматизацию управления киберрисками и повысила уровень кибербезопасности во Всероссийском банке развития регионов (ВБРР). Внедрение решений вендора позволило ВБРР привести систему безопасности к соответствию модели наименьших привилегий (и иной части модели нулевого доверия) за счет использования как стандартного функционала анализа прав доступа и обнаружения критичных данных, так и поведенческого анализа, позволяющего при необходимости повторно производить проверку доверия к подозрительно себя ведущим учетным записям.

Пациент скорее жив Несмотря на довольно печальную ситуацию с внедрением практических решений вне сетевого сегмента, интерес к модели Zero Trust у российских компаний и организаций начинает расти. Очень популярны, в частности, многофакторная аутентификация (MFA – MultiFactor Authentication) и микросегментация на уровне доступа между сетями, необходимость которых мы вовсе не подвергаем сомнению. Конечно, подобные решения относятся не к данным как таковым, а скорее к периметрам для ограничения доступа к ним. Но движение в сторону новых технологий для ограничения доступа к данным и критичным сервисам – хороший шаг. Сегодня самая актуальная задача – довести до сведения заказчиков, что Zero Trust представляет собой намного большее, нежели просто сетевой доступ и усиленное пограничное подтверждение легитимности доступа. И первые шаги в правильном направлении уже делаются. Российские специалисты начинают понимать, что многофакторная аутентификация и другие частные решения – всего лишь отдельные слои, усложняющие атакующим доступ за счет проведения проверок, повышающих уровень доверия к действующему лицу или резко его снижающих при непрохождении одного или нескольких из контролей.

От частного к общему Когда мы начинаем предоставлять пользователям доступ к файловым активам конкретного сервера гранулярно, обычно все настраивается на уровнях сетевых папок и файловой системы

(чаще всего – NTFS). Группы, политики, списки контроля доступа в первозданном виде, без ошибок, связанных с человеческим фактором, работают в небольшой сети очень малого предприятия с количеством уникальных прав на папках, которые можно пересчитать по пальцам, но в ИТ-инфраструктуре более крупных компаний, особенно сегмента среднего или крупного бизнеса, ситуация намного сложнее и контролировать процесс вручную, даже на отдельно взятом сервере, уже невозможно, не говоря о более крупных разделенных системах хранения данных. Потребуется автоматизация учета прав доступа, а также поведенческий анализ для поиска формально легитимных нарушителей спокойствия. Одним из столпов Zero Trust является контроль доступа к данным, в котором "зашит" еще более старый принцип предоставления наименьших необходимых для выполнения рабочих функций привилегий. Тот же принцип следует применять и в ролевой модели при выдаче прав доступа к конкретным приложениям и их внутренним модулям. Нужно обеспечить для каждой отдельной учетной записи на основе ее бизнес-роли и, возможно, дополнительных динамических условий доступ через конкретные группы безопасности только к тем данным и функционалу, что "здесь и сейчас" необходимы для решения бизнес-задач. Использовать же для этого придется системы управления доступа к данным (DAG – Data Access Governance и более эффективные за счет добавления классификации и поведенческого анализа DCAP – Data-Centric Audit and Protection), а также комплексные проекты по внедрению систем заявок для автоматизированного предоставления доступа по запросу. При этом можно начать с более простых систем заявок и интегрировать их с более сложными, например с системами управления учетными записями и доступом (IdM/IAM – Identity Management/Identity and Access Management). Уже на этом этапе рекомендуется предоставлять доступы стандартизированно, на основе конкретных бизнес-ролей. Чтобы скомпрометированный компьютер или пользователь не имел возможности остаться на предыдущем уровне доверия, помимо системы реагирования на его подозрительную и, возможно, вредоносную деятельность стоит внедрить многофакторную аутентификацию и развитые средства контроля доступа к сети (NAC – Network Access Control)

и/или внешний брокер доступа к облачной среде (CASB – Cloud Access Security Broker), выполняющий примерно те же функции, но уже для облачных систем и приложений. При этом данные системы следует интегрировать между собой. Последние две упомянутые системы анализируют устройства, пытающиеся получить доступ, и вычисляют рейтинг безопасности с учетом их аппаратнопрограммной конфигурации, а также учетной записи, которая используется для попытки доступа. На основании заданных индикаторов риска к ним применяются политики безопасности для предоставления требуемого доступа, либо же устройства попадают в изолированный сегмент для доступа к средствам обеспечения возможности прохождения проверки после их инсталляции и повторного проведения проверок, либо доступ блокируется. Доступ к ресурсам при этом открываться должен вовсе не навсегда даже в течение сеанса подключения: некоторые системы по определенному алгоритму периодически могут проверять, не изменилось ли состояние безопасности подключенных устройств, а также принимать сигналы о необходимости проведения заново полного цикла проверки. Конечно, это еще не полноценное внедрение концепции Zero Trust, но уже достаточно весомый шаг в верном направлении. Стоит всегда помнить о том, что сегодня атакующим для проникновения в сеть требуется лишь наличие свободного времени и мотивации. Понимая это, нужно выстраивать внутренние барьеры и кропотливо отслеживать все происходящее, чтобы выявить действия злоумышленников. Обеспечить достойный уровень защиты способна именно стратегия нулевого доверия, которая будет эффективна против утечек данных и современных киберугроз. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 65

CodeScoring 7/28/21 5:56 PM Page 66

ТЕХНОЛОГИИ

Топ-3 вопросов про SCA от тех, кто про него уже слышал Алексей Смирнов, CEO компании Profiscope Дарья Орешкина, директор по развитию компании Web Control

– Большое количество российских компаний заинтересовано в регистрации в реестре отечественного ПО и коммерциализации своих разработок. Какую практическую измеримую пользу приносят SCA при решении этих задач и почему вы подчеркиваете важность лицензионной чистоты? – Надеюсь, про необходимость соблюдения авторского права объяснять не нужно, не говоря уже о проявлении уважения к разработчикам программного обеспечения и результатам их труда. С появлением реестра отечественного программного обеспечения в 2015 г. культура соблюдения авторского права в России в ИКТсекторе действительно стала развиваться. Если 10–15 лет назад разработчики принимали решение об использовании сторонних, в том числе и Open Source, компонентов по личным моральным-этическим соображениям, то сегодня практика соблюдения лицензий на вспомогательные компоненты выходит на новый уровень. Почему? Здесь есть несколько причин:

66 •

о итогам участия в Tech Week в июне 2021 г. компания Web Control получила много вопросов про новое российское SCA-решение CodeScoring от компании Profiscope, но краткий формат общения на выставке не позволил раскрыть все детали, и мы выполняем свое обещание ответить на вопросы в отдельной публикации. Директор по развитию Web Control Дарья Орешкина собрала вопросы и задала их основателю решения CodeScoring Алексею Смирнову.

1. Принимающая сторона стала следить за тем, что же она принимает. 2. Цифровое пиратство как модный тренд постепенно уходит из жизни, а на смену ему приходит другое модное понятие – осознанное потребление. 3. Появилась судебная практика, то есть "зарубежные лицензии", как их раньше называли, получили юридический статус и подобные случаи уже рассматриваются в арбитражных судах, пусть и с очень слабой подготовкой судебных экспертов. В своих разъяснениях к подаче заявки в реестр Минцифры явно указывает на необходимость отслеживания применения сторонних компонентов (авторских произведений) в составе заявляемого программного обеспечения. Прямым текстом указывается запрет использования лицензий Copyleft-группы (GNU GPL, MPL и иных), которые являются свободными лицензиями, подразумевающими, что создаваемый продукт требует лицензирования под той же лицензией и не предполагает коммерческого использования. Уже только это требование вызывает проблемы у компаний, формирующих заявления. У продуктов сотни OSS-заимствований, чтобы проверить каждый на лицензию, потребуется время, а если найдется компонента с подобной лицензией, то время уйдет еще и на то, чтобы ее заменить на менее свободный, но более открытый аналог. И это только начало, потому что не все лицензии сopyright-группы одинаково полезны. Есть такое понятие, как лицензионная совместимость (License Compliance), о которой люди, осуществляющие подготовку для внесения продукта в реестр, не задумываются или просто не знают. Ее суть заключается в том, что не все лицензии программного обеспечения можно применять в едином произведении (вашем программном продукте), и тонкости лицензий может выявить либо опытный юрист в этой

области, либо специализированное программное обеспечение. Но и здесь не стоит расслабляться, так как сторонние компоненты очень часто зависят от других сторонних компонент, в то же время получается, что ваш продукт состоит и из них. Такие элементы называются транзитивными зависимостями. Конечно, они тоже обладают своими лицензиями и проблемами совместимости. В нашей практике аудита регулярно выявляются популярные компоненты Open Source с "хорошей" лицензией, позволяющей коммерческое распространение, но после изучения транзитивных зависимостей выясняется, что эта "хорошая" лицензия установлена авторами проекта неправомерно и, следовательно, ваше применение такого компонента в проекте не снимает с вас ответственности. – На данный момент Минцифры не проверяет ни лицензионную совместимость, ни транзитивные зависимости. Зачем об этом задумываться сегодня? – Минцифры сейчас не проверяет транзитивные зависимости, и, возможно, на данном этапе это хорошо. Ко всему нужно приходить постепенно. Давайте на секунду представим масштабы изменений, если сейчас российский ИКТ-сегмент начнет заниматься вопросом лицензионной чистоты в полной мере. Ведь культура пиратства у многих в крови, так что боюсь, что накопленный таким образом технический долг из сторонних компонентов уже превышает не один годовой объем сегмента в стране. Важно то, что о соблюдении авторского права начали всерьез задумываться и Министерство играет определяющую роль в этом вопросе. Уже сегодня необходимо закладывать правильную основу программных продуктов – какие компоненты будут включаться и как должны быть выстроены процессы разработки для дальнейшего беспрепятственного развития.

CodeScoring 7/28/21 5:56 PM Page 67

www.itsec.ru

Безопасная разраБотка

Предлагаю посмотреть на опыт зарубежных компаний. Например, когда 15–20 лет назад в компаниях уровня Microsoft или Yahoo в "боевые" сборки программного обеспечения просачивались некорректные сторонние компоненты, все процессы разработки попросту останавливались и не было возможности что-либо "выкатить в прод" до момента исправления. Подчеркну, это компании, применяющие передовые мировые практики, но даже они теряли внушительные бюджеты. Что же говорить о ситуациях, когда коммерческий продукт выстроен на сторонних компонентах, на которых создаваться не имел права? Потери для бизнеса будут просто катастрофическими. – Во многих компаниях разработка по происходит силами подрядчиков. Для заказчика такое по является черным ящиком. В чем ценность SCA при приемке и сдаче по в эксплуатацию? – В практике аудита программного обеспечения мы часто сталкиваемся со случаями, когда крупный на первый взгляд проект выполняется малочисленной командой исполнителей, в сжатые сроки, с небольшим бюджетом. А на самом деле это проект с десятикратным бюджетом, сложнейшими функциональными требованиями и невысокой компетенцией заказчика по заглядыванию в черный ящик. Как правило, обоснование таких крупных проектов происходит "по линейке", то есть чем больше кода сдано, тем он дороже. Поэтому исполнитель этим пользуется и включает в сдаваемую кодовую базу большое количество сторонних компонентов (часто не соблюдая лицензии и, конечно же, не отслеживая вносимые уязвимости). Заказчики проводят приемку "на голубом глазу" и не видят подвоха.

Важно понимать, что использование открытых компонентов само по себе не является преступлением, это стандартная практика, но, чтобы уберечься от ситуации "раздутия" кодовой базы в целях поднятия стоимости, заказчику достаточно использовать инструменты композиционного анализа программного обеспечения (Software Composition Analysis), которые позволяют находить подобные включения чужого кода в принимаемые решения и выявлять риски в аспектах безопасности и лицензионной чистоты. – Многие уже слышали про инструменты статического и динамического анализа и считают, что проверок SAST и DAST достаточно. зачем инвестировать в SCA? – Анализ композиции программного кода (SCA) – это сегмент рынка инструментов тестирования безопасности приложений (AST), к которым относятся так называемое тестирование белого и черного ящика, Static Application Security Testing (SAST) и Dynamic Application Security Testing (DAST). Статический подход используется для проверки оригинальной кодовой базы проекта по настроенным правилам, динамический – проверяет сборку в режиме исполнения приложения. SAST-инструменты целесообразно применять для проверки проприетарного кода, который обычно составляет 20% кодовой базы проекта. У кого-то больше, у кого-то меньше. Для проверки оставшейся части кодовой базы, состоящей из Open Source, целесообразно использовать инструменты SCA, которые предназначены для анализа компонентов Open Source. Инструменты SCA выполняют автоматическое сканирование кодовой базы приложения, включая связанные артефакты, такие как контейнеры и сборки,

для обнаружения всех компонентов Open Source, поиска данных об их соответствии лицензионным требованиям и выявления уязвимостей безопасности. Обеспечивать безопасность разработки они начинают на этапе проектирования ваших решений пока они не "добрались" до этапа постановки в CI/CD-конвейер. Инструменты SAST и DAST рекомендуется применять совместно для избежания крупных потерь. Тем не менее на сегодняшний день существует более 100 млн версий сторонних компонент, которые разработчики могут установить в проект, и напрямую безопасность их применения не проверяется устоявшимися подходами. Поэтому здесь важно сформулировать следующую формулу успеха безопасности: SAST, DAST & SCA. Напомню, что сегодня сторонние компоненты могут составлять до 80–90% проектной базы и за ними обязательно нужно следить не меньше, чем за собственным кодом. Только при таком сочетании подходов к анализу проектов может быть обеспечена полная и, что важно, замкнутая инструментальная экосистема проверки на ошибки и безопасность. Конечно, нельзя исключать вопрос последующего ручного тестирования, но на то он и последующий. Во избежание потерь важно с самого начала следить за всем тем, что ложится в основу программного продукта, как и из чего он производится. SCAрешения, в частности CodeScoring, встраиваются в конвейер DevSecOps и позволяют реализовывать корпоративные политики безопасности и лицензионной чистоты на наиболее ранних этапах разработки. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 67

NEW_PROD 7/28/21 5:53 PM Page 68

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

Innostage IRP Производитель: ООО "ОМС Солюшн" Сертификат: не подлежит обязательной сертификации Назначение: решение класса IRP (Incident Response Platform), позволяющее автоматизировать мониторинг и реагирование на инциденты кибербезопасности и управление уязвимостями ИБ Особенности: Innostage IRP встраивается в существующую ИТ-инфраструктуру компании и за счет интеграции с существующими системами и средствами защиты информации позволяет автоматизировать ряд процессов. Решение может использоваться в качестве ядра для создания SOC, центров ГосСОПКА l Поддержка иерархической архитектуры системы с инсталляцией в центральном аппарате и подчиненными полнофункциональными инсталляциями на уровне крупных ДО/филиалов l Для автоматизации реагирования на инциденты и выполнения блокирующих операций используется отдельный компонент – система оркестрации (отсутствует необходимость хранения внутри IRP-системы административных учетных записей) l Поддержка "сквозных" сценариев реагирования на инциденты ИБ, с возможностью разделения сценария реагирования на отдельные блоки, часть из которых выполняется в режиме одного окна сотрудниками SOC, а часть – сотрудниками филиала/ДО (либо иным структурным подразделением/организацией) l Гибкие возможности задания плановых сроков реагирования (SLA) как на инцидент в целом, так и на отдельную задачу l Расширение функционала IRP в части автоматизации категорирования объектов КИИ, выгрузке по данным объектам отчетной документации по требованиям ФСТЭК России и учет категории значимости объектов КИИ в работе по управлению инцидентами ИБ l Единая среда визуализации и графических представлений по ключевым показателям процесса управления инцидентами ИБ в масштабах всей компании Возможности: l Управление ИТ-активами: сбор, обработка, хранение, актуализация l Оперативное реагирование на выявленные инциденты ИБ и оповещение ответственных лиц о критических событиях ИБ l Создание автоматизированных сценариев реагирования на инциденты ИБ (Рlaybook) l Управление уязвимостями ИБ l Консолидация и передача в ГосСОПКА информации о компьютерных инцидентах

68 •

l Визуализация ключевых показателей

l Сбор событий ИБ и предоставление

эффективности управления инцидентами ИБ Время появления на российском рынке: доступно Подробная информация: innostagegroup.ru/solutions/infosecurity/innostage-ns-irp/ Фирма, предоставившая информацию: ГК Innostage

l Выявление инцидентов и автоматизи-

InfoWatch ARMA

инцидентов в SOC- и SIEM-системы

рованная реакция на них активов, ведение базы реальных устройств и информационных потоков между ними l Аналитика подключений к оборудованию АСУ ТП и визуализация сети Время появления на российском рынке: доступно Подробная информация: www.arma.infowatch.ru Фирма, предоставившая информацию: ГК InfoWatch l Инвентаризация

InfoWatch Traffic Monitor Производитель: ООО "ИнфоВотч АРМА" Сертификат: сертификат ФСТЭК России ожидается в 2021 г. Назначение: отечественная система защиты информации в АСУ ТП на промышленных предприятиях, включающая промышленный межсетевой экран InfoWatch ARMA Industrial Firewall, средство защиты рабочих станций и серверов АСУ ТП InfoWatch ARMA Industrial Endpoint и единый центр управления и реагирования на инциденты InfoWatch ARMA Management Console Особенности: l Позволяет реализовать технические требования приказа ФСТЭК России № 239 l Обеспечивает эшелонированную защиту с помощью межсетевого экранирования, обнаружения вторжений, защиты хостов, централизованного сбора событий безопасности и управления инцидентами l Позволяет настроить автоматизированную реакцию на инциденты и тем самым рациональнее распределить нагрузку на персонал в условиях нехватки кадров в департаментах ИБ АСУ ТП Возможности: l Защита АСУ ТП от сетевых атак l Сетевая сегментация и управление доступом к PLC и SCADA за счет DPI промышленных протоков l Обнаружение и предотвращение вторжений с помощью собственной базы промышленных сигнатур l Информирование об опасных значениях технологического процесса и контроль параметров l Выявление событий по изменению проектов PLC и SCADA l Защита рабочих станций и серверов l Контроль целостности файлов рабочих станций и серверов АСУ ТП l Ограничение подключения USB и других съемных носителей l Блокировка недоверенного ПО на основе белых списков l Централизованное управление системой защиты

Производитель: АО "ИнфоВотч" Сертификат: сертификат соответствия № 3205 от 21.07.2014 г., выдан ФСТЭК России, сертификат соответствия № 3831 от 28.11.2017 г., выдан ФСТЭК России Назначение: DLP-система для контроля и анализа информационных потоков и защиты от утечек данных Особенности: InfoWatch Traffic Monitor использует уникальные технологии контекстного и графического анализа, не имеющие аналогов на рынке, для анализа текста, изображений, выгрузок БД и файлов любых форматов. На основе высокоточных технологий анализа выполняется блокировка по максимальному количеству каналов. DLP-система надежно работает в организациях с сотнями тысяч рабочих мест даже в сложившихся условиях массового перехода на удаленную работу Возможности: при помощи различных инструментов InfoWatch Traffic Monitor решает широкий спектр задач, выходящий за рамки обеспечения безопасности: l Инструмент для визуальной аналитики InfoWatch Vision визуализирует данные с помощью графа связей на 50 тыс. узлов, анализ 100+ млн событий в секунду в корпоративных сетях размером до 100 тыс. узлов. Это сокращает время на генерацию и проверку гипотез в 3–4 раза, показывает маршруты перемещения информации даже на личные адреса и USB-накопители, помогает работать с данными в организациях с распределенной структурой l Для снижения ИБ-рисков и управления кадровой политикой применяется инструмент предиктивной аналитики – InfoWatch Prediction. Позволяет выявлять рискованные паттерны поведения сотрудников и эффективно работать с группами риска. Помогает перейти от конста-

NEW_PROD 7/28/21 5:53 PM Page 69

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

тации факта утечки и устранения последствий к прогнозированию и предотвращению инцидентов. Автоматически выявляет отклонения от привычного поведения и относит сотрудника к группе риска. Подсвечивает аномалии, цепочки связанных событий и превышения заданных порогов. Уведомляет специалиста ИБ о надвигающемся или скрыто реализующемся инциденте. Позволяет быстро перейти к исходным событиям для выяснения всех обстоятельств инцидента и занесения результатов в досье сотрудника l Уникальные интеграционные решения InfoWatch Traffic Monitor с ведущими системами позволяют защищать динамически живущие данные, не оставляя их без внимания DLPсистемы. Мониторинг работы в облачных сервисах позволяет значительно повысить уровень информационной безопасности организации Время появления на российском рынке: доступно Подробная информация: www.infowatch.ru/products/traffic-monitor Фирма, предоставившая информацию: АО "ИнфоВотч"

l Контроль путей передачи информации,

от мессенджеров до печати на принтерах l Контроль использования АРМ (кто использует, когда, идентификация пользователя с помощью веб-камер) l Контроль состава АРМ (ПО и "железо", используемые съемные накопители) l Учет рабочего времени и удобная система отчетов для анализа l Система оповещений, настраиваемая по нужным параметрам l Поиск данных: модуль индексации файлов и нейросеть для поиска изображений l Возможность анализа графического контента – текстовой информации, паспортов, печатей l Возможность распознавания лиц l Блокировки доступа к информации и ресурсам (сайтам, приложениям, устройствам, файлам) Время появления на российском рынке: доступно Подробная информация: www.staffcop.ru/ Фирма, предоставившая информацию: ООО "Атом Безопасность"

DeviceLock User Activity Monitor

Staffcop Enterprise

Производитель: ООО "Атом Безопасность" Сертификат: № 4234 от 15 апреля 2020 г., выдан ФСТЭК России Назначение: программный комплекс для контроля действий сотрудников, потоков информации и событий системы, предотвращения утечек информации, оповещения об опасной и непродуктивной деятельности Особенности: l Комплексность решения (позволяет решать задачи различных отделов, от ИБ и HR до системного администрирования) l Использованы современные технологии (OLAP-куб, нейросети и т.д.) l Отечественная разработка l Масштабируемость l Возможность простой интеграции с другими системами, в том числе СКУД l Удобная навигация и продуманная система отчетов для поиска нужных данных l Используется, помимо прочего, свободно распространяемое ПО, отсутствуют скрытые траты в стоимости l Доступ ко всей системе осуществляется с помощью единой веб-консоли, как к настройкам сервера и сбора данных, так и к работе с данными – анализу, уведомлениям и отчетам Возможности: l Контроль файлов внутри информационной системы – отслеживание всех действий с файлами

Производитель: АО "Смарт Лайн Инк" Назначение: мониторинг пользовательской активности в комплексе DLPсистемы DeviceLock DLP 9 Особенности: являясь опционально лицензируемым компонентом комплекса DeviceLock DLP 9, новый модуль DeviceLock UAM обеспечивает возможность записи действий пользователя посредством таких инструментов, как видеозапись экрана пользователя, запись всех нажатий клавиш, сохранение информации о процессах и приложениях, записи Возможности: DeviceLock UAM предлагает такие возможности, как активация мониторинга действий при наступлении определенного события, (например, срабатывания контентно-зависимого правила, подключения внешнего накопителя), изменения состояния сетевого подключения и т.д. DeviceLock UAM позволяет значительно расширить доказательную базу при расследовании инцидентов информационной безопасности, упрощая процесс выявления подозрительного поведения пользователей и злоупотребления привилегиями доступа или политиками защиты данных, что в результате приводит к снижению рисков утечки информации Время появления на российском рынке: март 2021 г. Подробная информация: www.devicelock.com/ru Фирма, предоставившая информацию: АО "Смарт Лайн Инк"

www.itsec.ru

Обновленный ETHIC (External Threats & Human Intelligence Center)

Производитель: Infosecurity Сертификат: не подлежит обязательной сертификации Назначение: сервис ETHIC предназначен для выявления на ранних стадиях цифровых угроз бизнесу в сети "Интернет", что позволяет своевременно на них реагировать, не допуская наступления негативных последствий или минимизируя риски. Особенности: l Мониторинг широкого круга источников как в открытом сегменте сети "Интернет", так и в Darknet, а также Telegram-каналах l Возможность выбора только необходимых модулей l Гибкость настройки с учетом специфики бизнеса l Отсутствие нагрузки на инфраструктуру l Снижение рисков информационной, экономической безопасности и репутационных потерь Возможности: l Защита от фишинга и социальной инженерии l Выявление утечек информации и случаев компрометации учетных записей l Выявление случаев неправомерного использования товарного знака l Обнаружение информационных атак Характеристики: l Отслеживание угроз в режиме 24/7 l 12 информационно-аналитических модулей l Автоматическая классификация выявленных сведений и уведомление заказчика о событиях l Блокировка источников, изменение технических настроек сервисов, проведение расследования Время появления на российском рынке: с 2021 г. Подробная информация: www.in4security.com Фирма, предоставившая информацию: Infosecurity

Система защиты конфиденциальных документов SafeCopy

Производитель: ООО "НИИ СОКБ" Сертификат: № 310, выдан AM Test Lab (добровольная сертификация) https://www.anti-malware.ru/ Назначение: защита документов от несанкционированного копирования, тиражирования и фотографирования

• 69

NEW_PROD 7/28/21 5:53 PM Page 70

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

Особенности: система SafeCopy осуществляет незаметную маркировку копий документов. В случае утечки маркировка позволяет гарантированно определить получателя копии по ее изображению, включая скан-копии, фотографии печатных копий, фотографии экранов, на которых отображена копия, а также фотографии низкого разрешения, публикуемые в социальных сетях и новостных каналов мессенджеров. Решение SafeCopy включено в Единый реестр российских программ для ЭВМ и БД Возможности: l Ведение единого реестра конфиденциальных документов l Маркировка документов и учет выдачи электронных и печатных копий l Выявление канала утечки с вероятностью до 0,99% l Проверка подлинности документов по наличию маркировки l Подготовка материалов судопроизводства l Интеграция с системами электронного документооборота, системами управления печатью, системой электронной почты Характеристики: Форматы защищаемых документов: l Документы, сформированные с помощью офисных пакетов Microsoft Office и Open Office: doc, docx, rtf, xls, xlsx, ppt, pptx, odt, ods, odp, xps, ps, eps l Документы формата PDF, включая различные подмножества, такие как PDF/A, PDF/X, PDF/A-1b и др. Допускается загрузка PDF в редактируемом формате l Файлы PostScript, подготавливаемые драйверами большинства принтеров в процессе предпечатной подготовки Время появления на российском рынке: новая версия – II квартал 2021 г. Подробная информация: safe-copy.ru/ Фирма, предоставившая информацию: ООО "НИИ СОКБ"

Solar addVisor

Производитель: ООО "РостелекомСолар" Сертификат: № 9369 от 01.03.2021 г., выдан Единым реестром ПО для ЭВМ и БД Министерства цифрового развития, связи и массовых коммуникаций РФ Назначение: система анализирует цифровой след рабочей активности сотрудников и позволяет принимать управленческие решения для повышения эффективности труда

70 •

Особенности: реализован оптимальный подход к мониторингу производительности и эффективности труда в компании. Solar addVisor не фокусируется на количестве отработанного времени и слежке за сотрудниками, не нагружает персонал необходимостью регулярно заполнять опросники для оценки продуктивности работы Возможности: топ-менеджеры могут проанализировать численность персонала, оценить динамику загруженности подразделений, устранить организационные барьеры. линейные и HRруководители – обосновать численность персонала и принимать решения для повышения операционной эффективности подразделений, сотрудников, процессов Время появления на российском рынке: с мая 2021 г. Подробная информация: https://addvisor.ru/ Фирма, предоставившая информацию: ООО "Ростелеком-Солар"

Платформа централизованного управления мобильными устройствами EMMSafePhone

Производитель: ООО "НИИ СОКБ" Сертификат: № 4157, выдан ФСТЭК России Назначение: автоматизация процессов безопасного централизованного управления мобильными устройствами компании Особенности: платформа EMMSafePhone сертифицирована ФСТЭК России, включена в Единый реестр российских программ для ЭВМ и БД, а также соответствует требованиям ГОСТ Р 57580.1– 2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций" Возможности: l Безопасное централизованное управление большинством современных мобильных устройств, работающих на всех мобильных платформах, представленных на российском рынке l Автоматизация жизненного цикла мобильных приложений – установка, обновление, настройка и удаление приложений на устройствах пользователей l Безопасное разделение корпоративных и личных данных на мобильном устройстве l Мониторинг местоположения мобильных устройств Время появления на российском рынке: новая версия EMM SafePhone – II квартал 2021 г. Подробная информация: safe-phone.ru/ Фирма, предоставившая информацию: ООО "НИИ СОКБ"

КодСкоринг (CodeScoring)

Производитель: ООО "Профископ" Сертификат: не подлежит обязательной сертификации Назначение: управление интеллектуальной собственностью компании через автоматическое отслеживание использования программных компонент и оценку качества кода в разрезе команды Особенности: КодСкоринг (CodeScoring) – программное обеспечение, созданное российскими разработчиками. Решение распространяется по SaaS-модели и в виде инсталляции on-premise Возможности: продукт обеспечивает функции компонентного анализа программного обеспечения (Software Composition Analysis, SCA), контроль совместимости лицензий, расширенный анализ для юристов и оценку качества исполнения в разрезе команд. l Обнаружение и анализ зависимостей: – по исходному коду; – по файлам конфигураций (манифесты и метафайлы менеджеров пакетов); – по метаданным: по классическим и "нечетким" хешам. l Выявление и оценка совместимости лицензий – идентификация лицензионной информации, добавленной напрямую в исходный код приложений. Отслеживание наличия несовместимости по общим правилам и на основе сформированных политик l Поиск уязвимостей и формирование рекомендаций по исправлению найденных проблем, отображение классификации уязвимостей (CVSS v2, CVSS v3.1, CWE) l Управление политиками лицензий и оповещениями – КодСкоринг обладает предустановленным набором готовых политик, связанных с совместимостью лицензий, безопасностью и качеством ПО. Формирование регулярных отчетов по отслеживаемым событиям с возможностью их отправки на почту или в систему управления задачами l Поиск дубликатов, оценка качества кода – поиск с учетом направления копирования и по кодовой базе внутри проектов, между проектами и по известным компонентам Open Source. Анализ учитывает не только простой copy-paste, но и переименования переменных Время появления на российском рынке: январь 2021 г. Подробная информация: codescoring.com/ru Фирма, предоставившая информацию: WEB CONTROL

NEW_PROD 7/28/21 5:53 PM Page 71

www.itsec.ru

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

Ideco UTM

Производитель: ООО "Айдеко" Назначение: межсетевой экран, VPNсервер, контроль приложений, контентная фильтрация, предотвращение вторжений Особенности: классический UTM, ничего лишнего: система предотвращения вторжений, контентная фильтрация, контроль приложений, антивирусная проверка трафика, безопасный VPN, система отчетов и многое другое Возможности: l Контент-фильтр – 145 категорий сайтов, включая развлекательные, зараженные, фишинговые и распространяющие вирусы l Контроль приложений: запрет торрентов, онлайн-игр, криптомайнеров (более 250 приложений) l Удаленный доступ по VPN с использованием самых современных протоколов – Wireguard, IKEv2/IPSec, SSTP, L2TP/IPSec l Пользовательский портал с инструкцией, VPN-агентом, скриптом создания VPN-подключения l Авторизация пользователей с помощью Active Directory Ориентировочная цена: 25 пользователей – 33 750 руб.; 100 пользователей – 135 000 руб. Время появления на российском рынке: июнь 2021 г. Подробная информация: www.ideco.ru Фирма, предоставившая информацию: ООО "Айдеко"

ESET Enterprise Inspector Производитель: ESET Сертификат: не подлежит обязательной сертификации Назначение: высокотехнологичное решение класса EDR для обнаружения аномального поведения и нарушений l Оценка рисков l Реагирование на инциденты безопасности l Расследование и устранение последствий Особенности: ESET Enterprise Inspector отслеживает и оценивает в режиме реального времени все происходящее в сети (активность пользователей, файлы, процессы, реестр, память, события) и позволяет немедленно принять меры, если это необходимо Возможности: l Более 180 предварительно настроенных правил l Простое реагирование с помощью одной кнопки позволяет заблокировать, отключить или изолировать устройства

l Для каждого срабатывания предла-

гаются дальнейшие шаги, необходимые для решения проблемы l Правила можно редактировать через XML, что упрощает их настройку или создание новых правил Характеристики: l Проактивный поиск угроз Threat Hunting l Обнаружение инцидентов и анализ причин l Расследование и исправление инцидентов l Сбор информации и локальное хранение во избежание утечек l Проверка исполняемого файла с помощью системы репутации ESET LiveGrid l Просмотр и блокировка модулей на основе более 30 индикаторов компрометации, включая хеш, модификацию реестра или файлов и сетевые подключения l Контроль политик безопасности компании l Сетевая изоляция. После изоляции связь осуществлятся между агентом EEI, сервером EEI и ESMC l Двухфакторная аутентификация l Маркировка объектов l Оценка критичности Подробная информация: www.esetnod32.ru/business/products/eei/ Фирма, предоставившая информацию: ESET

УСЛУГИ Оператор сервисов киберзащиты Innostage CyberART Отрасль: информационная безопасность Регион: РФ Описание: СyberART – профессиональный оператор сервисов киберзащиты, предоставляющий полный комплекс сервисов кибербезопасности: l Мониторинг и реагирование на инциденты информационной безопасности l Анализ защищенности ИТ-инфраструктуры l Тестирование на проникновение l Предоставление средств мониторинга и защиты по сервисной модели Команда CyberART включает сертифицированных экспертов по информационной безопасности, которые в круглосуточном режиме осуществляют мониторинг состояния ИТ-инфраструктуры компании на предмет потенциальных взломов и других угроз. Для этого они используют современные технологии обнаружения, анализа и предотвращения инцидентов: SIEM-системы для анализа событий ИБ, технологию киберразведки Threat Intelligence и др. СyberART непрерывно контролирует защищаемые объекты, выявляет атаки и предотвращает киберриски до того, как произойдут недопустимые события. Эксперты СyberART глубоко изучают защищаемые объекты, анализируют

актуальные киберугрозы и проверяют свои навыки на учениях с сильнейшими хакерами. Это позволяет клиентам опираться на бесперебойные сервисы реальной кибербезопасности. Клиенты CyberART: региональные и федеральные заказчики из финансовой сферы, топливно-энергетического комплекса, государственные учреждения Фирма, предоставившая информацию: ГК Innostage

TRACKER Отрасль: без ограничений Регион: РФ Описание: сервис INFOSECURITY TRACKER с возможностью контроля до 1 тыс. сотрудников призван заменить и значительно упростить весь процесс работы с системами предотвращения утечки конфиденциальной информации (Data Leak Prevention) и мониторинга рабочего времени. Подписка на TRACKER доступна в трех вариантах: l STAFF – особый контроль за действиями сотрудников – выявление сотрудников, входящих в группы риска – оценка эффективности работы сотрудников l DATA Выявление фактов потенциальной утечки конфиденциальной информации l PRO Включает в себя опции пакетов STAFF и DATA, а также дает дополнительные Возможности: l Сбор и анализ информации по заданной тематике l Проведение экспертного расследования инцидентов Заказчику больше не нужно самостоятельно выбирать и закупать лицензии, платить компании-интегратору за внедрение и самому заниматься выявлением инцидентов и аналитикой. Теперь все эти активности входят в комплексный пакет услуг INFOSECURITY TRACKER, и в любую из наших подписок уже включено самое главное – опытный аналитик Фирма, предоставившая информацию: Infosecurity

Аутсорсинг информационной безопасности и IT по модели MSSP Отрасль: без ограничений Регион: РФ Описание: Infosecurity специализируется на комплексных поставках сервисов, в основу которых входит адаптационный набор услуг под клиентов различных профилей, деятельности и направлений. Команда специалистов Infosecurity обладает экспертизой высокого уровня по различным направлениям, в том числе по направлению "управляемые услуги" (MSSP), а компа-

• 71

NEW_PROD 7/28/21 5:53 PM Page 72

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

ния является партнером ряда заказчиков и производителей в качестве рекомендованного поставщика MSSP (Managed Security Service Provider). Сервисы и решения по модели MSSP: l Сервисы информационной безопасности l Инфраструктура и ИТ-сервисы l Консалтинг Фирма, предоставившая информацию: Infosecurity

Центр киберустойчивости ACRC (SOC) Отрасль: информационная безопасность Регион: РФ Описание: центр информационной безопасности и мониторинга с одной из лучших экспертных команд на российском рынке. Разовый мониторинг: l Сбор событий l Анализ событий l Режим 5x9

Оперативный мониторинг:

l Выявление инцидентов l Уведомление при обнаружении l режим 5x9 или 24x7

Управление инцидентами: l Расследование инцидентов l Рекомендации по восстановлению безопасного состояния l Режим 5x9 или 24x7 Фирма, предоставившая информацию: ГК Angara

НЬЮС МЕЙКЕРЫ АЙДЕКО 620137, Екатеринбург, ул. Блюхера, 59, а/я 27 Тел.: +7 (800) 555-3340, +7 (495) 662-8734 (техническая поддержка) E-mail: info@ideco.ru www.ideco.ru См. стр. 60–61 АТОМ БЕЗОПАСНОСТЬ, ООО 630090, Новосибирск, пр-т Академика Коптюга, 4 Тел.: +7 (499) 653-7152, +7 (499) 638-2809 (техническая поддержка) E-mail: sales@staffcop.ru (по вопросам приобретения), support@staffcop.ru (по техническим вопросам), press@staffcop.ru (для прессы) www.staffcop.ru См. стр. 28–29 ГАРДА ТЕХНОЛОГИИ 119607, Москва, Мичуринский пр-т, 27, стр. 5 Тел.: +7 (495) 540-0527 E-mail: info@gardatech.ru www.gardatech.ru См. стр. 24–25

НИИ СОКБ 117246, Москва, Научный пр-д, 17 Тел.: +7 (495) 646-7563 E-mail: sales@niisokb.ru www.niisokb.ru См. стр. 32–33 РОСТЕЛЕКОМ-СОЛАР 125009, Москва, Никитский пер., 7, стр.1 Тел.: +7 (499) 755-0770 E-mail: info@rt-solar.ru www.rt-solar.ru См. стр. 14–15 СЁРЧИНФОРМ 121069, Москва, Скатертный пер., 8/1, стр. 1, этаж 2 Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка) E-mail: info@searchinform.ru www.searchinform.ru См. стр. 20–21 СМАРТ ЛАЙН ИНК, АО 107023, Москва, ул. Малая Семеновская, 9, стр. 14Б Тел.: +7 (495) 647-9937 E-mail: ru.sales@devicelock.com www.devicelock.com/ru См. стр. 22–23

ГК INFOWATCH 121357, Москва, ул. Верейская, 29, стр. 134, этаж 7 Тел.: +7 (495) 22-900-22, +7 (499) 372-5174 E-mail: info@infowatch.ru www.infowatch.ru См. стр. 30–31

СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 5

ДИАЛОГНАУКА, АО 117105, Москва, ул. Нагатинская, 1 Тел.: +7 (495) 980-6776 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. стр. 19, 58–59

ANGARA (ГРУППА КОМПАНИЙ) 121096, Москва, ул. Василисы Кожиной, 1, корп. 1 (БЦ "Парк Победы") Тел.: +7 (495) 269-2606 E-mail: info@angaratech.ru www.angaratech.ru См. стр. 54–55

72 •

ESET 115280, Москва, ул. Ленинская Cлобода, 26, этаж 4, пом. XXXVII, комн. 29–68 Тел.: +7 (495) 803-3616 E-mail: partner@esetnod32.ru www.esetnod32.ru См. стр. 26–27 INFOSECURITY (ВХОДИТ В ГК SOFTLINE) 107140, Москва, ул. Русаковская, 13 Тел.: +7 (499) 677-1000 E-mail: iss@infosecservice.ru www.in4security.com См. стр. 9–13 INNOSTAGE, ГРУППА КОМПАНИЙ 420015, Казань, ул. Подлужная, 60 Тел.: +7 (843) 567-4290 E-mail: info@innostage-group.ru www.innostage-group.ru См. стр. 56–57 WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru www.web-control.ru См. стр. 66–67 ZECURION 129164, Москва, Ракетный б-р, 16 Тел.: +7 (495) 221-2160 E-mail: info@zecurion.com www.zecurion.ru См. стр. 16–18

IB_Monitor 7/28/21 5:53 PM Page cov3

TB_Forum 7/28/21 5:53 PM Page cov4

2022

15–17