По курсу киберустойчивости
Эксперты рассказали об IT-решениях в сфере информационной безопасности
Российский бизнес в течение последнего года испытывает колоссальное давление со стороны хакеров. На фоне сложной геополитической ситуации растет число массированных DDoS-атак на организации и даже предприятия, относящиеся к малому бизнесу. ИД «Коммерсантъ» собрал лучших экспертов в IT-сфере и топ-менеджеров петербургских компаний на мероприятии, чтобы обсудить отечественные решения и возможности их реализации для достижения киберустойчивости бизнеса.
Качественный аналог
Основные зарубежные поставщики решений в сфере информационной безопасности (ИБ) частично покинули российский рынок в прошлом году. Большинство иностранных вендоров, в числе которых Acronis, AMD, Autodesk, Cisco, Citrix, Dell Technologies, Fortinet, GitLab, HPE, IBM, Intel, MickroTik, Microsoft, NetApp, Nokia, Norton, Oracle, остановили продажи и поддержку программного обеспечения в России. Но ситуация сложилась на рынке не патовая и отечественные решения, способные заменить иностранных вендоров, все же есть, считает руководитель группы управления продуктами «Газинформсервиса» Сергей Никитин.
Специалисты компании давно занимаются развитием продуктов в сфере ИБ. Одно из набирающих популярность решений — программный комплекс Efros, ориентированный на обеспечение безопасности IT-инфраструктуры: сетевого оборудования, сред виртуализации, операционных систем, прикладного программного обеспечения (СУБД, SCADA, Docker, RPA и др.).
«В 2017 году мы ставили цель охватить 5 тыс. объектов защиты в рамках одной инсталляции. Тогда эта задача казалась невыполнимой. В результате появился инструмент централизованного комплексного интеллектуального контроля конфигурации сетевого оборудования, операционных систем и платформ виртуализации — программный комплекс контроля конфигураций Efros Config Inspector. В 2020 году мы сконцентрировались на развитии NAC-решений — средств контроля безопасного доступа к корпоративной сети. На тот момент казалось, что такой потребности нет. В 2022 году, после начала СВО и ухода вендоров, отзыва лицензий все стали искать отечественные NAC-решения. А у нас к тому времени уже сформировалась экспертиза»,— рассказывает Сергей Никитин, отмечая работу компании на опережение спроса.
Все последние годы «Газинформсервис» последовательно увеличивал число отечественных решений, поддерживаемых продуктами линейки Efros. В результате сегодня предлагается программный комплекс Efros Defence Operations, который содержит модули управления сетевым доступом, анализа безопасности сети, управления политиками межсетевых экранов, контроля целостности и уязвимостей. Интеграция модулей на единой платформе позволяет управлять различными аспектами ИБ и строить максимально точную картину сетевых взаимодействий. По мнению разработчиков, продукт можно поставить в одну линейку с решениями таких западных вендоров, как Skybox Security, Tufin, SolarWinds Inc.
Еще одно отечественное решение пришло на замену американских продуктов VMware и Citrix — платформа виртуализации HOSTVM. По словам Алексея Калистратова, руководителя по работе с ключевыми клиентами HOSTVM, платформа представляет собой российскую версию гипервизора, построенного на базе открытого исходного кода KVM. Платформа развивается с 2014 года и на сегодняшний день уже обзавелась достаточно широким набором дополнительных сервисов и инструментов. Теперь в портфеле — продукты по виртуализации серверного оборудования, рабочих мест и приложений, управлению терминальными сессиями. Отдельно стоит отметить, что при миграции никаких дополнительных усилий по адаптации виртуальных машин не потребуется: их достаточно импортировать, а потом запустить на базе нового гипервизора.
В сфере управления учетными данными, доступом и идентификацией есть также отечественные аналоги. Например, конкурирующей с IBM Security Identity Manager или One Identity от Quest (ранее — Dell) является платформа Ankey IDM, разработанная компанией «Газинформсервис».
По словам Ивана Корешкова, менеджера по данному продукту, платформа включает «золотой стандарт» функций (управление учетной записью, отслеживание кадровых событий, временные права доступа для подрядчиков). А также функции, повышающие удобство управления и гибкость системы при адаптации под различные бизнес-процессы компании. Например, разделение критических прав доступа, ролевая модель и аудит прав доступа пользователей, многоступенчатое сопровождение и согласование заявок, управление парольной политикой, удобный конструктор бизнес-процессов, активность в приложениях.
Иван Корешков привел в пример один случай. Злоумышленник получил доступ к электронной почте ведущего менеджера одной компании. Пока сотрудник был в отпуске, хакер сформировал счета с поддельными реквизитами и направил клиентам менеджера по почте с текстом — скидка на оплату в течение трех дней. В результате часть клиентов перевела средства на мошеннические счета, компании пришлось реализовать свою продукцию в убыток более чем на 50 млн рублей. После этого организация обратилась за продуктом Ankey IDM, который в данном случае обеспечивает централизованный контроль всех учетных записей. «Данное решение позволяет обеспечить эффективность бизнеса снижением трудозатрат на выдачу и отзыв прав и учетных записей и повысить уровень безопасности благодаря централизованному контролю доступов и полномочий. Не мешает пользователям выполнять свои трудовые обязанности, сохраняя типовые права доступа, и при этом отвечает за превентивные меры несанкционированного доступа, например — блокировка учетных записей сотрудников на время отпуска, или по такому триггеру, как нетипичный вход в систему — по времени, по IP-адресу, или необычному “слепку” устройства»,— подытожил Иван Корешков.
Применение платформы обеспечивает соответствие требованиям стандартов и нормативных документов, а наличие сертификата ФСТЭК позволяет использовать ее в составе программного обеспечения для защиты от несанкционированного доступа к информационным ресурсам, содержащим персональные данные и коммерческую тайну, в том числе и в компаниях, которые имеют в своем составе объекты критической инфраструктуры.
Необходимый фильтр
Сотрудники отделов информационной безопасности организаций все чаще сталкиваются с проблемой защиты периметра сети от хакерских атак. Как правило, уязвимых мест много: начиная от сторонних подключений от удаленных пользователей (например, сотрудников, находящихся в командировке) и заканчивая человеческим фактором, когда сотрудник может привнести в систему вирусы из интернета. Эффективным решением, базовым элементом защиты от сетевых угроз является межсетевой экран следующего поколения (NGFW UserGate), который позволяет реагировать на атаки злоумышленников, использующих известные уязвимости, а также распознавать вредоносную активность внутри сети. «Внедрение NGFW UserGate — первый и очень важный шаг в строительстве системы информационной безопасности организации. Это прежде всего защита периметра сети, ее сегментация, защита отдельных участков и возможность проксирования, настройка пользовательского доступа в интернет в соответствии с функциональными полномочиями»,— комментирует Игорь Арсеньев, менеджер по работе с партнерами UserGate.
У компании двадцатилетняя история, и тринадцать лет были посвящены созданию собственного NGFW и наращиванию экспертизы. В прошлом году был открыт офис разработки в Санкт-Петербурге (историческая родина компании — Новосибирск). В апреле этого года UserGate объявил о релизе седьмой версии собственной операционной системы (UGOS 7.0), которая является основой для экосистемы UserGate SUMMA, включающей в себя UserGate NGFW — межсетевой экран следующего поколения. Одновременно UserGate объявил о старте продаж производимого в России программно-аппаратного комплекса С150. Платформа предназначена для крупных компаний с разветвленной филиальной сетью, предприятий малого и среднего бизнеса, медицинских учреждений, розничных сетей, промышленных предприятий.
В ряду важных обновлений UGOS 7.0 — расширенный функционал для диагностики, мониторинга и записи как входящего, так и исходящего трафика. К функциям работы с трафиком SSL добавились отправка расшифрованного трафика на внешние серверы и проверка расшифрованного трафика SSL с помощью СОВ/IDPS.
В составе UserGate NGFW есть важный модуль, на котором акцентировал внимание Игорь Арсеньев: контент-фильтрация и VPN-сервер, веб-портал. Модуль обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Для анализа безопасности сайтов, запрашиваемых пользователями, используются репутационные сервисы, типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL и user agent, с помощью которых администратор может запретить или разрешить работу с определенным типом браузеров.
Помимо NGFW, UserGate развивает собственную экосистему безопасности UserGate SUMMA, которая включает в себя виртуальные платформы и программно-аппаратные комплексы на базе собственной операционной системы UGOS, а также комплементарные продукты компании, обеспечивающие гибкое и целостное управление безопасностью IT-сетей. Это позволяет реализовать главное условие защищенности от кибератак — максимально полную видимость событий внутри сети.
Мобильная «Аврора»
В рамках реализуемой государством стратегии по цифровизации и импортозамещению в секторах с критической информационной инфраструктурой наряду с серверным оборудованием и традиционными персональными системами в России активно разрабатываются и внедряются мобильные решения на базе отечественных технологий. Директор по работе с нефтегазовым сектором компании «Открытая мобильная платформа» (дочернее предприятие «Ростелекома») Максим Кочетков представил мобильную платформу «Аврора», имеющую ряд преимуществ перед зарубежными Android и iOS.
Сегодня «Аврора» — это единственная работающая российская мобильная операционная система, на базе которой проекты корпоративной мобильности функционируют в ежедневном режиме более семи лет. Централизованное управление парком мобильных устройств и используемым на них мобильным ПО обеспечивается платформой управления «Аврора Центр». ОС «Аврора» и «Аврора Центр» внесены в Единый реестр российского ПО и сертифицированы ФСБ России и ФСТЭК России, что допускает их применение в высших органах власти и в стратегических корпорациях государства.
ОС «Аврора» работает на отечественных мобильных устройствах, в том числе внесенных в Единый реестр российской радиоэлектронной продукции и серийно производимых в России, что имеет важное значение для проектов в компаниях с государственным участием. Офисные и защищенные смартфоны и планшеты с ОС «Аврора» поддерживают работу стандартных приложений, таких как «Почта», «Камера» или «Телефон» и другие, а также «тиражного» софта: антивирусы, мессенджеры, VPN, СЭД. Кроме того, на устройствах с «Авророй» работают специализированные мобильные решения для специфических бизнес-задач заказчиков, например, приложения для выполнения мобильных обходов или технического обслуживания производственного оборудования.
ОС «Аврора» подтвердила свою работоспособность в бизнес-процессах ОАО РЖД, ГК «Росатом», ПАО «Интер РАО», АО «Почта России», ПАО «Ростелеком», а также в крупнейшем проекте корпоративной мобильности в мире, реализованном для правительства РФ,— «Всероссийская перепись населения», в котором в рамках одной платформы управления работало одновременно 360 тыс. российских планшетов на «Авроре».
«Все компоненты платформы “Аврора Центр” могут размещаться в инфраструктуре заказчика, что гарантирует работу мобильных приложений “Аврора” даже при гипотетическом отключении России от интернета. Никакие пользовательские или производственные данные не покидают корпоративный периметр компании-заказчика. При этом платформа “Аврора” работает под полным контролем клиента, и даже наша компания, в отличие от того, как это реализовано у Google и Apple, не имеет к ней доступа после сдачи проекта»,— отметил Максим Кочетков.
Результативная кибербезопасность
Постоянные изменения в инфраструктуре организаций и разнообразие методов хакерских атак требуют быстрого реагирования и адаптации систем. Защититься абсолютно от всех киберугроз невозможно, и все больше организаций осознает необходимость построения бизнес-ориентированной кибербезопасности, задача которой — защитить наиболее важные активы компании и предотвратить наступление недопустимых для нее событий. На рынке появился новый подход для бизнеса со зрелой ИБ — результативная кибербезопасность. И лидером в этом направлении сегодня является Positive Technologies.
О платформенном подходе Positive Technologies построения результативной кибербезопасности рассказал Павел Гончаров, руководитель направления мониторинга ИБ и выявления инцидентов, бизнес-лидер MaxPatrol SIEM, MaxPatrol VM, Positive Technologies.
По словам Павла Гончарова, к каждой организации нужен свой подход и свой инструментарий. Например, для крупного онлайн-магазина по продаже бытовой техники суточный простой работы сайта может быть оценен в 3 млн рублей убытков, а для энергетической компании сайт-визитка уже не имеет особой ценности. В первом случае защита от кибератак становится необходимостью.
При построении результативной кибербезопасности необходимо выполнить следующие действия: определить недопустимые события и верифицировать их; усилить защищенность IT-инфраструктуры и настроить мониторинг ключевых и целевых систем; проводить регулярные киберучения с имитацией хакерских атак; проверять возможность реализации недопустимых событий на платформах багбаунти.
Выстроить защиту можно с помощью MaxPatrol O2, автопилота в области кибербезопасности от Positive Technologies. «Он выявляет инциденты, самостоятельно собирает дополнительную информацию для отслеживания поведения хакера, анализирует процессы на предмет легитимности и выдает оператору на подтверждение автоматически сгенерированный сценарий реагирования»,— поясняет Павел Гончаров.
Кроме того, у Positive Technologies есть собственный экспертный центр безопасности PT Expert Security Center (PT ESC), который занимается исследованием киберугроз, выявлением сложных инцидентов в крупных компаниях, реагированием на них и их расследованием. Все эти данные аккумулируются в основу фидов (потоки данных — PT Threat Intelligence Feeds). Все индикаторы компрометации, поставляемые в фидах, анализируются и верифицируются ими. В результате специалисты имеют данные о реальных угрозах. Такие данные позволяют быть в курсе того, кто и какими способами атакует бизнес, а значит, помогают выстроить активную защиту.