Что могут наши ИБ-решения::БИТ 06.2012
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
март    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
24
30
31

показать все 

Новости партнеров

21.03.2019

Как работает IoT-платформа от Bosch? Расскажут 27 марта в Москве

Читать далее 

21.03.2019

OS DAY 2019. Инструменты, их разработка и опыт применения

Читать далее 

21.03.2019

Видео, кинки-вечеринки, гендерное равенство, секс в социальных сетях и другие нестандартные темы Российского Интернет Форума 2019

Читать далее 

20.03.2019

Qrator Labs защитила Универсиаду-2019 от DDoS-атак и взломов

Читать далее 

показать все 

Статьи

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

25.02.2019

Корневые причины неудач. Значимость бизнес-процессов в достижении целей организации

Читать далее 

25.02.2019

Зачем нам 5G?

Читать далее 

25.02.2019

Продвигаем ИТ-продукты/услуги

Читать далее 

25.02.2019

Какую модель выбрать?

Читать далее 

25.02.2019

Держим ушки на макушке?

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Что могут наши ИБ-решения

Главная / Архив номеров / 2012 / Выпуск №1 (19) / Что могут наши ИБ-решения

Рубрика: Тема номера /  Сделано в России


Андрей Бирюковспециалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Что могут наши ИБ-решения

Многие компании в России специализируются на решениях по информационной безопасности. Рассмотрим их основные разработки и услуги

В России, где работа с информацией определенного вида требует использования только сертифицированных средств защиты, немаловажную, если не решающую роль в развитии отрасли ИБ играют государственные регуляторы, прежде всего ФСТЭК и ФСБ. После вступления в силу ФЗ #152 «О персональных данных» каждой организации необходимо защищать ПДн своих сотрудников, клиентов, партнеров и т.д. Поэтому в статье будут описаны именно сертифицированные средства защиты российской разработки.

Помимо упомянутого ФЗ, имеются также другие законодательные акты и стандарты ЦБ РФ, регламентирующие банковскую деятельность, однако основной упор будет сделан на ПДн, так как этот нормативный акт касается практически всех. Мы рассмотрим достоинства и недостатки сертифицированных средств защиты, а также поговорим о перспективах развития рынка ИБ в России.

Еще раз про ФЗ #152

Напомню классификацию информационных систем персональных данных (ИСПДн):

  • класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  • класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  • класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  • класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Также в соответствии с требованиями регуляторов можно выделить восемь видов средств защиты информации, которые обеспечивают защиту ИСПДн:

  • управления доступом;
  • регистрации и учета;
  • обеспечения целостности;
  • межсетевого экранирования;
  • обнаружения вторжений;
  • анализа защищенности;
  • антивирусной защиты;
  • защиты каналов связи.

Конечно, если у вашей организации нет филиалов и удаленно работающих сотрудников или вообще отсутствует подключение к глобальной сети, то не все подсистемы вам необходимо внедрять.

Итак, мы определились с тем, какие типы средств защиты требуют регуляторы. Как реагирует на эти требования российский рынок информационной безопасности?

Защита от несанкционированного доступа

Для реализации управления доступом, регистрации и учета и обеспечения целостности отечественные разработчики предлагают целый ряд программных и программно-аппаратных средств защиты. Основными игроками здесь являются компании «Код безопасности» (электронный замок «Соболь», Secret Net, vGate), ОКБ САПР (аппаратный модуль «Аккорд»), ООО «Конфидент» (программное средство Dallas Lock). Данные системы выполняют следующий типовой набор функций: аутентификацию пользователей, блокировку загрузки ОС со съемных носителей, контроль целостности программной среды, регистрацию попыток доступа к ПЭВМ. Аппаратное средство защиты представляет собой плату, устанавливающуюся на компьютер. Программные средства просто устанавливаются в операционную систему.

Если для защиты данных, хранящихся на физических компьютерах, существует несколько решений, то с виртуальной средой все несколько сложнее. Здесь наиболее распространенным решением является vGate – сертифицированное средство защиты информации от несанкционированного доступа, предназначенное для обеспечения безопасности виртуальных инфраструктур на базе платформ VMware vSphere 4 и 5, применение которого дает возможность легитимной обработки данных ограниченного доступа в виртуальной среде.

Но в целом технологии средств предотвращения несанкционированного доступа уже достаточно устоявшиеся. Требования четко регламентированы, и каких-либо особых изменений здесь ждать не стоит. Исключениями могут стать виртуализация и защита мобильных устройств.

Межсетевые экраны, IDS и защита каналов связи

Средства межсетевого экранирования – одни из самых распространенных решений защиты информации. Здесь также имеются программные и программно-аппаратные решения. Большинство программных решений представляет собой межсетевые экраны, устанавливаемые на конечные узлы пользователей. Как правило, такие решения включают в себя, помимо непосредственно межсетевого экранирования, также и другие функции, такие как антивирусную защиту или систему предотвращения вторжений. Примерами подобных решений являются ViPNet Personal Firewall от компании «ИнфоТеКС» и Security Studio Endpoint Protection от «Кода безопасности».

Отличительные черты этих продуктов – возможность ограничения доступа в сеть, полностью контролируемая пользователем, защита от программ-шпионов и троянов (по сути, часть антивирусного функционала), система обнаружения вторжений и блокирования атак (IDS) и средства определения источников сетевых атак.

Также существуют программные и аппаратные комплексы межсетевого экранирования, которые устанавливаются на вход в сеть. Такие системы, помимо функций файрвола, выполняют также роль средства криптографической защиты каналов связи. Наиболее известным аппаратным комплексом для межсетевого экранирования и защиты каналов связи является АПКШ «Континент» от «Кода безопасности». Аналогичным решением является ViPNet Coordinator, разработанный компанией ИнфоТеКС.

Вообще криптография – это особая тема. Для того чтобы использовать шифрование ГОСТ 28147, необходимо применять сертифицированные ФСБ решения, которых не так много, поэтому здесь российские разработчики могут чувствовать себя достаточно спокойно и не бояться иностранных конкурентов.

Антивирусные средства

На этом рынке основными игроками являются компании, изначально специализировавшиеся на разработке антивирусных средств. Например, целый ряд продуктов «Лаборатории Касперского» имеет решения, необходимые для использования в информационных системах обработки персональных данных, до класса К1. Аналогичный набор есть и у компании «Доктор Веб».

Вмешаться в безраздельное господство антивирусов этих двух отечественных разработчиков пытаются также и компании, специализирующиеся на разработке других средств защиты. Например, уже упоминавшийся ранее Security Studio Endpoint Protection также является сертифицированным средством. Однако фактически данный продукт по своему антивирусному функционалу отстает от Dr.Web и Kaspersky.

Анализ защищенности

Этот рынок практически полностью занимает компания Positive Technologies со своими решениями XSpider и MaxPatrol. Эти продукты являются сканерами уязвимостей. Для защиты персональных данных, как правило, достаточно более дешевого XSpider. Хотя сам XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco (не исключая, конечно, *nix, Solaris, Novell, AS400 и т.д.). Список обнаруженных уязвимостей предоставляется администраторам для дальнейшей установки обновлений.

Сканер MaxPatrol является более мощным средством и ориентирован на иностранные рынки. Стоимость внедрения некоторых конфигураций этого решения может достигать нескольких миллионов рублей.

Безопасность мобильных решений

В связи с развитием рынка мобильных устройств, прежде всего смартфонов и планшетов, многие компании хотят, чтобы их сотрудники использовали эти устройства в своей работе. А значит, на многих мобильных устройствах будут обрабатываться персональные данные, которые также необходимо защищать. На потребность рынка уже откликнулась компания «Код безопасности», анонсировав в феврале этого года планшет «Континент Т-10», работающий под управлением Android. В частности, на планшете «Континент Т-10» предустановлен программный VPN-клиент «Континент АП для Android». Сейчас на сайте разработчика данный продукт представлен как готовящийся к выпуску. Владельцам планшетов под iOS вряд ли стоит рассчитывать на появление аналогичного защищенного решения, так как для сертификации требуется предоставлять исходные коды операционной системы, к чему «яблочный гигант» сейчас не готов.

В целом защита мобильных устройств – одно из самых перспективных направлений развития рынка информационной безопасности как в России, так и мире, и очень хотелось бы, чтобы российские разработчики заняли в нем лидирующие позиции.

Не только персональные данные

После прочтения предыдущей части статьи у читателя могло сложиться впечатление, что российский рынок ИБ состоит целиком и полностью из решений, сертифицированных под требования регуляторов. Однако это не совсем так. Конечно, львиную долю рынка представляют именно такие средства, хотя существует ряд востребованных направлений ИБ, где не нужно обязательное использование сертифицированных средств. Например, борьба с DDoS.

Отказ в обслуживании

Атаки на отказ в обслуживании в современном кибермире стали, пожалуй, самым распространенным инструментом вымогательства денег у владельцев интернет-порталов. Если раньше основными целями устроителей DDoS-атак были политика, социальный протест, кража данных, самореклама и самоутвержедение, то теперь к ним добавилось вымогательство. Причем эти преступные действия не подпадают под российское законодательство. Дело в том, что злоумышленники не требуют перевести денежную сумму на какой-либо счет. Вместо этого они требуют перевести одну из разновидностей виртуальных денег – биткойны. А поскольку биткойны не являются официальным платежным средством, то привлечь за вымогательство в данном случае практически невозможно.

Обычно преступники отправляют письмо с требованием выдать определенную сумму в биткойнах, в случае непослушания угрожают крупной DDoS-атакой. И, как правило, бездействие жертвы, действительно, сопровождается интеллектуальной атакой на приложение. На сервер отправляется огромное количество запросов, существенно превышающее то число, которое он может обработать. В результате сайт перестает отвечать на запросы. В отличие от взломов сайтов, требующих от злоумышленника умения выявлять уязвимости, исследовать код и писать эксплойты, DDoS не требует таких навыков. Достаточно лишь за сравнительно небольшую сумму «заказать» неугодный портал (объявлений, предлагающих подобные услуги, в сети достаточно), а остальное сделают тысячи зараженных компьютеров-ботов, расположенных по всему миру.

А теперь представьте, во сколько обойдется один день остановки «по техническим причинам», например, интернет-магазина или портала платежной системы?

Я подробно рассмотрел идеологию современных DDoS-атак, чтобы у читателей появилось понимание того, что эти атаки легко реализуемы, распространены, и защититься от них крайне сложно.

Говоря о борьбе с этим видом атак, стоит отметить, что они бывают низкоуровневые и высокоуровневые. Низкоуровневые требуют большего количества зараженных ботов для успешной реализации атаки, в то время как для реализации высокоуровневых атак иногда достаточно нескольких десятков ботов. Не вдаваясь в технические подробности, хочу заметить, что с низкоуровневыми атаками борются преимущественно провайдеры интернет-услуг, их мы рассматривать в этой статье не будем. А вот про борьбу с высокоуровневыми атаками поговорим далее.

На российском рынке существует несколько компаний, занимающихся предотвращением интеллектуальных высокоуровневых DDoS-атак [1]. Например, компания Highloadlab и их решение Qrator [2].

Highloadlab – компания, специализирующаяся на изучении и создании комплексных мер противодействия DDoS-атакам. Построенная ими сеть фильтрации данных состоит из узлов связи, расположенных у крупнейших магистральных операторов. В 2006 году в рамках лаборатории Highloadlab (проектирование и разработка высоконагруженных устойчивых веб-проектов) была создана инициативная группа по изучению и разработке комплексных мер противодейстия DDoS-атакам. Результатом ее работы стала технология QRATOR. Производя постоянный анализ трафика со своих узлов, Qrator позволяет своевременно отсечь DDoS-трафик.

Другая российская компания Ddosexpert предлагает комплекс защитных мер для борьбы с DDoS. Основой этой защиты является межсетевой экран, весь трафик анализируется специалистами, своевременно определяющими атаки. Также для защиты от DDoS предоставляется выделенный сервер. Безопасное дисковое пространство хранит данные, которые находятся под контролем экспертов дата-центра. При этом предоставляется круглосуточный доступ к сети. Система очистки трафика как качественная защита от DDoS-атак построена на выявлении поддельных пакетов и их блокировке. Легитимные пользователи при этом не ограничиваются в доступе к ресурсам. Система анализирует нормальный входящий и исходящий трафики, строит графики и запоминает адекватную работу. При атаке сразу можно заметить аномальные отклонения в построенных кривых.

Не осталась в стороне от борьбы с этой проблемой и «Лаборатория Касперского». Kaspersky DDoS Prevention – это сервис, который представляет собой систему распределенной фильтрации трафика, состоящую из высокопроизводительных серверов, расположенных в разных странах и подключенных к сети по высокоскоростным каналам связи.

Система KDP является программно-аппаратным комплексом, состоящим из нескольких компонентов: сенсоров, коллекторов и центров очистки трафика, которые могут быть установлены в любом месте сети. Сенсор предназначен для сбора информации о запросах, адресуемых защищаемому ресурсу и последующей передачи ее коллектору. Коллектор – самый многофункциональный элемент KDP, который отвечает за анализ получаемой с сенсоров статистики и построение профиля легального пользовательского трафика. Коллектор умеет выявлять аномалии, выходящие за рамки пользовательского профиля, и принимать решения о фильтрации опасного трафика путем перенаправления всех запросов, адресованных защищаемому ресурсу, на центр очистки, который фильтрует опасный трафик DDoS-атаки, оставляя только легальные обращения.

Направление рынка ИБ, связанное с предотвращением DDoS-атак, является, на мой взгляд, одним из самых перспективных на российском рынке.

Двухфакторная аутентификация

Когда разговор заходит о средствах двухфакторной аутентификации, все прежде всего вспоминают про решения израильской компании Aladdin. Однако в России есть свой разработчик таких средств – это Rutoken. Основная линейка продукции Rutoken состоит из нескольких моделей электронных идентификаторов, программного обеспечения для работы в различных операционных системах, комплекта разработчика Rutoken, сертифицированных версий продуктов и готовых решений. К сожалению, в линейке их решений отсутствуют средства для генерации одноразовых паролей. Между тем, с учетом популярности мобильных решений возможность осуществлять аутентификацию из недоверенной сети с помощью одноразового пароля была бы очень полезна.

Нетехническая защита

Все решения, описываемые в статье, так или иначе связаны либо с разработкой оборудования или программного обеспечения, либо с предоставлением технических услуг. Однако, помимо техники, на рынке ИБ есть еще и другие услуги. Прежде всего это аудит и консалтинг. Многие компании, в том числе и системные интеграторы, предоставляют услуги по аудиту на соответствие различным стандартам (ФЗ #152, PCI-DSS и другие). К примеру, для защиты персональных данных разрабатывается целый ряд документов, многие из которых создаются по результатам аудита заказчика.

Помимо аудита и консалтинга, еще одним важным нетехническим направлением является расследование компьютерных преступлений. Конечно, такие расследования являются уделом правоохранительных органов. Однако, чтобы не просто найти, но и привлечь виновных, необходимо аккуратно и грамотно собрать все доказательства. Сделать это силовики в силу различных причин не всегда в состоянии. Кроме того, реалии российского бизнеса таковы, что многие предпочитают не обращаться в правоохранительные органы.

Самой известной компанией, занимающейся расследованиями в сфере ИБ, является Group IB [3]. Помимо расследований компьютерных преступлений, она предоставляет услуги по идентификации злоумышленника и его местонахождения и привлечению к ответственности, реагированию на инциденты, снижению ущерба, восстановлению бизнес-процессов. Также эта компания занимается юридическим сопровождением вопросов, связанных с информационной безопасностью.

Хочу все знать

В завершении хочу описать еще одно перспективное направление, которое совмещает как технику, так и консалтинг. Это создание центров управления событиями информационной безопасности (Security Operations Center, SOC). Технически в SOC специализированное приложение собирает события с различных источников (к сожалению, пока российских решений промышленного масштаба для SOC не существует). Далее эти события анализируются данным приложением в соответствии с определенными правилами.

И вот здесь важную роль играет консалтинг, так как в зависимости от политик и регламентов, существующих в компании, необходимо разрабатывать различные правила обработки событий и реакции на них. В частности, при инцидентах высокой важности необходимо оперативное уведомление ответственных лиц компании. Благодаря автоматизированной реакции на инциденты повышается осведомленность специалистов по ИБ, а следовательно, и защищенность компании в целом. Сегодня не многие компании занимаются внедрением полноценных SOC. Вместо этого все предлагают внедрение технической части решения (например, системы ArcSight), не оказывая консалтинговых услуг по адаптации функционала данного продукта к специфике конкретной организации. И здесь, мне кажется, есть перспективы для развития.

Куда идти дальше?

Каковы перспективы развития российского рынка ИБ? Итак, что касается ПДн, то тут набор ключевых игроков уже зафиксирован, и вряд ли в ближайшее время он сильно изменится. Получение необходимых лицензий на разработку и сертификация готовых решений – процедуры хлопотные, дорогостоящие, занимающие много времени, поэтому они под силу далеко не каждому стартапу. Так что рассчитывать на появление здесь новых компаний не стоит. А вот новые решения у разработчиков, уже имеющими дело с персональными данными, появятся обязательно.

Внимательный читатель наверняка заметил, что, когда речь шла о системах предотвращения вторжений, я упомянул лишь о хостовых реализациях, а ведь бывают еще и решения, анализирующие весь трафик в сети. Сейчас для решения этой задачи используют лишь иностранные IPS.

Также не стоит забывать и об облачных вычислениях и виртуализации, где тоже обрабатываются персональные данные. Если сегодня только одна отечественная компания разработала решения для защиты ПДн в виртуальной среде, то можно предположить, что в будущем подтянутся и другие российские разработчики.

Направление борьбы с DDoS также очень перспективное. Пока все борются с последствиями DDoS – избыточным трафиком, загружающим целевые системы. Однако гораздо лучше было бы бороться с бот-сетями, блокировать домены, с помощью которых владельцы отдают команды зараженным машинам. Сегодня такая работа ведется, но не столь активно, чтобы серьезно повлиять на развитие бот-сетей. Так что здесь у российских разработчиков есть перспективы.

***

Что касается консалтинга ИБ, то тут тоже есть перспективы для развития. Во-первых, закон о персональных данных постоянно дополняется новыми актами и постановлениями, регламентирующими те или иные аспекты. Соответственно всегда будут нужны специалисты, способные своевременно реагировать на изменения законодательства. Во-вторых, с повышением компьютерной грамотности в компаниях будет расти необходимость в расследованиях преступлений в сфере ИБ.

  1. Cтатья «Обзор DDoS-атак Рунета: 9:1 в пользу примитива» – http://habrahabr.ru/company/highloadlab/blog/145137.
  2. Сайт, посвященный решению Qrator – http://qrator.net.
  3. Cайт компании Group IB – http://www.group-ib.ru.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №02 (85) 2019г.
Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика