№ 3, июль 2022 www.itsec.ru
Издание компании
14–16 2023
Спецпроект
DLP, DCAP, DAG
СрАвнение DLP- и DCAP-решений
импортозАмещение DLP
уже зАкончилоСь
новое время диктует откАз
от СтАрых предСтАвлений
о DLP-СиСтемАх
выявление АномАлий
в Сетевом трАфике моделями
С мАшинным обучением
зАчем и кАк решАть
проблемы безопАСноСти
мобильных приложений
тренды информАционной
безопАСноСти в роССии
и мире
лАндшАфт Современных
киберугроз и подходы
к АвтомАтичеСкому
реАгировАнию
Анна Андреева
ИмпортозамещенИе
подталкИвает компанИИ
к ИспользованИю аутсорсИнга
Реклама
www.itsec.ru
Совершенство DLP и новые пределы Амир Хафизов,
выпускающий
Функциональность систем класса DLP развилась настолько, что сложно придумать нечто такое,
что могло бы значительно их улучшить. По крайней мере, технологически все каналы взяты под редактор журнала
контроль, контактные фильтры настроены, плейбуки для реагирования разработаны. “Информационная
Что же дальше? Идет развитие вширь. безопасность”
На стыке с DLP появились решения класса DCAP/DAG. Если DLP контролирует движение доку-
ментов, то есть трафик, то DCAP/DAG отслеживает и контролирует документы, когда они
находятся в сетевых и облачных хранилищах. Это помогает решать проблему файловых "помоек",
а также повышает качество процессов резервного копирования, ведь теперь неучтенных папок
с важными документами остаться не должно. С другой стороны, под контроль берутся и пользо-
вательские права в корпоративных доменах. "Не ложи плохо", как говорится, не вводи инсайдера
в грех.
Другим важным направлением развития DLP становится более глубокое включение систем
этого класса в общую экосистему решений информационной безопасности – SIEM, IRP/SOAR.
В основу систем, защищающих от внутренних и от внешних угроз, по определению заложены
разные принципы. Это порождало незримый барьер вокруг рынка DLP-решений. Однако со вре-
менем пришло понимание, что реагирование на угрозы любых типов заказчику удобно организо-
вывать единым образом.
Кроме того, со стороны заказчиков появляется запрос на унификацию входных и выходных
интерфейсов DLP-систем разных производителей. Это позволит получить взаимозаменяемость
различных решений и, как следствие, снижение рисков для заказчиков, только присматривающихся
к использованию DLP.
По-прежнему актуален вопрос повышения уровня автоматизации и автономности работы
DLP-систем. Квалифицированные сотрудники пока еще не доступны настолько, чтобы удовлетворить
кадровый спрос. А значит, чем самостоятельнее система, тем меньше сопутствующих кадровому
аспекту проблем она приносит. Безусловно, в этом должны помочь разработки в области моделей
машинного обучения и нейросетей.
Это важные задачи для DLP-систем, их решение займет как минимум краткосрочную
перспективу. А к тому времени, скорее всего, обозначатся новые грани функциональности, и тех-
нологии DLP перейдут на новый виток спирали развития.
•1
СОДЕРЖАНИЕ стр.
ПРАВО И НОРМАТИВЫ 14
Анастасия Заведенская стр.
Обзор законодательства. Май, июнь 2022 г. . . . . . . . . . . . . . . . . . . . .4
20
ТЕХНОЛОГИИ
стр.
Екатерина Андреева
Все, что вам следует знать об МЗ АРМ "БДМ" . . . . . . . . . . . . . . . . . .9 30
В ФОКУСЕ стр.
КИИ 44
Константин Саматов
Актуальные вопросы построения защиты объектов КИИ . . . . . . .10
ПЕРСОНЫ
Анна Андреева
Импортозамещение подталкивает компании
к использованию аутсорсинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
СПЕЦПРОЕКТ: DLP, DCAP, DAG
Анна Попова
Импортозамещение систем защиты от утечек информации:
зачем и как? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Новое время диктует отказ от старых представлений
о DLP-системах и защите от утечек информации . . . . . . . . . . . . . .18
Мария Разумовская
Импортозамещение DLP уже закончилось . . . . . . . . . . . . . . . . . . . .20
Алексей Парфентьев
Главные обновления "СёрчИнформ КИБ" . . . . . . . . . . . . . . . . . . . .22
Сравнение решений класса DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Дмитрий Горлянский
DCAP и DLP: в чем разница? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Сравнение решений класса DCAP / DAG . . . . . . . . . . . . . . . . . . . . . .32
Роль аутсорсинга и психологии в DLP.
Круглый стол вендоров решений класса DLP . . . . . . . . . . . . . . . . .36
Владислав Эркенов
Как инсайдер помог наладить дисциплину в компании . . . . . . . . .40
2•
СОДЕРЖАНИЕ Журнал "Information
Security/Информационная
ТЕХНОЛОГИИ
безопасность" № 3, 2022
Егор Комаров Издание зарегистрировано
Все, что вам следует знать об АПК "ЗАСТАВА-ТК" . . . . . . . . . . . .41
в Минпечати России
PHDays 11: взрыв интереса к ИБ, расследование атаки Свидетельство о регистрации
на Rutube и демонстрация остановки нефтепровода . . . . . . . . . . .42 ПИ № 77-17607 от 9 марта 2004 г.
Валентина Пугачева
Выявление аномалий в сетевом трафике моделями Учредитель и издатель
с машинным обучением . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 компания "ГРОТЕК"
Unified Risk Platform для проактивной защиты от атак . . . . . . . . . .46 Генеральный директор ООО "ГРОТЕК"
Иван Чернов Андрей Мирошкин
Эволюция программно-аппаратных решений UserGate . . . . . . . . .48
Издатель
КРИПТОГРАФИЯ Владимир Вараксин
Александр Подобных
DeFi: инкапсулированная угроза децентрализованных Выпускающий редактор
финансов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Амир Хафизов
УПРАВЛЕНИЕ Редактор
Светлана Хафизова
Николай Спирихин
Ландшафт современных киберугроз и подходы Корректор
к автоматическому реагированию . . . . . . . . . . . . . . . . . . . . . . . . . . .52 Галина Воронина
Денис Полянский
Тренды информационной безопасности в России и мире: Дизайнер-верстальщик
что нужно знать бизнесу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Ольга Пирадова
БЕЗОПАСНАЯ РАЗРАБОТКА Юрисконсульт
Кирилл Сухов,
Андрей Никитин [email protected]
Зачем и как решать проблемы безопасности
мобильных приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 Департамент продажи рекламы
Зинаида Горелова, Ольга Терехова
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ
Рекламная служба
Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 Тел.: +7 (495) 647-0442,
Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
[email protected]
Отпечатано в типографии
ООО “"Линтекст", Москва, ул. Зорге, 15
Тираж 10 000. Цена свободная
Оформление подписки
Тел.: +7 (495) 647-0442, www.itsec.ru
Департамент по распространению
Тел.: +7 (495) 647-0442
Для почты 123007, Москва, а/я 26
E-mail: [email protected]
Web: www.groteck.ru, www.itsec.ru
Перепечатка допускается только
по согласованию с редакцией
и со ссылкой на издание
За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет
Мнения авторов не всегда отражают
точку зрения редакции
© "ГРОТЕК", 2022
•3
ПРАВО И НОРМАТИВЫ
Обзор изменений
в законодательстве
Анастасия Заведенская, независимый эксперт по информационной безопасности
Май-2022
В майском обзоре изменений законодательства в ИБ за 2022 г.
разберем требования нашумевшего Указа Президента РФ
№ 250, поговорим о планах ФСТЭК России по актуализации
методики оценки угроз безопасности информации и банка
данных угроз, об отмене ГОСТа с требованиями к органам по
аттестации объектов информатизации, рассмотрим требования
к средствам удостоверяющих центров и многое другое.
Меры обеспечения l юридическим лицам, являющимся В конце мая 2022 г. проектом приказа
информационной безопасности субъектами КИИ. ФСБ России "Об определении переход-
по Указу Президента РФ № 250 ного периода"3 было предложено уста-
Для выполнения требований Указа новить переходный период, в течение
В начале мая 2022 г. был опубликован Президента № 250 организациям требу- которого можно будет взаимодейство-
Указ Президента Российской Федерации ется определить структуру ответствен- вать с неаккредитованными центрами
от 01.05.2022 № 250 "О дополнительных ности за обеспечение информационной ГосСОПКА, в 360 календарных дней со
мерах по обеспечению информационной безопасности, например: дня официального опубликования упо-
безопасности Российской Федерации" l на должностное лицо уровня заме- мянутого приказа.
(далее – Указ Президента № 250)1. стителя руководителя организации
нужно возложить полномочия по обес- По проекту приказа ФСБ России
Официально Указ Президента № 250 печению ИБ; "О внесении изменений в Положение о
вступил в силу со дня его опубликования, l на самого руководителя – персональ- Национальном координационном центре
то есть выполнять его требования ную ответственность за обеспечение ИБ; по компьютерным инцидентам (НКЦКИ),
необходимо уже с 1 мая 2022 г. l создать структурное подразделение, утвержденное приказом ФСБ России от
ответственное за обеспечение ИБ, либо 24 июля 2018 г."4 задачи и функции
Ряд мер по повышению уровня без- возложить такие функции на существую- аккредитации центров ГосСОПКА и опре-
опасности информационных ресурсов щее подразделение. деление порядка будут возложены на
необходимо выполнить следующим орга- НКЦКИ.
низациям: Таким образом, одной штатной еди-
l федеральным органам исполнитель- ницы, ответственной за ИБ в организа- Организациям, внесенным в пере-
ной власти; ции, теперь недостаточно. чень ключевых органов (организаций),
l высшим исполнительным органам по Указу Президента № 250 необхо-
государственной власти субъектов РФ; Для таких структурных изменений к димо было провести оценку уровня
l государственным фондам; началу июня 2022 г. со стороны Прави- защищенности своих информацион-
l государственным корпорациям и госу- тельства РФ должны были быть подго- ных систем до 1 июля 2022 г. и предо-
дарственным компаниям; товлены типовые положения о замести- ставить ее результаты в Правитель-
l стратегическим предприятиям и страте- теле руководителя и о структурном под- ство РФ. Перечень ключевых органов
гическим акционерным обществам (пере- разделении, обеспечивающем ИБ. Одна- (организаций) должен был быть опре-
чень обществ утвержден Указом Президента ко на момент написания этой статьи делен Правительством РФ в месячный
РФ от 04.08.2004 № 1009 "Об утверждении упомянутые выше положения офици- срок со дня выхода Указа Президента
перечня стратегических предприятий и стра- ально опубликованы не были. № 250. Однако распоряжение Прави-
тегических акционерных обществ"2); тельства РФ от 22.06.2022 № 1661-р5,
l системообразующим организациям Теперь к деятельности по обнаруже- определяющее указанный перечень,
российской экономики; нию, предупреждению и ликвидации официально было опубликовано толь-
последствий компьютерных атак, а также ко 24 июня 2022 г. Поэтому формаль-
по реагированию на компьютерные инци- но до отчетной даты ключевым орга-
денты можно будет привлекать в каче- нам (организациям) оставалась всего
стве подрядчика только аккредитован- неделя.
ные центры государственной системы
обнаружения, предупреждения и ликви- Типовые формы технического задания
дации последствий компьютерных атак на выполнение работ по оценке уровня
(ГосСОПКА).
1 http://publication.pravo.gov.ru/Document/View/0001202205010023
2 http://government.ru/docs/all/49574/
3 https://regulation.gov.ru/projects#npa=127992
4 https://regulation.gov.ru/projects#npa=127995
5 https://sozd.duma.gov.ru/bill/84826-8
4•
ПРАВО И НОРМАТИВЫ www.itsec.ru
защищенности и форма отчета6 в целях Отмена ГОСТ Р 58189–2018 l некриптографические средства защи-
выполнения требований Указа Прези- ты информации, сертифицированные по
дента № 250 были опубликованы 3 июня ФСТЭК России вынес на голосование требованиям безопасности информации,
2022 г. на официальном сайте Минциф- членов ТК 362 вопрос по отмене ГОСТ Р устанавливаемым ФСТЭК России, и
ры России. 58189–2018 "Защита информации. Тре- обеспечивающие защиту от атак,
бования к органам по аттестации объ- направленных на веб-серверы, защиту
В соответствии с Указом Президента ектов информатизации"10. Предложение от вредоносного программного обес-
№ 250 с 1 января 2025 г. организациям об отмене обусловлено установлением печения, обнаружение (предотвращение)
запрещается использовать средства порядка проведения работ по аттестации вторжений, доверенную загрузку средств
защиты информации, произведенные объектов информатизации приказами вычислительной техники.
в недружественных государствах либо ФСТЭК России от 28 сентября 2020 г.
производителями которых являются № 110 и от 29 апреля 2021 г. № 77. Эксперимент по повышению
организации, находящиеся под их юрис- уровня защищенности ГИС
дикцией, прямо или косвенно подконт- Средства удостоверяющего
рольные им либо аффилированные центра Постановление Правительства Рос-
с ними. Так, в перечень иностранных сийской Федерации от 13.05.2022 г.
государств и территорий7, совершающих Приказ ФСБ России от 13.04.2022 г. № 860 "О проведении эксперимента по
в отношении России, российских ком- № 179 "О внесении изменений в Требо- повышению уровня защищенности госу-
паний и граждан недружественные дей- вания к средствам удостоверяющего дарственных информационных систем
ствия, включено 21 государство, а также центра, утвержденные приказом ФСБ федеральных органов исполнительной
все государства – члены Европейского России от 27 декабря 2011 г. № 796"11 власти и подведомственных им учреж-
союза. (далее – Приказ ФСБ России № 179) дений"12 (далее – ПП РФ № 860) офи-
был официально опубликован 11 мая циально опубликовано 16 мая 2022 г.
Новый раздел Банка данных угроз 2022 г. Приказ ФСБ России № 179 всту-
безопасности информации пает в силу с 1 сентября 2022 г. и дей- Согласно ПП РФ № 860 эксперимент
ствует до 1 января 2027 г. по повышению уровня защищенности
Информационным сообщением от государственных информационных систем
04.05.2022 г. № 240/22/2432 "О разра- Приказ ФСБ России № 179 вносит (далее – ГИС) федеральных органов
ботке нового раздела Банка данных изменения в Требования к средствам исполнительной власти и подведомствен-
угроз безопасности информации, содер- удостоверяющего центра (приложение ных им учреждений будет проводиться
жащего сведения об угрозах безопас- № 2), утвержденные приказом ФСБ Рос- с 16 мая 2022 г. по 30 марта 2023 г.
ности информации"8 ФСТЭК России сии от 27 декабря 2011 г. № 796.
сообщает следующее: Ответственность за организацию и
В текущей редакции Требований для мониторинг работ, проводимых в рамках
1. Разработан новый раздел Банка средств, реализующих механизм фор- эксперимента, возложена на Минцифры
данных угроз безопасности информации мирования меток доверенного времени, России. К проведению эксперимента
(БДУ)9. Новый раздел БДУ содержит удостоверяющим центром (УЦ) должны Минцифры России вправе привлекать
функции автоматизированного форми- применяться средства межсетевого экра- подведомственное ему федеральное
рования перечня возможных угроз без- нирования уровня веб-сервера (тип "Г"), государственное учреждение и коммер-
опасности информации применительно сертифицированные ФСБ России на ческие организации.
к конкретным информационным (авто- соответствие требованиям к устройствам
матизированным) системам. типа "межсетевой экран" не менее чем Участвовать в эксперименте пригла-
3-го класса защищенности. шаются на добровольной основе феде-
Предложения и замечания по новому ральные органы исполнительной власти
разделу БДУ принимались до 5 июня УЦ должны использовать средства и подведомственные им учреждения, они
2022 г. защиты от компьютерных вирусов, пред- должны подать заявку, которой подтвер-
назначенные для применения на серве- ждается готовность ГИС принимать участие
2. ФСТЭК России в настоящее время рах информационных систем (тип "Б") и в эксперименте, при дальнейшем оформ-
завершает разработку новой редакции сертифицированные ФСБ России на лении соглашений о взаимодействии.
Методики оценки угроз безопасности соответствие требованиям к антивирус-
информации, утвержденной ФСТЭК Рос- ным средствам по классу Б2. В рамках эксперимента Минцифры
сии 5 февраля 2021 г. (далее – Методи- России:
ка). В новой редакции Методики в каче- В редакции же приказа ФСБ России l разработает с согласованием во
стве исходных данных для реализации № 179 с 1 сентября 2022 г. для средств, ФСТЭК России и ФСБ России типовое
процедур формирования перечня воз- реализующих механизм меток доверен- техническое задание на выполнение
можных угроз безопасности информа- ного времени, при подключении к инфор- работ по повышению уровня защищен-
ции и определения их актуальности мационно-телекоммуникационной сети, ности ГИС;
предусмотрено применение нового раз- доступ к которой не ограничен опреде- l обеспечит заключение соглашений
дела БДУ. ленным кругом лиц, должны применяться о взаимодействии и организацию работ
следующие средства: в рамках соглашений;
В связи с утверждением новой редак- l класс средств электронной подписи, l осуществит контроль за ходом устра-
ции Методики и применением нового реализующих механизмы формирования нения выявленных в рамках экспери-
раздела БДУ модели угроз безопасности меток доверенного времени, не ниже мента недостатков (уязвимостей);
информации, разработанные с учетом класса КС3. Должно быть обеспечено l разработает по согласованию со
действующего БДУ, перерабатывать не защищенное хранение криптографиче- ФСТЭК России и ФСБ России перечень
планируется. ских ключей в неэкспортируемом виде;
5 http://publication.pravo.gov.ru/Document/View/0001202206240033?index=0&rangeSize=1
6 https://digital.gov.ru/ru/documents/8235/
7 http://government.ru/docs/44745/
8 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2384-informatsionnoe-soobshchenie-fstek-rossii-ot-
4-maya-2022-g-n-240-22-2432
9 https://bdu.fstec.ru/threat-section
10 https://fstec.ru/tk-362/deyatelnost-tk362/343-inaya-deyatelnost-tk-362/2420-pismo-rukovoditelyam-organizatsij-chlenov-tk-362-
ot-31-maya-2022-g-n-1331
11 http://publication.pravo.gov.ru/Document/View/0001202205110052?index=0&rangeSize=1
12 http://publication.pravo.gov.ru/Document/View/0001202205160024
•5
ПРАВО И НОРМАТИВЫ
мер, направленных на нейтрализацию силу постановления Правительства Банка России15 будут применяться
выявленных в ГИС в рамках экспери- Российской Федерации от 03.02.2022 с 13 июля 2022 г.
мента недостатков (уязвимостей). № 94 "Об утверждении Правил предо-
ставления субсидий из федерального Предполагается, что обмен электрон-
Государственный контроль бюджета российскому юридическому ными сообщениями в платежной систе-
(надзор) в сфере идентификации лицу на разработку и реализацию на ме Банка России или финансовыми
и (или) аутентификации регулярной основе программы кибер- сообщениями в системе передачи
гигиены и повышения грамотности финансовых сообщений (СПФС) будет
Постановление Правительства РФ от широких слоев населения по вопросам соответствовать требованиям по защи-
06.05.2022 N 822 "О внесении изменений информационной безопасности"14 те информации с учетом опубликован-
в Положение о федеральном государст- (далее – проект ПП РФ). ных условий.
венном контроле (надзоре) в сфере
идентификации и (или) аутентифика- Предлагается отменить постановле- Операторы рекламных данных
ции"13 (далее – ПП РФ № 822) офици- ние Правительства Российской Феде-
ально опубликовано 7 мая 2022 г. рации от 3 февраля 2022 г. № 94 "Об Приказ Роскомнадзора от 11.04.2022 г.
утверждении Правил предоставления № 64 "Об утверждении Требований к
ПП РФ № 822 откладывает примене- субсидий из федерального бюджета программам для электронных вычисли-
ние до 1 сентября 2022 г. Положения российскому юридическому лицу на тельных машин, используемым операто-
о федеральном государственном конт- разработку и реализацию на регуляр- рами рекламных данных для учета рек-
роле (надзоре) в сфере идентификации ной основе программы кибергигиены ламы в информационно-телекоммуника-
и (или) аутентификации, утвержденного и повышения грамотности широких ционной сети "Интернет" и предоставления
постановлением Правительства Рос- слоев населения по вопросам инфор- информации в Федеральную службу по
сийской Федерации от 11.10.2021 мационной безопасности" (далее – ПП надзору в сфере связи, информационных
№ 1729. РФ № 94). В соответствии с ПП РФ технологий и массовых коммуникаций"16
№ 94 Минцифры России предоставляет (далее – Приказ РКН № 64) официально
Государственный контроль (надзор) субсидии на разработку программы опубликован 30 мая 2022 г. Приказ РКН
будет осуществляться в отношении кибергигиены организациям на осно- № 64 вступает в силу с 1 сентября 2022 г.
соблюдения аккредитованными органи- вании конкурсного отбора. и действует до 1 сентября 2028 г. При
зациями, осуществляющими идентифи- этом часть требований к программному
кацию и (или) аутентификацию с исполь- Согласно пояснительной записке обеспечению операторов рекламных дан-
зованием биометрических персональных к проекту ПП РФ Минцифры России ных вступают в силу с 1 марта 2023 г.
данных физических лиц, и государствен- принято решение о реализации про-
ными органами, прошедшими аккреди- граммы кибергигиены посредством Программное обеспечение, исполь-
тацию на право владения ГИС, с приме- предоставления субсидии подведом- зуемое операторами рекламных данных
нением которых осуществляется иденти- ственному образовательному учреж- для учета рекламы в сети "Интернет" и
фикация и (или) аутентификация, и (или) дению. В этой связи не потребуется предоставления информации в Роском-
осуществления функций их операторов. выделение дополнительных бюджет- надзор, также, в частности, должно:
ных ассигнований бюджетов бюджет- l обеспечивать сохранность получае-
Отмена субсидий на разработку ной системы. мой и передаваемой с их использова-
программы кибергигиены нием информации, иметь защиту от
и повышения грамотности Условия по защите информации преднамеренных и непреднамеренных
по вопросам ИБ Банка России информационных воздействий;
l соответствовать требованиям зако-
Для общественного обсуждения опуб- Опубликованные в мае 2022 г. обнов- нодательства РФ о защите информа-
ликован проект постановления Прави- ленные условия по защите информации ции и о персональных данных.
тельства РФ "О признании утратившим
Июнь-2022
В обзоре изменений законодательства за июнь 2022 г. поговорим о нормотворческой деятельно-
сти в области обработки и защиты персональных данных, предложениях по расширению сфер
деятельности субъектов КИИ, процессе предоставления информации по категорированию объ-
ектов КИИ во ФСТЭК России субъектами энергетики и ТЭК, концепции информационной
безопасности в сфере здравоохранения и защите от НСД в системе-112.
Изменения Федерального закона "О банках и банковской деятельности"17 чиями одобренной редакции проекта изме-
"О персональных данных" (далее – проект изменений ФЗ о ПДн). нений ФЗ о ПДн от внесенной на рассмот-
Позднее, 8 июля, проект изменений ФЗ рение первичной версии являются:
В июне 2022 г. в третьем чтении Госу- о ПДн был одобрен Советом Федерации l отдельная дефиниция "лицо, осуществ-
дарственной Думой принят законопроект и направлен президенту РФ. ляющее обработку ПДн" введена не будет,
№ 101234-8 "О внесении изменений в однако будут внесены корректировки в
Федеральный закон "О персональных Об особенностях внесенного на рас- положения о лицах, осуществляющих
данных", отдельные законодательные смотрение проекта изменений ФЗ о ПДн обработку ПДн по поручению оператора;
акты Российской Федерации и призна- мы говорили ранее в апрельском обзоре l оператор до подачи уведомления о
нии утратившей силу части четырна- изменений законодательства по инфор- намерении трансграничной передачи
дцатой статьи 30 Федерального закона мационной безопасности. Основными отли-
13 http://publication.pravo.gov.ru/Document/View/0001202205070009?index=0&rangeSize=1
14 https://regulation.gov.ru/projects#npa=127213
15 https://cbr.ru/Content/Document/File/135767/Terms_of_data_protection_20220713.docx (скачать)?
16 http://publication.pravo.gov.ru/Document/View/0001202205300027
17 https://sozd.duma.gov.ru/bill/101234-8
6•
ПРАВО И НОРМАТИВЫ www.itsec.ru
Реклама
персональных данных (ПДн) будет обя- ных в единой биометрической системе и информации (СКЗИ), прошедших про-
зан получить от органов власти ино- в иных информационных системах, обес- цедуру оценки соответствия. Оператору
странного государства, иностранных печивающих идентификацию и (или) ЕБС рекомендовано разработать про-
физических лиц, иностранных юридиче- аутентификацию с использованием био- грамму и методику для оценки алгорит-
ских лиц, которым планируется транс- метрических персональных данных физи- мов проверок на обнаружение атаки на
граничная передача, определенный ческих лиц, а также требований к инфор- биометрическое предъявление, создать
перечень сведений; мационным технологиям и техническим российское программное обеспечение,
l из нормы по взаимодействию с Госу- средствам, предназначенным для обра- предназначенное для обработки био-
дарственной системой обнаружения, пред- ботки биометрических персональных дан- метрических ПДн, с применением шиф-
упреждения и ликвидации последствий ных в целях проведения идентифика- ровальных средств и дальнейшим про-
компьютерных атак (ГосСОПКА) исклю- ции"19 влечет за собой штраф для долж- ведением ФСБ России оценки соответ-
чено положение о "непрерывности"; ностных лиц в размере от 100 тыс. руб. ствия.
l уведомлять Роскомнадзор об утечке до 300 тыс. руб., а для юридических
ПДн будет необходимо в течение лиц – от 300 тыс. руб. до 500 тыс. руб. СлучаииспользованияЕБС
24 часов не с момента наступления Обработка биометрических ПДн для
инцидента, а с момента выявления инци- идентификации и (или) аутентификации Постановление Правительства Рос-
дента оператором, Роскомнадзором или без аккредитации – штраф для долж-
иным заинтересованным лицом. В тече- ностных лиц в размере от 300 тыс. руб. сийской Федерации от 15.06.2022 г.
ние 72 часов необходимо будет уведо- до 600 тыс. руб., а для юридических
мить о результатах внутреннего рассле- лиц – от 500 тыс. руб. до 1 млн руб. № 1067 "О случаях и сроках использо-
дования выявленного инцидента, а также
предоставить сведения о лицах, дей- ЗащитаПДнвЕБСиЕСИА вания биометрических персональных
ствия которых стали причиной выявлен-
ного инцидента (при наличии). Постановление Правительства Рос- данных, размещенных физическими
сийской Федерации от 15.06.2022 г.
А дминистративная № 1066 "О размещении физическими лицами в единой информационной
ответственностьзанарушения лицами своих биометрических персо-
в сфереидентификациии(или) нальных данных в единой информа- системе персональных данных, обес-
аутентификациифизическихлиц ционной системе персональных данных,
обеспечивающей обработку, включая печивающей обработку, включая сбор и
В июне 2022 г. для общественного сбор и хранение, биометрических пер-
обсуждения был представлен проект сональных данных, их проверку и пере- хранение, биометрических персональных
Федерального закона "О внесении изме- дачу информации о степени их соответ-
нений в Кодекс Российской Федерации ствия предоставленным биометрическим данных, их проверку и передачу инфор-
об административных правонарушениях" персональным данным физического
(далее – проект ФЗ)18. лица"20 (далее – ПП РФ № 1066) офици- мации о степени их соответствия предо-
ально опубликовано 17 июня 2022 г.
Проектом ФЗ предлагается введение ПП РФ № 1066 вступило в силу со дня ставленным биометрическим персональ-
административной ответственности за официального опубликования, за исклю-
нарушение порядка применения инфор- чением Правил размещения физически- ным данным физического лица" (далее –
мационных технологий в целях иденти- ми лицами своих биометрических ПДн,
фикации и (или) аутентификации физи- вступающих в силу с 30 сентября 2022 г. ПП РФ № 1067)21 было опубликовано
ческих лиц. В частности, нарушение при-
каза Минцифры России от 10.09.2021 г. Согласно ПП РФ № 1066 Минцифры 17 июня 2022 г. ПП РФ № 1067 вступит
№ 930 "Об утверждении порядка обра- России должно обеспечить возможность
ботки, включая сбор и хранение, пара- применения в Единой системе иденти- в силу 1 марта 2023 г. и будет действо-
метров биометрических персональных фикации и аутентификации (ЕСИА) и
данных, порядка размещения и обновле- Единой биометрической системе (ЕБС) вать до 1 марта 2029 г.
ния биометрических персональных дан- средств криптографической защиты
ПП РФ № 1067 устанавливает случаи,
в которых могут использоваться био-
метрические ПДн, размещенные в ЕБС,
например:
l осуществление организациями
финансового рынка аутентификации
клиента;
l обеспечение выдачи персонифици-
рованной карты на посещение спортив-
ных соревнований;
l осуществление прохода на террито-
рию государственных органов и органи-
заций посредством системы контроля и
управления доступом (СКУД) их терри-
тории, за исключением организаций
оборонно-промышленного, атомного
18 https://regulation.gov.ru/projects#npa=128073
19 http://publication.pravo.gov.ru/Document/View/0001202110280037?
20 № 1066 http://publication.pravo.gov.ru/Document/View/0001202206170013
21 http://publication.pravo.gov.ru/Document/View/0001202206170005
•7
ПРАВО И НОРМАТИВЫ
расположены указанные субъекты КИИ.
энергопромышленного, ядерного, ору- опасности критической информационной ИБ в сфере здравоохранения
жейного, химического, топливно-энер- инфраструктуры Российской Федера-
гетического комплексов, организаций, ции"23. Минздрав России разработал Концеп-
относящихся к объектам транспортной цию информационной безопасности в
инфраструктуры, субъектам критической Законопроектом предлагается расши- сфере здравоохранения25. Так, напри-
информационной инфраструктуры, объ- рить перечень сфер деятельности субъ- мер, в Концепцию включены эскизные
ектов, на территории которых соверше- ектов КИИ сферой государственной решения по реализации мер защиты
ние террористического акта может при- регистрации недвижимости. информации, архитектура и эскизные
вести к возникновению чрезвычайных решения по построению системы реаги-
ситуаций с опасными социально-эконо- Субъекты КИИ в сферах рования на компьютерные атаки в
мическими последствиями, режимных энергетики и топливно- информационных системах в сфере
объектов в соответствии с Указом Пре- энергетического комплекса здравоохранения.
зидента Российской Федерации от
30 ноября 1995 г. № 1203 "Об утвержде- Информационное сообщение ФСТЭК Минздрав России сообщил о планах
нии перечня сведений, отнесенных России от 28.06.2022 г. № 240/83/1698 по созданию отраслевого центра инфор-
к государственной тайне", дошкольных "О порядке представления субъектами мационной безопасности и импортоза-
образовательных организаций и обще- критической информационной инфра- мещения программного обеспечения
образовательных организаций. структуры сведений о результатах при- Министерства здравоохранения Россий-
своения объектам критической инфор- ской Федерации.
Положение о ЕБС мационной инфраструктуры одной из
категорий значимости либо об отсутствии Защита от НСД в системе-112
17 июня 2022 г. официально опубли- необходимости присвоения им одной из
ковано постановление Правительства таких категорий"24 опубликовано в июне Официально опубликован приказ Мин-
Российской Федерации от 16.06.2022 г. 2022 г. на сайте регулятора. цифры России от 02.03.2022 г. № 156
№ 1089 "Об утверждении Положения о "Об утверждении Порядка защиты сетей
единой информационной системе пер- ФСТЭК России уведомляет о поряд- связи и информационных систем опера-
сональных данных, обеспечивающей ке рассмотрения перечней объектов торов связи от несанкционированного
обработку, включая сбор и хранение, КИИ, подлежащих категорированию, доступа к ним и передаваемой по ним
биометрических персональных данных, а также сведений о результатах кате- информации при функционировании
их проверку и передачу информации о горирования субъектов КИИ в сферах системы обеспечения вызова экстренных
степени их соответствия предоставлен- энергетики и топливно-энергетическо- оперативных служб по единому номеру
ным биометрическим персональным дан- го комплекса. "112"26 (далее – приказ Минцифры
ным физического лица"22. № 156).
В части субъектов КИИ, являющихся
Положением были определены цели федеральными органами исполнитель- По приказу Минцифры № 156 инфор-
и задачи создания и развития ЕБС, ной власти, государственными корпо- мационная безопасность в системе-112
являющейся государственной информа- рациями, головными организациями должна обеспечиваться в зависимости
ционной системой, порядок ее функцио- интегрированных структур, рассмотре- от ролей эксплуатантов в соответствии
нирования и взаимодействия с иными ние перечней и сведений осуществ- с Федеральным законом от 7 июля
информационными системами (в част- ляется центральным аппаратом ФСТЭК 2003 г. № 126-ФЗ "О связи", Федераль-
ности, с ЕСИА, единой системой межве- России. ным законом от 27 июля 2006 г. № 149-
домственного электронного взаимодей- ФЗ "Об информации, информационных
ствия и единым порталом государствен- В части субъектов КИИ, являющихся технологиях и о защите информации",
ных и муниципальных услуг). самостоятельными юридическими лица- Федеральным законом от 27 июля 2006 г.
ми, дочерними, зависимыми общества- № 152-ФЗ "О персональных данных",
Расширение сфер деятельности ми, входящими в интегрированные струк- Федеральным законом от 26 июля 2017 г.
субъектов КИИ туры, а также организациями, подве- № 187-ФЗ "О безопасности критической
домственными органам власти субъектов информационной инфраструктуры Рос-
На рассмотрение в Государственную Российской Федерации или органам сийской Федерации" и Федеральным
Думу внесен законопроект "О внесении местного самоуправления, рассмотрение законом от 30 декабря 2020 г. № 488-
изменений в Федеральный закон "О без- перечней и сведений осуществляется ФЗ "Об обеспечении вызова экстренных
управлением ФСТЭК России по феде- оперативных служб по единому номеру
ральному округу, на территории которого "112" и о внесении изменений в отдель-
ные законодательные акты Российской
Федерации" и принятыми в соответствии
с ними нормативными правовыми акта-
ми.
В целях защиты данных, передавае-
мых в рамках межсистемного взаимо-
действия системы-112, должны приме-
няться СКЗИ по классу не ниже КСЗ. l
Ваше мнение и вопросы
присылайте по адресу
[email protected]
22 http://publication.pravo.gov.ru/Document/View/0001202206170021
23 https://sozd.duma.gov.ru/bill/154496-8
24 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/290-inye/2433-informatsionnoe-soobshchenie-fstek-
rossii-ot-28-iyunya-2022-g-n-240-83-1698
25 https://minzdrav.gov.ru/news/2022/06/22/18919-minzdrav-rossii-razrabotal-kontseptsiyu-informatsionnoy-bezopasnosti-v-sfere-zdravoohraneniya
26 Приказ Минцифры России от 02.03.2022 г. № 156 http://publication.pravo.gov.ru/Document/View/0001202206010016
8•
ТЕХНОЛОГИИ www.itsec.ru
Все, что вам следует знать об МЗ АРМ "БДМ"
Екатерина Андреева, менеджер продукта, АО “ЭЛВИС-ПЛЮС”
Н е секрет, что за последнюю пару лет резко возрос процент
работников, сидящих на удаленке. Если ранее мобильными
рабочими местами пользовались в основном только
сотрудники, выезжающие в командировку или проводящие
выездные мероприятия, то уже с 2020 года ввиду объективных
причин возможность уйти на дистанционную работу стала
необходимостью для большинства офисных работников.
Плюсы такой мобильности очевидны: в любой момент можно
подключиться к корпоративной среде, просмотреть почту,
ответить на письма, отправить документы, даже обсудить
важные вопросы на совещании по аудио- и видеосвязи.
И все это – не приезжая в офис.
l шифрование: чтобы информация Таким решением является СКЗИ
с устройства, даже попав в чужие руки, "Мобильное защищенное автоматизи-
не могла быть прочитана или пере- рованное рабочее место "Базовый Дове-
хвачена в сеансе связи. ренный Модуль" производства АО
Данные технологии реализуются раз- "ЭЛВИС-ПЛЮС", обеспечивающее:
личными видами программного и аппа- l доверенную загрузку ОС;
ратного обеспечения. Например, защиту l контроль целостности аппаратной
загрузки устройства можно обеспечить и программной частей платформы;
аппаратно-программным модулем дове- l двухфакторную аутентификацию
ренной загрузки (АПМДЗ), однако тут пользователя до загрузки ОС;
же возникают вопросы. Как этот модуль l прозрачное шифрование диска
установить под кожух небольшого в режиме реального времени без влия-
устройства? Как весь этот процесс внед- ния на работу пользователя.
рить в производственную линию, сохра- Шифрование канала связи обеспечи-
Однако в то же время становится нив баланс качества и скорости создания вается ПК "ЗАСТАВА-Клиент" (сертифи-
актуальным вопрос защиты такого
мобильного рабочего места от различ- партии таких устройств (ведь пользова- каты ФСБ России СФ/114-4115 от
ных угроз, возникающих ввиду специ-
фики удаленного подключения. Это телю устройство обычно нужно "еще 30.06.2021 г. и ФСТЭК России № 4249 от
и угрозы потери и хищения устройства
с важными данными, и вероятность вчера")? 19.05.2020 г.) также производства
заражения вредоносным ПО, и возмож-
ный перехват сетевого трафика при Необходимо, чтобы АПМДЗ контро- АО "ЭЛВИС-ПЛЮС". В расширенном вари-
подключении к корпоративным инфор-
мационным системам через небезопас- лировал неизменность аппаратной анте поставки в доверенную среду могут
ные точки доступа.
и программной среды, обеспечивал добавляться средства защиты информа-
Что же, отвергнуть мобильность как
небезопасный способ? Такое решение шифрование канала связи, а также непо- ции, уже использующиеся заказчиком.
вряд ли реально: значимость удаленной
работы, как показала практика, высока, средственно шифровал диск устройства. СКЗИ "МЗ АРМ "БДМ" не требует
особенно в условиях пандемии, когда
требуется обеспечить непрерывность Но на практике реализация такого функ- установки каких-либо аппаратных зам-
производственных процессов.
ционала потребует целый набор спе- ков, плат расширения и прочих допол-
Может быть, попытаться закрыть
известные угрозы? А вот этот путь как циализированного ПО, а работа пользо- нительных модулей. Развертывание
раз правильный, и он безальтернативен,
особенно если мобильные пользователи вателя на этом устройстве вполне может такого решения даже на 2–3 тыс.
подключаются к таким системам, как
ИСПДн, ГИС, ОКИИ. превратиться в мучение. устройств не займет много времени,
Технологии, которые могут обеспечить Кроме того, затруднено обслуживание поскольку доверенная среда подготав-
закрытие перечисленных угроз, известны:
l защита загрузки устройства: чтобы таких платформ для администраторов ливается заранее, а процесс установки
никто, кроме самого пользователя, не
смог получить доступ к информации, информационных систем, поскольку заключается во вводе 2–3 команд.
хранящейся на мобильном устройстве;
l использование доверенной среды каждый компонент обычно устанавли- СКЗИ "МЗ АРМ "БДМ" является сер-
функционирования: чтобы быть уверен-
ным, что программная и аппаратная вается на аппаратную платформу по тифицированным средством криптогра-
среда мобильного устройства никоим
образом не изменилась; своим правилам. Вопрос обслуживания фической защиты информации класса
такого набора компонентов не был бы KC1 (сертификат ФСБ России СФ/114-
столь болезненным, если бы в компании 4050 от 07.04.2021 г.).
было от силы 30–50 мобильных поль-
зователей, но что делать, если их долж- Больше информации об СКЗИ "МЗ АРМ
но быть пятьсот, тысяча, две тысячи, "БДМ" можно найти на сайте www.elvis.ru.
и все разбросаны по разным уголкам По вопросам приобретения СКЗИ "МЗ
страны? АРМ "БДМ" обращайтесь в дирекцию
продаж АО "ЭЛВИС-ПЛЮС" по телефону
Решение есть +7 (495) 276-0211 или электронной почте
Очевидно, что наиболее привлека- [email protected]. l
тельным кажется реше-
ние, которое совмещало NM Реклама
бы в себе все технологии, АДРЕСА И ТЕЛЕФОНЫ
а процесс его разверты- АО "ЭЛВИС-ПЛЮС"
вания не был бы сложным см. стр. 60
и трудоемким.
•9
В ФОКУСЕ
Актуальные вопросы построения
защиты объектов КИИ
Константин Саматов, руководитель комитета по безопасности КИИ,
член Правления Ассоциации руководителей служб информационной безопасности
С момента вступления в силу Федерального закона
“О безопасности критической информационной
инфраструктуры” прошло уже более четырех лет, и все
субъекты критической информационной инфраструктуры уже
создали или, как минимум, должны были создать системы
безопасности своих значимых объектов КИИ. Однако жизнь
не стоит на месте, появляются новые объекты КИИ и новые
вопросы, связанные с построением и совершенствованием
системы их защиты. Кроме того, весной 2022 г. появились
новые нормативно-правовые акты, так или иначе
оказывающие влияние на защиту объектов КИИ.
С 1 января 2025 г. субъ- Категорирование всегда возможно обеспечить в данной сфере произошли
ектам КИИ нельзя будет вновь создаваемых защиту вновь создаваемого достаточно серьезные измене-
использовать средства объектов КИИ объекта КИИ или модернизи- ния, связанные с ускорением
защиты информации из руемого объекта, в случае импортозамещения в части объ-
зарубежных государств, вхо- Несмотря на то что пред- изменения его архитектуры, ектов КИИ. Так, было издано
дящих в список недруже- усмотрены отдельные нормы, аппаратно-программными сред- два указа президента РФ.
ственных. посвященные категорированию ствами ранее созданной СБ
вновь создаваемых объектов, в ЗОКИИ. Часть этих средств 1. Указ Президента РФ № 166
Вопрос применения тех Правилах категорирования объ- будет несовместима с новыми от 30.03.2022 г. "О мерах по
или иных средств защиты ектов КИИ, утвержденных архитектурными и/или про- обеспечению технологической
информации связан не толь- постановлением Правительства граммно-аппаратными реше- независимости и безопасности
ко с импортозамещением, РФ № 127 от 08.02.2018 г., тем ниями. В целом решение дан- критической информационной
но и с оценкой соответствия не менее не все так однознач- ной проблемы заключается инфраструктуры Российской
средств защиты информа- но. в том, чтобы на этапе создания Федерации".
ции. грамотно спроектировать
Перед специалистами субъ- необходимые решения и интег- 2. Указ Президента РФ № 250
екта КИИ на практике встают рацию с существующей СБ от 01.05.2022 г. "О дополни-
следующие вопросы: ЗОКИИ, а в случае невозмож- тельных мерах по обеспечению
ности интеграции с существую- информационной безопасности
1. Как быть с объектами КИИ, щими подсистемами безопас- Российской Федерации".
создаваемыми длительное ности предусмотреть в рамках
время, технические требования вновь создаваемых или модер- Что важного для субъекта
к которым утверждены до апре- низируемых ЗОКИИ новые под- КИИ содержат данные указы?
ля 2019 г.? системы безопасности. В соответствии с ними с 1 янва-
ря 2025 г.:
2. Что делать в случае, если Кроме того, совсем недавно
уже существующий объект появилась и такая проблема: 1. Органам государственной
начал участвовать в автомати- не все средства защиты, вхо- власти и компаниям с госуча-
зации критического процесса? дящие в состав созданных СБ стием2 запрещается использо-
ЗОКИИ, можно будет применять вать иностранное программное
3. При каких условиях осу- в будущем. И здесь мы плавно обеспечение на принадлежащих
ществлять пересмотр категории переходим к следующему им значимых объектах КИИ.
значимости? И т.п. вопросу. Иными словами, органы и орга-
низации, попавшие в указанную
Подробнее ответы на эти Импортозамещение категорию, – а это большое
вопросы были рассмотрены аппаратной части количество крупных субъектов
автором в одной из статей жур- и программного КИИ – должны до 1 января
нала "Information Security/ обеспечения 2025 г. полностью импортоза-
Информационная безопас- местить программную часть
ность", № 2, 2021 г. Тема импортозамещения своих значимых объектов КИИ.
достаточно стара, автор уже Причем исключительно россий-
Масштабирование касался ее на страницах данного ским программным обеспече-
системы безопасности журнала1, однако весной 2022 г. нием, никакое иностранное ПО,
значимых объектов КИИ в том числе из "дружественных"
стран, не допускается.
На практике проблема обыч-
но заключается в том, что не
1 Саматов К.М. Проблемы импортозамещения объектов КИИ // Information Security/Информационная безопасность. 2021.
№ 6. С. 16–17.
2 Подробнее о критериях отнесения к данной категории см. ст. 1 ч. 2 Федерального закона № 223-ФЗ от 18.07.2011 г.
“О закупках товаров, работ, услуг отдельными видами юридических лиц”.
10 •
КИИ www.itsec.ru
2. Субъектам КИИ запреща- мой производителем (разработ- к испытаниям по выявлению Указ Президента РФ
ется использовать средства чиком), либо самостоятельно уязвимостей в программном № 250 от 01.05.2022 г. воз-
защиты информации, странами субъектом КИИ в форме оценки обеспечении, требованиям к ложил на руководителя
происхождения которых являют- соответствия, процедура кото- поддержке безопасности про- субъекта КИИ персональную
ся иностранные государства, рой практически не отличается граммного обеспечения). ответственность за обес-
совершающие недружествен- от сертификации. Ввиду слож- печение информационной
ные действия в отношении Рос- ности, трудозатратности и дли- В заключение наряду с про- безопасности.
сийской Федерации, российских тельности по времени проведе- блемными вопросами хотелось
юридических и физических лиц, ния оценки соответствия по бы отметить и положительный Диалог между менедж-
либо производителями которых уровням доверия для субъектов момент, влияющий на построе- ментом и руководителем
являются организации, подконт- КИИ, не обладающих опытом ние системы защиты объектов службы информационной
рольные таким государствам сертификации (своей продукции КИИ. Уже упоминавшийся авто- безопасности теперь будет
(аффилированные с ними). или приобретаемых средств ром Указ Президента РФ № 250 складываться более кон-
Таким образом, с 1 января защиты) и не имеющих в своем от 01.05.2022 г. возложил на структивно.
2025 г. субъектам КИИ нельзя составе испытательных лабора- руководителя субъекта КИИ
будет использовать средства торий, экономически более персональную ответственность
защиты информации из зару- выгодно приобретать сертифи- за обеспечение информацион-
бежных государств, входящих цированные средства защиты ной безопасности (п. 2 Указа).
в список недружественных3, для информации в случаях:
всех принадлежащих им инфор- l создания нового значимого По сути, данная норма озна-
мационных ресурсов (неважно, объекта КИИ; чает, что теперь большинство
относятся они к значимым объ- l модернизации значимого объ- руководителей, уделявших вто-
ектам КИИ или нет). С учетом екта КИИ в рамках отдельного ростепенное внимание вопро-
того что совершение недруже- частного технического задания сам информационной безопас-
ственных действий представ- (технического проекта); ности, станут задумываться
ляет собой переменную величи- l замены текущих (внедренных о необходимости вникать в
ну, зависящую от времени и до 01.01.2023 г.) средств защи- вопросы защиты объектов
геополитической ситуации, фак- ты информации: замена на ана- информационной инфраструк-
тически указанный запрет озна- лог, смена версии, покупка туры, а значит, диалог между
чает явный приоритет россий- новых лицензий. менеджментом и руководителем
ских средств защиты информа- службы информационной без-
ции и возможность использо- 2. Для общесистемного про- опасности теперь будет скла-
вания зарубежных только в слу- граммного обеспечения и дываться более конструктивно.
чаях крайней необходимости. встроенных в него средств
защиты информации, приме- Помимо этого, по мнению
Однако вопрос применения няемых на значимых объектах автора, следует ожидать:
тех или иных средств защиты КИИ, необходимость соответ- l большего внимания к запро-
информации связан не только ствия требованиям к уровню сам подразделения информа-
с импортозамещением, но и со доверия не установлена, ционной безопасности;
следующим, четвертым, вопро- в связи с чем для обеспечения l увеличения штатной числен-
сом – оценкой соответствия безопасности (в том числе ности подразделения информа-
средств защиты информации. после 01.01.2023 г.) допускает- ционной безопасности, более
ся использование средств легкого обоснования руководи-
Оценка соответствия защиты информации, встроен- телю такой необходимости и
средств защиты ных в общесистемное про- меньшего сопротивления со сто-
информации граммное обеспечение, при роны смежных подразделений;
условии их соответствия тре- l увеличения бюджетов на
С 1 января 2023 г. вступают в бованиям к функциям безопас- информационную безопасность
силу требования приказа ности, установленным в техни- и менее сложного их обоснова-
ФСТЭК России № 35 от ческом задании на создание ния. l
20.02.2020 г., вносящего изме- значимого объекта КИИ и (или)
нения и дополнительные меры техническом задании (частном Ваше мнение и вопросы
в Требования по обеспечению техническом задании) на соз- присылайте по адресу
безопасности значимых объ- дание подсистемы безопасно-
ектов КИИ, утвержденные при- сти значимого объекта КИИ. [email protected]
казом ФСТЭК России № 239 от
25.12.2017 г. 3. Для прикладного программ-
ного обеспечения, планируемо-
1. Необходимость соответ- го для внедрения в рамках соз-
ствия средств защиты инфор- дания, модернизации, рекон-
мации, не встроенных в обще- струкции или ремонта значи-
системное или прикладное про- мого объекта КИИ и обеспечи-
граммное обеспечение (нало- вающего выполнение его функ-
женных), применяемых на значи- ций по назначению, устанавли-
мых объектах КИИ по шестому вается необходимость его соот-
или более высокому уровню ветствия требованиям по без-
доверия. Оценка средств защи- опасности (требованиям по без-
ты информации по уровням опасной разработке программ-
доверия осуществляется в ного обеспечения, требованиям
форме сертификации, проводи-
3 В настоящее время такой перечень утвержден распоряжением Правительства РФ № 430-р от 05.03.2022 г. “Об
утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении
Российской Федерации, российских юридических и физических лиц”.
• 11
В ФОКУСЕ
Импортозамещение подталкивает
компании к использованию аутсорсинга
Анна Андреева, генеральный директор Information Security Lab (“Лаборатория информационной
безопасности”)
А нна Андреева, основатель и генеральный директор компании Information Security Lab,
поделилась интересным взглядом на актуальные угрозы информационной безопасности,
ситуацию с импортозамещением и организацию аутсорсинга.
– Анна, расскажите немного
о себе.
– Родилась в Нижнем Новгороде,
будучи еще ребенком, вместе с роди-
телями переехала в Москву. Все детство
и сознательные годы прожила в столице
нашей Родины: здесь росла, станови-
лась личностью. Когда после школы
передо мной возник вопрос выбора
профессии, то была немного растеряна.
До сих пор считаю, что в 17–18 лет
очень сложно определить будущую спе-
циальность. Тем не менее уже тогда я
была достаточно амбициозна, поэтому
неудивительно, что в итоге выбрала
финансовую сферу – она должна была
привести меня к организации собст-
венного дела.
В те годы профессия экономиста была
очень популярна, выбрав ее, я поступила
правильно. На текущий момент 90%
моей деятельности связаны с управле-
нием, финансами и экономическим раз-
витием компании. Процессы, происхо-
дящие в информационной безопасности,
я тоже вижу через призму финансовой
сферы. Правда, во времена моей учебы
не было ни информационной безопас-
ности, ни такого понятия, как информа-
ционные технологии. Мы тогда только
"слезли" с модема и радовались широ-
кополосному Интернету – достигли так
называемого обывательского уровня
пользователей.
Сначала работала в консалтинге,
набиралась опыта, взаимодействуя с
различными видами бизнеса, в том
числе с теми, которые наиболее под-
вержены репутационным и финансо-
вым рискам. Именно в этот момент
начал зарождаться интерес к инфор-
мационной безопасности. Со стороны
компаний всегда прослеживалось пре-
небрежение к защите информации:
пока не было прецедентов, казалось,
утечки информации и последующие
финансовые потери их не коснутся.
Тем не менее я обращала внимание
на это, потому что зачастую на кону
были миллионные контракты. Мне
нужны были гарантии, что аналитиче-
ские сводки, которые я передаю, будут
должным образом защищены, переда-
12 •
ПЕРСОНЫ www.itsec.ru
ны нужному адресату и консультатив- – Кто ваши заказчики? плавно и безболезненно перейти на
ная работа не попадает не в те руки. – Мы очень хорошо понимаем друг новые решения.
Тема информационной безопасности друга с компаниями из финансовой
меня очень увлекла. Постепенно сферы, промышленной, ИТ. То есть с Мы всегда начинаем с потребности
в моем окружении становилось все теми, кто осознает, что именно потеряет заказчика в каком-то конкретном реше-
больше специалистов из ИБ- и ИТ- из-за угроз безопасности. Перед ними нии. Замена иностранного решения
сферы. не стоит выбор – строить у себя инфор- одним линейным российским аналогом –
мационную безопасность или нет. это редкость. Гораздо чаще бывает, что
– Как создавалась "Лаборато- Вопрос только – в каком виде. мы заменяем одно иностранное решение
рия информационной безопасно- Сейчас многим компаниям не хватает на пять российских, которые дополняют
сти"? понимания, что информационной без- друг друга. Это не в упрек российским
опасностью нужно заниматься непре- решениям, но нельзя отрицать отстава-
– Изначально нас было всего несколь- рывно. Это не тот процесс, для которого ние.
ко человек, заинтересованных темой можно однажды закупить ПО, инстру-
развития информационной безопасно- менты, оборудование и забыть. Бизнесу Просто так заменить иностранное
сти. Занимаясь консалтингом, я часто нужно время для осознания, что без- решение быстро не получится. Сначала
сталкивалась с несерьезным отноше- опасность организации – это сфера, где нужно определить критически важный
нием бизнеса к защите информации: фокус внимания должен быть посто- функционал для заказчика: что заме-
кражи данных случались очень часто янным. няем в первую очередь, что во вторую
и влекли за собой значительные финан- очередь, а что в третью.
совые и репутационные потери. Со – На данный момент рынок
мной рядом оказались единомышлен- испытывает потребность в санк- Обычно заказчики – это не те, кто
ники, которые понимали, что будущее ционноустойчивых защищенных занимается информационной безопас-
за услугами и инструментами для защи- системах, то есть в продуктах, ностью на постоянной основе. Как пра-
ты информации. Уже тогда обнаружился которые могут заменить импорт- вило, это компании, перед которыми
интерес к этой теме со стороны регуля- ные. Можно ли сказать, что сей- возникла задача обеспечения ИБ, и ее
торов. Но компанию начинали строить час благоприятное время для нужно оперативно решить, чтобы сохра-
на чистом энтузиазме. Сначала это того, чтобы захватывать внима- нить свой бизнес. Мы стараемся пред-
было больше похоже на хобби, а не на ние заказчиков? ложить им решения, которые в наи-
бизнес. Мы с коллегами занимались большей степени упростят эту задачу.
развитием наших идей в свободное – Это спорный момент. С одной сто- Наши специалисты подбирают именно
время. Это не было полноценной рабо- роны, время, возможно, и благопри- то решение, которое не просто макси-
той с 9 утра до 18 вечера. У нас были ятное, но с другой стороны – сейчас мально точно заменяет иностранное,
небольшие заказы, но не бизнес. многие факторы работают против нас. но и наилучшим образом соответствует
Нужно играть как будто вопреки. До интересам заказчика, включая соблю-
В таком формате наша команда про- этого момента спроса на российскую дения требований законодательства
существовала лет пять. А потом нача- продукцию было меньше, но условий и регуляторов.
лось основное развитие компании. для ее создания и развития больше.
Ситуация в России сложилась таким Можно было в спокойном режиме соз- – Анна, возвращаясь к теме соз-
образом, что информационная безопас- давать решения, изучать опыт других. дания компании: как вы подби-
ность уже не была чем-то чуждым или В настоящее время многие возможности рали команду? Вы уже сказали,
диковинным – с развитием информа- закрываются и начинается активная что все начиналось с единомыш-
ционных технологий, с появлением боль- конкуренция с теми, у кого ресурсов ленников, а сколько человек
шего числа специалистов она стала изначально больше. работает в компании сейчас, пла-
выходить на первый план. И мы есте- нируете ли дальнейшем увеличи-
ственным образом вклинились в этот – Интересует ли вас госсектор вать штат?
процесс, так как идеи развития нашего в качестве потенциальных заказ-
бизнеса полностью соответствовали чиков? – Сейчас в компании работает не
повестке дня. Другими словами, спрос более 20 человек. К формированию
родил предложение. – Госсектор нас интересует, и мы команды у нас достаточно практичный
планируем наращивать взаимодействие подход: есть определенные задачи, для
Для некоторых процессов нужно с государственными компаниями. Сейчас выполнения которых нужны люди с кон-
время. Можно вложить в дело финансы, в основном работаем с другими направ- кретными компетенциями, – так и наби-
знания и другие ресурсы, но, пока не лениями: небольшие ИТ-структуры, фин- раем. У нас нет цели раздувать штат,
пройдет время, не наступит подходящий тех очень интересен, промышленные потому что чем больше людей, тем
момент, развития не будет. И вот это предприятия. больше нужно ресурсов коллективу,
подходящее для информационной без- чтобы он нормально взаимодействовал.
опасности время наступило. Этот рынок – Как вы осуществляете выбор Каждый дополнительный человек – это
еще довольно молодой, но уже активно решений? По каким критериям звено цепочки, которое требует внима-
развивающийся. выбираете вендоров? Отталки- ния и регламентов.
ваетесь от потребностей заказ-
– На каком этапе развития чика или от продукции? Рынок информационной безопасности
"Лаборатория информационной достаточно закрытый, в нем нет каких-
безопасности" сейчас? – Прежде всего, активно сотрудничаем то совсем неизвестных людей, кто-то
с вендорами, у нас много стратегических кого-то всегда знает. При найме я цели-
– У нас есть некоторые отлаженные партнерских соглашений. Сейчас ком- ком доверяю рекомендациям коллег.
процессы и, самое главное, люди – пании переходят на другие сервисы, что Как правило, кейсы кандидата уже гово-
сплоченная команда, в которой есть несколько болезненно для них. Informa- рят сами за себя, и остается посмотреть,
доверие и понимание общих целей. Сей- tion Security Lab старается сделать выбор подходит ли человек в команду. Мы
час у нас идет этап активного роста, новой продукции максимально прозрач- берем только командных игроков. Пока
который немного сдерживается внеш- ным и предлагает "тест-драйв". Взаимо- у нас нет огромного штата, где нужен
ними факторами. Планомерное разви- действует с вендорами на этапе прода- постоянный поток новых людей.
тие, может быть небыстрое, но зато жи, занимается внедрением и сопро-
более уверенное и устойчивое, сейчас вождением продуктов, то есть помогает – Как вы удерживаете сотруд-
важнее – ведь мы строим фундамент. ников? Сотрудник, который при-
шел по рекомендации, наверное,
• 13
В ФОКУСЕ
тоже ожидает какой-то отдачи коллегами, которые знакомы с нюанса- Заниматься этим "на коленке" – плохая
от компании? ми, услышать их мнение. Такую дивер- практика. Для обучения студентов в
сификацию мнений и рисков сложнее компании должно быть отдельное
– На собеседовании мы рассказываем, выстроить и делегировать сотрудникам. направление. Конечно, есть категория
как у нас все устроено, а насколько Но благодаря такому подходу получается самоучек, которые могут самостоятельно
человеку это подходит, каждый опреде- очень устойчивая система. Я верю, что перелопатить весь материал, дорыться
ляет сам. Конечно, не стоит забывать у горизонтального типа управления боль- до истины, но это редкость.
о деньгах. Это, безусловно, краткосроч- шие перспективы.
ная мотивация, но работающая, особен- – Давайте вновь обратимся к
но в условиях инфляции. Естественно, – Вы делаете ставку на готовых теме импортозамещения. Как
финансовый фактор нельзя оставлять "самоходных" сотрудников, над ваша компания может нивелиро-
как единственный вариант. Прибавьте которыми не нужно постоянно вать эффект от санкций? В вашем
к этому уникальность и сложность про- нависать, говорить, что делать, пакете решений только россий-
ектов – для опытных специалистов хоро- тратить много административных ские вендоры или иностранные
шим стимулом является возможность ресурсов, как при наборе сту- тоже остались? Есть ли какой-то
сделать что-то новое и нестандартное. дентов, например. Это интерес- спрос на их продукцию сейчас?
ный опыт, потому что многие ста-
– То есть у вас в компании раются нанимать студентов и уже – Сейчас мы практически не предлага-
больше возможностей для гори- из них растить специалистов. ем иностранных решений. Их мало. Есть
зонтального типа развития карь- решения из Азии, наших китайских парт-
еры, чем для вертикального? – Мы вообще не берем студентов. неров. Но в нынешних условиях компания
Я уделяю большое внимание опыту кан- сильно углубилась в изучение продуктов
– Да, пока это так. Чем больше верти- дидата. Когда есть опыт, то на него российского рынка. Мы постоянно на
каль, тем больше требуется админи- достаточно легко нанизывать разные связи с российскими производителями
стративного ресурса для управления знания, кейсы, фишки и т. д. Например, решений для информационной безопас-
этой вертикалью. Мне нравится идея такой человек может прийти на конфе- ности, так как являемся связующим зве-
именно горизонтального типа развития. ренцию и почерпнуть там для себя ном между заказчиком и вендором.
Традиционная вертикальная система информацию, которая даст ему стимул
иерархии, наверное, хороша тем, что ей для профессионального развития. Но – Обеспечиваете обратную
легко управлять: руководитель сказал – все меняется, когда мы говорим про связь с вендорами касательно
подчиненные делают. Горизонтальную молодых сотрудников. Если мы берем того, что нужно доработать в их
систему строить сложнее, но она авто- студента, только вышедшего из инсти- продуктах?
номна. Каждый сотрудник в горизон- тута с теоретическими знаниями или
тальной структуре берет ответственность еще учащегося, то у нас перед ним воз- – Да. Мы отправляем сотрудников на
на себя и осознает рамки, в которых никает ответственность, суть которой обучение по российским продуктам,
может действовать. Например, прежде заключается в том, чтобы создать усло- потому что иностранные решения им
чем принять какое-то решение по кли- вия для освоения практических навыков. были знакомы, а наши, увы, нет. То есть
енту, он должен поговорить еще с двумя стараемся максимально быстро пере-
квалифицировать сотрудников, чтобы
14 • они лучше разбирались в отечественных
продуктах. Мы, конечно, не всемогущи,
но стараемся сделать наиболее безбо-
лезненным переход от зарубежных
решений к российским.
– Отечественные решения
дешевле по сравнению с импорт-
ными?
– Это не такой простой вопрос. Оте-
чественное решение может быть дешев-
ле при покупке, но по итоговой стоимости
его внедрение и обслуживание сопоста-
вимо с импортным.
Несколько лет назад, когда начали
говорить про импортозамещение, все
посмеивались. Потом стали призадумы-
ваться. А теперь все поняли, что импор-
тозамещение – это необходимость, буду-
щее, которое уже наступило, хотели мы
того или нет.
– Вы упомянули про поддержку
решений, которые предлагаете.
Какие услуги в этом направлении
вы оказываете, это поддержка
24/7?
– Есть два сценария развития этой
ситуации: компания может организовать
самостоятельно поддержку решений
либо привлечь кого-то со стороны.
В "Лаборатории информационной без-
опасности" мы занимаемся развитием
этого направления. Можем либо внед-
ПЕРСОНЫ www.itsec.ru
рить решение и после передать его Конечно, ни мы, ни любая другая ком- нет цели сделать из решений систему
обслуживание дальше, либо внедрить и пания не можем защититься вообще от безопасности, то, мне кажется, это
продолжить обслуживание. Во втором всего, но можем максимально миними- самая опасная ситуация.
случае заказчик получает готовый про- зировать риски. Компания, оказывающая
ект и дальнейший сервис под ключ. услуги по информационной безопасно- Шифровальщики, DDoS-атаки вроде
сти, в первую очередь должна быть уве- отступили немного, но надолго ли?
Некоторое время назад компании рена в собственной безопасности и без- Инструменты могут быть разными и
испытывали сложности с поддержкой опасности своих бизнес-процессов. меняться со временем, но самое опас-
решений из-за существующего недове- ное, когда нет фокуса на построении
рия к аутсорсингу ввиду рисков инфор- – Существует какой-то пробный системного подхода, потому что возни-
мационной безопасности, связанных с или тестовый период для аут- кает латентная постоянная угроза.
конфиденциальностью. Сейчас ситуация сорсинга?
другая: доверия к ИБ-компаниям стало Злоумышленники тоже не стоят на
больше, есть успешные примеры работы – Как такового пробного периода нет. месте, их технологии постоянно разви-
аутсорсинговых компаний. Опять же, Есть "тест-драйв", когда заказчик может ваются, хорошо финансируются. Поэто-
ИБ-рынок достаточно закрытый, все друг оценить решение. Если говорить про му необходимо понимать, что инфор-
с другом общаются. Сложность развития пробный период у услуги, то здесь воз- мационная безопасность – это не конеч-
ИТ-решений внутри компании заключа- никает подмена понятий: ведь данные ный проект, а постоянный процесс само-
ется в том, что это не только достаточно нам уже передали, по сути доступ уже совершенствования: развитие техноло-
дорого, но и трудозатратно. Поэтому получен, а на какой период – значения гий, использование лучших практик,
сейчас тренд на аутсорсинг. Заказчикам не имеет. обмен опытом и т. п.
финансово выгоднее и эффективнее
сотрудничать с аутсорсинговыми ком- Мы давно на рынке и очень заботимся – Каков ваш прогноз по импор-
паниями, чем содержать у себя штат о своей репутации. Самое болезненное, тозамещению на ближайшее
ИБ-специалистов. уязвимое – это репутация, а на ИБ- будущее?
рынке тем более.
– Но все-таки всегда существу- – Скорее всего, будет просадка по
ет риск потенциальной утечки – Какая сейчас самая актуаль- качеству и удобству решений. Она про-
информации, так как предостав- ная и опасная угроза в сфере длится какое-то время, потому что невоз-
ляется доступ внешним специа- информационной безопасности? можно за месяц или за год построить
листам к данным компании. Как то, на что нужны десятилетия. Но я
вы работаете с такого рода воз- – Здесь неправильно говорить о верю, что найдутся предприниматели,
ражениями? каких-то конкретных инструментах, которые смогут создать конкурентоспо-
которые могут стать угрозой. Самую собные решения. Надо немного подо-
– Доступ предоставляется компании, большую опасность представляет собой ждать. l
которая профильно занимается инфор- несистемный подход к информационной
мационной безопасностью. В информа- безопасности. Система всегда лучше, Ваше мнение и вопросы
ционной безопасности есть понятие чем несколько отдельных элементов, присылайте по адресу
"адекватность принимаемых мер". она всегда более сбалансирована. Если
изначально у руководства компании [email protected]
• 15
СПЕЦПРОЕКТ
Импортозамещение систем защиты
от утечек информации: зачем и как?
Анна Попова, руководитель департамента клиентского сервиса “РТК-Солар”
У течки конфиденциальной информации из организаций
происходят как в результате внешних атак, так и по вине
внутренних злоумышленников. Защититься от кражи данных
можно с помощью системы предотвращения утечек информации
(DLP), которая на сегодняшний день является обязательным
инструментом в арсенале обеспечения информационной
безопасности компаний уровня enterprise и SMB.
В этой статье я расскажу, как выбрать эффективное решение,
которое будет соответствовать всем критериям импортозамещения.
Почему надо реагировать обойтись, особенно когда происходят l осуществлять контроль закладок, уте-
на изменения? изменения в ИТ-инфраструктуре или чек данных, устойчивости ко взлому;
открываются новые филиалы и требу- l реализовывать доработки и проходить
В этом году импортозамещение в ИТ- ется масштабировать DLP-решение. сертификацию продуктов по требова-
отрасли стало обязательным. Зарубеж- ниям ФСТЭК, ФСБ и т.д.
ные вендоры уходят из России, DLP- В условиях санкций могут возникнуть
системы, содержащие иностранные ком- проблемы и с некоторыми российскими В связи с новыми геополитическими
поненты или функционирующие только системами, например, если серверная реалиями 2022 г. тренд на импортоза-
на базе западных ОС, создают трудности часть, базы данных или отдельные моду- мещение стал еще более актуальным.
заказчикам. ли работают только с компонентами В марте президент РФ подписал указ
Windows. Так как Microsoft приостано- "О мерах по обеспечению технологиче-
Российские DLP-системы давно доми- вила продажи новых лицензий в России, ской независимости и безопасности кри-
нируют на отечественном рынке: боль- решить те или иные задачи, связанные тической информационной инфраструк-
шинство организаций, которые хотят с защитой от утечек при изменениях туры Российской Федерации", который
защититься от внутренних утечек инфор- в ИТ-инфраструктуре, будет непросто. вводит запрет на закупку иностранного
мации, выбирают именно их. В России ПО и услуг по использованию такого
распространены и зарубежные решения, Добавим сюда и сегодняшний эмо- ПО на значимых объектах критической
но теперь их клиенты столкнулись или циональный фон сотрудников, который информационной инфраструктуры РФ
могут столкнуться в ближайшее время с напрямую сказывается на количестве без согласования с уполномоченным
рядом проблем: отсутствием техподдерж- внутренних инцидентов. Если компания органом. Среди прочего в нем говорится
ки, прекращением выпуска обновлений, хочет избежать утечек информации, свя- о том, что с 2025 г. органам государст-
в худшем случае – отзывом лицензий. занных с действиями собственных работ- венной власти и другим заказчикам
ников, а также финансовых и репута- будет запрещено использовать ино-
Обновления исправляют ошибки в ПО ционных издержек, нужно уже сегодня странное ПО на принадлежащих им
и решают проблемы с безопасностью, внедрять отечественную DLP-систему. значимых объектах КИИ.
добавляют новые функции, поддержку
новых объектов для мониторинга. Законодательная база Таким образом, заменять систему
В отсутствие всего этого DLP-система импортозамещения и реестр защиты от утечек на ту, которая соответ-
зачастую оказывается неспособной отечественного ПО ствует критериям импортозамещения,
решать задачи, связанные с предотвра- нужно не только для того, чтобы обеспе-
щением утечек. То же самое касается и История с импортозамещением не чить полноценный мониторинг сотрудни-
технической поддержки, которую обес- новая. Она началась в 2014 г., когда ков, но и для того, чтобы выполнить тре-
печивает вендор. В случае со сложными правительством был объявлен соответ- бования государственных регуляторов.
корпоративными системами без нее не ствующий курс. Впоследствии были раз-
работаны нормативные акты, регули-
16 • рующие этот процесс. В частности, были
утверждены правила Единого реестра
российских программ, появился план
перехода на отечественное ПО, введены
ограничения для государственных заказ-
чиков на закупку ПО, которое отсут-
ствует в реестре.
Чтобы попасть в Единый реестр рос-
сийского ПО, софт должен отвечать
ряду следующих требований:
l быть разработанным российским юрли-
цом с российским контролем (более 50%);
l иметь полные исходные коды в России;
l иметь локальную инфраструктуру в
России;
l иметь локальных специалистов тех-
нической поддержки;
DLP, DCAP, DAG www.itsec.ru
ему можно доверять. Когда речь идет о
крупных корпорациях с сетью филиалов
и десятками тысяч рабочих мест, под-
ключенных к DLP-системе, решение
должно обеспечивать высокую скорость
обработки информации, скорость пере-
хвата, скорость реагирования системы,
скорость поиска, работу в кластерном
режиме, ежедневное резервное копиро-
вание и т.д.
Масштабируемость
Слияния и поглощения компаний про-
исходят на рынке регулярно, а в совре-
Основные характеристики правильной DLP-системы менных условиях это уже тренд, учиты-
Правильная DLP-система Кроме возможности анализа продуктив- вая, что иностранный бизнес покидает
нашу страну и продает свои активы рос-
Какими же характеристиками должна ности сотрудника контроль рабочего сийским компаниям. Поэтому современ-
обладать система предотвращения уте- времени позволяет составить его циф- ная система защиты от утечек должна
чек с учетом всех нынешних факторов? ровой портрет и получить полную инфор- эффективно работать в территориально
мацию. В случае инцидента и последую- распределенной инфраструктуре.
Контроль максимального количества щего расследования такая информация В идеале в DLP должен присутствовать
каналов коммуникаций может использоваться в доказательной специальный модуль, который позволит
В условиях повышенных киберрисков базе. объединить отдельно установленные
важно, чтобы система защиты от утечек Поддержка операционных систем, в каждом филиале решения в единую
могла контролировать не только корпо- основанных на Linux экосистему с централизованным управ-
ративную электронную почту, но и мес- лением. Благодаря этому специалисты
сенджеры, которыми сотрудники поль- В условиях санкций и законодатель- по безопасности в головном офисе смо-
зуются на рабочем компьютере. ного регулирования очень важно, чтобы гут отслеживать и предотвращать утечки
Реальное предотвращение утечек, и клиентская, и серверная части DLP- информации в любом филиале, имея
а не только мониторинг системы могли работать на свободно перед глазами полную картину по всей
и расследование инцидентов распространяемых ОС. Наличие полно- группе компаний.
функционального агента для Linux
В современных условиях принципи- (Endpoint Agent) позволит контролиро- Индивидуальный подход к заказчику
ально, чтобы DLP-система при срабаты- вать рабочие устройства сотрудников, Еще одним важным критерием при
вании той или иной политики могла даже если придется отказаться от выборе DLP-системы является готов-
автоматически заблокировать наруше- использования Windows. ность ее разработчика к постоянному
ние и остановить возможную утечку. Анализ поведения пользователей (UBA) контакту с текущими заказчиками
и доработке продукта в соответствии
Широкие возможности поиска Обычно это отдельный модуль в систе- с их потребностями и спецификой. Если
информации ме защиты от утечек информации, кото- разработчик предоставляет заказчику
Наличие в системе функций быстрого рый существенно расширяет ее воз- не только формальную техподдержку
и расширенного поиска по множеству можности. Принцип работы модуля осно- решения, но и постоянное высокопро-
параметров обеспечивает специалисту ван на выявлении аномалий. Система фессиональное сопровождение с помо-
по безопасности возможность опера- анализирует поведение сотрудников щью экспертов и разработчиков, эффек-
тивно и эффективно решать текущие компании с точки зрения ряда показате- тивность применения DLP-системы
задачи мониторинга событий и реагиро- лей (рабочее время, активность, коли- в организации будет заметно выше.
вания на них. чество писем и ежедневных контактов,
использование тех или иных программ
Что в итоге?
Визуализация динамики нарушений и т.д.). Если происходит отклонение от Российский рынок систем защиты от
Такой функционал системы защиты стандартного поведения, система счи- утечек можно назвать вполне зрелым.
от утечек особенно важен, когда речь тает это аномалией и уведомляет спе- Отечественные разработки в гораздо
идет о крупной компании. Просмотреть циалиста по безопасности. Такая функ- большей степени адаптированы для
и проанализировать трафик в большой ция особенно важна для крупной компа- решения тех задач, которые связаны
организации – довольно сложная задача. нии, где классических функций защиты с защитой от утечек в российских ком-
Поэтому если система может предо- от утечек может быть недостаточно, паниях, чем зарубежные. В новых реа-
ставлять данные в визуальном формате, чтобы предотвратить утечку, вовремя лиях при выборе нужно обращать вни-
то сотруднику службы безопасности заметив подозрительное поведение мание и на функциональность, которая
будет доступна наглядная информация одного из десятков тысяч сотрудников. должна быть максимально широкой, и на
в различных разрезах: по подразделе- Высокая производительность соответствие критериям импортозаме-
ниям, сотрудникам, каналам, дням неде- и отказоустойчивость системы щения. Последнее обеспечит независи-
ли, времени суток и т.д. Таким образом, мость системы безопасности предприя-
он сможет быстро оценить динамику При выборе DLP-системы важно обра- тия от изменений в политической повест-
тех или иных событий, сделать выводы тить внимание на опыт разработчика и ке и международных отношениях. l
и при необходимости оперативно пере- информацию о практике использования
строить какие-либо бизнес-процессы. в других компаниях. Если
вендор может подтвер- NM Реклама
дить производительность
Контроль рабочего времени и отказоустойчивость кон- АДРЕСА И ТЕЛЕФОНЫ
кретными цифрами в реа- "Ростелеком-Солар"
Эта функция позволяет решить сразу лизованных проектах, то см. стр. 60
несколько задач, в том числе связанных
с информационной безопасностью.
• 17
СПЕЦПРОЕКТ
Новое время диктует отказ от старых
представлений о DLP-системах и защите
от утечек информации
И нформационный ландшафт значительно изменился под влиянием пандемийного
и постпандемийного времени, подняв ценность информационных активов на новый
уровень. 2022 год подлил масла в огонь, продемонстрировав абсолютное влияние
мировой политики на работу российских компаний. При этом традиционные риски ИБ
никуда не делись.
Инсайдеры продолжают "сливать" увеличении нагрузки на службу ИБ, то схемы бизнес-процессов, карты гео-
информацию, а хакеры – атаковать, у которой имеется и ряд других посто- логоразведки, чертежи или другие доку-
вооружившись более технологичными янных задач, помимо этой. менты в графическом формате.
инструментами. Все чаще эти две группы
работают вместе, осуществляя гибрид- С помощью InfoWatch Data Explorer Быстрые расследования
ные атаки. актуализировать перечень защищаемых с помощью визуальной аналитики
документов можно хоть каждый день.
Теперь, чтобы соответствовать новой Модуль "просматривает" весь трафик BI-модуль визуального анализа данных
обстановке и актуальным требованиям в организации и с помощью ИИ распре- в режиме реального времени представ-
регулятора, заказчикам приходится еще деляет все документы, которые пересы- ляет данные DLP в виде статистики и
щепетильнее подходить к выбору DLP- лались, по категориям, без участия чело- графа связей. Благодаря ему возможен
системы (Data Loss Prevention). И этот века. Специалисту ИБ остается лишь быстрый поиск сопряженных с инциден-
выбор все больше зависит от наличия принять решения о том, что необходимо том событий. InfoWatch Vision позволяет
технологий искусственного интеллекта защищать. исследовать коммуникации сотрудников
и возможностей автоматизации. и пути перемещения документов, ана-
"Автолингвист" обучает DLP новым лизировать круг общения подозревае-
Искусственный интеллект автомати- категориям информации за 1 день мых, работать со статистикой в поисках
чески обрабатывает большие массивы инцидентов и аномалий даже в "серой
данных, кратно превосходящие те, что Когда известно, какие категории зоне", выгружать отчеты.
раньше обрабатывались вручную. С его информации необходимо защищать, воз-
помощью можно автоматизировать тру- никает другая задача: обучить DLP этим Особенностью модуля является его
дозатратные операции и минимизиро- новым категориям. высокая производительность. Граф свя-
вать ручной труд, применяя гибкие зей может отображать одновременно
инструменты для быстрого решения Для формирования словаря раньше до 50 тыс. узлов и быстро перестраи-
практических задач, на которые прежде требовались профессиональные лингви- ваться при изменении фильтров, что
тратились дни и недели, а также делать сты и несколько дней. В результате делает его пригодным для интерактив-
многое из того, о чем раньше оставалось получался словарь, который учитывал ного анализа данных и коммуникаций.
только мечтать, например заранее про- все словоформы, транслитерацию, опе- Такая скорость возможна благодаря
гнозировать инциденты. чатки и относительную частоту исполь- использованию технологий, применяе-
зования слов, что повышало точность мых при разработке компьютерных игр.
В DLP-системе InfoWatch Traffic Monitor детектирования.
искусственный интеллект применяется UBA на основе искусственного
для настройки политик безопасности, "Автолингвист" может формировать интеллекта для прогнозирования
анализа данных и поведения сотрудни- словарь за один день, и не хуже, чем рисков
ков (UBA). Визуальная аналитика (BI- профессиональный лингвист.
система), поддерживающая отечествен- InfoWatch Prediction отличается от дру-
ные ОС, позволяет ускорять расследо- Достаточно предъявить модулю DLP гих решений класса UBA, оно создано
вания с помощью динамичных виджетов на основе искусственного интеллекта на основе искусственного интеллекта
статистики и графа связей. "Автолингвист" десятки документов по для предиктивного анализа данных, кото-
новой теме, и он автоматически сфор- рые собирает DLP-система Traffic Monitor.
Автоматическая категоризация мирует словарь, на основе которого Чтобы прогнозировать инциденты,
документов за 1 час похожие документы в будущем начнут необходимо выявить признаки готовя-
распознаваться как относящиеся к опре- щегося нарушения. Отличие InfoWatch
Категоризация информации – трудо- деленной тематике. Коллекцию доку- Prediction от аналогов в том, что система
емкая задача для службы ИБ при внед- ментов можно подобрать самостоятель- не делает выводы об аномалиях в пове-
рении DLP. Перечень информационных но или использовать результаты Info- дении на основании жестко задаваемых
активов, требующих защиты, со време- Watch Data Explorer. усредненных параметров или, тем более,
нем меняется. А при быстрых изменениях на основании психологического портрета
внешней среды бизнес-процессы "Автолингвист" не требует от сотруд- сотрудника, не имеющего четкой связи
меняются еще быстрее, производя на ников специальных навыков и справ- с намерением совершить нарушение.
свет новые виды конфиденциальных ляется с задачей за считанные минуты.
документов. Чтобы перечень оставался Заказчик может самостоятельно обучить InfoWatch Prediction – UBA-система на
актуальным, можно опрашивать бизнес- DLP-систему, а это значимое преиму- основе искусственного интеллекта, с помо-
подразделения или производить выбо- щество, если с конфиденциальными щью которого она анализирует более 200
рочную проверку трафика в режиме так документами не должен работать никто параметров по всем необходимым каналам
называемой свободной охоты. Обычно из посторонних, включая специалистов связи, выстраивает профили пользовате-
это делается не чаще чем раз в полгода- по внедрению DLP. лей, ищет отклонения от привычного пове-
год. Если делать чаще, то компании это дения и выявляет подозрительные паттер-
обойдется дороже, не говоря уже об То же относится и к графическим дан- ны, состоящие из набора событий. Info-
ным: систему можно обучить детектиро-
18 • ванию однотипных изображений, харак-
терных для конкретного заказчика, будь
DLP, DCAP, DAG www.itsec.ru
Реклама
Одним из следствий цифровой трансформации за последние пять лет стало осо- средствам обеспечения безопасности
знание ценности информации как критически важного ресурса и аналитики дан- информационных технологий" (ФСТЭК
ных – как ключевой компетенции. Службы информационной безопасности ком- России, 2018 г.).
паний, вставших на путь цифровизации, неизбежно становятся частью этого l Требованиям к средствам контроля
процесса. Ориентируясь на новые потребности, специалисты ИБ выбирают съемных машинных носителей инфор-
современные методы и инструменты работы. мации по 4 классу защиты СКН
(ИТ.СКН.П4.ПЗ) "Профиль защиты
Watch Prediction автоматически формирует InfoWatch Data Discovery сканирует средств контроля подключения съемных
рейтинг сотрудников в соответствии с файловые ресурсы и рабочие станции с машинных носителей информации чет-
количеством и скорингом аномалий, при- целью анализа и классификации храни- вертого класса защиты" ИТ.СКН.П4.ПЗ
влекая внимание службы ИБ к наиболее мой информации, выявляя факты ненад- (ФСТЭК России, 2014 г.).
значимым рискам. В рейтинге указываются лежащего хранения данных и обнару-
группы риска, в которые попал сотрудник, живая конкретные документы, имеющие InfoWatch Traffic Monitor включен в
например подготовка к увольнению или отношение к какому-либо инциденту. реестр отечественного ПО и помогает
массовый вывод информации. Специалист выполнять требования регуляторов:
ИБ может оценить динамику аномалий, их Соответствие требованиям l 149-ФЗ "Об информации, информа-
сочетание и перейти в события DLP для импортозамещения ционных технологиях и о защите инфор-
детальной проверки. мации";
InfoWatch Traffic Monitor имеет серти- l 152-ФЗ "О персональных данных";
InfoWatch Prediction помогает отловить фикат ФСТЭК России № 4340 (действи- l 187-ФЗ "О безопасности критической
события, которые остались бы незаме- телен до 16.12.2025) на соответствие информационной инфраструктуры Рос-
ченными без искусственного интеллекта, требованиям документов: сийской Федерации";
избежать кропотливой ручной работы l По 5 классу защищенности СВТ от l по защите коммерческой тайны (98-ФЗ);
по разбору неразмеченных событий НСД "Средства вычислительной техники. l по защите инсайдерской информации
и получить информацию для принятия Защита от несанкционированного досту- (224-ФЗ);
конкретных решений. па к информации. Показатели защи- l по защите данных в Национальной
щенности от несанкционированного платежной системе (161-ФЗ, ПП-584,
DCAP-система для доступа к информации" (Гостехкомиссия 382-П и др.);
автоматического аудита России, 1992 г.). l приказы ФСТЭК России № 17 (ГИС),
информационных активов l Требованиям к уровням доверия по № 21 (ИСПДн), № 239 (КИИ). l
4 уровню доверия (УД4) "Требования по
Чтобы уменьшить "поверхность атаки", безопасности информации, устанавли- Ваше мнение и вопросы
необходимо удостовериться, что конфи- вающие уровни доверия к средствам присылайте по адресу
денциальные документы не лежат там, технической защиты информации и
где не должны. [email protected]
• 19
СПЕЦПРОЕКТ
Импортозамещение DLP уже закончилось
Мария Разумовская, руководитель пресс-службы Zecurion
В процессе ухода иностранных вендоров с российского рынка
импортозамещение стало наиболее обсуждаемой темой бизнес-
сообщества. Давайте разберемся, в каком состоянии сейчас
находится российский рынок решений для защиты
информации от внутренних угроз, на примере Zecurion DLP
рассмотрим превосходство российских продуктов над
иностранными конкурентами, проанализируем успешные
кейсы бесшовной замены зарубежных решений.
Российские решения 7 лет назад... существует Forensic Alliance, и просматриваются офицером
имеют более широкий функ- который помогает в расследо- безопасности. Более того, чтобы
ционал, чем иностранные, По данным Zecurion вании киберпреступлений. эту информацию можно было
а также специфические Analytics, в 2015 г. ино- Поэтому российские решения использовать при расследова-
фичи, которые подходят странные игроки DLP имеют более широкий функцио- ниях, в Zecurion DLP есть IRP-
именно российскому бизнесу. занимали порядка нал, чем иностранные, а также модуль. Он необходим для внут-
15–20% рынка, а к 2022 г. доля специфические фичи, которые реннего расследования инциден-
В Zecurion DLP есть IRP- компаний, которые используют подходят именно российскому тов и может использоваться для
модуль. Он необходим для иностранные решения, сокра- бизнесу. В России заказчики управления ИБ-отделом компа-
внутреннего расследования тилась буквально до единиц enterprise-сегмента могут вклю- нии. С помощью IRP-модуля
инцидентов и может исполь- процентов. чать в план развития продукта можно собрать полный пакет
зоваться для управления ИБ- В феврале-марте 2022 г. все нужную им функциональность. документов для досудебных пре-
отделом компании. С помо- заговорили про импортозаме- Это удобно и для покупателя – тензий или разбирательств в суде.
щью IRP-модуля можно щение. Одним из факторов, он получает сразу то, что нужно,
собрать полный пакет доку- актуализирующих эту тему, и для вендора – сразу есть поку- Что отличает Zecurion DLP
ментов для досудебных пре- является резкий уход иностран- патель для конкретного продук- от других систем?
тензий или разбирательств в ных вендоров с российского та. Зачастую DLP имеет модуль-
суде. рынка. Некоторые из них не ную структуру, и заказчик может Zecurion DLP имеет ряд пре-
просто ушли, но и прекратили выбрать то, что ему нужно под имуществ не только перед ино-
Zecurion первым из вен- поддержку своих клиентов, дру- конкретные задачи. странными аналогами, но и
доров Enterprise DLP пред- гие же ограничили посещение перед российскими системами.
ставил систему для защиты своих сайтов с IP-адресов из Поддержка
от утечек через фотографи- России. В результате этих собы- Zecurion первым из вендоров
рование экрана – модуль тий лидеры российского рынка Когда на российском рынке Enterprise DLP представил
Screen Photo Detector, ИБ взяли курс на технологиче- было представлено много ино- систему для защиты от утечек
в основе которого работа скую независимость и разви- странных решений, компании, при через фотографирование экра-
нейронных сетей. вают бизнес таким образом, условии одинакового функциона- на – модуль Screen Photo Detec-
чтобы быть на шаг впереди ла, выбирали вендора по "глуби- tor, в основе которого работа
20 • зарубежных вендоров. не" технической поддержки. нейронных сетей: если сотруд-
ник поднесет телефон к экрану
Разница в подходах Зарубежные вендоры, имея компьютера, система сработает,
представительства в России, отправит оповещение офицеру
Между западным и россий- обеспечивали поддержку иного безопасности, а экран погаснет,
ским подходами к защите уровня, но внедрение систем предотвращая попытку сфото-
информации от утечек суще- происходило силами заказчиков графировать конфиденциаль-
ствует огромная разница. или партнеров, что часто вызы- ные документы. В то время как
вало трудности. некоторые компании до сих пор
Для западных компаний вводят запреты на использова-
характерен высокий уровень Те компании, которые выби- ние смартфонов на рабочем
доверия к сотруднику и часто рали Zecurion DLP, получали месте, клиенты Zecurion защи-
приоритетом является compli- русскоязычную техническую щены от утечек.
ance – выполнение требований поддержку на всех уровнях
законодательных актов. В неко- в режиме 24/7 и большое коли- В Zecurion DLP есть возмож-
торых странах приватность чество разнообразных вариан- ность использовать водяные
является деликатным вопросом тов внедрений. Внедрение сила- знаки для документов: если
и важной составляющей, поэто- ми Zecurion осуществлялось без сотрудник все же сфотографи-
му бизнес просто боится втор- остановки бизнес-процессо, рует экран и захочет опублико-
гаться в личную жизнь своих даже в компаниях с филиалами вать фото (например, на про-
сотрудников. в разных городах. дажу), то инсайдера быстро
вычислят по этим знакам.
В России принят другой под- Мы помним всё
ход. Здесь чаще выявляют нару- Чаще всего утечки информа-
шителей, обнаруживают случаи У иностранных вендоров ции происходят не по случайным
сговора, расследуют киберпре- часто нет возможности созда- причинам, когда сотрудник про-
ступления, собирают архивы дан- вать архив всех происходящих сто не туда отправил документы,
ных на сотрудников, доводят событий. а специально. Месть руководи-
дела до суда и наказывают по телю, конфликты на работе,
всей строгости закона. Для этого В Zecurion DLP такой функцио- неудовлетворенность условиями
нал есть: все события собираются
DLP, DCAP, DAG www.itsec.ru
труда – все это может стать медицина, нефтегаз и многие контентного анализа с возмож- Чтобы просчитать риски
причиной негативного отноше- другие. Словари можно допол- ностью блокировки конфиденци- совершения действий,
ния к компании одного сотруд- нять или редактировать, в зави- альной информации на рабочей направленных против ком-
ника или даже группы. Чтобы симости от потребностей. станции, позволяет инспектиро- пании, клиенты Zecurion
просчитать риски совершения вать корпоративные файловые используют контроль эмо-
действий, направленных против Специалисты компании Zecu- ресурсы, фильтрует и применяет ционального состояния конт-
компании, клиенты Zecurion rion могут составить словарь единые политики безопасности, ролируемых пользователей.
используют контроль эмоцио- под специфику конкретного биз- хранит перехваченные данные
нального состояния контроли- неса. У такой услуги есть ряд в долгосрочном архиве. Диаграмма связей в
руемых пользователей. Офицер преимуществ: разрабатывают Zecurion DLP наглядно пока-
безопасности видит на единой эксплуатанты DLP с опытом В арсенале компании присут- зывает все коммуникации,
консоли управления Zecurion в конкретной отрасли, словари ствует активно развивающийся неважно, общается сотруд-
DLP информацию об эмоцио- содержат до несколько тысяч продукт Zecurion SWG, который ник с помощью корпоратив-
нальном состоянии сотрудника строк, учтена актуальная нор- является отличной заменой ино- ной почты или внешних веб-
(на основе анализа его пере- мативная база, в основе лежит странным продуктам, в частно- сервисов.
писки) и может сообщить руко- реальная эксплуатационно-тех- сти MS Firefront TMG и др. При-
водителю об изменениях – эти ническая документация. менение Zecurion SWG повы- В арсенале компании
данные позволяют своевремен- шает возможности DLP по конт- присутствует активно разви-
но отслеживать и корректиро- При составлении словарей ролю корпоративных угроз ИБ. вающийся продукт Zecurion
вать настроения в коллективе. специалисты компании дей- SWG, который является
ствуют последовательно: Выводы отличной заменой иностран-
Диаграмма связей в Zecurion l анализируют предоставлен- ным продуктам, в частности
DLP наглядно показывает все ные материалы; Важно помнить, что, помимо MS Firefront TMG и др. При-
коммуникации, неважно, обща- l составляют пул ключевых контроля и многочисленных менение Zecurion SWG
ется сотрудник с помощью кор- понятий и терминов, структури- запретов, нужно повышать повышает возможности DLP
поративной почты или внешних рованный по категориям; киберграмотность, постоянно по контролю корпоративных
веб-сервисов. l создают словарь в нужном оповещать сотрудников о новых угроз ИБ.
формате; угрозах, учить аккуратно обра-
С помощью модуля Risk Score l проверяют в реальной работе щаться с чувствительными
можно оценить уровень риска – и вносят необходимые измене- к утечкам данными.
вероятность совершения про- ния по итогам тестирования.
тивоправных действий в отно- Не стоит забывать, что утечка
шении компании. На консоли Импортозаместим только в небольшом ряде слу-
управления видно, какой бесшовно (реальный кейс) чаев происходит случайно,
сотрудник наиболее вероятно в остальных же это заранее
стать виновником инцидента. Одним из последних крупных спланированный комплекс дей-
кейсов по импортозамещению ствий, поэтому важно контро-
Для компаний, где отдел ИБ была замена систем иностран- лировать не только регламен-
состоит из двух или более ного вендора Forcepoint на рос- тированные процессы, но и
сотрудников, есть специальный сийский Zecurion DLP, SWG, общение в коллективе, настрое-
модуль IRP, с помощью которо- Staff Control в Россельхозбанке. ния сотрудников, их рабочие
го можно ставить рабочие зада- Полный цикл работ занял менее планы. Для этого существуют
чи и контролировать их выпол- пяти месяцев. Большой опыт и как психологические методики,
нение. Это удобно, когда доступ отработанная методика замены так и ИТ-технологии – контроль
к консоли имеет несколько продукции компании Forcepoint, эмоционального состояния,
человек. крупного игрока мирового контроль уровня риска в отно-
рынка DLP, позволили миними- шении корпоративных ресурсов,
Важная составляющая рабо- зировать влияние переходного диаграммы связей, профили
ты любого отдела – наглядно периода на текущие бизнес- сотрудников и многое другое.
показать информацию о про- процессы.
дуктивности. В этом офицерам Zecurion – один из крупней-
безопасности помогут отчеты, Основной целью работы ших игроков российского рынка
которые есть в Zecurion DLP. системы является снижение защиты информации от внут-
Вместе с системой поставляют- рисков нарушения информа- ренних угроз, наши системы не
ся готовые шаблоны, которые ционной безопасности за счет только соответствуют между-
можно сразу использовать, оперативного выявления и народно признанному уровню
кастомизировать под себя, либо устранения угроз, а также бло- решений DLP, но и в значи-
можно воспользоваться кон- кировка возможной утечки кон- тельно большей степени отве-
структором отчетов и сделать фиденциальной информации, чают требованиям российских
свои, наиболее точно соответ- коммерческой и банковской заказчиков. Продукты компании
ствующие потребностям кон- тайны. В связи с тем, что банк соответствуют требованиям
кретной организации. Исполь- ежедневно обрабатывает боль- программы импортозамещения.
зование шаблонов помогает в шое количество данных на Zecurion имеет ряд междуна-
три раза сократить время на десятках тысяч рабочих стан- родных наград и является един-
подготовку отчетов. ций, важнейшим требованием ственным российским вендо-
к системе была устойчивая ром, признанным "большой
Специфика бизнеса работа при высоких нагрузках тройкой" мировых аналитиче-
и возможность анализа конфи- ских агентств (Gartner, IDC, For-
Чтобы DLP-система работала денциальной информации и ее rester). l
эффективно, требуется настрой- блокировка непосредственно на
ка, которая должна учитывать агенте рабочей станции. NM Реклама
специфику бизнеса, профессио-
нальную терминологию, всевоз- Zecurion DLP дает возможность АДРЕСА И ТЕЛЕФОНЫ
можные словоформы и т.д. Сей- глубоко контролировать корпо- компании Zecurion
час в арсенале компании более ративный почтовый трафик, не см. стр. 60
20 различных тематик: финансы, передает данные на шлюз для
• 21
СПЕЦПРОЕКТ
Главные обновления "СерчИнформ КИБ"
Алексей Парфентьев, руководитель отдела аналитики “СерчИнформ”
И спользование организацией DLP-системы сейчас – это как
ношение шлема велосипедистом в Бангкоке. Экономическая,
политическая ситуация действует как катализатор инцидентов,
среди их последствий, кроме финансового и имиджевого
ущерба, скорее всего, окажется и нарушение комплаенса. А тем
временем оборотный штраф за утечки ПДн становится все более
реальной перспективой. Если вы задумали в этой ситуации
внедрять DLP, “СерчИнформ КИБ” с большой вероятностью
войдет в число систем, которые вы будете тестировать.
"СерчИнформ КИБ" – зрелая система, лонов отчетов. Усилить защиту помогает можно гибко: по пользователю или группе,
одна из самых популярных в классе DLP. интеграция с инструментами КИБ, кото- ПК, принтеру, запущенному процессу.
Это отечественный продукт модульного рые не зависят от платформы, – поч-
исполнения, контролирующий все товым карантином и сервисом контроля 3. Блокировки текста, файлов в мес-
популярные каналы передачи информа- веб-трафика, реализованным на уровне сенджерах. В Zoom, Slack, Telegram
ции, в том числе актуальные мессендже- взаимодействия с почтовым или proxy- и WhatsApp можно запретить отправку
ры и удаленные соединения. DLP имеет сервером. Такая связка минимизирует файлов выбранных форматов, расши-
сильный самописный движок, благодаря большинство рисков утечки данных. рений и с заданным содержимым. Напри-
которому можно найти и проанализиро- мер, если в правиле настроен запрет на
вать любую информацию. Софт эконо- Блокировки отправку файлов с текстом "коммерче-
мичен: он нетребователен к железу, что ское предложение" в мессенджере, поль-
сейчас крайне актуально, а в обучении В связи с массовой удаленкой запрос зователь не сможет прикрепить такой
и настройке поможет отдел внедрения на проактивный функционал в DLP вырос. документ к вложению в чате (см. рис. 1).
и инженеры, которые снимут много голов- Поэтому мы расширили возможности
ной боли со штатного ИБ-специалиста. блокировок, а заодно переработали их Для всех перечисленных мессенджеров
механизм. Блокировки могут работать (пока кроме WhatsApp) также доступна
Расскажем, как мы обновили КИБ за как по контенту (содержимому), так и по блокировка отправки текстовых сообще-
последний год по запросам заказчиков. контексту (атрибутам и свойствам дан- ний с заданным содержанием. Сообще-
ных), причем анализ теперь осуществ- ние, содержащее запрещенный контент,
Импортозамещение ляется в конечных точках. Это повышает придет адресату в нечитаемом виде.
быстродействие запретов, так как не
КИБ может контролировать ПК на требуется обработка данных на сервере. Контроль фотографирования
базе российских ОС Astra Linux, Ред экрана
ОС, GosLinux, Rosa Linux, Alt Linux, Runtu Вот только некоторые из них.
и др., совместимость подтверждается 1. Блокировки в веб – невозможность Еще одна важная новинка, которую
сертификатами и проверяется разра- выгрузить файлы на выбранные сайты ждали многие заказчики: "СерчИнформ
ботчиками DLP и OC совместно для или категории сайтов. Эта блокировка КИБ" научился распознавать инциденты,
каждой новой версии. Например, в фев- позволяет, например, запретить попытки связанные с попытками украсть важные
рале 2022 г. "СерчИнформ КИБ" получил прикрепить к вложениям некорпоратив- данные через фото на телефон. Искус-
сертификаты совместимости с Astra ной (веб) почты рабочие документы ственный интеллект анализирует данные
Linux версии 2.12 (релиз "Орел") и с с конфиденциальным содержимым или с веб-камер пользователей и сигнали-
"Ред ОС" версии 7.3. В 2021 г. мы урав- выложить корпоративные секреты зирует в случае распознавания смарт-
няли возможности контроля Windows- и в переписке в соцсети. фонов. В КИБ можно посмотреть, какой
Linux-инфраструктур. Конкретные набо- 2. Блокировки печати – запрет распе- процесс был запущен в момент съемки
ры инструментов КИБ для разных систем чатки документов с заданным содержи- (например, была открыта база данных
могут различаться, однако в целом мым, в том числе по изображению, рас- клиентов), чтобы с высокой вероятностью
можно говорить, что для контроля ПК познанному OCR. Настроить запреты выявить, имел ли место слив через
на отечественных ОС теперь доступна фото экрана (см. рис. 2).
функциональность всех модулей КИБ.
Рис. 1. Блокировки в "СерчИнформ КИБ"
Контроль MacOS
Мы выпустили агент DLP-системы
"СерчИнформ КИБ" для контроля рабо-
чих станций под управлением macOS.
Для таких устройств доступны все функ-
ции КИБ, в том числе позволяющие
контролировать активность сотрудников
за ПК и расследовать инциденты. Досту-
пен также продвинутый функционал в
составе DLP: карточки пользователей,
инцидент-менеджмент, более 30 шаб-
22 •
DLP, DCAP, DAG www.itsec.ru
Рис. 2. Распознавание съемки экрана Рис. 3. Отчет "Авторизации на сервисах"
Интеграция с SOC рыми сотрудники пользовались на работе Task Management
в заданный период. Заодно здесь видно,
В компаниях, которые используют насколько сложными паролями защи- В КИБ появился планировщик задач
SOC, появилась возможность работать щены аккаунты. Если на стороннем сер- для ИБ-отдела с удобным функционалом
с инцидентами КИБ непосредственно в висе установлен такой же пароль, как в для ведения сложных расследований
консоли операционного центра. Теперь Active Directory, система об этом пред- (см. рис. 4).
прямо из КИБ можно настроить автома- упредит. Отчет также отображает еще
тическую передачу инцидентов в RVision один маркер возможной угрозы – ситуа- Task Management позволяет:
и ГосСОПКА по нужным критериям. цию, когда пользователь логинится под l задать роли ИБ-аналитиков;
Например, при нарушении политик без- чужими учетными данными (см. рис. 3). l расставить задачам приоритеты;
опасности по работе с ПДн. l объединять все улики;
Кроме того, информация из отчетов l вести досье на инсайдеров и их
Мобильный доступ по каждому сотруднику доступна в Кар- сообщников;
к функционалу КИБ точках пользователей – это еще одно l экспортировать результаты рассле-
нововведение в КИБ. В карточке ИБ- дования.
В КИБ появилась новая веб-консоль специалист сможет увидеть всю инфор-
с расширенными возможностями: напри- мацию о сотруднике: краткую биогра- Это далеко не полный перечень обнов-
мер, в режиме онлайн теперь можно не фию, учетные данные, архив связанных лений. Формат статьи не позволяет рас-
только просматривать инциденты, но инцидентов. сказать о разнообразии GUI-функцио-
и создавать политики безопасности. нала и возможностях, которые дают
Изменился интерфейс: отчеты стали Быстродействие карантина интеграции DLP по API. Смотрите видео
нагляднее и визуально проще. о том, как работают важнейшие функции
В КИБ обновился карантин, теперь он КИБ (рис. 5), и тестируйте их бесплатно
В веб-консоли добавился функционал проверяет почтовый трафик на выде- (рис. 6). l
десктопной Консоли аналитика. Поэтому ленном движке, не задействуя основные
теперь можно провести расследование мощности системы. Правила проверки Рис. 5. Дайджест обновлений
онлайн с любого устройства. писем теперь можно легко задать с SearchInform
помощью шаблонов, а при их срабаты-
Контроль авторизаций и карточка вании – инициировать запуск внешнего
пользователя скрипта для немедленного реагирования
на опасный инцидент.
В десктопной версии КИБ стало боль-
ше отчетов, в частности о самых Чтобы снизить нагрузку на сервер,
популярных процессах и сайтах c авто- можно исключить из карантина внутрен-
ризацией, активных у пользователей в нюю почту. В этом случае сотрудники
заданный период. смогут обмениваться письмами без
ограничений, но только внутри компании.
Другой отчет, "Авторизации на серви-
сах", показывает учетные записи, кото-
На правах рекламы Рис. 4. Task Management Рис. 6. Тестируйте "СерчИнформ
КИБ"
Ваше мнение и вопросы
присылайте по адресу
[email protected]
• 23
СПЕЦПРОЕКТ
Сравнение решений
Название DLP-решения Гарда Предприятие
Компания-разработчик Гарда Технологии
Компания, предоставившая информацию Гарда Технологии
Поддержка русского языка Да
Поддержка других языков Да
Необходимость приобретения лицензий сторонних вендоров Нет
Лицензии, сертификаты и патенты Реестр Российского ПО,
лицензия ФСТЭК на разработку
Позиционирование СЗКИ, сертификат ФСТЭК
в процессе обновления
1. Архитектура решения
1.1. Архитектура и модули Совмещает классические
Контроль данных на шлюзе сети инструменты DLP и мощные
Контроль данных на уровне рабочих станций аналитические возможности для
Шифрование данных при хранении на серверах и в хранилищах (data at rest) защиты и предотвращения утечек
Поиск конфиденциальной информации в корпоративной сети (data discovery) конфиденциальной информации
Перехват и контроль сессий привилегированных пользователей
Прокси-сервер Да
Да
Минимальный срок развертывания продукта, дней Нет
Возможность развернуть все модули на одном физическом сервере Да
Возможность развернуть все модули на одном виртуальном сервере
1.2. Поддерживаемые платформы Нет
Платформа шлюзового решения (если есть) Не требуется
Агент под Windows 1
Агент под Linux Да
Агент под MacOS Да
Поддерживаемые СУБД для архива событий и файлов
–
Да
Да
Да
СУБД своей разработки
24 •
DLP, DCAP, DAG www.itsec.ru
класса DLP
СёрчИнформ КИБ InfoWatch Traffic Monitor Solar Dozor Zecurion DLP
InfoWatch Ростелеком-Солар Zecurion
СёрчИнформ InfoWatch Ростелеком-Солар Zecurion
Да Да Да
СёрчИнформ Да Да Да
Нет Нет Нет
Да
Реестр российского ПО, Реестр российского ПО, Реестр российского ПО, лицен-
Да сертификат ФСТЭК, лицензии ФСТЭК, ФСБ зии и сертификаты ФСБ, ФСТЭК,
лицензия ФСБ, и Минобороны РФ международные патенты на тех-
Для ОС (Windows Server) и лицензия Минобороны РФ нологии, применяемые в DLP
СУБД (MS SQL)
Реестр российского ПО,
сертификат ФСТЭК,
лицензия ФСБ,
лицензии ФСТЭК
Система предотвращения уте- Первая отечественная DLP- DLP-система корпоративного Одна из лучших в мире DLP-
чек информации в любых кана- система с технологиями искус- класса с уникальными функ- систем по версии IDC, Gartner,
лах и контроля активности за ственного интеллекта циями анализа поведения поль- Forrester и других аналитиков
ПК с профилированием сотруд- зователей и объединения тер-
ников для организаций любого риториально-распределенных
масштаба инсталляций в единое целое
Да Да Да Да
Да Да Да Да
Да Нет Нет Да
Да Да, при использовании Да Да
Data Discovery Да Да
Да Да Да Да, Zecurion SWG
Не требуется, кроме интеграции Нет
по ICAP 1 1–2
Да Да
11 Да Да
Да Да
Да Да Solar webProxy Windows
Через интеграцию по ICAP – Да Да
Да Да
с сетевым оборудованием и/или Да Да
PostgreSQL, Oracle MS SQL, PostgreSQL
прокси-серверами
Да Да
Да Да
Да Нет
MS SQL, PostgreSQL Oracle, PostgreSQL
Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных,
но не проверяла их соответствие действительности.
• 25
СПЕЦПРОЕКТ
Название DLP-решения Гарда Предприятие
1.3. Автоматизация
Автоматическое выявление и группировка неизвестных документов по новым тематикам (класте- Нет
ризация) Нет
Автоматическое создание словарей на основе сырых данных
Автоматическая актуализация базы цифровых отпечатков Нет
Автоматическое помещение сотрудника в группу риска Нет
2. Управление и расследование инцидентов
Единая консоль управления всеми модулями и продуктами Да
Веб-интерфейс консоли управления Да
Единые политики безопасности (для шлюзового и агентских модулей) Да
Работа с несколькими архивами данных и событий Да
Система совместного расследования инцидентов Да
Диаграмма связей пользователей Да
Статусы пользователей Да
Шаблоны отчетов Да
Кастомизируемые отчеты Да
3. Возможности выявления утечек
3.1. Функциональность Нет
Поведенческий анализ (UBA, UEBA) Нет
Оценка морального состояния пользователей (выявление групп риска) Нет
Контроль фотографирования экрана Нет
Анализ клавиатурного почерка Да
Поиск конфиденциальных данных на локальных рабочих станциях Да
Контроль голосового трафика Да
Запись сессий пользователей Да
Контроль звука и возможность подключения к микрофонам компьютеров Да
Контроль видео и возможность подключения к камерам рабочих станций Да
Запись нажатий клавиатуры Да
Снимки экрана контролируемых рабочих станций Да
Теневое копирование данных Да
Контроль запуска приложений Да
URL-фильтрация Да
Контроль выхода данных за пределы ограниченной группы пользователей Нет
Карантин
26 •
DLP, DCAP, DAG www.itsec.ru
СёрчИнформ КИБ InfoWatch Traffic Monitor Solar Dozor Zecurion DLP
Да Да Нет Да
Да Да Нет Да
Да Да Да Да
Нет Да Да Да
В ближайших планах Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Нет Да
В ближайших планах Да Нет Да
Да Да Да Да
Да Да Нет Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных,
но не проверяла их соответствие действительности.
• 27
СПЕЦПРОЕКТ
Название DLP-решения Гарда Предприятие
3.2. Технологии контентного анализа
Морфологический анализ, стемминг Да
Анализ документов на иностранных языках Да
Подключаются при необходимости Английский
Детектирование документов, написанных на двух и более языках Да
Детектирование транслита и замаскированного текста Нет
Бинарные цифровые отпечатки Нет
Векторные графические отпечатки Да
Растровые графические отпечатки Нет
Отпечатки таблиц и баз данных Нет
Распознавание текста (OCR) Да
Регулярные выражения Да
Строки со спецсимволами Да
Категоризация текста с использованием тематических и отраслевых словарей Да
Возможность составления словарей под терминологию заказчика Да
Детектирование изображений кредитных карт Да
Детектирование печатей Нет
Детектирование изображений паспортов Да
Детектирование заполненных бланков Да
Использование машинного обучения для классификации текста Нет
4. Каналы контроля и предотвращения утечек
Возможность блокировки передачи на USB-устройства на основе контентного анализа Нет
Возможность блокировки передачи на принтер на основе контентного анализа Нет
Возможность блокировки передачи на другие локальные устройства на основе контентного анализа Нет
Возможность блокировки данных на основе контентного анализа для электронной почты Да
Возможность блокировки данных на основе контентного анализа для веб-почты Да
Возможность блокировки данных на основе контентного анализа для HTTP Да
Возможность блокировки данных на основе контентного анализа для FTP Нет
Возможность контентного анализа данных в облачных хранилищах (CASB) Нет
Возможность контентного анализа мессенджеров Да
Возможность контроля обращения с информацией ограниченного доступа на мобильных устрой- Да
ствах сотрудников Да
Да
Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации
в публичный доступ при использовании корпоративных устройств
Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации
в публичный доступ при использовании личных устройств
5. Интеграции
Наличие открытого API Нет
Импорт событий из внешних перехватчиков Нет
Экспорт событий в SIEM и SOC Да
Возможность изменить решение по инциденту из SOC Нет
Возможность обогащения специфичными атрибутами событий из внешних систем Нет
28 •
DLP, DCAP, DAG www.itsec.ru
СёрчИнформ КИБ InfoWatch Traffic Monitor Solar Dozor Zecurion DLP
Да Да Да Да
Да Да Да Да
Любые языки, более 30 – 42 языка Ограничений по языкам нет Около 200 языков
с поддержкой морфологии
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Нет Да Нет Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Да Да Да Да
Нет Да Нет Да
Да Да Да Да
Да Да Нет Да
Да Да Нет Нет
Да Да Да Да
Да Да Да Да
Нет Да Нет Да
Да Да Нет Да
Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных,
но не проверяла их соответствие действительности.
• 29
СПЕЦПРОЕКТ
DCAP и DLP: в чем разница?
Дмитрий Горлянский, руководитель направления технического сопровождения
продаж “Гарда Технологии”
Д ействующие лица: вендор, заказчик.
Вендор. Одной из функций DCAP является файловый аудит
и выяснение, кто и когда выполнял операции с файлом.
Заказчик. Так, стоп, у нас же есть DLP с такой же функцией!
Давайте на сервер поставим DLP-агент – и все, задача решена.
(Занавес)
DCAP – стремительно Такой диалог часто создания и перемещения таких Нерациональное
набирающий популярность встречается при демонст- файлов внутри компании или
класс систем защиты рации возможностей за периметр нужны DLP. использования СХД
информации, предназначен- новой DCAP-системы
ный в первую очередь для "Гарда Файлы" пользо- Еще один немаловажный Расширение СХД обходится
защиты файловых храни- вателям DLP-системы аспект: где применяется система недешево, особенно в новой
лищ. "Гарда Предприятие". DCAP? Например, DLP исполь- реальности 2022 г. Поэтому
В силу того, что техноло- зуется в основном на конечных встает вопрос об оптимизации
Если DLP-система гия DCAP нова для рос- рабочих местах, а также позво- использования имеющегося
ограничивается отображени- сийских пользователей, счита- ляет сканировать сетевые обще- пространства. Для этой цели
ем текущих прав доступа ется, что файловый аудит – это доступные ресурсы. DCAP- DCAP-системы умеют:
к файлу, то возможности контроль перемещения докумен- системы, в свою очередь, пред- l определять, какие типы данных
DCAP гораздо шире. тов. Ошибка в том, что под фай- назначены для аудита СХД – занимают наибольший объем,
ловым аудитом понимаются файловых хранилищ на систе- а какие растут наиболее быстро;
30 • также и задачи контроля доку- мах Windows и Linux, MS Share- l определять принадлежность
ментов без привязки к их исполь- point, NetApp, Dell EMC, этих данных, то есть установить,
зованию. NextCloud, Synology и др. Уста- какие подразделения ими поль-
Давайте рассмотрим типовые новка агента DLP на такие хра- зуются;
задачи, решаемые системами нилища либо технологически l выявлять неиспользуемые
класса DCAP, и чем они отли- невозможна, либо может данные, мусорные файлы и дуб-
чаются от задач, решаемых повлечь за собой серьезное ликаты;
системами класса DLP, на при- падение производительности, l давать рекомендации, какие
мере функциональности систем так как агент DLP-системы будет данные могут быть безопасно
"Гарда Предприятие" и "Гарда выполнять, помимо аудита, удалены.
Файлы". много избыточных для защиты
файлового хранилища функций. Аудит прав доступа к данным
DCAP и DLP: разбираемся
в назначении Что контролирует DCAP? Аудит прав доступа – наиболее
востребованная задача у клиен-
DCAP – стремительно наби- Дубликаты файлов с тов системы "Гарда Файлы". Если
рающий популярность класс DLP-система ограничивается ото-
систем защиты информации, чувствительной информацией, бражением текущих прав доступа
предназначенный в первую оче- к файлу, то возможности DCAP
редь для защиты файловых хра- множественные копии гораздо шире. Они включают:
нилищ.
Задача прекращения обра- 1. Выявление рисков, связан-
В свою очередь, DLP за счет ботки ПДн – часто встречаю- ных с некорректно настроенны-
большего количества типов щийся кейс, в рамках которого ми правами доступа: выклю-
контроля позволяет более полно необходимо найти все копии ченное наследование, сломан-
решать задачи, связанные с дея- файла, содержащие данные ные ACL, прямые разрешения.
тельностью конкретных сотруд- конкретного субъекта ПДн.
ников, а также с выявлением Существование таких дублика- 2. Двустороннее отображение
утечек информации на уровне тов вне внимания компании прав доступа: как полное отобра-
сетевых потоков. может стать серьезной пробле- жение всех прав доступа к опре-
мой и поводом для штрафов деленному файлу или директории,
По данным разных исследо- при проверке регуляторов. так и отображение всех файлов и
ваний, до 80% информации Решение – модуль поиска папок, доступных определенному
в большинстве компаний лежит и классификации, присутствую- пользователю или группе пользо-
в файловых "помойках" и/или щий в системе "Гарда Файлы". вателей. При этом "Гарда Файлы"
в неструктурированном виде, Он позволяет, во-первых, опре- дополнит эту информацию сведе-
что порождает много проблем делить все файлы, содержащие ниями о наличии или отсутствии
с выявлением и защитой чув- ПДн разных типов, а также фактов реального обращения
ствительных данных. DCAP- быстро найти все файлы с дан- пользователей к этим файлам.
система структурирует содер- ными конкретного субъекта
жимое файловых хранилищ, ПДн, включая дубликаты, места 3. Рекомендации по сокра-
определяет права доступа и их хранения, доступ к ним. щению прав доступа с возмож-
подсвечивает данные, которые Такая функциональность не ностью предварительного моде-
не должны находиться в широ- реализуется большинством лирования изменений прав:
ком доступе. А вот для контроля DLP-систем, если применять их какие группы оно затронет, кто
к файловым хранилищам. из реально пользующихся фай-
лами сотрудников не сможет
больше получить доступ.
DLP, DCAP, DAG www.itsec.ru
Файловый аудит Принцип работы системы "Гарда Файлы"
и расследование инцидентов популярным ввиду наглядности Поведенческая аналитика Если DCAP проводит кон-
его результатов и простоты тентный анализ только хра-
Эту функцию часто исполь- использования. Современная Поведенческая аналитика при- нимой информации, то для
зуют в интеграции с "Гарда DLP-система позволяет вести сутствует также и в DLP-системах, DLP наиболее важным
Предприятие", чтобы получить статистику занятости сотруд- но, в отличие от DCAP, DLP ана- является контентный анализ
наиболее полную картину. Глав- ников на основе контроля запу- лизирует бо'льшее количество раз- передаваемой информации.
ное отличие в том, что DLP- щенных приложений, времени, ных типов событий: это не только
система больше предназначена проведенного на разных вклад- файловые операции, но и комму- DCAP работает только с
для точечного выявления инци- ках браузера. Эти функции не никации пользователя, запущен- данными аудита файловых
дентов и утечек информации, реализуются DCAP-системой, ные приложения, вплоть до особых операций, что хорошо помо-
в то время, как DCAP-система которая в данном случае про- событий, например посещений гает при выявлении ано-
использует данные файлового сто покажет факт запуска сайта с определенными ключевы- мальной активности внутри
аудита не только для выявления браузера. ми словами в заголовке окна. хранилища, но не всегда
отдельного инцидента – напри- применимо к выявлению
мер, кто удалил или изменил Контентный анализ В свою очередь, DCAP рабо- аномального поведения
тот или иной файл, – но и анали- тает только с данными аудита живого сотрудника.
зирует все операции в контексте и выявление утечек файловых операций, что хорошо
хранилища или даже нескольких помогает при выявлении ано- Несмотря на некоторую
хранилищ, что позволяет: Если DCAP проводит контент- мальной активности внутри хра- схожесть функциональности,
l анализировать все обраще- ный анализ только хранимой нилища, но не всегда примени- DLP и DCAP являются само-
ния и выявлять реальных биз- информации, то для DLP наи- мо к выявлению аномального стоятельными системами для
нес-владельцев ресурса; более важным является кон- поведения живого сотрудника. решения совершенно разных
l отобразить активность всех тентный анализ передаваемой задач.
сотрудников с этими данными информации. К DCAP просто Что же выбрать?
в различных видах (таблица, неприменимо понятие канала
графический отчет); передачи, отправителя, полу- Несмотря на некоторую схо-
l выявлять аномальное пове- чателя, периметра. В стандарт- жесть функциональности, DLP
дение на основе статистики ный набор контролируемых и DCAP являются самостоятель-
обращений к файлам, например DLP-системой каналов входят ными системами для решения
аномально большое количество веб-трафик (веб-почта, соци- совершенно разных задач,
операций записи от одной учет- альные сети), мессенджеры, выявления принципиально раз-
ной записи – это может свиде- внешние носители, корпоратив- ных типов инцидентов, совер-
тельствовать об активности вре- ная почта. Формально DCAP шаемых в разном контексте. DLP
доносного ПО, шифрующего сможет обнаружить данные, лучше подходит для выявления
содержимое файлов; хранимые на внешнем носите- конкретного нарушителя и при-
l определять причины повы- ле, но только при ближайшем меняется на АРМ пользователей.
шенной нагрузки на файловый его сканировании и только если DCAP лучше подходит для
сервер на основе анализа обра- на момент сканирования носи- выявления инцидентов внутри
щений: какие учетные записи тель будет доступен. DLP же хранилищ неструктурированных
генерируют наибольшую нагруз- работает в реальном времени данных, связанных больше не
ку, при работе с какими файла- и выявит утечку сразу на этапе с передачей, а с хранением
ми, какими действиями. Это копирования информации на и доступом пользователей к хра-
позволит проанализировать носитель, а также сможет пред- нимым данным. Оптимальным
и снизить нагрузку на СХД. отвратить утечку, заблокировав вариантом будет интеграция DLP
передачу файла с критичной и DCAP для более полного конт-
Помимо детектирования информацией. Важным являет- роля всего жизненного цикла
инцидентов и выявления ано- ся и то, что категорирование корпоративных данных. l
малий, в "Гарда Файлы" пред- передаваемого файла на пред-
усмотрено и активное реаги- мет критичности произойдет NM Реклама
рование, включающее в себя сразу в момент попытки пере-
как рассылку уведомлений по дачи, а не по расписанию во АДРЕСА И ТЕЛЕФОНЫ
разным каналам (SIEM, почта, время сканирования, как в слу- "Гарда Технологии"
мессенджер), так и работу чае с DCAP. см. стр. 60
с правами: запрет доступа для
учетной записи, запрет доступа
к конкретной папке/файлу,
установка режима "только чте-
ние", запуск пользовательского
скрипта и др.
Когда применять DLP?
Среди клиентов "Гарда Пред-
приятие" наиболее востребо-
ванными функциями DLP можно
назвать следующие.
Контроль рабочего времени
сотрудников
Этот тренд сформировался
в 2020 г. в связи с массовым
переходом на удаленную
систему работы и так и остался
• 31
СПЕЦПРОЕКТ
Сравнение решений
Название решения Гарда Файлы ОРЛАН.DCAP
Компания-разработчик, страна Гарда Технологии, Россия АО ИБ, Россия
Компания, предоставившая информацию Гарда Технологии, Россия АО ИБ
Год появления на российском рынке 2021 2021
Поддержка интерфейса на русском языке Да Да
Поддержка интерфейса на других языках Английский Да
Сертификаты, патенты и лицензии Лицензия ФСТЭК Реестр российского ПО
на разработку СЗКИ
Позиционирование Система контроля доступа Экосистема решений,
к сетевым хранилищам. направленная на контроль
Выявляет и классифицирует и защиту ключевых данных
ценные данные в массиве организации
неструктурированных файлов
Необходимость приобретения лицензий сторонних вендоров Нет Нет
Выявление и анализ данных Да
Рабочие станции / Файло-
Единый интерфейс для контроля и управления корпоративными данными Да вые серверы Windows,
Linux / сетевые хранилища
Анализируемые хранилища Рабочие станции / Файловые
серверы Windows, Linux /
Exchange / SharePoint / NAS /
Nextсloud
Классифицируемые данные Текстовые файлы / Растровые Текстовые файлы / Растро-
изображения, включая сканы / вые изображения, включая
Классификация данных по метаданным Векторные изображения / сканы / Векторные изобра-
Классификация данных по содержимому Видео жения / Видео
Да Да
Да
Словари / Синонимы /
Регулярные выражения /
Похожие документы / Сложные
запросы
Автоматическое выявление критичных данных Да Да
Резервное копирование критичных данных Нет Да
Выявление неподходящего расположения критичных данных, в т.ч. в Да Да
публичном доступе
Выявление дублей, Выявление дублей,
Оптимизация хранилищ неиспользуемых, неделовых неиспользуемых файлов
файлов / контроль
заполняемости хранилищ Уточняется
Уточняется
Выявление файлов и директорий, защищенных паролями Да
Аудит оборудования и ПО Да Да
Аудит прав доступа
Единый интерфейс для контроля прав доступа и мониторинга политик Да
безопасности
32 •
DLP, DCAP, DAG www.itsec.ru
класса DCAP/DAG
СерчИнформ FileAuditor Спектр InfoWatch DAT Makves DCAP Zecurion DCAP
Сайберпик, Россия InfoWatch, Россия Zecurion, Россия
СерчИнформ, Россия Сайберпик, Россия InfoWatch Makves, Россия Zecurion
2019 2021 2021
СёрчИнформ Да Да Makves Да
Английский Английский Английский
2019 Лицензия СЗКИ ФСТЭК, 2019 Сертификаты ФСТЭК,
Реестр российского ПО ФСБ, Реестр
Да Да отечественного ПО
Английский, Испанский Нет
Реестр российского ПО, Проходит
сертификат ФСТЭК; сертификацию ФСТЭК
лицензия ФСБ; лицензии IV уровня доверия,
ФСТЭК Сертификат AM Test
Lab №345
Аудит файловой системы, Комплексная защиты InfoWatch DAT — Makves DCAP Enterprise-решение для
поиск нарушений прав хранилищ система аудита и помогает обеспечить организаций с большим
доступа и изменений неструктурированных управления защиту данных и сверхбольшим
критичных данных. данных и контроллеров информационными и управлять рисками, объемом данных
Защита файлов от домена, включая аудит, активами связанными и пользователей.
действий сотрудников классификацию с хранением Равноценная замена
и порядок в хранилищах и управление правами Нет и доступом к ИТ- ушедшим мировым
доступа ресурсам лидерам
Нет Нет Нет Нет
Да Да Да Да Да
Рабочие станции / Файло- Рабочие станции / Рабочие станции / Фай- Рабочие станции / Рабочие станции /
вые серверы Windows, Файловые серверы ловые серверы Файловые серверы Файловые серверы
Linux / NAS и SAN / Windows, включая DFS, Windows, Linux / NAS и Windows, Linux / SMB / Windows, Linux /
почтовые серверы / Linux / Exchange / Share- SAN / почтовые серверы CIF / NetApp / DELL / сетевые хранилища /
облачные хранилища / Point / NAS / Nextсloud / EMC /, NAS и SAN / Exchange
Huawei OceanStor, Dorado Confluence / Jira / BitBucket почтовые серверы /
/ носители при FTP / Sharepoint,
подключении по API / OneDrive, Google Drive,
резервные копии Yandex Диск, GitLab
Текстовые файлы / Текстовые файлы / Текстовые файлы / Текстовые файлы / Текстовые файлы /
Растровые изображения, Растровые изображения, Растровые изображения,
включая сканы / включая сканы / Векторные включая сканы Растровые изображения, Растровые изображе-
Векторные изображения / изображения
Видео Да включая сканы / ния, включая сканы /
Да Словари / Морфология /
Да Словари / Регулярные Синонимы / Регулярные Векторные изображения Векторные изображе-
выражения / Похожие выражения / Похожие
Словари / Морфология / документы / Сложные документы / Сложные / Видео / Архивы ния / Видео / Другие
Синонимы / Регулярные запросы запросы
выражения / Похожие форматы
документы / Сложные
запросы Да Да
Словари / Морфология / Словари / Морфология
Синонимы / Регулярные / Синонимы / Регуляр-
выражения / Похожие ные выражения / Стро-
документы / Сложные ки со спецсимволами /
запросы Похожие документы /
Сложные запросы
Да Да Да Да Да
Да Да Нет Нет Да
Да Да Да Да Да
Выявление дублей, Выявление дублей, Выявление дублей, Выявление дубоей, Выявление дублей,
неиспользуемых, неиспользуемых, неделовых неиспользуемых файлов
мусорных файлов файлов / контроль неиспользуемых, неиспользуемых,
заполняемости хранилищ
Да неделовых файлов / неделовых файлов
Да
контроль заполняемости
хранилищ
Да Нет Да Да
Да Да
Да Нет
Да Да Да Да Да
Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных,
но не проверяла их соответствие действительности.
• 33
СПЕЦПРОЕКТ Гарда Файлы ОРЛАН:DCAP
Название решения ACL / Active Directory / Active Directory / Astra Linux
Источники данных о правах доступа Azure AD / Samba 4 Directory / LDAP
Выявление избыточных прав доступа Да Да
Выявление паролей без срока действия Да Да
Выявление неактивных пользователей, аккаунтов уволенных Да Да
сотрудников, временный доступ
Да
Выявление файлов с ненаследуемым доступом Да Да
Выдача и отзыв всех прав доступа при найме и увольнении сотрудника Да
Контроль поведения пользователей Да
Единый интерфейс для аудита активности учетных записей Да
Да
Поведенческая аналитика, профили поведения каждого сотрудника Да
Да
Выявление пользователей с аномальной активностью, связанной Да
с чтением, копированием, удалением данных Да
Да
Выявление пользователей, имеющих доступ к почтовым ящикам Да
других сотрудников Да Да
Да
Выявление попыток подбора пароля Да
Пресечение нерегламентированного доступа к информации Да Да
Реагирование, отчетность, расследования Да Да
Оповещение об инцидентах в реальном времени Да Да
Автоматическое реагирование на инциденты Да Да
Инструменты для проведения расследований Да
Готовые отчеты и дашборды DLP / IRP / SOAR / SIEM /
База знаний и best-practice DLP / IRP / SIEM / IDM TIP / UAM / PAM
Интеграции
Коробочная интеграция с ИБ-системами Да
Syslog / API
Интеграция с MITRE ATT&CK Нет
Поддерживаемые протоколы интеграции
Syslog / API / HTTP / TCP /
Splunk / Email / Telegram
Интеграция с системами бизнес-анализа RestAPI для интеграции Стандартные механизмы
Приобретение интеграции
Модель тарификации
Факторы, влияющие на стоимость Приобретение, подписная Приобретение
модель
Пробный период
Сайт Количество учетных записей в Количество пользователей
домене / Необходимые модули на контролируемых плат-
формах / Необходимые
модули
1 месяц 1 месяц (пилот)
https://gardatech.ru/produkty/gf/ https:/www.orlan-security.ru
34 •
DLP, DCAP, DAG www.itsec.ru
СерчИнформ FileAuditor Спектр InfoWatch DAT Makves DCAP Zecurion DCAP
Active Directory / ACL / Active Directory / Azure Active Directory Active Directory, Open Active Directory
драйверный уровень для AD / Samba 4 / Novell eDi- LDAP, Astra Linux Direc-
ОС Windows / NFS для rectory / FreeIPA / ALD Pro tory, Apache Directory,
любых типов ОС Red Hat Directory, SMB,
NFS4, Group Policy,
Linux Access Control
Lists
Да Да Да Да Да
Нет, в отдельном Да Да
решении Да Да Да Да
Нет, в отдельном
решении Да Да Да Да
Да Да
Да Да Да
Да Да Да Да Да
Да Да
Нет, в отдельном Да Да Да Да
решении Да Да
Нет, в отдельном Да Да Да Да
решении Да Да
Да
Да
Нет, в отдельном решении Да Да Да Да
Да Да Да Да Да
Да Да Да Да Да
Да Да Да Да Да
Да Да Да Да Да
Да Да Да Да Да
Да Да Да Да Да
DLP / IRP / SIEM DLP / IRP / SIEM / IDM / PAM DLP / IRP / SIEM DLP / IRP / SOAR / SIEM DLP / NGFW / SIEM
/ TIP / UAM / PAM / IAM / и др.
Нет Да Нет СКУД / REST.API
Syslog / API Да
Syslog / API (открытый, Syslog / API Да Syslog, CEF, LEF,
EventLog, API
Syslog / REST API
документированный) / HTTP
(json) / TCP (json) / UDP
(json)/ ElasticSearch / Splunk
/ Email / Telegram
Power BI RestAPI для интеграции RestAPI для интеграции RestAPI для Нет
с Power BI интеграции
Приобретение, подписная Приобретение, подписная Приобретение Приобретение Приобретение
модель модель
Количество ПК / Объем Количество учетных Фиксированная Количество активных Необходимые модули /
хранилищ записей в домене / Типы стоимость / Количество учетных записей Решаемые задачи /
защищаемых хранилищ / пользователей Количество сенсоров
Необходимые модули
1 месяц 1 месяц (пилот) 3 месяца 1 месяц 1 месяц (пилот)
https://searchinform.ru/prod- https:/www.cyberpeak.ru https://www.infowatch.ru/pr https://makves.ru/dcap https://zecurion.ru/prod-
ucts/fileauditor/ oducts/dat ucts/dcap-data-centric-
audit-and-protection/
Приведенные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных,
но не проверяла их соответствие действительности.
• 35
СПЕЦПРОЕКТ
Роль аутсорсинга
и психологии в DLP
Круглый стол вендоров решений класса DLP
Дмитрий Горлянский, руководитель отдела технического сопровождения продаж “Гарда Технологии”
Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ”
Александр Клевцов, руководитeль направления Traffic Monitor InfoWatch
Алексей Кубарев, эксперт Центра продуктов Dozor “РТК-Солар”
Эликс Смирнов, аналитик InfoWatch
Владимир Ульянов, руководитель аналитического центра Zecurion
И мпортозамещение коснулось многих классов решений в сфере информационной
безопасности. Но производители DLP-систем чувствуют себя в новой реальности более
чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет,
что нового ждать в функциональности систем? На вопросы заказчиков, собранные
редакцией журнала “Ифнормационная безопасность”, ответили представители
вендоров DLP-решений.
Как скажется уход пользуются отечественными DLP-систе- Алексей Дрозд, СёрчИнформ:
иностранных вендоров мами, так что каких-либо потрясений на
на функциональности и рынке DLP ждать не стоит. Отечественные ИБ-решения всегда
стоимости российских были сильнее западных с точки зрения
DLP-систем? Александр Клевцов, InfoWatch: функциональности. Сейчас отечествен-
ные вендоры будут переориентироваться
Дмитрий Горлянский, Действительно, уход западных вендо- и развивать функционал, связанный
Гарда Технологии: ров DLP сказывается не так болезненно с импортозамещением. Но стоимость
для заказчиков, как в других классах решений вырастет, так как ушли не
Функциональные возможности рос- ИБ-решений. Все-таки в России рынок только ИБ-компании, но и производители
сийских DLP уже давно соответствуют DLP был традиционно развит и конку- железа. Закупки элементов ИТ-инфра-
уровню западных вендоров, а в некото- рентноспособен. Например, наше реше- структуры стали обходиться дороже,
рых случаях даже превосходят. Как ние во многом опережает иностранных в том числе и для разработчиков, –
минимум уже наработана достаточно вендоров по многим аспектам, например подорожал сам производственный про-
большая база контентных фильтров, в технологиях графического анализа, цесс. Что касается функциональности,
кейсов, компетенций, специфичных для лингвистике и технологиях машинного то она не зависит от ухода иностранных
отечественных реалий ИБ. Более того, зрения. К тому же немаловажный фак- вендоров.
большинство российских компаний уже тор – это учет специфики российского
рынка, поддержка различных языков, Алексей Кубарев, РТК-Солар:
36 • сертификация и т.д.
Стоимость решений продолжит регу-
лироваться внутренним рынком: конку-
ренция достаточно высока, поэтому ника-
ких резких изменений цен, связанных с
трансформацией рыночного ландшафта,
мы не ожидаем. Российские DLP-систе-
мы функционально были более приспо-
собленными к российским реалиям, чем
зарубежные решения, даже до их ухода.
Поэтому исчезновение зарубежных игро-
ков с отечественного рынка никак не
скажется на возможностях российских
решений: наши DLP всегда развивались
независимо от иностранных.
Владимир Ульянов, Zecurion:
Импортозамещение в сфере DLP по
большому счету завершилось еще
несколько лет назад, когда доли ино-
странных вендоров сократились до счи-
танных процентов. А вот российские
игроки ведут активную экспансию на
зарубежные рынки. К примеру, Zecurion
DLP, DCAP, DAG www.itsec.ru
DLP входит в число ведущих мировых
игроков, по оценкам аналитиков Gartner,
IDC, Forrester. Наши продукты разви-
ваются в конкурентной среде и востре-
бованы как внутри страны, так и за
рубежом, поэтому уход иностранных
игроков принципиально ситуацию не
поменяет.
По каким векторам сложных расследований с удобным Эликс Смирнов, InfoWatch:
развиваются DLP- функционалом. Технологический прио-
решения? Какие ритет я вижу в комплексности решений, Действительно, современные системы не
технологические тренды то есть в бесшовной интеграции всех требуют для нормальной работы фантасти-
можно выделить? инструментов для внутренней безопас- ческих ресурсов и в ближайший год-другой,
С чем может быть связан ности. вероятней всего, требовать не будут. Поэто-
технологический прорыв му вопрос не стоит слишком остро.
в DLP-решениях в Александр Клевцов, InfoWatch:
перспективе 2–3 лет? Дмитрий Горлянский,
Во-первых, DLP-система должна стать Гарда Технологии:
Владимир Ульянов, Zecurion: частью инфраструктуры компаний, и те
вендоры, кто сможет дать реальные Безусловно, усложнится поставка
DLP в части контроля каналов при- возможности интеграции с бизнес-систе- решений в формате ПАК, но запас обо-
близились к совершенству. Последни- мами, войдут в шорт-лист у заказчиков. рудования есть, равно как и есть обход-
ми серьезными вызовами были конт- Второй тренд – развитие технологий ные пути решения этих проблем.
роль мессенджеров и защита от фото- искусственного интеллекта, особенно в В нашем холдинге есть компания – про-
графирования экрана (впервые реа- части автоматизации работы служб ИБ. изводитель аппаратных платформ,
лизована Zecurion). Сейчас DLP идут И третье направление развития – управ- поэтому мы, возможно, испытываем
по пути интеграции и наращивания ление рисками при помощи предиктив- меньшие трудности с аппаратной частью
функциональности из смежных сег- ной аналитики. в сравнении с другими вендорами.
ментов корпоративной безопасности,
например контроля действий персо- Алексей Кубарев, РТК-Солар: Алексей Дрозд, СёрчИнформ:
нала (класс Staff Control) или контроля
данных внутри периметра (класс Ключевым вектором сегодня является В ситуации дефицита железа в выиг-
DCAP). В ближайшей повестке также движение DLP и других ИБ-решений к эко- рыше останутся те компании, которые
стоит задача контроля активно разви- системности, взаимной интеграции в еди- всегда писали софт с оглядкой на его
вающихся в корпоративной среде ную систему безопасности компании. оптимизацию. Мы закладывали эти прин-
облачных сервисов. В идеале заказчик должен иметь воз- ципы в фундамент нашей системы.
можность без проблем выстроить свою Например, в КИБ есть механизмы деду-
Дмитрий Горлянский, систему безопасности из любого набора пликации данных, чтобы сохраненная
Гарда Технологии: решений разных вендоров. Наиболее пер- информация занимала меньше места,
спективными представляются направле- система эффективно использует мощ-
Можно отметить, что сохраняется ния интеграции DLP с SIEM, SOAR или ности, на которых развернута. Кроме
тренд, заданный в 2020 г., – контроль DCAP, а также развитие технологий пове- того, мы видим запрос на миграцию в
рабочего дня сотрудников, выявление денческого анализа (UBA, UEBA). В част- облака, заказчики хотят защищать бизнес
нетипичного поведения. Но если раньше ности, мы активно развиваем свою DLP- без лишних затрат на железо. Поэтому
больше внимания уделялось контролю систему в этих направлениях. мы активно развиваем взаимодействие
эффективности, то сейчас эти функции с облачными провайдерами, и все наши
используются преимущественно для Как скажется дефицит решения можно развернуть в облаке.
решения вопросов кадровой безопасно- микроэлектроники на
сти и противодействия утечкам кадров. рынке DLP-решений? Владимир Ульянов, Zecurion:
Можно также наблюдать, что, помимо
коммерческой тайны, в поле зрения DLP Алексей Кубарев, РТК-Солар: Заказчики большее внимание станут
все чаще попадает техническая инфор- уделять системным требованиям, это
мация – об ИТ-инфраструктуре, доступах Системы класса DLP ничем не отли- заметно уже сейчас. К примеру, Zecurion
к сервисам, аутентификационные дан- чаются от любых других софтверных может быть развернут на единственном
ные и др. Это связано со значительно продуктов: для их функционирования сервере. И сразу бьет тех конкурентов,
возросшим количеством атак на сетевую необходимо оборудование. Но мы ожи- которым нужно минимум два-три серве-
инфраструктуру. даем бурного развития параллельного ра для установки всех компонентов. Это
импорта и предполагаем, что существен- важно не только для небольших компа-
Алексей Дрозд, СёрчИнформ: ного дефицита оборудования на рынке ний, но для крупных территориально
не случится. распределенных организаций. На боль-
Сейчас у вендоров в приоритете пере- ших объемах в десятки тысяч рабочих
езд на отечественные или свободные мест преимущество Zecurion в произво-
БД и ОС. Что касается трендов, мы, дительности становится еще более
например, сделали ставку на методы заметным.
машинного обучения и теперь детекти-
руем попытки сфотографировать экран • 37
ПК и распознаем пользователей по
лицам. Для оптимизации работы ИБ-
специалиста включили в состав КИБ
аналог Jira – таск-менеджер для ведения
СПЕЦПРОЕКТ
Какова роль психологии безопасности существенно снизилось. Александр Клевцов, InfoWatch:
в разработке, внедрении Поведение сотрудников становится
и эксплуатации DLP- более ответственным, как следствие, Аутсорсинг ИБ в России развит не
решений в современных сокращается число случайных утечек и слишком сильно, и основным барьером
условиях? намеренные действия становятся более в его развитии служит то, что заказчики
осторожными. В отличие от компаний, не хотят делиться данными с третьими
Дмитрий Горлянский, где информация распространяется бес- лицами, беспокоясь об их сохранности.
Гарда Технологии: контрольно, в сети, на домашние ком-
пьютеры, на внешние адреса. Алексей Дрозд, СёрчИнформ:
Роль психологии пока еще небольшая,
скорее как экспериментальное направле- Алексей Дрозд, СёрчИнформ: Активнее всего аутсорсингом интере-
ние. Все-таки DLP – это в первую очередь суются малые и средние компании, кото-
инструмент для выявления фактов нару- Роль психологии в последние годы рым проблематично самостоятельно
шения политики безопасности, а все, что возрастает. Это заметно по запросам выстраивать ИБ-отдел и выделять бюд-
следует далее, включая непосредственную заказчиков, которые хотят, чтобы сотруд- жет на закупку железа. Но заказчики
работу с нарушителем, находится вне ник был включен в процесс защиты дан- опасаются за безопасность данных.
задач DLP и вообще каких-либо автома- ных. Клиенты стали активнее просить Поэтому для одних важна сертифициро-
тизированных систем. Тем не менее иссле- доработки для взаимодействия между ванная среда, для других – разрешение
дования в области психологии могут быть пользователем и службой безопасности. на работы по технической защите инфор-
весьма интересны, например, для класте- Поэтому, например, у нас в агенте появил- мации у исполнителя. У нас в экосистеме
ризации пользователей и выявления типо- ся пользовательский интерфейс, который предусмотрен доступ по RDP, также
вых моделей поведения, что впоследствии уведомляет сотрудника о разрешениях КИБ поддерживает ролевую модель
может быть использовано для предиктив- или запретах доступа и позволяет запро- доступа к данным, а вся работа аутсор-
ной аналитики. сить доступ к использованию устройств. сера происходит на сервере, и никакая
информация не переносится за его пре-
Эликс Смирнов, InfoWatch: Алексей Кубарев, РТК-Солар: делы. Важно не забывать и про подпи-
сание NDA и SLA.
Ролевой модели нет ни в разработке, Российский бизнес уже давно двигает-
ни во внедрении, ни в эксплуатации. Ее ся в сторону максимальной прозрачности Алексей Кубарев, РТК-Солар:
значимость также сложно оценить: непо- процессов. Практика показывает: осо-
нятно, по каким критериям это следует знание наличия контролирующей систе- Аутсорсинг в деле защиты от утечек
делать. А в случае утечек необходимо мы в инфраструктуре предприятия поло- еще не сильно распространен, поскольку
брать во внимание психологию, ведь жительно сказывается на психологии пока заказчики боятся давать доступ
подавляющее большинство увольняемых и мотивации сотрудников. Как сказал на посторонним к чувствительной инфор-
будут пытаться украсть информацию, до Форуме DLP+ представитель Сбера, еще мации компании. Однако я считаю, что
которой только смогут дотянуться, и про- никто не отказывался работать в банке этот барьер преодолим, надо заниматься
давать ее в последние пару дней работы. только потому, что там есть DLP-система. воспитанием рынка, объяснять, что это
Исключения из этого правила есть, и для Конечно, есть некоторый процент людей, нормально. И одновременно ужесточать
их понимания тоже потребуется психо- которые будут нарушать установленные ответственность всех сторон, не только
логия. Соответственно, функционал DLP- правила и искать лазейки для неправо- заказчиков, но и аутсорсинговых ком-
системы должен учитывать сценарий мерных поступков, и вот против них паний, и вендоров за утечки данных.
поведения этих категорий сотрудников. и должна работать психология. Чтобы заказчик верил в надежность
сервиса и поставляемых решений.
Владимир Ульянов, Zecurion: Насколько распространен
аутсорсинг защиты от Владимир Ульянов, Zecurion:
Инсайдерские угрозы во многом свя- внутренних злоумышлен-
заны с пресловутым человеческим фак- ников? Какие основные Аутсорсинг DLP распространен слабо.
тором, поэтому психологии здесь доста- барьеры можно выделить По моим ощущениям, эта идея более
точно. Самого факта наличия DLP-систе- и как их преодолеть? применима для небольших организаций.
мы в организации часто достаточно, Они стремятся сэкономить, восполнить
чтобы количество нарушений политик отсутствие кадров и компетенций через
аутсорсинг, но для крупного бизнеса
такой подход нецелесообразен. Выгоднее
иметь своего сотрудника или даже отдел,
а внешнего подрядчика можно привлечь
лишь однажды для обучения и настройки.
Еще одна проблема лежит в области
психологии: не всякий заказчик готов с
кем-либо делиться своими корпоратив-
ными историями и инцидентами.
Как можно снизить
затраты на внедрение
DLP в уже развернутой
мультиспецифической
ИТ- и ИБ-инфраструктуре?
Алексей Кубарев, РТК-Солар:
Во-первых, можно снизить затраты
путем правильного выбора DLP-системы,
контролирующей нужные данной ком-
38 •
DLP, DCAP, DAG www.itsec.ru
пании каналы, а также путем правильной Как оценить количество мой, то у нас есть специалисты отдела
проектировки внедрения. Кроме того, и специализацию внедрения, которые помогут настроить
при ограниченности бюджета можно сотрудников, необходимых ПО, а сотрудники учебного центра рас-
приобретать DLP в рассрочку – покупать для эффективной скажут о тонкостях работы с "СёрчИн-
подписку на год с дальнейшей пролон- работы DLP-системы форм КИБ".
гацией. В моменте это обойдется суще- в организации?
ственно дешевле, чем сразу купить бес- Дмитрий Горлянский,
срочную лицензию. Александр Клевцов, InfoWatch: Гарда Технологии:
Владимир Ульянов, Zecurion: Нужно, чтобы эксплуатация DLP-систе- Думаю, что оценить потребность
мы требовала от сотрудников минимум в сотрудниках можно только опытным
С точки зрения потребителя есть толь- специфических знаний. Сложные во путем, то есть обратиться к опыту коллег.
ко один правильный вариант – найти внедрении DLP-системы, на полноцен- Если брать в качестве примера наших
подходящую DLP, чтобы не перекраивать ную работу с которыми требуется целый клиентов, то при правильно настроенных
всю инфраструктуру. Zecurion предлагает штат ИБ, должны уйти в прошлое. Кад- политиках выявления инцидентов один
пятнадцать вариантов внедрения, и часто ров в ИБ и так не хватает, чтобы исполь- сотрудник ИБ вполне может контроли-
нас спрашивают: зачем? Действительно, зовать их для разбора рутины. Зрелая ровать до одной тысячи сотрудников.
в одной компании достаточно одного- DLP позволяет сделать это средствами Но эти цифры все равно могут сильно
трех способов. Но эта вариативность автоматизации: например, находить разниться в зависимости от того, какие
дает возможность подстроиться под сеть новые категории документов и создавать инциденты будут считаться критичными,
любого заказчика с объемами свыше новые лингвистические модели для их какие менее критичными. Если в компа-
100 тыс. рабочих мест и тысячами защиты, помогать с актуализацией поли- нии гайки закручены максимально плот-
филиалов и предложить именно тот сце- тик безопасности и т.д. но, то и объем обрабатываемых инци-
нарий, который лучше всего подходит. дентов вырастет во много раз, что, есте-
Алексей Кубарев, РТК-Солар: ственно, потребует больших затрат чело-
Дмитрий Горлянский, веческих ресурсов.
Гарда Технологии: По сути, для эксплуатации DLP-систе-
мы в организации нужны две роли: это Владимир Ульянов, Zecurion:
Снизить затраты можно в первую ИТ-специалист, который сможет инже-
очередь организационными мерами: нерно поддерживать систему и будет Самая точная оценка – практическая.
должны быть определены базовые объ- понимать, как она работает, и аналитик Даже с опытом работы у нескольких
екты защиты, места их хранения, спо- со специализацией в безопасности, вендоров и сотен заказчиков я не могу
собы передачи данных, права доступа, который будет работать с системой и заранее предсказать потребности на
периметры их передачи и т.д. Это значи- проводить расследования. Решение следующем проекте. В общем случае
тельно сократит наиболее болезненный инженерных задач в принципе можно количество людей на DLP зависит от
и продолжительный этап жизненного переложить на плечи вендора или интег- самой системы (на рынке есть очень
цикла любой DLP – внедрение и перво- ратора, приобретя расширенную техни- ресурсоемкие конкуренты), используе-
начальную настройку. Следует обратить ческую поддержку. А вот аналитика мых модулей и задач, которые органи-
внимание также на оптимизацию конт- лучше иметь своего. Однако чем больше зация ставит перед DLP. Для Zecurion
ролируемых каналов и функциональных в компании сотрудников, тем больший в порядке вещей, когда единственный
возможностей. Один из часто встре- штат аналитиков потребуется: ориенти- офицер безопасности успешно контро-
чающихся примеров – необходимость ровочно один специалист на пятьсот лирует свыше десяти тысяч рабочих
шифрования файлов на внешних пользователей. мест и чувствует себя вполне комфортно.
устройствах при запрещенном исполь- Но если требуется скрупулезный разбор
зовании этих самых внешних накопите- Алексей Дрозд, СёрчИнформ: всех событий и ежедневная отчетность
лей. Еще один пример оптимизации – для первых лиц, а процессы в самой
использование контроля каналов, а не На каждые полторы тысячи пользова- компании не отлажены, людей придется
рабочих мест, например, для HTTP(s)- телей необходим один аналитик, который добавлять. l
трафика. должен понимать, как пользоваться
системой, какие виды поиска есть и как Ваше мнение и вопросы
Александр Клевцов, InfoWatch: настраивать политики. Если у аналитика присылайте по адресу
возникают сложности в работе с систе-
Чтобы снизить затраты, нужно, чтобы [email protected]
DLP-система корректно работала
в любых импортозамещенных средах, • 39
то есть чтобы она изначально их под-
держивала.
Алексей Дрозд, СёрчИнформ:
Затраты на внедрение можно снизить
в любой инфраструктуре, купив DLP,
которая в условиях дефицита железа
эффективно использует мощности.
Принципиальными критериями являются
качество исходного кода и способность
разработчиков оптимизировать продукт.
По моему мнению, DLP-система, собран-
ная из различных опенсорсных компо-
нентов, по функциям и производитель-
ности не может сравниться с проприе-
тарным решением, разрабатывавшимся
много лет. Еще одна возможность –
развернуть DLP в облаке, если бизнес
не готов тратиться на железо.
СПЕЦПРОЕКТ
Как инсайдер помог наладить
дисциплину в компании
Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”
Л юбая компания понимает, насколько ценен продукт,
на котором она зарабатывает. Но часто бизнес не торопится
принимать специальные меры, чтобы защитить свои наработки.
Так было и у нас, пока вдруг компания не стала проигрывать
тендер за тендером, теряя на каждом до 50 млн руб.,
при этом новый продукт конкурентов оказался подозрительно
похож на наш.
Дело было в 2017 г., наше производ- Прямо в рабочей почте сотрудник общал- За несколько месяцев конкурирующая
ство уже много лет как закрепилось ся с конкурентами и пересылал им кон- фирма потеряла финансирование
среди поставщиков для крупных нефте- структорскую и коммерческую докумен- и была закрыта.
добывающих корпораций. Несмотря на тацию. По некоторым косвенным при-
это, в структуре компании не было знакам стало понятно, что инсайдер До этого случая я придерживался
отдельного подразделения защиты дан- действует не один. Проблема состояла мнения, что наблюдение должно быть
ных, а все функции безопасности сво- в том, что собственно офисных сотруд- исключительно скрытым. Но теперь
дились к физическому контролю пери- ников у нас как у промышленного пред- понимаю: когда сотрудники знают, что
метра: пропускам, видеонаблюдению, приятия не так много, большинство служба информационной безопасности
выборочным проверкам сотрудников. работников заняты на производственных бдит, инсайдеры реже решаются на
Когда закрались подозрения, что конку- линиях и не работают за ПК. Техниче- преступления. Необязательно объ-
рент вызнал ноу-хау, стало ясно, что скими средствами их контролировать яснять в деталях, как именно осуществ-
информация уязвимей оборудования в не получится. Но DLP к этому моменту ляется контроль, пользователям важнее
цехах. Так в компании появились отдел помогла собрать достаточно данных об само понимание, что для работодателя
безопасности и специальные средства инциденте, чтобы окончательно про- все их действия прозрачны. Главное,
для защиты информации. яснить ситуацию. на что это влияет, – дисциплина. Наши
сотрудники совершают меньше слу-
Для контроля активности пользова- Опираясь на свой оперативный опыт, чайных ошибок в работе с данными,
телей за компьютерами и борьбы с утеч- я пошел ва-банк: вызвал инсайдера на мы практически изжили неэффектив-
ками данных мы первым делом закупи- беседу и прямо показал ему, что у меня ный расход рабочего времени. Более
ли DLP-систему. Существуют разные есть все доказательства его нарушений. того, в коллективе снизилось количе-
подходы к охране коммерческой тайны Ставка сработала, "крота" удалось пере- ство конфликтов! Мы стали предостав-
в DLP: есть системы, которые во избе- вербовать. Он сам назвал пособников: лять руководителям подразделений
жание сливов загодя жестко блокируют люди в открытую выносили приборы информацию о том, где "искрит", чтобы
каналы связи, есть фиксирующие циф- с производства, буквально руками помо- была возможность на раннем этапе
ровой след пользователя, чтобы при гали конкурентам наладить выпуск разобраться с недопониманиями
необходимости восстановить картину "пиратской" продукции. Интересно, что и снять напряжение.
инцидента. Мне оказался ближе второй многие участники схемы не понимали
подход: раньше я работал "в органах", (или делали вид), что делают что-то На сегодняшний день нам больше не
так что привык вести детальные рас- противозаконное. Для них это была приходится "закручивать гайки" и соз-
следования и разбираться с уликами. просто подработка, и забрать на под- давать для службы безопасности имидж
Тем более что в нашем случае было работку оборудование или чертежи сурового "всевидящего ока". Со всеми
очевидно: утечка уже произошла, а зна- почему-то тоже было для них в порядке работниками мы проводим ИБ-ликбез
чит, нужно искать виновных. При выборе вещей. на стадии трудоустройства, четко доно-
DLP мы оценивали в первую очередь сим правила, которые нельзя нарушать.
ее аналитические возможности, лучшей Но раскрыть схему было мало. Чтобы Но затем показываем, что доверяем
по этому параметру сочли "Контур нивелировать убытки, мы решили пол- людям, надеемся на их совесть и откры-
информационной безопасности" (КИБ) ностью выбить конкурента из игры ты к диалогу. В защите от утечек мы
от "СерчИнформ". и не дать дальше пользоваться нашими можем положиться на DLP, которая ком-
разработками. Мы обратились к дело- плексно охватывает каналы передачи
Чтобы выяснить, откуда к конкурентам вым партнерам (и встретили, кстати, данных и способна вовремя их пере-
попадают секреты производства, нужно довольно прохладный прием, потому крыть. Теперь наша главная задача –
было мониторить основные каналы ком- что конкурент активно нас очернял), профилактика, с ней нам больше не
муникаций – почту и корпоративные чтобы восстановить отношения и пока- приходится бежать по следу инсайдеров,
мессенджеры. Почти сразу с помощью зать, какими методами действует их мы предупреждаем проблемы. А авто-
КИБ я обнаружил подозрительные письма. нынешний поставщик. Доказательств матизация контроля высвобождает
промышленного шпионажа было доста- необходимые для этого ресурсы. l
40 • точно, партнеры вернулись, а вскоре
информация дошла и до инвесторов Ваше мнение и вопросы
конкурента. Инвесторы дорожили своей присылайте по адресу
деловой репутацией и не захотели
иметь дела с незаконными схемами. [email protected]
ТЕХНОЛОГИИ www.itsec.ru
Все, что вам следует знать об АПК "ЗАСТАВА-ТК"
Егор Комаров, менеджер продукта, АО “ЭЛВИС-ПЛЮС”
Р ынок информационной безопасности с самого своего
появления был довольно зарегулированным и, в силу
специфики, таковым останется. Иначе никак, ведь
ИБ-системы обеспечивают не только сохранность
конфиденциальных, персональных данных, но и те блага,
которые мы зачастую никак не связываем с информационной
безопасностью: тепло, воду, свет и много другое. Компании
и объекты, которые обеспечивают нам все эти удобства,
относятся к критически важной инфраструктуре, КИИ.
Поэтому государство справедливо предъявляет определенные
требования к таким продуктам, расширяя старые и выпуская
новые законы и подзаконные акты.
Решение без наложенных средств Ролевая модель и управление
защиты Разработанная АО "ЭЛВИС-ПЛЮС"
Конечно, рынок изобретателен и уже согласованная ролевая модель АПК
предложил решения, которые позволяют "ЗАСТАВА-ТК" позволила отказаться от
обойтись, например, без антивирусов, использования службы каталогов AD,
создав так называемую замкнутую про- что в разы упростило процедуру замены
граммную среду, или исключить необхо- вышедшего из строя оборудования.
димость установки наложенных средств Ролевая модель позволяет реализовать
безопасности, используя АПМДЗ. концепцию действительно универсаль-
Таким решением является аппарат- ного рабочего места, где каждый АПК
но-программный комплекс "ЗАСТАВА- технически является полной копией дру-
ТК", в котором производитель (АО гого АПК и приобретает индивидуальные
"ЭЛВИС-ПЛЮС") реализует необходи- черты лишь после того, как сотрудник
мые функции безопасности практически организации предоставил свой ключевой
без внешнего ПО и наложенных носитель.
средств. Данное решение имеет оче- Это по достоинству оценили сотруд-
видные плюсы: уменьшение затрат на ники тех организаций, где в силу специ-
приобретение и поддержку стороннего фики работы иногда нужно выполнять
ПО, уменьшение числа точек отказа, свои обязанности не на привычном рабо-
простота эксплуатации. Все это есте- чем месте, а, к примеру, в командировке.
Для персональных данных в качестве ственным образом сказывается поло- Администратор системы видит иденти-
яркого примера можно привести приказы
ФСТЭК России № 17 и № 21, а для объ- жительно на надежности всей системы, фикационный номер физического
ектов КИИ – приказ ФСТЭК России
№ 31. Данные документы – да и не где применяется данное устройство. устройства, на котором сейчас работает
только они – строго регламентируют,
какими свойствами должна обладать та Разумеется, АПК "ЗАСТАВА-ТК" пол- сотрудник, и его персональный серти-
или иная система, каким угрозам она
должна уметь противостоять. ностью отвечает всем требованиям фикат. Развитая функциональность поз-
Реализуют эти и другие требования законодательства, что подтверждено воляет осуществлять аудит СЗИ, так
как специальное ПО, установленное
на конечных рабочих станциях (анти- сертификатами. как сразу после первого подключения
вирусы, межсетевые экраны и т.д.),
так и аппаратные замки (аппаратно- Развивая идею сокращения общего АПК "ЗАСТАВА-ТК" его идентифика-
программные модули доверенной
загрузки, АПМДЗ). И если с программ- количества ПО на рабочей станции, мы ционный номер добавляется в базу цент-
ным обеспечением у российских вен-
доров в 2022 г. не наблюдается суще- приходим к концепции тонкого клиента. рализованного управления.
ственных проблем, то ситуация с
АПМДЗ несколько сложнее. В рамках этой архитектуры в ОС остают- "Вишенкой на торте" можно считать то,
В этом кризисе нет вины самих про- ся лишь клиентские компоненты самых что в АПК "ЗАСТАВА-ТК" реализовано
изводителей: они, как и все участники
рынка высоких технологий, зависят от популярных на рынке VDI-решений, к ним централизованное управление политика-
поставщиков электронных компонентов,
которые и сами испытывают трудности добавляются VDI-решения, имеющие ми безопасности и обновлениями всего,
с производством. Проблема определен-
но носит общемировой характер. сертификаты российских регулирующих что только можно и нужно обновлять.
Но закон неумолим, и выполнять его организаций, и совсем немного вспомо-
требования необходимо.
гательного ПО (калькулятор, блокнот, Больше информации об АПК "ЗАСТА-
ssh-клиент и др.). И в итоге получается ВА-ТК" находится на сайте www.zastava.ru.
легковесная среда, для работы которой По вопросам приобретения АПК
не требуется высокопроизводительной "ЗАСТАВА-ТК" обращайтесь в дирекцию
аппаратной составляющей, что крайне продаж АО "ЭЛВИС-ПЛЮС" по телефону
важно в современных реалиях. Причем +7 (495) 276-0211 или электронной почте
на складах имеется достаточное коли- [email protected]. l
чество платформ с такими
характеристиками, про- NM Реклама
изведенных до дефицита АДРЕСА И ТЕЛЕФОНЫ
комплектующих, да и АО "ЭЛВИС-ПЛЮС"
стоимость приятно пора- см. стр. 60
дует.
• 41
ТЕХНОЛОГИИ
PHDays 11: взрыв интереса к ИБ,
расследование атаки на Rutube
и демонстрация остановки нефтепровода
И нформационная безопасность напрямую связана с безопасностью граждан и всего
государства, об этом не раз говорилось на международном форуме по практической
безопасности Positive Hack Days 11. Живая демонстрация происходила в режиме
реального времени – в ходе самой масштабной в мире открытой кибербитвы The Stand-
off. Мероприятие стало самым посещаемым за всю свою историю: за ним наблюдали
свыше 130 тыс. зрителей онлайн, а 10 тыс. человек лично посетили площадку в Москве.
В программу PHDays 11 вошли около платформы. Алексей Новиков, директор реальных угрозах. До 2022 г. список
ста докладов, секций и круглых столов, экспертного центра кибербезопасности таких угроз доходил до сотни. Сейчас во
конкурсы с денежными призами, твор- Positive Technologies, чья команда прово- многих компаниях запущен процесс пере-
ческие фестивали Positive Wave и Hac- дит расследование инцидента, отметил, оценки реальных рисков: фокус смеща-
kerToon, финал первого всероссийского что злоумышленники использовали ется на то, что действительно важно.
конкурса проектов Open Source для общедоступный инструментарий, в том
школьников и студентов, состязание по числе Cobalt Strike, который применяют Искусственный интеллект нам
похищению произведений кибер-арта и многие пентестеры, а также традицион- поможет
многое другое. ные для системных администраторов
инструменты. Возможности и задачи искусственного
Перечислим несколько инцидентов, интеллекта обсуждали в эфирной студии
осуществленных атакующими за четыре Как ищут информацию форума специалист отдела перспектив-
дня The Standoff: для расследования ных технологий Positive Technologies
l остановка добычи нефти в инфра- Игорь Пестрецов и преподаватель Data-
структуре нефтегазовой компании Tube, Любое действие на компьютере остав- Gym Михаил Трофимов.
которая занимается добычей, перера- ляет цифровой след: человек открывал
боткой, хранением и сбытом нефти файлы, читал их, изменял, удалял, захо- Эксперты рассказали о применении
и газа; дил в сеть, открывал порты и прочее. искусственного интеллекта в разных
l блокирование нефтепродуктопровода; Об этом напомнил руководитель анали- сферах, в том числе в ИБ, о количе-
l нарушение работы сооружений для тического отдела компании "Атом Без- ственном росте использования нейро-
очистки сточных вод. опасность" Даниил Бориславский, высту- сетей в будущем и о трансформации
пая в бизнес-треке с докладом "Рассле- многих популярных профессий.
Осуществление подобных угроз дование инцидентов ИБ, совершенных
в реальной жизни могла бы привести сотрудниками: куда смотреть, за что Эффективное взаимодействие
к тяжелейшим последствиям. Хакеры хватать, чем ловить". SOAR и SIEM для построения SOC
также довели до логического заверше-
ния свои атаки на колесо обозрения, В банках создаются С февраля 2022 г. количество инци-
телетрап и многие другие объекты вир- антикризисные группы дентов ИБ значительно увеличилось, воз-
туального государства F. реагирования росла нагрузка на SOC. Анжелика Свой-
кина, пресейл-инженер компании Security
Всего атакующие 63 раза реализовали В эфирной студии форума обсудили Vision, рассказала об использовании
недопустимые события, 30 из них были значение кибербезопасности для топ- SOAR-систем для закрытия инцидентов
уникальными. Для сравнения: в ходе менеджмента финансовой отрасли. Роман ИБ. По ее словам, эту нагрузку можно
ноябрьской кибербитвы произошло лишь Чаплыгин, директор направления по раз- снизить с помощью взаимодействия
шесть уникальных недопустимых собы- витию бизнес-консалтинга Рositive Тech- SIEM- и SOAR-платформ, используя тике-
тий. Пострадали практически все ком- nologies, рассказал о создании в компа- тинг, автоматизацию рабочих процессов
пании, за исключением банковской ниях целых антикризисных групп реаги- закрытия инцидентов, коннекторы и т.д.
системы. В систему продажи железно- рования на киберинциденты, в состав
дорожных билетов вмешались 14 из 17 которых могут входить не только руково- Воры под прикрытием
красных команд. Произошло также внед- дители, но и обычные сотрудники, обла- хактивизма
рение вредоносного кода в процесс раз- дающие рядом ценных компетенций.
работки. Наибольшее количество уязви- В последние месяцы в России участи-
мостей обнаружено в транспортной ком- Независимый эксперт Павел Климович лись не только атаки со стороны хакти-
пании Heavy Logistics. обратил внимание на то, что топ-менедж- вистов, но и атаки киберпреступников,
мент банков стал фокусироваться на нацеленных на финансовую выгоду, –
Как атаковали Rutube они получили своего рода индульгенцию
Ближе к вечеру второго дня PHDays 11
гости эфирной студии поделились дета-
лями недавней атаки на видеохостинг
Rutube. Александр Моисеев, заместитель
генерального директора "Газпром-Медиа
Холдинг", рассказал, что инфраструктура
сервиса значительно пострадала, но при
этом пользовательские данные затронуты
не были, что явно указывает на цель
преступника – полное уничтожение видео-
42 •
ТЕХНОЛОГИИ www.itsec.ru
от мирового сообщества на взлом рос- рынок прошел два больших этапа роста. том, что нужно делать, чтобы привить
сийских компаний. Об этом рассказал Первый был связан с пандемией и мас- разработчикам умение писать код без
Олег Скулкин, руководитель лаборато- совым переходом на удаленную работу, ошибок.
рии цифровой криминалистики и иссле- а второй – с известными февральскими
дования вредоносного кода Group-IB. событиями. Алексей Бабенко отметил, что извест-
ный скепсис разработчиков в отношении
После 01111111day изменения Охота на современные атаки безопасников уйдет, когда безопасность
в ИБ происходят быстро на инфраструктуру Active Directory станет частью разработки.
и локально
Выступая в треке технических докла- Bug bounty: взгляд разработчиков,
В своем докладе главный эксперт дов, Теймур Хеирхабаров и Демьян пользователей, хакеров
"Лаборатории Касперского" Сергей Голо- Соколин из компании BI.ZONE призна-
ванов представил данные с конца зимы лись, что планировали рассказать обо Участники круглого стола обсудили
этого года, полученные с помощью ста- всех известных в публичном поле атаках развитие российских платформ Bug
тистических систем Kaspersky, рассмот- на инфраструктуру Active Directory и сопут- Bounty, в том числе The Standoff 365 Bug
рел произошедшие киберинциденты и ствующие ей сервисы в 2021–2022 гг. Bounty: проблемы запуска, определения
рассказал о тактиках и средствах, кото- Но, готовясь к докладу, они поняли, что вознаграждения хакерам, бюджета на
рыми пользовались злоумышленники. в час не уложатся. Поэтому в своем поиск и устранение уязвимостей, а также
выступлении эксперты решили сосре- перспективы этого рынка. Кстати, за
После 23 февраля 2022 г. в сфере доточиться на атаках на так называемую первые два дня работы платформы The
информационной безопасности про- службу сертификации Active Directory Standoff 365 Bug Bounty на ней зареги-
изошли значительные изменения. Как и рассмотрели наиболее интересные стрировались 250 белых хакеров. Пер-
отметил Сергей, если во времена актив- и эффективные техники из арсенала зло- выми на ней разместили свои программы
ного распространения COVID-19 они умышленников с позиции Blue Team "Азбука вкуса" и Positive Technologies.
были постепенными и глобальными, то и SOC. Они также рассказали, как можно
в этом году все случилось очень быстро выявлять эти техники по штатным логам Директор блока экспертных сервисов
и локально. Windows и какие правила корреляции BI.ZONE Евгений Волошин считает, что
могут быть созданы в SIEM-системе. Bug Bounty в России сегодня – это мейн-
SOC on-premise: как построить, стрим.
"чтобы не было мучительно Эксперты отметили, что инфраструк-
больно" тура Active Directory и связанные с ней Организаторы и партнеры PHDays 11
сервисы сегодня являются неотъемле-
Не все заказчики готовы передать мой частью практически любой корпо- Бессменный организатор PHDays и
SOC на аутсорс, поэтому они пытаются ративной сети. А Active Directory как The Standoff – компания Positive Techno-
строить подобные центры у себя. Ввиду один из ключевых элементов инфра- logies. Соорганизатором третий раз под-
диктуемой геополитической ситуацией структуры – лакомый кусочек для зло- ряд стала группа компаний Innostage.
необходимости многие компании умышленников. Максимальные приви- Эксперты Innostage берут на себя задачу
в последние месяцы выполнили катего- легии, полученные в домене, распахи- развертывания инфраструктуры поли-
рирование, проектирование и внедрение вают перед атакующими двери в инфра- гона и его поддержки. Специалисты
СОИБ и подготовились к тому, чтобы структуру либо – если двери не интегри- центра предотвращения киберугроз
реализовывать функцию мониторинга рованы с Active Directory – упрощают их CyberART ведут мониторинг противо-
в своей инфраструктуре и взаимодей- открытие. стояния, контролируют действия команд,
ствовать с НКЦКИ. Третьим катализа- выступают менторами одной из команд
тором выступил первомайский Указ Пре- Опять про безопасную разработку защитников и демонстрируют гостям
зидента Российской Федерации форума цепочки реализованных атак.
"О дополнительных мерах по обеспече- О том, что такое безопасная разра-
нию информационной безопасности Рос- ботка в ИБ и почему это важно, погово- Бизнес-партнерами форума стали ком-
сийской Федерации". рили руководитель направления по раз- пании Security Vision, Ростелеком-Солар
витию продуктов для DevSecOps Positive и MONT. Технологический партнер –
Облик современного ЦОД – Technologies Алексей Жуков, замести- "Азбука вкуса". Партнеры PHDays 11 –
какой он? тель руководителя центра программных компании Axoft, Fortis, "ICL Cистемные
решений НСПК Алексей Бабенко и руко- технологии", InfoWatch, "Marvel-Дистри-
Айрат Мустафин, генеральный дирек- водитель отдела исследований и разра- буция", R-Vision, "Газинформсервис",
тор компании Liberum Navitas, предо- ботки анализаторов кода Positive Tech- "Пангео Радар", "Инфосистемы Джет",
ставляющей услуги ИТ-аутсорсинга, nologies Владимир Кочетков. Liberum Veritas, IBS Platformix, УЦСБ. l
затронул тему ЦОД завтрашнего дня,
заявив, что ЦОД выходят на новый уро- Участники рассказали о своем виде- Ваше мнение и вопросы
вень развития и последуют за банками нии безопасной разработки в ИБ и о присылайте по адресу
и интернет-сайтами, которые стали эко-
системами, что означает взаимодей- [email protected]
ствие с обществом и человеком по боль-
шому числу направлений. • 43
Особенности построения процесса
управления инцидентами в MSSP-
модели
Руководитель отдела исполнения
Security Vision Роман Овчинников поде-
лился принципами управления инциден-
тами в MSSP-модели и рассказал
о вопросах построения взаимодействия
с клиентами, способах оказания услуги,
проблемах географически распределен-
ных инфраструктур и особенностях
отчетности. За последнее время MSSP-
ТЕХНОЛОГИИ
Выявление аномалий в сетевом трафике
моделями с машинным обучением
Валентина Пугачева, ведущий разработчик алгоритмов машинного обучения
компании Security Vision
Мы в отделе разработок алгоритмов машинного обучения
Security Vision поставили перед собой задачу: научиться
детектировать нетипичные события в сетевом трафике
для выявления новых типов атак, не замечаемых другими
системами защиты. Искать нетипичные события можно
классическими детерминированными методами – моделями на
основе знаний об известных атаках, о типичном и атипичном
поведении, с использованием белых и черных списков. Такие
модели вполне эффективны, но они не позволяют находить
новые виды нетипичных событий, а также требуют частого
адаптирования как под меняющуюся инфраструктуру, так
и под непостоянный характер трафика. Поэтому в качестве
основного математического аппарата мы выбрали модели на
основе машинного обучения, которые очень хорошо подходят
для такой постановки задачи благодаря своей обобщающей
способности и механизмам адаптации к изменениям.
Поскольку нам требовался залась в финальном решении, сa, порты, протокол, количество
переданных байтов – именно
взгляд за пределы типовых другая часть была отбракована на основе этих данных и строи-
лись модели. Для объединения
атак, то мы сразу отказались или отложена в бэклог либо из- определенных моделью как
отклонения событий в инциден-
от использования размеченных за особенностей реализации на ты мы использовали кластери-
зацию.
обучающих выборок с извест- практике, либо из-за избыточ-
Важный практический вопрос:
ными атаками – это не дало бы ных требований к вычислитель- сколько времени должно прой-
ти, прежде чем система начнет
требуемого эффекта. Для ным ресурсам. выдавать первые результаты?
Для решения задачи детектирования аномалий в У нас также отсутствовала В нашем случае алгоритмы
нами были опробованы наи- начинают выдавать результаты
более популярные методы сетевом трафике мы выбрали экспертная оценка ожидаемого практически сразу, как только
машинного обучения, вклю- система начинает работу. Пер-
чая кластеризацию, Local метод тренировки модели без количества аномалий, что вый пакет накапливается за
Outlier Factor, Isolation одну минуту, он отправляется в
Forest, One Class SVM. учителя. Таким образом, исход- повлияло на особенности при- модуль предсказания, который
выдает результат. Может потре-
В нашем случае алгорит- ные данные для модели не были менения алгоритмов и созда- боваться первичная настройка
мы начинают выдавать параметров модели, но такие
результаты практически размечены, то есть для каждого вало дополнительную слож- ситуации редки.
сразу, как только система
начинает работу. события априори не было ность в проверке качества полу- Конечно же, чем чище систе-
ма от вредоносной активности
Чем чище система от известно, является ли оно ано- чаемой модели. в период обучения, тем точнее
вредоносной активности проходит обучение наша
в период обучения, тем точ- мальным или нет. Кроме того, нам важно было модель.
нее проходит обучение
наша модель. В ходе исследования для детектировать аномалии не Метод One Pass SVM и стати-
стическая модель, работающие
44 • решения задачи нами были постфактум, а в реальном вре- в системе, накапливают доста-
точную обучающую выборку от
опробованы наиболее популяр- мени, да еще и в большом пото- нескольких часов до семи дней.
Такой период обучения позво-
ные методы машинного обуче- ке событий, порядка 105 собы- ляет также учесть недельную
цикличность работы сети, ведь
ния, включая кластеризацию, тий в секунду. трафик в выходные дни заметно
отличается от рабочего.
Local Outlier Factor, Isolation В результате была создана
При этом модель принуди-
Forest, One Class SVM. Причем система, объединяющая тельно переобучается каждые
сутки на ретроспективных дан-
вполне допускалось, что в итоге несколько моделей на основе
мог остаться не только один машинного обучения и решаю-
алгоритм: использование щая поставленную задачу
нескольких методов, которые в условиях описанных ограниче-
бы работали независимо друг ний. Пришла пора проверить
от друга, дало бы более широ- систему на практике.
кую картину и позволило бы
задействовать достоинства каж- Проверка практикой
дой модели. Например, метод Сырые ненормированные
данные поступали на вход моде-
One Class SVM хорошо находит лей из различных ИБ-систем,
аккумулирующих сетевые собы-
новые события, но уязвим к тия, таких как межсетевые экра-
ны и SIEM. Каждая система
отравлению обучающей выбор- выдавала события с изначально
разными признаками, поэтому
ки. С другой стороны, Isolation в итоге мы остановились на
самом базовом наборе: ip-адре-
Forest лишен такого недостатка,
но не так эффективно работает
со входными данными.
Одна часть алгоритмов
в результате исследований ока-
ТЕХНОЛОГИИ www.itsec.ru
ных за прошедшую неделю, Рис. Получение и обработка данных
адаптируясь к меняющемуся
трафику. Переобучение каждой матически отправлялись в циональность как дополнитель-
модели происходит независимо ный слой, который хотя и не
от работающей копии, так что SIEM заказчика и анализиро- заменит существующие систе-
новая модель заменяет теку- мы защиты, но позволит уви-
щую после обучения, что поз- вались специалистами. Часть деть совершенно атипичные
воляет системе продолжать события, пропущенные другими
непрерывно работать в реаль- инцидентов была отнесена системами.
ном времени.
к False Positive, часть – При этом наша разработка
В результате такого режима оформлена в готовый коробоч-
обучения система выделяет к инфраструктурным инциден- ный продукт, который незамед- Использованные нами
в реальном трафике широкий лительно может приступить к методы машинного обуче-
спектр аномальных событий, из там, часть – к вредоносной работе в реальной инфраструк- ния достаточно прозрачны,
которых формируются инциден- туре заказчиков. и получаемым результатам
ты, прошедшие незамеченными активности. Информация вполне можно доверять.
для штатных СЗИ: сканирова- Но работа по развитию систе-
ния, атаки, инфраструктурные о такой квалификации инци- мы продолжается. Мы добав- Даже те события, кото-
проблемы, обращения к тор- ляем в модель процессинг рые были отнесены заказчи-
рентам, элементы DDoS-атак дентов снова поступает на вход новых типов более высокоуров- ком к False Positive, – это не
и даже майнинг криптовалюты. невых событий, повышаем сте- случайные ошибки, а также
модели, и эта обратная связь пень автоматизации и автоном- нетипичные события, хотя
При этом со стороны заказ- ности, включаем новые модели. и оказавшиеся легитимными
чика не требуются дополнитель- позволяет ей дообучаться под Возможно, мы также попробуем в конкретных условиях.
ные человеческие ресурсы для использовать нейронные сети
того, чтобы использовать систе- конкретные инфраструктурные в качестве одного из модулей. Важно понимать, что,
му с машинным обучением. Мы когда мы используем знание
изначально закладывали высо- условия и за счет этого повы- Важно понимать, что, когда только об известных атаках,
кий уровень автоматизации: мы используем знание только обучаясь на ретроспективно
система сама подключается шать качество своей работы. об известных атаках, обучаясь размеченных данных, мы
к источникам данных и продол- на ретроспективно размеченных оказываемся на шаг позади
жает работать в автономном Впрочем, из общения с заказ- данных, мы оказываемся на атакующих.
режиме. Результаты передают- шаг позади атакующих. Но если
ся в SIEM или IRP/SOAR заказ- чиками мы знаем, что некоторое заглянуть вперед, скажем на
чика. три года, то можно увидеть, как
количество ложноположитель- методы машинного обучения
False Positive без учителя полноценно допол-
и False Negative ных инцидентов даже полезно, няют другие СЗИ, выявляя
новые, не известные ранее типы
Использованные нами мето- поскольку это придает уверен- атак. Системы, основанные на
ды машинного обучения доста- элементах искусственного
точно прозрачны, и получаемым ность в том, что опасные ано- интеллекта, конечно, вряд ли в
результатам вполне можно обозримом будущем полноцен-
доверять. При этом система не малии точно были обнаружены. но заменят даже первую линию
становится заложником каче- SOC, но уже сейчас они могут
ства учителя или обучающей Отмечу, что даже те события, стать полезным и даже обяза-
выборки, как в случае исполь- тельным инструментом для спе-
зования нейросетей – они могут которые были отнесены заказ- циалистов по информационной
быть отравлены некорректным безопасности. l
обучением или оказаться чиком к False Positive, – это не
неустойчивыми в случае силь-
ного отклонения трафика от случайные ошибки, а также
обучающего.
нетипичные события, хотя и ока-
В качестве проверки на этапе
экспериментов мы добавляли завшиеся легитимными в кон-
во входные данные априорные
аномалии и добивались, чтобы кретных условиях. Поскольку
такие вручную добавленные
события выявлялись системой инфраструктура заказчика
в полном объеме.
живет и функционирует, у нее
При этом уровень False Posi-
tive принципиально оценить есть типовое поведение, но
довольно сложно, ведь клас-
сические метрики для нашего также присутствуют и редкие
случая не подходят из-за отсут-
ствия разметки входных дан- процессы, которые мы как раз
ных. Поэтому мы перешли на
оценку False Positive по обрат- и выделяем в аномалии.
ной связи от заказчиков.
Например, после работы моде- Перед тем как на основе дан-
ли в течение нескольких недель
обнаруживались 10–20 инци- ных о найденных отклонения
дентов в неделю. Все они авто-
создавать новые инциденты
в SIEM или SOAR, система учи-
тывает уже существующие
инциденты. Это делается, во-
первых, чтобы не дублировать
аналитические данные, а во-
вторых, при возможности обо-
гатить существующий инцидент
полученной информацией.
Планы развития NM Реклама
Разработка модели стала для АДРЕСА И ТЕЛЕФОНЫ
компании Security Vision первым Security Vision
опытом анализа сетевого тра- см. стр. 60
фика. Пока мы видим эту функ-
• 45
ТЕХНОЛОГИИ
Unified Risk Platform
для проактивной защиты от атак
К оличество киберпреступных групп увеличивается, и, как следствие, растет число атак.
Новые тактики и инструменты, используемые атакующими, наглядно демонстрируют,
что компаниям, а иногда и целым странам, все труднее управлять своими рисками
в киберпространстве. В ответ на эти вызовы Group-IB вывела на рынок единую
платформу Unified Risk Platform, которая благодаря пониманию методов, инструментов
и намерений атакующих предоставляет высокий уровень защиты. Проактивное выявление
и предотвращение сложных целевых атак, мошенничества, утечек, незаконного
использования интеллектуальной собственности и бренда клиента – все эти актуальные
киберугрозы могут быть предотвращены еще на стадии подготовки кибератаки.
Питч продукта l системы поведенческого анализа;
В чем уникальность Unified Risk Platform? l сканеры даркнета;
l обнаружение вредоносной активности
Это супероружие, которое обеспечивает максимальный уровень защиты от на основе нейронных сетей.
киберугроз на трех основных направлениях: внешний периметр компании,
внутренняя инфраструктура, интеллектуальная собственность и бренд. Для анализа полного спектра кибер-
рисков Group-IB исследует 60 типов
Что защищает Unified Risk Platform? источников данных киберразведки,
включающих Интернет и почтовый тра-
Саму компанию – снаружи и изнутри, ее бренд и цифровые активы, а также ее фик, события внутри сети и на рабочих
клиентов и партнеров. станциях, уязвимости, утечки данных,
активность вредоносного ПО, мошенни-
От каких конкретно киберрисков защищает Unified Risk Platform? ческую активность, активность в дарк-
нете и др.
От актуальных целевых атак и киберрисков, связанных с утечками данных,
мошенничеством, фишингом, нелегальным использованием бренда. Что входит в Group-IB
Unified Risk Platform
Для кого предназначена Unified Risk Platform?
Threat Intelligence
Для руководителей и специалистов отделов кибербезопасности, антифрод-
аналитиков и аналитиков SOC, юристов и маркетологов, защищающих Group-IB Threat Intelligence предостав-
интеллектуальную собственность компании. ляет пользователю уникальную инфор-
мацию об атакующих организацию зло-
Как подключается Unified Risk Platform? умышленниках и повышает эффектив-
ность всех компонентов экосистемы
Буквально в пару кликов. Настраиваемый интерфейс позволяет клиенту кибербезопасности за счет стратегиче-
выбрать одно или несколько наиболее актуальных решений Group-IB, ских, оперативных и тактических данных
основанных на модели SaaS (программное обеспечение как услуга). киберразведки.
И в чем конкурентное преимущество Unified Risk Platform? Понимание ландшафта угроз позво-
ляет предвосхищать атаки, а Group-IB
Учитывая подобный функционал "швейцарского ножа", URP не имеет аналогов предоставляет точную и надежную
ни в России, ни за рубежом. информацию для оптимизации ИБ-стра-
тегии и принятия решений на основе
В основе Unified Risk Platform лежит протоколы защиты актуализируются в данных.
экосистема продуктов Group-IB, аккуму- режиме реального времени.
лирующая актуальные данные кибер- Исследование1 показывает, что Threat
разведки и уникальный опыт экспертов. Unified Risk Platform агрегирует и обра- Intelligence заметно увеличивает эффек-
Платформа предоставляет полную батывает широкий диапазон данных тивность команды по сравнению с аль-
информацию об атакующих, нацелив- киберразведки. Благодаря этому пол- тернативами других вендоров.
шихся на вашу компанию, и эффективно ностью автоматизированно формируется
предотвращает атаки, мошенничество и постоянно изменяющийся глобальный Managed XDR
неправомерное использование бренда. ландшафт киберугроз по всему миру,
включающий вредоносную активность Проактивная защита от киберугроз с
Платформа не просто объединяет дан- финансово мотивированных хакеров, помощью Group-IB Managed XDR позво-
ные из всех решений Group-IB, она спо- прогосударственных атакующих (APT), ляет:
собствует их взаимообогащению, пре- хактивистов, мошенников и других l нейтрализовать постоянно усложняю-
доставляя таким образом возможность киберпреступников. щиеся угрозы;
заказчику самому выбирать продукт, l проводить проактивный поиск неде-
отвечающий его потребностям в каждой Уникальная библиотека данных Threat тектируемых угроз в инфраструктуре;
конкретной ситуации. Unified Risk Platform Intelligence на протяжении последних l противодействовать атакам в режиме
адаптивно создает индивидуальные про- 11 лет создавалась командами аналити- реального времени, максимально быстро
фили угроз под каждую конкретную ком- ков Group-IB с использованием запатен- реагируя в случае инцидента.
панию с учетом отрасли и региональной тованных технологий, в числе которых:
принадлежности. При этом релевантные l инновационные алгоритмы машинно-
го обучения;
1 https://www.group-ib.com/threat-inteligence-attribution-tei-forrester.html
46 •
ТЕХНОЛОГИИ www.itsec.ru
Managed XDR предоставляет возмож- зованием социальной инженерии до
ности проактивного обнаружения кибе- отмывания доходов.
ругроз и реагирования в едином интер- Данные киберразведки, собранные Uni-
фейсе. Решение состоит из нескольких fied Risk Platform, обогащают представ-
компонентов, одним из которых является ление о ландшафте угроз, а гибкая архи-
защита конечных станций и реагирова- тектура Fraud Protection позволяет иде-
ние (EDR). Работа EDR основывается ально интегрировать решение в суще-
на данных киберразведки, сигнатурном ствующий стек технологий через API.
и поведенческом анализе и экспертизе
сотрудников Group-IB. В рамках реаги- Attack Surface Management
рования на угрозы EDR может блокиро- Group-IB Attack Surface Management
вать запуск файлов, останавливать про- отслеживает забытые компанией ИТ-
цессы на хостах и изолировать конечные активы, незащищенные участки инфра-
станции от сети. При этом EDR проводит структуры, некорректно настроенные
сбор необходимой криминалистической элементы сети, которые могут исполь-
информации для дальнейшего анализа. зоваться атакующими. В рамках Unified
Cервисы Managed XDR включают круг- Risk Platform решение позволяет увидеть
лосуточный мониторинг событий ИБ, всю поверхность атаки с точки зрения Подготовка систем безопасности
проактивный поиск недетектируемых злоумышленника, чтобы оперативно к реагированию
угроз и реагирование на выявленные и превентивно укрепить слабые места.
инциденты. В результате Managed XDR Attack Surface Management сканирует Unified Risk Platform не только непре-
позволяет реагировать на угрозы всю поверхность сети "Интернет" для рывно отслеживает действия злоумыш-
на 20% быстрее, при этом обеспечивает выявления и индексации инфраструкту- ленников, что позволяет выявлять
возврат инвестиций свыше 272%, соглас- ры компании. Результаты сканирования сложные угрозы и техники атакующих,
но аналитическому исследованию For- сопоставляются с поддоменами, SSL- но и, исходя из актуальных угроз, авто-
rester2. сертификатами и DNS-записями. Полу- матически настраивает решения Group-
чив информацию об основном домене IB, снижая вероятность успешной
Digital Risk Protection организации, Attack Surface Management атаки.
Group-IB Digital Risk Protection снижает определит полную поверхность атаки и Платформа оперативно детектирует
цифровые риски для брендов и защи- выстроит рабочие процессы для уточ- начальные признаки вредоносной актив-
щает интеллектуальную собственность нения информации об активах и свя- ности, мошеннических действий или
от мошенничества, пиратства и утечек занных с ними проблемах информа- неправомерного использования бренда,
данных. Согласно оценкам аналитиков, ционной безопасности в режиме реаль- тем самым предотвращая атаки и воз-
Digital Risk Protection обнаруживает ного времени. можный ущерб.
пиратский контент в среднем за 30 минут В результате Attack Surface Manage- Подробный анализ схем и техник зло-
и устраняет 80% нарушений в течение ment выявляет поверхности атаки, учи- умышленников позволяет Unified Risk
семи дней. тывая и те ресурсы, которые в настоящее Platform эффективно им противодей-
Запатентованные технологии позво- время неизвестны организации. Решение ствовать. Благодаря встроенным реше-
ляют Digital Risk Protection автоматически способно обнаруживать теневые ИТ- ниям и технологиям платформа опера-
проверять миллионы ресурсов на пред- активы, забытую инфраструктуру тивно реагирует на риски, направленные
мет незаконного использования объ- и некорректные конфигурации баз дан- на инфраструктуру, конечные станции,
ектов интеллектуальной собственности. ных, которые могут привести к несанк- бренд и клиентов, минимизируя послед-
Собранные данные могут включать ционированному доступу извне. Это ствия инцидента и снижая риски новых
скриншоты, изображения, HTML-файлы, является ключевым отличием от обыч- атак.
цепочки редиректов, источники трафика ных сканеров уязвимости, для работы Заключение
и связанные с доменом параметры. которых необходимы определенные диа-
Используемый комплекс многоэтап- пазоны IP-адресов известных ресурсов Решения Group-IB признаны веду-
ного реагирования обеспечивает мак- организации. щими аналитическими агентствами For-
симально эффективное устранение нару- rester, Gartner, IDC и только в нынеш-
шений, а сочетание автоматизированной Business Email Protection нем году получили восемь золотых
системы и обширной партнерской сети Электронная почта – первоочередной наград в рамках Cybersecurity Excel-
позволяет устранять большинство нару- вектор атаки для киберпреступников, lence Awards. Объединение в Unified
шений в досудебном порядке. так как обойти стандартные средства ее Risk Platform всех сервисов компании,
Подход Group-IB к борьбе с мошенни- защиты можно относительно легко. среди которых пентесты, исследования
чеством основан на выявлении сетей Group-IB Business Email Protection защи- киберпреступлений, реагирование на
мошеннических ресурсов и стоящей за щает корпоративную электронную почту инциденты со сложными инженерными
ними инфраструктуры киберпреступни- от атак: отслеживает индикаторы ком- разработками, дает высокий уровень
ков, а механизмы машинного обучения прометации, выявляет поведенческие защиты для бизнеса любого масштаба
позволяют обнаруживать мошенниче- маркеры вредоносной активности и отрасли.
ские ресурсы до того, как на них будет и извлекает артефакты для определения Для внедрения Unified Risk Platform
привлечен трафик. опасных писем прежде, чем они будут достаточно начать использование
доставлены. любого модуля платформы, а затем
Fraud Protection Благодаря запатентованным техноло- подключать другие по мере необходи-
Решение Group-IB Fraud Protection раз- гиям и данным киберразведки Business мости. l
работано специально для противодей- Email Protection обнаруживает, блокирует
ствия наиболее сложным мошенниче- и анализирует все распро-
ским схемам вне зависимости от отрасли страняемые через почту NM Реклама
и направления деятельности компании – угрозы, от спама и фишин- АДРЕСА И ТЕЛЕФОНЫ
от платежного мошенничества с исполь- га до ВПО и BEC-атак. Group-IB
2 https://explore.group-ib.com/threat-hunting-framework-tei-study см. стр. 60
• 47
ТЕХНОЛОГИИ
Эволюция экосистемы решений
UserGate SUMMA
Иван Чернов, менеджер по развитию UserGate
И мпортозамещение, без сомнения, стало одним из главных
трендов 2022 г. Однако факт локализации разработки в
России сам по себе не гарантирует ни качество системы, ни
развитие функциональности, ни положительные отзывы со
стороны заказчиков. В основе успешных систем защиты
должны лежать фундаментальные принципы. В этой статье
речь пойдет о том, на каких именно принципах базируются
продукты UserGate.
Сами по себе продукты не решают ком- лагает пошаговую проработку каждого Просто отказаться от авторизации
плексных задач обеспечения безопасности. правила. В нашей практике мы увидели пользователей невозможно, ведь это
Если просто установить и настроить NGFW, то, что пользователи иногда создают сразу скажется на видимости происхо-
безопасность автоматически не появится: огромное количество правил, и это начи- дящего в сети, и часть событий без-
необходима экосистема продуктов, которая нает сказываться на быстродействии опасности окажется недоступной для
позволит с помощью комбинаций разно- файрвола. мониторинга и анализа.
образных решений реализовывать совре-
менные концепции сетевой безопасности. Поэтому мы применяем свою техно- Технологии UserGate позволяют про-
логию проверки правил: в первую оче- водить авторизацию более эффективно,
За последние годы у UserGate появи- редь проводится по критериям срабаты- в результате домен заказчика может
лись продукты, которые сформировали вания правил, а лишь затем по тем пра- поддерживать огромное количество
экосистему UserGate SUMMA. В нее, вилам, которые учитывают актуальные пользователей без потери производи-
кроме UserGate NGFW, входит: решение критерии. За этим вроде бы простым тельности.
по поиску, глубокому анализу и реаги- решением стоит серьезная математика.
рованию на инциденты безопасности И теперь для UserGate NGFW практиче- SSL-инспекция трафика
UserGate Log Analyzer; программный ски неважно, какое количество правил
комплекс для безопасности конечных предусмотрено вами в фильтрации: Практически в любой сети движется
пользователей UserGate Client; модуль обработка происходит намного быстрее. зашифрованный трафик, и если вы не
обнаружения и предотвращения втор- знаете, что в нем содержится, то только
жений (СОВ/IDPS); централизованное UserGate не мешает легитимному потому, что ваше устройство с этим не
решение для управления экосистемой справляется. Вы можете пропустить при-
безопасности корпоративного уровня трафику знаки уже осуществляемой атаки или
UserGate Management Center. Комплекс- еще только вредоносной нагрузки, кото-
но отвечая на потребности заказчиков, Традиционный подход прокси-сервера рая направляется к вашим пользователям.
мы постоянно расширяем нашу линейку. к обработке трафика предполагает про-
В ближайшем будущем в рамках SUMMA цесс дублирования установки сессии, UserGate NGFW поможет с этим спра-
ожидается релиз UserGate DCFW (Data то есть прокси-сервер сначала прини- виться, потому что он умеет дешифро-
Center Firewall) – высокоскоростного мает на себя соединение от источника, вать трафик. Для инспекции зашифро-
межсетевого экрана нового поколения, а затем инициирует соединение с адре- ванного трафика UserGate использует
предназначенного для обработки боль- сатом. Это создает проблему со скоро- не потенциально уязвимый Open SSL,
ших объемов трафика, и модуля WAF стью прохождения трафика. а собственную библиотеку по работе
UserGate для защиты веб-приложений. с SSL-трафиком. Библиотека позволяет
Фильтрация во встроенном прокси- дешифровывать протокол TLS 1.3 (при-
Центром экосистемы SUMMA является сервере UserGate работает по-другому: чем разработчики UserGate это сделали
UserGate NGFW. За годы работы над наши технологии позволяют контроли- одними из первых в мире) и TLS ГОСТ.
ним мы накопили технологии, которые ровать соединения, не дублируя запро- UserGate NGFW дешифрует почти 100%
уже делают наш файрвол, возможно, сы. Мы смотрим и контролируем, но не трафика, что позволяет повысить про-
лучшим в стране. И мы планируем сде- вносим задержки в трафик. Это позво- зрачность картины происходящего
лать UserGate NGFW лучшим в мире. ляет инспектировать трафик очень с сетевым трафиком.
быстро и качественно, и, что важно,
Четыре примера прорывных обеспечивать максимальную видимость Экспертиза UserGate
улучшений UserGate NGFW происходящего в этом сетевом соеди-
нении. Если вы покупаете какой-то продукт
Фазовый обход правил по обеспечению безопасности, но в нем
Быстрая авторизация пользователей ничего не обновляется и отсутствует
Традиционная схема проверки сетевых список сигнатур, то в нем нет признаков
пакетов на множестве правил предпо- В нашей практике встречаются слу- экспертизы разработчика. Между тем,
чаи, когда в домене заказчика заве- экспертиза – это восемьдесят процентов
48 • дено очень большое количество поль- успеха хорошего ИБ-продукта. Именно
зователей. Традиционный подход к поэтому своя экспертиза – это важный
авторизации каждого пакета нагружал элемент экосистемы UserGate SUMMA,
контроллер огромным количеством позволяющий заказчикам использовать
запросов, практически парализуя его компетенции наших специалистов.
работу.
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
InfScr32022
Discover the best professional documents and content resources in AnyFlip Document Base.
Search