Отечественная IT-защита
Эксперты рассказали о российском софте и решениях по кибербезопасности
ИД «Коммерсантъ» в Санкт-Петербурге провел конференцию «Практика достижения киберустойчивости. Актуальные вопросы импортозамещения», посвященную существующим и разрабатываемым отечественным продуктам программного обеспечения. Эксперты рассказали о комплексном подходе к защите информационной инфраструктуры, резервном копировании и восстановлении, а также о защищенном удаленном доступе и иных продуктах и решениях.
Практические рекомендации по импортозамещению в сфере информационной безопасности (ИБ) дал директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.
«Последние месяцы Россия является одной из самых атакуемых стран в мире. Эксперты по информационной безопасности сообщают, что в основном атакуют группировки из недружественных стран, которые привлекают к себе на подряд хакеров-фрилансеров. С другой стороны, западные производители, обеспечивающие информационную безопасность, уходят с российского рынка: прекращаются продажи продуктов и оказание техподдержки. В данном разрезе остро стоит вопрос импортозамещения. Однако им вплотную начали заниматься более восьми лет назад, и с тех пор ИБ-отрасль значительно выросла. Количество отечественных решений, программно-аппаратных комплексов позволяет отрасли закрыть вопросы информационной безопасности»,— обозначил вектор беседы Роман Пустарнаков.
По словам эксперта, при выборе решений необходимо учитывать их «зрелость» и время присутствия на рынке, подтвержденную сертификатами совместимость, а также возможность функционирования на операционных системах Linux, так как Microsoft приостанавливает техподдержку. В ИБ можно выделить такие классы решений, как межсетевое экранирование, DLP-системы (предотвращение утечек информации), системы управления учетными записями (IdM/PAM), системы контроля конфигураций и системы мониторинга ИТ-инфраструктуры.
«Решений очень много. Работу лучше доверить профессионалам, которые отстроят систему информационной безопасности в зависимости от потребностей заказчика. Наша компания функционирует с 2004 года и реализует полный комплекс услуг по обеспечению безопасности: тестирование на проникновение, проектирование, внедрение и техническое сопровождение. У нас существуют собственные продукты, которые эффективно замещают импортные. Спрос на подобные решения у заказчиков сегодня большой и прослеживается тенденция на его увеличение»,— подчеркнул господин Пустарнаков.
Надежная защита данных
Руководитель отдела партнерских и облачных продаж «Киберпротект» Наталья Логачева заметила, что на первый план в отрасли выходят вопросы интеграции ИТ-систем. На рынке представлено большое количество вендоров российского ПО, появляется новое оборудование, и необходимо, чтобы все это между собой «дружило».
«“Киберпротект” на российском рынке уже шесть лет, мы развиваем собственные продукты, опираясь на стандарты качества кода мирового уровня. При этом мы являемся частью экосистемы российского ПО и делаем вклад в ее развитие. Для этого в компании мы создали отдельное направление технологического партнерства, в рамках которого тестируем, составляем протоколы совместимости, делимся с рынком результатами.
Один из самых востребованных продуктов — “Кибер Бэкап”. Это резервное копирование систем любой сложности с защитой от вирусов-шифровальщиков и оценкой уязвимостей. “Кибер Бэкап” есть и в облачном варианте — как услуга. Также среди наших продуктов “Кибер Инфраструктура” — гиперконвергентная система: универсальное, экономичное и масштабируемое решение для хранения любых видов данных. И “Кибер Протего” — полнофункциональное DLP решение для защиты от утечек данных с корпоративных компьютеров»,— рассказывает эксперт, добавляя, что продукты находятся в реестре отечественного ПО и есть версии, сертифицированные ФСТЭК.
По словам Натальи Логачевой, флагманский продукт — «Кибер Бэкап» — поддерживает как известные программные продукты от Microsoft, VMWare, Citrix, Oracle и других зарубежных вендоров, так и российское ПО, которое сейчас приходит им на смену. Система резервного копирования — клиент-серверная, и «рабочей лошадкой» в ней является агент. Он работает автономно, что позволяет использовать его без постоянного обращения к сети. Здесь есть встроенная защита от вирусов-вымогателей на основе искусственного интеллекта: система распознает типичное и нетипичное поведение, и если выявлено нетипичное, то процесс останавливается и резервные копии блокируются, принимаются необходимые меры.
«Система понятна и проста в использовании. В стрессовой ситуации очень просто разобраться в процессе восстановления, так как существует единая веб-консоль для всех платформ и операций с ролевой моделью администрирования. Также есть возможность восстановления с загрузочных носителей. Возможно восстановление серверов или рабочих станций на отличное от исходного оборудование или в виртуальную среду»,— подчеркивает спикер.
Еще одна важная функция — дедупликация блоков переменного размера. Она предполагает защиту большего числа систем с меньшим расходом ресурсов хранилища данных и сети при помощи сохранения блоков, данные в которых изменялись с момента создания предыдущей резервной копии. Также в системе предусмотрено групповое использование ленточных накопителей с опциями объединения носителей в пулы, регулирования размера блока, мультиплексинга, мультистриминга, автообнаружения и инвентаризации, мониторинга емкости — это востребовано крупными корпоративными заказчиками.
Вопросами кибербезопасности компания занимается давно. В рамках Всероссийского проекта по обучению детей и взрослых принципам безопасного поведения в сети Интернет специалисты «Киберпротекта» проводят бесплатный курс в учебных заведениях, он также свободно размещен в сети и доступен всем. По словам Натальи Логачевой, уже более 2700 преподавателей этот курс прошли и на уроках рассказывают ученикам об основных принципах.
Импортозамещение в удаленном доступе
Руководитель пресейл-группы «АйТи Бастион» Павел Гарбар рассказал о том, как решаются основные проблемы тех заказчиков, которым необходим защищенный удаленный доступ при отсутствии импортных продуктов. Решения компании «АйТи Бастион» внедрены на предприятиях различных отраслей промышленности, в банковском секторе, государственных структурах — всего более 120 крупных проектов.
Для организации удаленного доступа к ИТ-инфраструктуре компания разработала комплексное решение СКДПУ НТ. «Удаленный доступ должен быть не только безопасным, но и максимально контролируемым, и при этом нетрудозатратным. К протоколам удаленного доступа, как правило, подключаются практически все сотрудники: администраторы, аудиторы, вендоры. СКДПУ НТ позволяет надежно контролировать доступ внутренних и внешних поставщиков ИТ-услуг, владельцев учетных записей с расширенными привилегиями и пользователей с повышенными рисками. Система разграничивает доступ и ведет запись действий пользователей. Фактически комплекс состоит из двух классов: PAM, выступающего в роли шлюза, и ueba, отвечающего за поведенческий анализ. Система формирует отчетность и оперативно реагирует на возможные инциденты безопасности»,— пояснил Павел Гарбар.
Комплекс СКДПУ НТ довольно легко «разворачивается» в любой инфраструктуре. Можно расширить его функциональные возможности за счет дополнительных модулей. Решение может быть интегрировано с другими продуктами под задачи заказчика. Уже подтверждена и работает совместимость СКДПУ НТ с продуктами KICS, KOS «Лаборатории Касперского», PT ISIM и MaxPatrol SIEM компании Positive Technologies, модулем Multifactor разработчика «Мультифактор», решениями РуТокен компании «Актив» и другими. СКДПУ НТ работает на ОС Astra Linux.
Для службы информационной безопасности эта система отличное подспорье. Ведь благодаря записи действий легко вычислить, что послужило причиной отказа и кто был «тот человек, который все сломал».
Для большой распределенной инфраструктуры, например для сети АЗС, банкоматов и так далее, есть компактное и удобное решение для контроля действий своих администраторов и специалистов контрагентов — СКДПУ НТ Компакт. Это программно-аппаратный комплекс, устанавливается не в разрыв сетевого трафика и не требует агентов на целевых системах. Он позволяет организовать сеть точных инсталляций там, где не нужно качать большие объемы данных и нет большого количества одновременных подключений. Соответственно ведется запись на каждом из объектов, и раз в сутки в главный офис отправляются данные для аудита и отчетности.
Одна из удобных функций — настройка ограничения подключений к удаленному доступу в определенное время или для определенного пользователя.
«Пользователь при попытке подключения должен заполнить определенную форму, где он указывает причину своего подключения, длительность. Далее форма отправляется ответственному администратору на рассмотрение. По достижении определенного кворума (один или десять человек) пользователя пускают на целевое устройство. Такая настройка возможна как для отдельных пользователей, так и для ресурсов, а также для определенных временных рамок»,— поясняет эксперт.
По словам Павла Гарбара, сегодня растет число удаленных подключений и, соответственно, количество инцидентов. Особенно это было характерно для «ковидного» времени и режима самоизоляции. При этом число ИБ-специалистов оставалось прежним, а это снижало скорость реагирования на инциденты. Для решения этой задачи применялся модуль СКДПУ НТ Мониторинг и аналитика.
В этом модуле мониторинг осуществляется в автоматическом режиме — это помогает визуализировать проблемы, которые могут возникнуть в инфраструктуре из-за действий пользователей. Например, тепловая карта и карта событий позволяют оценить плотность генерации внутри сессии и те моменты, когда пользовательское поведение было подозрительным: непривычные команды, нестандартные целевые устройства или время работы.
«Информационная безопасность — это комплексная задача. Крупные игроки ИБ уже начали объединяться, чтобы решить общие насущные проблемы. Одним решением не закрыть все запросы, поэтому необходимо интегрироваться, объединяться. Мы уже давно ведем эту работу: например, одна из последних наших технологических интеграций состоялась с решениями компании UserGate»,— отметил Павел Гарбар.
Экосистема кибербезопасности
Представитель партнерского отдела компании UserGate Полина Логвинова разделяет мнение, что комплексный подход к обеспечению информационной безопасности заключается не только в том, чтобы «закрывать» большинство задач по защите ИТ-инфраструктуры силами одного производителя, но и в том, чтобы разработчики могли осуществлять технологическую интеграцию своих решений.
UserGate — российский разработчик программного обеспечения и микроэлектроники — обеспечивает своими решениями информационную безопасность корпоративных сетей самого разного размера: от малого и среднего бизнеса до крупных корпораций с распределенной инфраструктурой. В группу компаний UserGate входят ООО «Юзергейт» (разработка программного обеспечения) и ООО «Катунь Электроника» (разработка в области микроэлектроники). Компания прошла большой путь от выпуска популярных программных решений под Windows-платформу и решений для веб-фильтрации до разработки своего проприетарного ПО и выпуска собственных аппаратных и виртуальных платформ, относящихся к классу NGFW (Next Generation Firewall — межсетевой экран нового поколения).
В настоящее время UserGate предоставляет заказчикам целую экосистему решений кибербезопасности UserGate SUMMA, в которую, помимо UserGate NGFW, входит решение по поиску, глубокому анализу и реагированию на инциденты безопасности UserGate Log Analyzer; решение для безопасности конечных пользователей UserGate Client; модуль обнаружения и предотвращения вторжений (СОВ/IDPS); централизованная система управления экосистемой UserGate SUMMA корпоративного уровня UserGate Management Center. В ближайшем будущем в рамках UserGate SUMMA ожидается релиз UserGate DCFW (Data Center Firewall) — высокоскоростного межсетевого экрана нового поколения, предназначенного для обработки больших объемов трафика (до 150 Гбит), и модуля WAF UserGate для защиты веб-приложений.
Линейка аппаратных платформ UserGate постоянно расширяется. В этом году Минпромторг России включил новые аппаратные платформы UserGate C150 в единый реестр российской радиоэлектронной промышленности (на данный момент можно считать, что это единственная многофункциональная интеллектуальная платформа для обработки сетевого трафика, внесенная в реестр). Выпуск аппаратных платформ UserGate C150 осуществляется на контрактном производстве в Санкт-Петербурге.
Кроме этого, UserGate предлагает решения для виртуальной ИТ-инфраструктуры, а также обеспечивает комплексную защиту информационных систем по подписочной модели Security as a Service (без закупки устройств безопасности), в том числе в частных и публичных облаках.
Продукты и решения UserGate применяются в госкомпаниях, финансовом секторе, промышленности, учреждениях образования, здравоохранении и во многих других отраслях.
UserGate широко используется для предоставления безопасного удаленного доступа (по концепции ZTNA), комплексной безопасности корпоративных сетей, защиты государственных и корпоративных ЦОД, безопасности объектов КИИ, компания также предлагает эффективный инструментарий по защите ИТ-архитектуры для малого и среднего бизнеса.