В этом обзоре мы рассмотрим платформу R-Vision Incident Response Platform (далее R-Vision IRP 3.1) производства российской компании «Р-Вижн», предназначенную для организации управления и оперативного реагирования на инциденты информационной безопасности. ВведениеАрхитектура R-Vision IRPФункциональные возможности R-Vision IRPИнсталляция и настройка R-Vision IRP4.1. Инсталляция и базовая настройка4.2. Настройка ролей4.3. Настройка сопряжения со смежными системамиРабота в системе R-Vision IRP5.1. Управление активами5.2. Управление уязвимостями5.3. Управление инцидентами5.4. Повышение осведомленности пользователей5.5. ОтчетностьСоответствие требованиям регуляторовСистемные требования и политика лицензированияВыводы  ВведениеПрежде всего хотелось бы отметить нарастающую актуальность применения решений класса Incident Response. Тема управления инцидентами затрагивается во всех международных и отечественных стандартах ИБ. Основные из них: ISO/IEC 2700х ISO/IEC 22301 и их отечественные реплики, а также отраслевые стандарты (PCI DSS, СТО БР ИББС) и другие нормативные акты, в частности связанные с ГосСОПКА.Очевидно, что появлению решений Incident Response способствовало то, что арсенал имеющихся средств обеспечения ИБ и применяемых совместно с ними смежных систем (Service Desk, SGRC, GRC и др.) в условиях ежегодно фиксируемого увеличения кибератак не обеспечивал решения ряда ключевых задач, стоящих перед менеджерами информационной безопасности.Основными предпосылками формирования подобных решений являлись следующие:Отсутствие единой системы консолидации данных об инцидентах, активах и их свойствах.Низкая скорость реакции на инциденты, потеря времени при расследовании инцидентов.Высокий процент пропущенных инцидентов, на которые не реагировали вовсе.Отсутствие статистики и средств аналитики, низкая резистентность системы защиты даже для повторяющихся кибератак.Сформировалась устойчивая потребность в адаптивной системе, способной осуществлять сбор, концентрацию и обогащение информации, поступающей из сторонних подсистем, которая бы связывала процессы управления командой SOC и обладала возможностью автоматизации функций по реагированию на инциденты, включая воздействие на объекты защиты, своего рода дирижер процессов в SOC.SIEM-системы, как основные элементы SOC, обеспечивающие обработку и корреляцию событий ИБ, несмотря на свою эволюцию, на эту роль не подошли. Анализируя мировой рынок решений ИБ, можно с уверенностью констатировать —  решения и услуги класса Incident Response на текущий момент сформировались и закрепились. Прежде всего, стоит выделить среди них рынки США, стран Евросоюза и Израиля. Однако в данном обзоре мы рассмотрим архитектуру и основные функции российского продукта компании «Р-Вижн», а именно платформу R-Vision IRP v 3.1, а также сценарии ее применения. Позиционирование R-Vision IRP в экосистеме решений SOC представлено на рисунке 1. Рисунок 1. Место IRP в Security Operations Center   Сокращения:EDR = Endpoint detection and response (EDR)NTA/NTF = Network traffic analysis/forensicSIEM = Security information and event managementTIP=Threat Intelligence PlatformUEBA = User and Entity Behavior AnalyticsIRP=Incident Response Platform Архитектура R-Vision IRPРешение R-Vision IRP поставляется в виде виртуального устройства (виртуальной машины) со всем необходимым предустановленным программным обеспечением (Virtual Appliance).R-Vision IRP — программное решение, исходный код которого написан российской компанией-разработчиком ООО «Р-Вижн».Архитектура R-Vision IRP представляет собой двухуровневую иерархию, состоящую из следующих компонентов: центрального сервера и коллекторов.Центральный сервер R-Vision IRP реализует функции централизованного управления системой, распределения задач между компонентами, инвентаризации активов, анализа и обработки данных, визуализации данных, агрегации и хранения информации, получаемой с коллекторов.     Коллектор R-Vision IRP представляет собой компонент удаленного сбора информации, предназначенный для сканирования и сбора сведений по отдельным сегментам инфраструктуры с последующей передачей данных на центральный сервер и выполнения ряда технических действий при обработке инцидента (скриптов автоматизации).В минимальной комплектации, для объектов с небольшой ИТ-инфраструктурой все компоненты R-Vision IRP могут размещаться на одной виртуальной машине (т. н. All-in-One-устройство).При территориально-распределенной ИТ-инфраструктуре компании или в случае, когда число контролируемых объектов защиты значительное, решение масштабируется за счет размещения дополнительных коллекторов. Рисунок 2. Архитектура R-Vision IRP  Управление R-Vision IRP осуществляется дистанционно посредством веб-интерфейса с применением защищенных протоколов передачи данных.В R-Vision IRP реализована ролевая модель доступа. Предусмотрены глобальные роли на уровне системы и роли на уровне входящих в состав решения функциональных блоков. Подробнее о ролях будет рассказано ниже.В состав R-Vision IRP входят следующие функциональные блоки:управление активами;управление инцидентами;управление уязвимостями;управление задачами;блок настроек. Рисунок 3. Функциональная схема R-Vision IRP  Функциональные возможности R-Vision IRPR-Vision IRP обеспечивает решение следующих задач:Агрегация информации по инцидентам и активам из различных источников в единой системе.Реализация единой централизованной политики по управлению реагированием на инциденты ИБ и обеспечение рабочего процесса (workflow) команды реагирования.Ведение и учет карточек инцидентов, регистрация действий пользователей при обработке инцидентов.Автоматизация деятельности по управлению жизненным циклом инцидентов: регистрация, заполнение полей карточки инцидента, классификация инцидентов, присвоение уровня критичности, установка и контроль сроков реагирования, синхронизация статусов.Автоматизация деятельности по реагированию на инциденты, проведению расследований: назначение ответственных, уведомление пользователей, получение свидетельств, обогащение информации об инциденте, распределение задач между участниками, реактивные и превентивные меры воздействия на контролируемые объекты защиты.Инвентаризация ИТ-инфраструктуры и управление жизненным циклом ИТ-активов, управление уязвимостями.Визуализация метрик ИБ.Автоматизация функций по формированию отчетности.Осуществление обмена информацией по инцидентам ИБ c другими участниками.Контроль привилегий пользователей (опция).Повышение осведомленности пользователей (опция).Подробнее функциональные возможности платформы R-Vision IRP рассмотрим в ходе обзора решения. Инсталляция и настройка R-Vision IRPИнсталляция и базовая настройкаПоскольку продукт поставляется как виртуальная машина с преднастроенным программным обеспечением, для его инсталляции требуется виртуальная машина с характеристиками, удовлетворяющими требованиям документации решения (в нашем случае со следующими минимальными характеристиками: 2xvCPU, 16 ГБ RAM, 100 ГБ свободного места на диске, сетевой адаптер GE).В качестве теста рассматривается вариант All-in-One-устройства, поэтому настройка коллекторов в нашем случае не производится.После монтирования образа R-Vision IRP на виртуальной машине производится базовая настройка системы. Для доступа к серверу R-Vision IRP не требуется установка клиента на АРМ, достаточно ввести IP-адрес сервера в браузере.Первый вход осуществляется под учетной записью администратора. При первом входе корректируются сетевые настройки, настраивается защищенный доступ к серверу R-Vision IRP с использованием протокола TLS 2.10.При первоначальной настройке системы выполняется установка лицензионного ключа. Далее настраивается ролевой доступ.В случае необходимости перед началом регистрации пользователей производится обновление системы. В нашем случае образ содержал актуальную версию программного обеспечения R-Vision, и этот шаг мы пропустили.На этом шаге в R-Vision IRP регистрируются пользователи. Настраивается интеграция R-Vision IRP с Active Directory для импорта учетных записей. Рисунок 4. Регистрация нового пользователя в R-Vision IRP  После добавления пользователей необходимо сменить все предустановленные по умолчанию пароли.Настройка ролейНастройка системных ролей производится в свойствах пользователя на вкладке Настройки → Пользователи системы. Системные роли позволяют управлять доступом на уровне функциональных блоков. Помимо системных ролей пользователи могут обладать специальными ролями, предоставляющими доступ к отдельным элементам системы. Их назначение осуществляется через свойства этих элементов. Рисунок 5. Просмотр учетной записи в R-Vision IRP  К общесистемному уровню относятся следующие роли:Администратор — системная роль, пользователь обладает полным доступом к разделу Настройки → Общие и может создавать новых пользователей.Пользователь — системная роль, пользователь обладает доступом в систему, а также к тем блокам, для которых ему дополнительно предоставлен доступ.В рамках каждого функционального блока существуют системные и специальные роли, которые обладают различным набором доступных функций – от полного доступа к опциям блока (например, менеджер по инвентаризации из раздела активы) до определенных функций (например, владелец актива).В рамках настроенных ролей пользователи могут приступать к внесению информации об активах и непосредственной работе с системой R-Vision IRP.Настройка сопряжения со смежными системамиМаксимальная эффективность решения R-Vision IRP достигается за счет интеграции со сторонним программным и аппаратным обеспечением c помощью коннекторов.Коннекторы для R-Vision IRP условно делятся на следующие типы:Коннекторы к поставщикам инвентаризационной информации.Коннекторы к поставщикам сведений об инцидентах ИБ.Коннекторы к поставщикам сведений об уязвимостях.Коннекторы к поставщикам сведений об угрозах, поставщикам фидов и IoC.Коннекторы к другим решениям.В таблице ниже представлены доступные коннекторы к системе R-Vision IRP. Стоит отметить, что этот перечень может быть дополнен коннекторами к другим решениям по договоренности с заказчиком. Таблица 1. Список систем, для которых доступны коннекторыСканеры защищенностиSIEMEndpoint Protection & DLPСистемы управления ИТ-инфраструктуройДругие решения и источникиMaxPatrolXSpiderRedCheckNessusOpenVASVulnersQualysNeXpose      Rapid7IBM QradarHP ArcSight ESMMaxPatrol SIEMSplunkMcAfee ESMRSA SAKaspersky KSCSymantec SEPMcAfee ePOInfowatch DMForcepoint AP-DATASecretNеt/SecretStudio Microsoft SCCMHP Service ManagerRemedyServiceNowSolar Security  JSOCBot-Trek Intelligence (Group — IB)JIRAKaspersky Fraud PreventionSyslogКоннектор к БД: Oracle, MSSQL, MySQL,PostgreSQLУязвимости ИнвентаризацияИнциденты ИнвентаризацияСтатусы агентов Инвентаризация УязвимостиИнциденты ИнвентаризацияИнциденты Feed, IoC Рисунок 6. Параметры некоторых интеграций  Работа в системе R-Vision IRPПосле успешной аутентификации в системе R-Vision IRP в зависимости от назначенной роли пользователю доступны определенные вкладки. Рисунок 7. Пример рабочего пространства R-Vision пользователя с максимальным набором привилегий  Меню содержит основные функциональные блоки: под логотипом R-Vision скрывается блок визуализации с настраиваемыми дашбордами, вкладка Активы содержит блок управления активами, вкладка Инциденты — блок управления инцидентами, вкладка Уязвимости содержит блок управления уязвимостями, вкладка Задачи содержит блок управления задачами, вкладка Отчеты — блок управления отчетностью и, наконец, блок настроек доступен на соответствующей вкладке Настройки. Рисунок 8. Пример дашборда R-Vision IRP  Далее последовательно рассмотрим каждый из указанных блоков и его функции.Управление активамиНеобходимо отметить, что не у всех производителей решений класса Incident Response присутствует функциональность по управлению активами, в решении R-Vision это доступно по умолчанию.В части управления ИТ-активами R-Vision IRP решает задачу по агрегации информации по активам из разных источников — поставщиков инвентаризационной информации об ИТ-инфраструктуре. Для этих целей в системе R-Vision IRP предусмотрены коннекторы к CMDB-решениям, сканерам защищенности, антивирусным средствам защиты, базам данных и другим решениям, перечисленным в Таблице 1.Для каждой интеграции есть возможность выбора импортируемой информации в R-Vision. Рисунок 9. Список активных интеграций   R-Vision IRP обладает встроенным механизмом инвентаризации, который позволяет проводить сканирование подсетей и собирать детальную информацию об ИТ-инфраструктуре.В решении R-Vision IRP не применяются агенты, поэтому перед запуском сканирования встроенным движком инвентаризации R-Vision требуется внести учетные записи для узлов и оборудования и при необходимости открыть определенные порты на маршрутизаторе, а также указать подсеть или подсети. Рисунок 10.  Настройка учетной записи для сканирования  Для сканирования рабочих станций и серверов под управлением Windows системой R-Vision используется инструментарий WMI и Remote RPC. Учетная запись для сканирования должна обладать правами локального администратора на всех сканируемых рабочих станциях.Для сканирования серверов и рабочих станций под управлением Linux/Unix-систем, а также сетевого оборудования применяются системные команды, выполняемые по протоколу SSH.Ввиду того, что R-Vision производит сбор данных удаленно (без помощи агентов), на рабочих станциях и серверах, подлежащих сканированию, требуется задать соответствующие разрешения для брандмауэра Windows. Должны быть разрешены входящие подключения по портам 135, 139, 445 или активированы предопределенные правила для входящих подключений:инструментарий управления Windows (WMI — входящий трафик);инструментарий управления Windows (DCOM — входящий трафик);удаленное управление журналом событий (именованные каналы — входящий).В случае обнаружения на оборудовании дополнительных сетевых интерфейсов, подключенных к сетям, сведения о которых еще не внесены в базу данных блока управления активами, они записываются в базу данных R-Vision IRP и отображаются пользователю для принятия решения о необходимости их дальнейшей инвентаризации. Таким образом, возможно поэтапное обнаружение компонентов сетевой инфраструктуры, а также обнаружение несанкционированных сетей и сетевых сегментов.Последующая инвентаризация может производиться либо путем ручного запуска сканирования, либо путем настройки соответствующих политик сканирования, позволяющих выполнять автоматическую инвентаризацию в соответствии с заданным расписанием. Рисунок 11. Настройки инвентаризации  В результате сканирования во вкладке Оборудование появится список обнаруженных хостов. Для каждого объекта в правом разделе будет отображена основная информация по устройству, а также поля для внесения данных вручную. Если при сканировании аутентификация с помощью заданных учетных записей прошла успешно, узлы будут распознаны и станет доступна информация об оборудовании:имя устройства;IP-адрес;маска подсети;МАС-адрес;домен / рабочая группа;установленная операционная система;виртуальная машина (является ли оборудование виртуальной машиной);тип узла (сервер, рабочая станция, мобильное оборудование и т. д.);установленное программное обеспечение;список пользователей оборудования (в том числе из раздела Персонал);параметры безопасности (обновления, USB-порт, статусы агентов СЗИ);количество связанных инцидентов (после интеграции с поставщиками инцидентов);уязвимости (после интеграции с поставщиками уязвимостей или интеграции с базой vulners.com).Дополнительно для каждого объекта может быть задано:статус состояния оборудования (рабочий, тестовый или в процессе внедрения);группы ИТ-активов;владелец актива, администратор и аудитор безопасности (в том числе из раздела Персонал. Назначаются автоматически при включении оборудования в группу ИТ-активов);инвентарный номер;теги;город и помещение. Рисунок 12. Вкладка «Оборудование»  Можно настроить, какие именно параметры будут отображаться во вкладке Оборудование, для этого нужно отметить необходимые столбцы в шапке основной таблицы.Интеграция с доменами Active Directory позволяет получить информацию о пользователях, зарегистрированных в них. Эта информация представлена на вкладке Персонал, где доступна вся информация об учетных записях, связанных с ними активах, и в том числе список оборудования, на котором данная учетная запись прошла успешную авторизацию (что крайне полезно при расследовании инцидентов).В таблице Связанные инциденты в разделе свойств актива Общие сведения отображается количество инцидентов по уровням, связанных с данным активом. Щелчок левой клавишей мыши на числе инцидентов переведет в раздел Инциденты с применением фильтра по выбранному активу и уровню инцидента.На основе собранной инвентаризационной информации система позволяет настраивать визуализацию данных на панели Карты и схемы (сети, помещения, географические карты, схемы взаимосвязей).Найденное оборудование может автоматически или вручную объединяться в Группы ИТ-активов — это могут быть физические информационные системы и абстрактные логические группы, которые необходимо контролировать с точки зрения информационной безопасности. Они, в свою очередь, связываются с другими типами активов, доступными в системе на вкладках:Организация (структурны подразделения компании)Бизнес-процессыИнформация (перечень типов информации и состав данных, учитываемых в рамках обеспечения ИБ)Данная связка позволяет при анализе произошедших инцидентов по одному IP-адресу атакуемого хоста видеть полную картину взаимосвязей между материальными и нематериальными активами.Функциональность R-Vision IRP может быть расширена за счет контроля привилегий пользователей на основе сведений, содержащихся в Active Directory. Рисунок 13. Алгоритм работы контроля привилегий на основе данных из Active Directory Управление уязвимостямиR-Vision IRP обладает возможностями по управлению уязвимостями и позволяет организовать процесс по их устранению. Рисунок 14. Вид вкладки «Уязвимости»  Об уязвимостях сообщают внешние источники — поставщики информации по уязвимостям. Прежде всего это сканеры уязвимостей, а также база Vulners.R-Vision IRP позволяет импортировать информацию со сканеров уязвимостей с возможностью выбора источника, с которого будут отражаться уязвимости в системе. Рисунок 15. Просмотр параметров уязвимости  Вкладка Уязвимости отображает сведения по актуальным уязвимостям: идентификатор, наименование и описание уязвимости, источник уязвимости, уровень критичности, количество связанных узлов и рекомендации по устранению. Доступны функции сортировки и фильтрации отображаемой информации по полям.Благодаря взаимосвязи активов и уязвимостей система R-Vision IRP позволяет управлять уязвимостями в разрезе их принадлежности к группам ИТ-активов: для них можно добавлять правила по автоматическому назначению ответственных и сроки устранения с учетом их принадлежности той или иной группе и уровня критичности уязвимости. Таким образом решается задача автоматизации деятельности по устранению уязвимостей.Для уязвимостей можно просмотреть подробный список хостов, текущий статус, обозначить уязвимость, как не актуальную (ложное срабатывание), а также автоматически (на основании правил) назначить ответственного и срок устранения. Управление инцидентамиНастройка системы для обработки инцидентовНастройку системы R-Vision IRP для обработки инцидентов необходимо начать с настройки справочников, часть из которых уже заполнена заранее аналитиками R-Vision:Категории инцидентовТипы инцидентовЦиклы обработки инцидентовПоля инцидентовСпособы реализации инцидентовСтепень преднамеренностиУровни критичностиУровни ущербаПричины возникновенияИсточник инцидентаСтатус реализацииВероятность повторного возникновенияДействия по инцидентуПользовательские справочникиВ этих разделах необходимо выбрать актуальные значения или при необходимости внести свои правки, например, для реализации собственного цикла обработки инцидента или добавления дополнительных полей в карточке инцидента.Одной из особенностей R-Vision IRP является то, что практически все справочники, присутствующие в системе, можно отредактировать, и есть возможность создания собственных справочников.Основная работа с инцидентами происходит на вкладке Инциденты, где содержится информация обо всех зарегистрированных в системе инцидентах, а также предоставляется набор инструментов для проведения расследований инцидентов, реагирования на инциденты. На рисунке 16 представлен интерфейс рабочего пространства пользователя в роли менеджера инцидентов. На рисунке 17 представлен вариант карточки инцидента. Рисунок 16. Интерфейс рабочего пространства менеджера инцидентов  Рисунок 17. Вариант карточки инцидента  В левой части экрана находится настраиваемый, сортируемый и доступный для фильтрации список инцидентов. Настроенные отображения и фильтры можно сохранять в отдельные вкладки для быстрого доступа к ним.В правой части вкладки Инциденты расположены кнопки навигации по связанной с инцидентом информации и доступным элементам управления. Двойным щелчком по инциденту можно открыть его в отдельном окне, представляющем собой карточку инцидента.Для реализации всех функций по управлению реагированием на инциденты и управлению жизненным циклом инцидентов требуется предварительная настройка всех смежных интегрируемых с R-Vision IRP подсистем. Рисунок 18. Пример интерфейса при настройке интеграции с внешними системами  Для обмена информацией по инцидентам с другой системой R-Vision IRP настраивается функция обмена инцидентами. Рисунок 19. Передача инцидента в другое подразделение  Создание сценариев реагированияПосле того, как настроены вспомогательные справочники блока Инциденты, определены категории, типы инцидентов, уровни критичности и цикл обработки, настроены поля и интеграция со смежными системами, настраиваются сценарии реагирования на инциденты. Сценарии реагирования (т. н. Playbooks) позволяют задать последовательность действий, выполняемых в автоматическом, ручном (с помощью пользователя) или комбинированном режимах. При этом последовательность выполнения действий может быть произвольной. Такая гибкость позволяет задать любую логику обработки инцидентов. Рисунок 20. Примеры сценариев реагирования   Cозданные сценарии можно визуализировать: Рисунок 21. Схематическая визуализация сценария в R-Vision IRP  Автоматизация действий по реагированию на инциденты заключается в срабатывании правил, определенных в сценарии. Критерием для срабатывания правил может выступать значение любого поля или связанный актив. Рисунок 22. Создание правила реагирования  Рисунок 23. Интерфейс раздела настройки действий по инциденту  Как видим, одним из возможных действий в сценарии реагирования является запуск скриптов реагирования. Условно все скрипты реагирования можно разделить на две группы — первую группу составляют скрипты, не оказывающие воздействие на объекты защиты, во вторую входят скрипты, реализующие блокирующие действия. В системе предустановлено более 50 скриптов автоматизации.На более детальном уровне группы скриптов разделены на следующие блоки:работа с файлами и папками;сбор данных по оборудованию;системные операции;уведомление;управление параметрами безопасности;управление пользователями;управление сетевыми подключениями;управление устройствами.Необходимо отметить, что существует возможность добавления собственных скриптов реагирования. Поддерживаются следующие языки: Python, Java, Perl.Сбор и обработка инцидентовОсновным способом сбора информации об инцидентах для R-Vision IRP является интеграция платформы с SIEM-системами посредством API-коннекторов. Перечень коннекторов к SIEM-системам указан выше в разделе Архитектура R-Vision IRP. В большинстве случаев интеграция с SIEM-системами является двухсторонней, что позволяет синхронизировать статус инцидента в обоих системах при его закрытии.Альтернативным или дополнительным способом регистрации инцидента, осуществляемом в автоматическом режиме, является обращение R-Vision IRP напрямую к базе данных программного средства-поставщика информации об инциденте. Система R-Vision IRP может получать необходимую информацию об инциденте из БД MS SQL, Oracle, PostgreSQL, MySQL и др. и создавать на основе полученной информации карточку инцидента с заполненными полями.Кроме вышеперечисленных способов доступна автоматическая регистрация инцидентов за счет интеграции R-Vision IRP с Kaspersky Fraud Prevention, HP Service Manager, JSOC, JIRA и другими системами.В R-Vision IRP доступна регистрация инцидента вручную пользователем системы. При этом пользователь самостоятельно определяет тип инцидента, его критичность и заполняет другие поля карточки инцидента, включая описание инцидента, источник, дату возникновения инцидента и другие сведения, может прикрепить файлы — свидетельства, скриншоты и другую сопутствующую информацию по инциденту.Еще одним способом автоматической регистрации инцидента в R-Vision IRP является применение универсального коннектора, основанного на обработке почтовых сообщений.  Здесь разработчик не ограничился лишь интеграцией с внешним почтовым сервером и включил в состав решения почтовый модуль.R-Vision IRP позволяет получать и обрабатывать сообщения, поступающие от средств защиты на сервер R-Vision напрямую, в режиме онлайн по протоколу SMTP, а также поддерживает интеграцию с почтовыми серверами по протоколам IMAP/POP3 и EWS, где в соответствии с заданным расписанием происходит опрос определенного ящика, на который пересылаются сообщения с инцидентами.При обработке почты осуществляется парсинг сообщений по тегам и регулярным выражениям.При этом возможно реализовать сценарий, когда обычные пользователи отправляют сообщение определенного формата, например, с корпоративного портала на указанный ящик, а R-Vision IRP обращается к почтовому ящику согласно заданному расписанию и обрабатывает сообщение.Еще одним способом автоматической регистрации инцидента в R-Vision IRP является обработка Syslog.И наконец, возможен импорт инцидента из файла, созданного по определенному шаблону.Таким образом, R-Vision IRP позволяет автоматизировать процесс регистрации инцидента практически с любого средства защиты, включая случаи, когда SIEM-система отсутствует.Однако стоит заметить, что разработчик не позиционирует продукт R-Vision IRP как замену SIEM, поскольку в нем отсутствуют функции по корреляции событий и ряд других функций SIEM-систем, а также есть ограничения в части обработки syslog-сообщений.Проведение расследованийАвтоматизация функций по расследованию инцидентов заключается в применении R-Vision IRP для сбора информации по инциденту, оценки последствий, выявления предпосылок, причин возникновения, сбора свидетельств, установления владельцев актива, подвергшегося атаке, а также получения другой необходимой для расследования информации и, собственно, в качестве платформы оркестрации.В ходе расследования изучаются сведения, полученные по результатам исполнения скриптов, назначенных в сценариях реагирования, либо запущенных вручную пользователем, проводящим расследование. Учитываются результаты работ привлеченных к расследованию специалистов по назначенным задачам, а также соблюдение сроков по ним.  R-Vision IRP позволяет прикладывать к задаче любые файлы.Механизмы визуализации графов связей инцидента и активов Компании облегчают восприятие многокомпонентной информации, позволяют проанализировать возможные цели атакующих, оценить потенциальный ущерб и др.Помимо перечисленных функций при расследовании инцидентов используются данные из блоков Активы и Уязвимости. Рисунок 24. Список доступных действий по выбранному инциденту Рисунок 25. Список свидетельств по инциденту  Устранение последствий и корректировка мерПо результатам расследования инцидента и установления предпосылок к его возникновению корректируются меры защиты, в том числе редактируются сценарии реагирования на инциденты ИБ в R-Vision IRP, формируются задачи по корректировке и настройке СЗИ, изменению сигнатур, правил для сетевых средств защиты.Для этих целей в R-Vision применяется блок управления Задачи. С помощью него сотрудники, проводящие расследование инцидентов, могут формировать задачи для смежных подразделений, назначая их отдельным пользователям. Задачи могут заключаться в изменении настроек средств защиты с целью устранения выявленных в ходе расследования недостатков или для пересмотра сценария реагирования.Задачи могут быть созданы вручную в блоке Задачи или сформированы автоматически на основании действий персонала, добавленного в инцидент. В этом случае статус задачи и ее исполнитель синхронизируются со свойствами связанного действия по инциденту, а уровень важности — с уровнем критичности инцидента. Рисунок 26. Интерфейс раздела Задачи  Результаты исполнения задач могут подгружаться в их свойства в виде файлов с описанием произведенных работ.Контролируется своевременное исполнение задач.Ведется учет ключевых показателей (метрик) ИБ, которые выводятся на панели визуализации, отображается результат работы системы за выбранный период. Рисунок 27. Отображение метрик на панели визуализации Повышение осведомленности пользователейПовышение осведомленности пользователей в вопросах кибербезопасности в R-Vision IRP наряду с контролем привилегий пользователей являются опциональными функциями, для их активации требуются соответствующие лицензии.Повышение осведомленности пользователей достигается за счет интеграции R-Vision IRP с сервисом обучения и контроля защищенности antiphish.ru.Основные характеристики данной функциональности:Возможность размещения сервиса как локально, так и с обращением к облачному порталу.Наличие курсов обучения (программ обучения).Возможность имитации действий киберпреступников.Возможность отправки пользователей на обучение из R-Vision IRP и учет статистики.Контроль знаний, проверка и формирование отчетности.ОтчетностьВ системе R-Vision присутствуют шаблоны отчетов, позволяющие формировать отчеты по всем функциональным областям системы.Отчеты могут формироваться как вручную, так и в автоматическом режиме согласно заданному расписанию.Существует возможность формирования собственных шаблонов отчетов с выгрузкой в них определенных блоков данных. Отчеты можно сохранить в формате docx, xlsx или pdf. Рисунок 28. Интерфейс раздела Отчеты  В рассматриваемой версии R-Vision конструктор произвольных отчетов отсутствовал, хотя число имеющихся в системе отчетов на первый взгляд показалось вполне достаточным, чтобы закрыть потребности пользователя. Соответствие требованиям регуляторовR-Vision IRP позволяет компаниям выполнить часть требований по соответствию отраслевым стандартам и законодательству в области обеспечения ИБ:149-ФЗ «Об информации, информационных технологиях и о защите информации»;152-ФЗ «О персональных данных»;Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие);Приказы ФСТЭК России №17 (ГИС), №21 (ИСПДн), № 31 (АСУ ТП);Требования к безопасности данных индустрии платежных карт — PCI DSS;ГОСТ Р ИСО/МЭК 27002-2012, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р ИСО/МЭК 27037-2014;ISO/IEC 27035:2011, ISO/IEC 27037:2012, ISO/IEC 27043:2015, ISO 22320:2011, ISO/IEC 27031:2011;РС БР ИББС-2.5-2014 «Менеджмент инцидентов ИБ»;Стандарт Банка России СТО БР ИББС-1.0-2014.R-Vision IRP (Центр контроля информационной безопасности «Р-Вижн») включен в реестр отечественного программного обеспечения.Несмотря на то, что на текущий момент требований ФСТЭК России к средствам, реализующим функции управления инцидентами нет, производитель ведет работы по сертификации решения в части классификации по уровню контроля отсутствия недекларированных возможностей. Системные требования и политика лицензированияСистемные требования R-Vision IRP напрямую зависят от размера ИТ-инфраструктуры, а также от особенности структуры самой компании.Минимальные требования к виртуальной машине для размещения платформы R-Vision IRP:Процессор 2vCPU 4 ГГцОбъем ОЗУ 8 ГБПоддерживаются типы гипервизоров: VMWare, Microsoft Hyper-V и Xen.R-Vision IRP подходит как для крупных организаций с территориально-распределенной структурой, так и для средних компаний с консолидированной ИТ-инфраструктурой в пределах одного территориального объекта.R-Vision IRP, как было отмечено выше, поставляется в качестве программного обеспечения, но существует возможность приобрести решение как аппаратно-программный комплекс на базе серверного оборудования как отечественного, так и зарубежного производства.Политика лицензирования R-Vision IRPR-Vision IRP обладает гибкой схемой лицензирования, что позволяет заказчику выбрать необходимую функциональность с возможностью последующего расширения.Формирование стоимости R-Vision IRP зависит от следующих факторов:Функциональность — от облегченной версии без возможности реализации технических мер реагирования и ряда расширений до полной версии без ограничений.Объем контролируемой ИТ-инфраструктуры (совокупное число серверов, АРМ, включая виртуальные, число активного сетевого оборудования).Коннекторы к смежным системам.Кастомизация.Срок технической поддержки.Продукт лицензируется как по схеме A la Carte, когда все перечисленные позиции рассчитываются по отдельности, так и бандлом (набор определенных позиций). ВыводыВ данном обзоре мы познакомились с флагманским решением компании R-Vision для создания центра контроля информационной безопасности (Security Operations Center) — R-Vision IRP 3.1. Мы подробно рассмотрели архитектуру решения, системные требования, вопросы, связанные с лицензированием, функциональные возможности платформы.R-Vision IRP 3.1 представляет собой мощную платформу по управлению инцидентами и реагированию на них, которая может быть адаптирована под любую специфику заказчика.Система представляет собой платформу агрегации информации по инцидентам, активам и уязвимостям с возможностью просмотра связей между этим элементами и сбора дополнительной информации, необходимой для обработки инцидента и его анализа.В системе предусмотрен механизм обмена инцидентами между несколькими имплементациями систем R-Vision. Существует возможность выбора объема информации, передаваемой в рамках обмена.Системой предоставляется возможность создавать сводки и отчетные документы, которые будут полезны при доведении информации до руководителей и бизнес-подразделений компании. Они могут быть отправлены непосредственно из интерфейса системы или служить материалом для подготовки аналитических документов.Система позволяет проанализировать статистику по каждому типу инцидентов, запланировать мероприятия по минимизации последствий и предотвращению их в будущем в виде конкретных задач с назначением ответственных и сроков реагирования.Достоинства:Гибкость и возможность реализации практически любого сценария реагирования, проведения расследования инцидента за счет возможности определения цепочки последовательных действий, среди которых могут выступать скрипты автоматизации.Возможность реализации сценариев, в которых последующие действия выполняются автоматически после обработки результатов выполнения предыдущего действия.Наличие функций реагирования на инциденты (запуск скриптов на хостах, передача команд на сетевые средства защиты) позволяет в кратчайшие сроки собрать необходимую информацию по инцидентам и заметно выделяет решение среди аналогов.Наличие большого количества предустановленных скриптов реагирования и возможность добавления собственных.Наличие средств визуализации данных, визуализация сценариев реагирования.Наличие функций по агрегации и управлению ИТ-активами, включая управление уязвимостями.Возможность применения при отсутствии у заказчика SIEM.Возможность адаптировать продукт через настройки, наличие большого числа предустановленных редактируемых справочников.Отсутствие необходимости приобретать дополнительные лицензии на смежное программное обеспечение.Наличие у производителя готовых коннекторов к системам, в большинстве случаев обеспечивающих двухсторонний обмен данными.Отечественная разработка, сопровождение и регулярный выпуск обновлений, поддержка на русском языке, возможность кастомизации под требования заказчика.Недостатки:Отсутствие предустановленных сценариев реагирования на типовые инциденты.Отсутствие в рассматриваемой версии конструктора произвольных отчетов.

Один из лидеров российского DLP-рынка, компания Zecurion, выпустила новую версию своего продукта Zecurion Device Control (Zlock) 7.0. Это решение предназначено для контроля локальных каналов утечки конфиденциальной информации. И сегодня мы предлагаем обзор новых возможностей, появившихся в этом продукте. ВведениеНовые возможности продуктаСистемные требования и поддерживаемые технологииРабота с продуктом4.1. Настройка Zecurion Device Control (Zlock) (работа в Zconsole)4.2. Работа с технологией цифровых отпечатков DocuPrints4.3. Работа с технологией лингвистического анализа MorphoLogic4.4. Работа с технологией анализа графических файлов (OCR)4.5. Контроль устройств в RDP-сессии4.6. Контроль удаленных сотрудников и блокировка доступа к интернету4.7. Контроль буфера обмена4.8. Контроль мобильных устройств  Android и WindowsВыводы ВведениеНеобходимость защиты корпоративной информации от утечки с использованием различных внешних носителей информации давно стоит перед службами ИБ. Согласно данным из отчета об исследовании «Утечки конфиденциальной информации в России и в мире. Итоги 2016 года» аналитического центра Zecurion Analytics, утечки данных через мобильные накопители (USB-флешки, смартфоны и другие мобильные гаджеты) на сегодняшний день лидируют среди самых простых и популярных способов и составляют 11,6% от общего их числа.На съемные накопители можно быстро и, соответственно, почти незаметно скопировать большие объемы информации — от нескольких десятков мегабайт до терабайта или более. Но запретить полностью использование съемных накопителей в большинстве случаев не получается. Во многих компаниях использование USB-устройств вызвано структурой бизнес-процессов. Но даже легальное копирование на внешние накопители несет в себе огромные риски, возникающие при перевозке и хранении носителей — их элементарно легко потерять, оставить в кафе, вытащить из кармана в метро или автобусе.Кроме того, большое количество внутренних инцидентов происходит с бумажными документами. Ограничить распространение бумажных копий документов техническими средствами затруднительно. Поэтому кроме контроля съемных носителей необходим и своевременный контроль печати.Наилучшим техническим вариантом для предотвращения утечки данных является применение систем класса DLP для защиты от утечек на конечных точках сети. Данный обзор будет посвящен отечественному решению для предотвращения утечек корпоративной информации через мобильные устройства и через принтеры — DLP-системе Zecurion Device Control (Zlock), разработанной российской компанией Zecurion.Zecurion Device Control (Zlock) позволяет предотвращать утечки конфиденциальной информации через периферийные устройства с помощью гибкой настройки политик доступа, анализа содержимого передаваемых файлов и блокирования несанкционированного копирования документов. На нашем сайте мы уже не раз описывали DLP-систему Zecurion Device Control (Zlock). Последний обзор был посвящен версии 5.0. С тех пор продукт претерпел ряд значительных изменений. В статье мы сконцентрируем свое внимание на возможностях новой версии Zecurion Device Control (Zlock) 7.0. Новые возможности продуктаВ Zecurion Device Control (Zlock) 7.0 реализованы следующие новые возможности:Технологии контентного анализаZecurion Device Control (Zlock) 7.0 поддерживает технологии контентного анализа данных Zecurion:технология цифровых отпечатков DocuPrints,метод опорных векторов SVM,анализ графических файлов с помощью OCR-модуля,технология ImagePrints для определения документов, содержащих определенные изображения, например, печать организации.Контроль доступа в интернет вне корпоративной сетиZecurion Device Control (Zlock) 7.0 контролирует доступ в интернет вне корпоративной сети, разрешая доступ только по определенным VPN-каналам. В этом случае сетевой трафик с рабочей станции по защищенному каналу будет перенаправляться в корпоративную сеть, где может быть проанализирован на шлюзе с помощью шлюзового DLP, например, Zecurion Traffic Control (Zgate).Контроль буфера обменаВ новую версию продукта добавлена возможность контроля буфера обмена. Это позволяет создавать инциденты, содержащие теневые копии содержимого буфера обмена для указанных пользователей.Контроль мобильных устройствZecurion Device Control (Zlock) 7.0 поддерживает контроль мобильных устройств на платформах Android и Windows. Для смартфонов и планшетов можно создать политики в части разграничения доступа непосредственно к устройству, к его внутренней памяти при подключении к рабочей станции по протоколу USB, а также при подключении по протоколу Bluetooth.Контроль удаленных устройствВ седьмой версии добавлена возможность контроля удаленных устройств, подключаемых к компьютеру по RDP-сессии. В рамках терминальной сессии Zecurion Device Control (Zlock) позволяет контролировать доступ к RDP-дискам, RDP-портам, смарт-картам и буферу обмена.Контроль использования USB-устройств в macOSВажно отметить, что в новой версии Zecurion Device Control появилась возможность контроля USB-устройств и блокировки утечек конфиденциальных данных на рабочих станциях под управлением macOS 10.8 Mountain Lion,  10.9 Mavericks и 10.10 Yosemite.Zecurion Device Control для macOS позволяет создавать индивидуальные или групповые политики безопасности для работы с USB-устройствами. При этом можно не только запретить или разрешить использование USB-устройств, но и открыть доступ только на чтение. В гетерогенной среде управление политиками одновременно для macOS и Windows происходит через единую систему управления Zconsole. Системные требования и поддерживаемые технологииСистемные требования Системные требования к аппаратному и программному обеспечению по сравнению с последней рассматриваемой нами версией практически не изменились за исключением того, что добавилась поддержка macOS. Таблица 1. Минимальные системные требования Zecurion Device Control (Zlock) Аппаратные и программные средстваКлиентский модульСервер журналовКонсоль управленияСервер конфигурацийПроцессорWindows:Pentium 3 и вышеmacOS:Intel Core 2 Duo и вышеPentium 3 и вышеОперативная памятьWindows:256 Мбайт и вышеmacOS:1 Гб и выше256 Мбайт и вышеОСMicrosoft Windows XP SP2 (32 бита)/2003 SP1 (32 и 64 бита)/Vista SP1 (32 и 64 бита), 2008/Windows 7 (32 и 64 бита)/2008 R2, 2012/Windows 8 (32 и 64 бита)/Windows 1macOS 10.8 Mountain Lion, OS X 10.9 Mavericks и 10.10 YosemiteMicrosoft Windows XP SP2 (32 бита)/2003 SP1 (32 и 64 бита)/Vista SP1 (32 и 64 бита), 2008/Windows 7 (32 и 64 бита)/2008 R2, 2012/Windows 8 (32 и 64 бита)/Windows 1Дополнительное ПО Желательно Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g Release 2 (10.2) Microsoft Windows (32 бита)   Кроме того, все компоненты могут быть развернуты на виртуальных машинах.Поддерживаемые порты и устройстваZecurion Device Control контролирует любые устройства, подключаемые к USB и другим портам компьютера, а также встроенные устройства и контроллеры.Устройства:USB-накопители;портативные жесткие диски;локальные и сетевые принтеры;сетевые карты и Wi-Fi-роутеры;CD- и DVD-дисководы;медиаплееры, фото- и видеокамеры;мобильные телефоны, смартфоны, КПК (включая iPhone, iPad, iPod);сканеры, МФУ и др.Порты и контроллеры:USB;LPT и COM;Wi-Fi, Bluetooth, IrDA;IEEE 1394.Возможности интеграции Zecurion Device Control (Zlock) с другими системамиZecurion Device Control (Zlock) тесно интегрируется с другими продуктами Zecurion — DLP-системой для контроля сетевых каналов Traffic Control (Zgate), системой для поиска данных Discovery (Zdiscovery) и системой шифрования серверов и магнитных лент Storage Security (Zserver). Вместе они составляют комплексную систему, обеспечивающую надежную защиту от утечек конфиденциальной информации.В Zecurion Device Control (Zlock) реализована интеграция с Active Directory. Она заключается в возможности загрузки доменной структуры и списка компьютеров корпоративной сети в Zecurion Device Control (Zlock). Это позволяет увеличить удобство использования системы и повысить возможности масштабируемости.Соответствие требованиям регуляторовZecurion Device Control (Zlock) сертифицирован по требованиям безопасности ФСТЭК России в составе Zecurion DLP Enterprise RV (сертификат ФСТЭК России № 3399 на соответствие ТУ и 4 уровню РД НДВ, действителен до 30.04.2018 г.). Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать Zecurion Device Control (Zlock) в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП).  Zecurion Device Control (Zlock) сертифицирован в системе сертификации средств защиты информации Министерства обороны РФ на соответствие требованиям РД НДВ-2, что позволяет использовать решение при обработке данных с грифом «Совершенно секретно».Кроме того, Zecurion DLP включен в реестр отечественного программного обеспечения. Работа с продуктомНастройка Zecurion Device Control (Zlock) (работа в Zconsole)Как и в предыдущих версиях продукта, управление системой Zecurion Device Control (Zlock) осуществляется через единую консоль для всех решений Zecurion — Zconsole. Альтернативный способ управления продуктами Zecurion — через веб-консоль — в рамках данного обзора рассматривать не будем, но подробно его опишем в будущих публикациях. Рисунок 1. Консоль управления Zconsolе Администратор с помощью Zconsole может устанавливать, обновлять и удалять клиентские модули, создавать и распространять политики безопасности Zlock, производить мониторинг состояния клиентских модулей в режиме реального времени, просматривать события Zecurion Device Control (Zlock) и данные теневого копирования, собирать данные об устройствах корпоративной сети и консолидировать их в едином каталоге устройств, а также предоставлять мгновенный доступ по запросу сотрудника. Рисунок 2. Удаленная установка агента защиты в Zconsole Zecurion Device Control (Zlock) позволяет контролировать использование устройств и портов любого типа, модели и марки. Контроль осуществляется на основе гибкой настройки политик доступа. Система также контролирует все документы и файлы, которые копируются сотрудниками на съемные устройства и распечатываются на локальных и сетевых принтерах.В отличие от других агентских систем, Zecurion Device Control (Zlock) способна предотвращать утечки информации через устройства в реальном времени. При выявлении нарушений политик безопасности Zecurion Device Control (Zlock) блокирует печать, чтение или запись на устройства.Разграничение доступа к внешним устройствам в Zecurion Device Control (Zlock) осуществляется на основе политик доступа. Рисунок 3. Настройка политики для USB-устройства с заданными характеристиками в Zecurion Device Control (Zlock) 7.0 Для каждого типа устройств Zecurion Device Control (Zlock) предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Рисунок 4. Настройка избирательной политики доступа к устройству в Zecurion Device Control (Zlock) Администратор Zecurion Device Control (Zlock) может создавать неограниченное число политик для разных видов устройств, различных групп или отдельных пользователей. При этом можно не только запретить или разрешить использование флешек, но и установить частичный доступ — только на чтение. Zecurion Device Control (Zlock) идентифицирует устройства с точностью до серийного номера и сообщает системе обо всех попытках подключения, чтения или записи. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-накопителей, но при этом разрешить использование USB-ключей для аутентификации пользователей.В свойствах каждой политики можно настроить журналирование и обработку файловых операций и печати. Обработка файловых операций возможна для устройств, имеющих файловую систему (флеш-диски, жесткие диски, дискеты, RDP-диски и т. д.), при работе с MTP-устройствами при записи на CD/DVD и при печати документов на принтере.Кроме того, Zecurion Device Control (Zlock) предлагает альтернативу полному запрету флешек — контроль использования накопителей по типу файлов или фильтрацию по содержимому документов. Такой подход является наиболее гибким, позволяя запретить вынос только той конкретной информации, которая наиболее критична для компании с точки зрения безопасности. Рисунок 5. Добавление политики доступа по типам файлов в Zecurion Device Control (Zlock) 7.0 При настройке политик по содержимому передаваемых документов существует возможность открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров). Рисунок 6. Настройка условий для файловой политики в Zecurion Device Control (Zlock) 7.0 Политики могут иметь временной интервал или быть одноразовыми. Их применение можно настраивать в зависимости от времени передачи, направления трафика и местоположения пользователей. Например, можно разрешить работу с устройствами и принтерами только в рабочее время с 9.00 до 18.00. Рисунок 7. Настройка временного интервала в Zecurion Device Control (Zlock) 7.0 В Zlock также существует особый вид политики — это «Политика по умолчанию». Она описывает права доступа к устройствам, которые по тем или иным причинам не подпадают под действия других правил разграничения доступа. Например, с помощью «Политики по умолчанию» можно запретить использовать все USB-устройства, а с помощью обычной — разрешить использовать какое-то определенное устройство. Рисунок 8. Политика доступа по умолчанию в Zecurion Device Control (Zlock) 7.0 Для защиты данных от кражи вне периметра в Zecurion Device Control (Zlock) реализована функция шифрования файлов (криптопериметр). Это полезно в тех случаях, когда сотруднику разрешено работать с информацией, например, дома или в командировке. Существует риск кражи или потери носителя, а также преднамеренного слива информации вне периметра защиты DLP. Криптопериметр позволяет принудительно шифровать файлы при копировании их на USB-устройства в зависимости от политик безопасности, настроенных администратором. Открытие зашифрованных документов возможно на разрешенных политиками компьютерах, например, только на стационарных компьютерах определенного департамента. Рисунок 9. Шифрование и загрузка настроек в Zecurion Device Control (Zlock) 7.0 Zecurion Device Control (Zlock) позволяет записывать скриншоты рабочих столов сотрудников с заданной администратором периодичностью в виде инцидентов низкой важности, содержащих графические файлы снимков экранов. Zlock делает скриншот активных экранов и помещает их в архив (хранилище теневых копий). При наличии нескольких мониторов создается один графический файл, содержащий скриншот всех рабочих столов пользователя. Также можно извлекать текст из изображений при помощи технологии OCR.В Zecurion Device Control (Zlock) существует возможность автоматически выполнять архивирование (теневое копирование) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на съемный носитель.Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и затем переносится на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывает на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов. Рисунок 10. Настройка теневого копирования в Zecurion Device Control (Zlock) 7.0 Теневое копирование можно настраивать выборочно: при этом система будет отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zecurion Device Control (Zlock).Работа с технологией цифровых отпечатков DocuPrintsТехнология цифровых отпечатков DocuPrints основана на анализе перехваченной информации и сравнении ее с образцами конфиденциальных документов. Технология применяется для контроля больших по объему документов, которые редко изменяются или статичны.Принцип работы технологии следующий. В системе необходимо настроить список хранилищ с документами, которые содержат конфиденциальную информацию. Из этих документов создаются цифровые отпечатки: система разбирает документы на небольшие блоки (шинглы), «запоминает» ключевую информацию и специальные метаданные для каждого из блоков. При этом технология работает даже при значительной модификации текста, например, после частичного удаления, копирования и перемещения данных внутри документа, копирования данных в другой документ, маскировки отдельных символов, изменения формата или кодировки документа и т. д.Для тестирования технологии в базе цифровых отпечатков мы создали категорию TOP SECRET. В качестве алгоритма поиска выбрали «Метод опорных векторов». На сервере создали два каталога: TOP SECRET и NON TOP SECRET с соответствующим содержимом файлов для создания базы цифровых отпечатков. Рисунок 11. Создание базы цифровых отпечатков TOP SECRET с алгоритмом поиска «Метод опорных векторов» в Zecurion Device Control (Zlock) Для контролируемого рабочего места создали файловую политику TOP SECRET. В качестве условия контроля выбрали «Соответствие категории отпечатков», а в качестве категории выбрали ту, что мы создавали ранее — TOP SECRET. Рисунок 12. Создание файловой политики TOP SECRET с условием контроля по категориям отпечатков в Zecurion Device Control (Zlock) База цифровых отпечатков может обновляться по заданному расписанию.  Для этого достаточно поместить вновь созданный или измененный документ в базу и настроить желаемую частоту обновления, и к нему автоматически начнут применяться политики Zecurion Device Control (Zlock).На контролируемом рабочем месте мы попытались скопировать на флешку документ, который схож с документами, что лежат в базе отпечатков TOP SECRET. Рисунок 13. Блокировка передачи документа системой Zecurion Device Control (Zlock) по политике TOP SECRET В результате сравнения Zecurion Device Control (Zlock) определил степень схожести передаваемых на флешку данных с базой цифровых отпечатков конфиденциальной информации TOP SECRET и заблокировал их передачу.  Работа с технологией лингвистического анализа MorphoLogicВ новой версии Zecurion Device Control (Zlock) для контекстного анализа передаваемых файлов используется технология лингвистического анализа MorphoLogic. В ее основе лежит применение морфологии и технологии стемминга. Общий принцип морфологического анализа следующий: система сравнивает слова из анализируемого документа со специальными словарями, которые составляются с учетом специфики конфиденциальной информации и содержат наиболее встречающиеся в конфиденциальных документах слова и выражения. Стемминг, в отличие от морфологического анализа, выполняется без использования словаря словоформ. При использовании стемминга в заданном слове выделяется псевдооснова путем отбрасывания окончания и суффикса, и эта псевдооснова ищется в тексте.Для тестирования технологии мы создали на сервере поиска словарь TOP SECRET, включив в него слова Secret, Top Secret. Рисунок 14. Создание словаря TOP SECRET в Zecurion Device Control (Zlock) Создали файловую политику TOP SECRET с опцией контроля файлов по содержимому. В условиях политики выбрали функцию «Соответствие словарю» — TOP SECRET, а также опции «Искать текст» и «Использовать морфологию». Рисунок 15. Создание файловой политики TOP SECRET с условием контроля поиска по словарю и использования морфологии в Zecurion Device Control (Zlock) Следующим этапом на контролируемом рабочем месте мы создали текстовый документ, в котором заменили слово Secret на Sicret и отправили на печать. Рисунок 16. Блокировка печати документа со словом Sicret Zecurion Device Control (Zlock) на контролируемом компьютере блокирует печать документа, указывая на применение политики TOP SECRET.Работа с технологией анализа графических файлов (OCR)Для анализа графических файлов в Zecurion Device Control (Zlock) используются OCR-модули ABBYY FineReader Engine и Tesseract. Ядро OCR распознает текст из пересылаемых изображений. А для анализа распознанных текстов могут использоваться любые технологии Zecurion.Для тестирования технологии анализа графических файлов в «Настройках OCR» Сервера поиска Zecurion мы подключили ядро OCR Tesseract. Рисунок 17. Подключение ядра для распознавания текста OCR Tesseract в Zecurion Device Control (Zlock) Создали файловую политику TOP SECRET, в параметрах которой указали условия поиска в тексте передаваемых файлов слово Secret, а также включили опцию «Извлекать текст из изображений». Рисунок 18. Создание файловой политики TOP SECRET с условием поиска в тексте передаваемых файлов слова Secret в Zecurion Device Control (Zlock) Для имитации утечки на контролируемом рабочем месте мы создали графический файл, текст которого содержит слово Secret, и попытались скопировать его на флешку. Рисунок 19. Графический файл, текст которого содержит слово Secret, в Zecurion Device Control (Zlock) В результате анализа Zecurion Device Control (Zlock) выявил нарушение политики безопасности TOP SECRET и заблокировал передачу изображения. Рисунок 20. Блокировка передачи документа системой Zlock по политике TOP SECRET в Zecurion Device Control (Zlock)Контроль устройств в RDP-сессииВ новую версию Zecurion Device Control (Zlock) добавлена возможность контроля удаленных устройств, подключаемых к компьютеру по RDP-сессии, например, при использовании тонких клиентов. Рисунок 21. Создание политики контроля доступа (запрета) к RDP-дискам в Zecurion Device Control (Zlock) В рамках RDP-сессии Zlock может контролировать доступ к RDP-дискам, RDP-портам, смарт-картам и буферу обмена.Для апробации мы создали для контролируемого компьютера политику запрета доступа к RDP-диску. Рисунок 22. Создание RDP-сессии с пробросом на терминальный сервер флеш-диска Kingston При создании RDP-сессии в опциях подключения из локальных ресурсов выбрали проброс флеш-диска Kingston. Рисунок 23. Запрет доступа к RDP-диску в терминальной сессии После подключения к серверу накопитель Kingston доступен как RDP-диск («F на Zecurion»). При попытке открыть RDP-диск операционная система отказывает в доступе к нему.Контроль удаленных сотрудников и блокировка доступа к интернетуВ седьмой версии Zlock при работе совместно с серверным DLP возможна блокировка доступа к интернету при нахождении компьютера вне локальной сети. Рисунок 24. Включение опции «Доступ в интернет только через VPN» в Zecurion Device Control (Zlock) Блокировка осуществляется путем задания списка VPN-серверов, соединение с которыми разрешено. Таким образом, даже при нахождении компьютера вне локальной сети (например, ноутбук в командировке), трафик перенаправляется на Zgate и утечки через сетевые каналы блокируются.Контроль буфера обменаВ новой версии Zecurion Device Control (Zlock)добавлена возможность контроля буфера обмена. Все данные, которые пользователи копируют в буфер обмена, сохраняются в архиве (выполняется теневое копирование содержимого буфера обмена) и могут просматриваться офицером безопасности в любой момент. Рисунок 25. Настройка контроля буфера обмена в Zecurion Device Control (Zlock) Рисунок 26. Просмотр событий буфера обмена в архиве Zecurion Device Control (Zlock)Контроль мобильных устройств Android и WindowsВ Zecurion Device Control (Zlock) 7.0 осуществляется контроль мобильных устройств на платформах Android и Windows. Для смартфонов и планшетов можно создать политики в части разграничения доступа непосредственно к устройству, к его внутренней памяти (как к устройству Mass storage device) при подключении к рабочей станции по протоколу USB, а также при подключении по протоколу Bluetooth. Рисунок 27. Создание политики доступа для Android-устройства в Zecurion Device Control (Zlock) ВыводыВ обзоре мы познакомились с новой версией DLP-системы Zecurion Device Control (Zlock) 7.0.  Ключевое отличие от предыдущей версии — поддержка новых разработок Zecurion в области анализа перехваченных данных. Новая версия поддерживает технологии контентного анализа данных, включая цифровые отпечатки DocuPrints, метод опорных векторов SVM, анализ графических файлов с помощью OCR-модуля и технологию ImagePrints для определения документов, содержащих конкретные изображения, например, печать организации.Кроме того, в седьмой версии добавлена возможность контроля мобильных устройств под управлением операционных систем Android и Windows Phone в части разграничения доступа к устройству при подключении его к корпоративному компьютеру, а также возможность контроля удаленных устройств, подключаемых к компьютеру по RDP-сессии и MTP-протоколу, что особенного актуально, так как сейчас многие переходят на формат удаленной работы.Немаловажным преимуществом является появление версии Zecurion Device Control (Zlock) for macOS для разграничения доступа к USB-устройствам и журналирования файловых операций с USB-носителями на компьютерах марки Apple под управлением macOS.Из недостатков можно отметить отсутствие поддержки операционных систем семейства Linux и новейших версий macOS.Достоинства:Контентный анализ с помощью любой комбинации технологий обнаружения утечек (анализ производится локально агентом Zlock, политики DLP кэшируются, контроль доступа активен даже при нахождении компьютера за пределами сети, где находится сервер Zecurion Device Control (Zlock)).Совместимость с любыми моделями и марками периферийных устройств.Контроль удаленных устройств, подключаемых к компьютеру по RDP-сессии и MTP-протоколу.Поддержка операционных систем macOS в части разграничения доступа к USB-устройствам и журналирования файловых операций с USB-носителями.Управление Zlock осуществляется через единую систему управления DLP-решениями Zconsole.Работа в виртуальных и терминальных средах.Интеграция с Active Directory упрощает развертывание и администрирование системы, используя групповые политики Microsoft.Отечественное решение (Zecurion DLP включен в реестр отечественного программного обеспечения).Сертификаты соответствия ФСТЭК России и МО России.Недостатки:Отсутствие поддержки операционных систем семейства Linux и новейших версий macOS.

В статье представлена обновленная DLP-система Falcongaze SecureTower 6.0 с новой архитектурой и расширенными возможностями масштабирования. Также в SecureTower 6.0 пополнился список перехватываемых каналов, появилась функция распознавания печатей, поддержка перехвата файлов CAD-программ и ряд других возможностей и улучшений. Рассмотрим подробно, чем же так кардинально отличается новая версия Falcongaze SecureTower 6.0 от предыдущих. ВведениеНовые возможности и улучшения в Falcongaze SecureTower 6.0Функциональные возможности Falcongaze SecureTower 6.0Архитектурные решения, применяемые в Falcongaze SecureTower 6.0Системные требования Falcongaze SecureTower 6.0Работа с DLP-системой Falcongaze SecureTower 6.06.1. Аудио- и видеомониторинг6.2. Возможность распознавания печатей на изображениях6.3. Контроль облачных хранилищ6.4. Контроль мессенджеровВыводы ВведениеПрименение DLP-систем является наиболее актуальным для тех организаций, где количество конфиденциальной информации велико, а возможные финансовые и репутационные потери вследствие утечки могут привести к полному разорению организации или нанести вред ее заказчикам, партнерам или клиентам.Область применения DLP-систем давно вышла за границы только лишь предотвращения утечки данных. Современные системы позволяют блокировать передачу информации по различным каналам связи, копирование на периферийные устройства, осуществлять сбор информации о работе сотрудников и т. д.Современные DLP-системы используются в банковской сфере, энергетике, государственном секторе, промышленных компаниях, научно-исследовательских центрах и др. Также они решают задачи не только контроля конфиденциальной информации, но и задачи экономической безопасности, способствуют расследованию инцидентов, используются в том числе для оценки эффективности работы персонала.Помимо уже привычных каналов (электронная почта, USB, принтеры) DLP-системами контролируются облачные хранилища (Google Drive, Apple iCloud, Облако Mail.Ru, Яндекс.Диск), популярные мессенджеры Skype, Telegram, Viber, WhatsApp, а также некоторые системы позволяют контролировать мобильные компьютеры, смартфоны и планшеты сотрудников.В условиях импортозамещения отечественные разработчики DLP-систем существенно активизировались. Мы уже делали обзор про импортозамещение DLP-систем в России.А анализ рынка DLP-систем показывает, что российские системы вырвались на лидирующие позиции отечественного рынка и вытеснили с него импортные аналоги. Российские системы уже ничем не уступают зарубежным функционально, а в некоторых случаях даже превосходят. В России все чаще стали использовать средства обеспечения информационной безопасности отечественных производителей.Одной из российских DLP-систем является SecureTower 6.0 компании Falcongaze. SecureTower позволяет осуществлять мониторинг множества каналов передачи данных (электронная почта, мессенджеры, социальные сети, облачные хранилища), перехватывать или блокировать передачу информации на периферийные устройства (USB, принтеры и другие). SecureTower помогает не только оперативно расследовать инциденты по горячим следам, но и своевременно предотвращать их. А также дает возможность контролировать действия персонала. Новые возможности и улучшения в Falcongaze SecureTower 6.0В 2014 году мы уже проводили обзор Falcongaze SecureTower 5.5, за три года Falcongaze выпустила целых пять обновлений. А последнюю версию SecureTower 6.0 мы ждали целый год. Причем, по заявлениям компании Falcongaze, версия SecureTower 6.0 — это не просто обновление, а совершенно новый продукт. Система получила переработанную архитектуру, в результате чего расширились возможности масштабирования системы.Были проведены работы по оптимизации быстродействия системы, и в версии SecureTower 6.0 значительно увеличилась скорость обработки данных. Изменения в первую очередь направлены на организации, в сети которых перехватываются и анализируются огромные массивы информации, а также для организаций со сложными структурными особенностями сетевой инфраструктуры. По заявлениям разработчиков, система SecureTower 6.0 готова работать из коробки в сети практически любых размеров и сложности.Список новых возможностей и изменений, которые получила новая версия DLP-система Falcongaze SecureTower 6.0, весьма велик, поэтому приведем наиболее актуальные и значимые из них:Изменена архитектура продукта.Добавлен серверный модуль Центральный сервер, отвечающий за работу системы с базами данных. Больше нет необходимости настраивать подключение к базе данных в каждой отдельной копии рабочего сервера, базы данных настраиваются только для Центрального сервера.Добавлена возможность организации кластера для горизонтального масштабирования больших нагрузок по множеству серверов в крупных компаниях.Добавлена поддержка баз данных, расположенных на разных серверах.Добавлена возможность репликации поступающих данных на другие Центральные серверы для компаний с разветвленной структурой офисов: данные из дочерних контролируемых сетей или офисов могут отправляться на вышестоящие серверы. Также эта опция полезна для создания резервной копии сервера и данных.Добавлена возможность распознавания печатей на изображениях.Добавлена возможность контроля облачного хранилища файлов Google Drive, Apple iCloud, Облако Mail.Ru.Добавлена возможность контроля мессенджеров WhatsApp, Google Hangouts, ICQ с включенным шифрованием протокола.Добавлена поддержка файлов проектных данных САПР-программ (DWG и DXF).Добавлена поддержка файлов формата OST, в которых программа Microsoft Outlook хранит электронные письма.Добавлена возможность шифрования трафика между консолями и сервером.Обновлен дизайн консоли администратора. Функциональные возможности Falcongaze SecureTower 6.0DLP-система SecureTower 6.0 компании Falcongaze перехватывает и анализирует сетевой трафик, данные, переданные на внешние устройства, общие сетевые ресурсы, локальные и сетевые принтеры, а также контролирует содержимое буфера обмена, историю нажатия клавиш на клавиатуре, входящие и исходящие сообщения электронной почты, переписки и голосовые звонки в самых популярных мессенджерах, переданные документы, файлы, веб-страницы и многое другое.Одной из главных функций DLP-системы является противодействие внутренним угрозам. Инсайдерскую активность часто недооценивают, однако именно на нее приходится львиная доля утечек.Основные функции: SecureTower 6.0 обеспечивает:полный контроль документооборота и перехват данных в информационных каналах. Система осуществляет перехват всех отправляемых и получаемых сообщений, выявление отправки конфиденциальных документов, контроль принтеров и подключаемых устройств (например, USB-устройств), контроль почтовых серверов, контроль мессенджеров, контроль использования облачных хранилищ. Гибкая система создания правил безопасности и многое другое;контроль действий персонала. В системе предусмотрен граф-анализатор, в котором для каждого сотрудника система создает профайл, который умеет импортировать данные как из ActiveDirectory, так и формировать автоматически из перехваченной информации. В этом профайле отображаются коммуникации сотрудника с другими людьми, адреса электронной почты работника, имена в мессенджерах, аккаунты в социальных сетях и на других сайтах. Кроме того, ведется постоянный веб-контроль за посещенными сайтами и за активностью в социальных сетях. Есть возможность получать профайлы и полную историю коммуникации работников;выявление передачи конфиденциальной информации с помощью различных методов анализа. Метод контроля по цифровым отпечаткам позволяет выявлять в информационном потоке совпадения (даже фрагментарные) с конфиденциальными документами. Также SecureTower позволяет выявлять в документах и переписке регулярные выражения (такие как номера кредитных карт, ИНН, паспортные данные и др.) и осуществлять анализ по тематическим словарям. Во время анализа система учитывает морфологические особенности русского языка, распознает транслитерацию, определяет «замаскированный» формат файлов, а также анализирует текст, распознанный на изображениях.сбор данных для расследования инцидентов. Помимо предотвращения инцидентов безопасности, система используется и как средство для расследования причин и обстоятельств утечки данных. В SecureTower 6.0 предусмотрены все необходимые инструменты для расследования инцидентов по горячим следам. За счет того, что система хранит в архиве все коммуникации и действия сотрудников, это позволяет в кратчайшие сроки выявить виновного в утечке, определить наличие умысла, а также определить дальнейшие действия руководства. Собранные системой данные могут приниматься судами в качестве доказательной базы;контроль мобильных рабочих станций. В SecureTower 6.0, как и в предыдущих версиях системы, реализован метод удаленного контроля рабочих станций. Агент в автономном режиме снимает те же данные, что и в стационарных компьютерах, а после подключения устройства к корпоративной сети отправляет собранный архив на сервер;гибкую систему формирования отчетности. Для сотрудников службы безопасности и руководителей структурных подразделений доступны полностью настраиваемые отчеты по инцидентам безопасности и ежедневной работе сотрудников. Можно настроить автоматическое создание отчетов по расписанию и отправку их на электронную почту.SecureTower 6.0 позволяет осуществлять автоматическую репликацию данных из филиалов на центральный сервер в головном офисе, что упрощает большим организациям с распределенной структурой обработку и хранение перехватываемой информации.Для организаций, занимающихся проектной и производственной деятельностью (например, научно-исследовательские центры), критичным требованием к DLP-системам является поддержка анализа чертежной документации. SecureTower 6.0 умеет перехватывать и анализировать на предмет передачи конфиденциальных данных файлы САПР-программ в формате DWG и DXF, с которыми работают инженеры и проектировщики.Способы перехвата информацииСистема SecureTower 6.0 поддерживает несколько способов организации перехвата трафика в сети организации. Перехват на базе системы SecureTower может быть реализован как одним из приведенных ниже способов в отдельности, так и их комбинацией:централизованный перехват сетевого трафика путем зеркалирования трафика на SPAN-порт сетевого коммутатора;перехват агентами, установленными на рабочие станции пользователей;перехват электронной почты, переданной через почтовые серверы;перехват HTTP(S)-трафика, переданного через прокси-серверы.При выборе способа перехвата необходимо учитывать, что централизованно может перехватываться только трафик, передаваемый по нешифрованным протоколам.Агенты, установленные на рабочих станциях, могут перехватывать весь трафик — как нешифрованный, так и шифрованный (по протоколам, использующим SSL-шифрование: HTTPS, FTPS, SMTPS, POP3S, IMAP4S, протоколы мессенджеров Skype, Telegram, Microsoft Lync, Viber, Google Hangouts, WhatsApp, а также SIP). Также агенты перехватывают данные, передаваемые на внешние устройства (USB-накопители, съемные жесткие диски, карты памяти и т. д.), локальные и сетевые принтеры, содержимое буфера обмена, кейлоггер.Также с помощью агентов осуществляется перехват данных, отправляемых во все браузерные версии облачных хранилищ. А также перехват данных, передаваемых с помощью приложений в облачные хранилища Dropbox, OneDrive и Яндекс.Диск, iCloud, Google Drive и Облако Mail.ru.В SecureTower 6.0 к уже имеющимся методам выявления передачи конфиденциальных документов (лингвистический анализ документов, атрибутивный анализ, контроль по цифровым отпечаткам и другие) добавилась возможность распознавать печати на изображениях. Это обеспечивает более всестороннюю защиту от утечки таких данных как договоры, соглашения, проектная документация и т. д.SecureTower 6.0 обладает большим набором функций контроля работников организации. Помимо функций, позволяющих контролировать и перехватывать передачу конфиденциальной информации, система позволяет осуществлять контроль активности сотрудников:мониторинг активности пользователя (во сколько была включена/выключена рабочая станция пользователя, время активности и время простоя рабочей станции);мониторинг аудио- и видеопотоков с рабочих станций;мониторинг файловых систем;мониторинг посещения веб-ресурсов;съемка скриншотов с заданной периодичностью;сбор статистики по используемым приложениям;сбор данных кейлоггера.Таким образом, в условиях оптимизации кадровых ресурсов руководству организации намного проще будет вычислить слабое звено — человека, который бездельничает на работе. Архитектурные решения, применяемые в Falcongaze SecureTower 6.0Как и предыдущие версии, DLP-система Falcongaze SecureTower 6.0 имеет серверную и клиентскую части. Серверные компоненты могут устанавливаться на один сервер или разноситься по разным, чтобы обеспечить требуемую масштабируемость, например, при одновременном контроле большого количества сотрудников (нескольких тысяч и более). Также не обязательно устанавливать все компоненты, можно установить лишь те, которые требуются для выполнения поставленных задач.Серверная часть SecureTower 6.0 включает следующие компоненты (сервисы/модули):Центральный серверСервер индексированияСервер пользователейСервер контроля агентовСервер обработки почтыСервер сетевого трафикаСервер ICAPСервер распознаванияСервер безопасности и отчетностиСервер журналирования событийКлиентская часть SecureTower 6.0 содержит Консоль администратора и Консоль пользователя (офицера службы безопасности) и служит в качестве графического интерфейса пользователя.На рисунке 1 представлена схема взаимодействия компонентов SecureTower 6.0, при условии их полной установки. Рисунок 1. Схема взаимодействия компонентов DLP-системы Falcongaze SecureTower 6.0  Центральный сервер отвечает за решение целого ряда задач: авторизацию и выделение лицензий компонентам программы, обработку и сохранение перехваченных данных, работу с цифровыми отпечатками документов, словарями и хэшами файлов, обработку поисковых запросов и результатов поиска и многое другое. На нем происходит сбор и сохранение всех перехваченных данных, поступивших от других серверов системы, в настроенные базы данных.Сервер индексирования является компонентом Центрального сервера и отвечает за извлечение информации из сложных форматов данных и обработку документов с целью преобразовать их в формат, удобный для дальнейшего поиска. Сервер индексирования также выполняет функции поиска по перехваченным данным, поиск по банкам цифровых отпечатков и словарям. Поисковые запросы, обработанные Центральным сервером, поступают Серверу индексирования, который осуществляет поисковые операции по файлам поискового индекса и возвращает результаты поиска Центральному серверу.Сервер пользователей позволяет управлять данными о пользователях локальной сети, создавать карточки пользователей (имя и фамилия, должность, адреса электронной почты, UIN для ICQ, учетные записи в коммуникационных программах, IP-адреса и т. д.), объединять пользователей по определенным группам, а также отвечает за аутентификацию пользователей при доступе в систему.Сервер контроля агентов позволяет централизовано осуществлять установку и управлять агентами. Сервер проверяет наличие рабочих станций в сети и, в зависимости от выбранной стратегии установки, производит удаленную установку агентов на компьютеры локальной сети незаметно для их пользователей. Информация, перехваченная агентами, перенаправляется на Центральный сервер для сохранения в базу данных.Сами Агенты контроля рабочих станций — независимые программные модули. Они предназначены для перехвата данных, передаваемых через Skype, Viber, Microsoft Lync, SIP или отправляемых по SSL-протоколу, и дальнейшей их передачи серверу для обработки.Одной из интересных функций агентов является контроль активности пользователей, с ним можно осуществлять периодическое снятие скриншотов, сбор статистики по активности приложений, мониторинг файловых систем и аудио- и видеопотоков и т. д. Говоря простыми словами, агенты позволяют следить, чем занимается пользователь на своем рабочем месте.Сервер обработки почты обеспечивает перехват почты, отправляемой через почтовые серверы, развернутые на базе MS Exchange Server, Postfix, Lotus и другого программного обеспечения. Интеграция с почтовыми серверами может осуществляться по протоколам POP3 или SMTP.Сервер сетевого трафика обеспечивает перехват и анализ трафика сетевых портов, специально выделенных для этой цели (так называемых SPAN-портов, или портов зеркалирования). Все перехваченные данные (электронные письма, файлы, сообщения и т. д.) передаются Центральному серверу для сохранения.Сервер ICAP позволяет настроить параметры интеграции SecureTower с прокси-сервером для перехвата и блокирования данных, переданных по протоколам HTTP и HTTPs.Сервер распознавания выполняет распознавание и анализ текстовой составляющей на изображении (сканированные копии документов в любом из графических форматов, DjVu и PDF-документы, изображения с текстовыми полями) и применяет к перехваченным данным настроенные политики безопасности. При обнаружении файлов сканированных копий документов, которые содержат изображения печатей, внесенных в банк эталонов Центрального сервера, также будут применены соответствующие политики безопасности.Сервер безопасности и отчетности состоит из двух компонентов — Центр безопасности и Центр отчетности.Центр безопасности отвечает за обработку правил безопасности. При обнаружении каких-либо данных, отвечающих требованиям правил безопасности, Центр безопасности автоматически отправляет уведомления на указанный адрес электронной почты и отображает информацию об обнаружении в Консоли пользователя.Центр отчетности отвечает за создание статистических отчетов по широкому спектру параметров перехваченных данных. Все отчеты доступны для настройки и просмотра в Консоли пользователя. Отчеты представляются в графическом виде и обладают высокой степенью интерактивности.Сервер журналирования событий позволяет контролировать состояние системы в режиме реального времени. При этом все события серверных компонентов фиксируются в журнале серверных событий SecureTower. Также обеспечивается запись сведений обо всех наиболее существенных событиях в работе серверных компонентов SecureTower в журнал операционной системы рабочей станции, на которой они установлены.Консоль администратора предназначена для настройки работы всех подсистем SecureTower 6.0. С помощью нее настраиваются все компоненты, устанавливаются агенты системы, настраивается фильтрация данных при перехвате, устанавливается периодичность индексирования данных, просматривается статистика перехвата трафика в режиме реального времени, а также решаются задачи, которые необходимо выполнять администратору DLP-системы.Консоль пользователя — основное графическое приложение, предназначенное для работы офицера службы безопасности. Здесь осуществляется непосредственно работа с перехваченной информацией. Консоль позволяет анализировать трафик конкретных пользователей, осуществлять полнотекстовый поиск по ключевым словам и просматривать перехваченные данные в удобном виде. В консоли производится настройка работы Центра безопасности и просмотра результатов его работы, а также настройка отправки уведомлений о нарушении политики информационной безопасности. Кроме того, с помощью консоли обеспечивается доступ к Центру отчетности для автоматического построения отчетов по различным критериям, доступ к прослушиванию аудио- и видеопотока, и видеоизображения рабочего стола в режиме реального времени.Особенность организации перехвата сетевого трафика в SecureTower 6.0.Схемы внедрения системы перехвата на базе «Сервера сетевого трафика» в SecureTower 6.0 могут быть различными и все зависит от топологии сети организации. Рекомендуемая схема внедрения системы перехвата на базе «Сервера сетевого трафика» в существующую сеть приведена на рисунке 2. При использовании такой схемы перехватываться будет весь внешний сетевой трафик. Данная схема обеспечивает оптимальное распределение функций всех подсистем SecureTower 6.0 по сети, а также позволяет избежать дополнительной нагрузки на Сервер сетевого трафика. Рисунок 2. Рекомендуемая схема внедрения системы перехвата на базе Сервера сетевого трафика SecureTower 6.0  Перехват между сегментами сети. Масштабирование системыМы уже говорили, что одной из новых особенностей SecureTower 6.0 является масштабирование. Возможность масштабирования системы перехвата позволяет избежать перегрузки системы при мониторинге сетей со сложной топологией и большим числом рабочих станций. Нагрузка по перехвату и обработке трафика распределяется по нескольким Серверам сетевого трафика, что позволит контролировать трафик, передаваемый между локальными рабочими станциями большой сети, и в целом повышать надежность и производительность системы перехвата. Рисунок 3. Перехват между сегментами сети. Масштабирование в SecureTower 6.0  Системные требования Falcongaze SecureTower 6.0DLP-система может быть развернута как в крупных организациях с территориально распределенной структурой, так и в небольших организациях.Все компоненты SecureTower 6.0 могут быть установлены на один сервер или разнесены по разным, чтобы обеспечить нужную масштабируемость при одновременном контроле большого количества сотрудников (нескольких тысяч и более).Системные требования для серверных компонентов Falcongaze SecureTower 6.0Общим требованием для установки всех серверных компонентов является поддержка ОС Microsoft Windows Server 2008/2012/2016 (x64).Следует обратить внимание, что серверные компоненты Falcongaze SecureTower начиная с версии 6.0 не могут быть установлены на рабочие станции под управлением 32-разрядных операционных систем.SecureTower 6.0 поддерживает работу с наиболее популярными СУБД. Среди поддерживаемых систем как платные продукты Microsoft SQL и Oracle SQL, так и open-source: PostgreSQL (9.3 и выше), MySQL, SQLite.В комплект поставки включена СУБД SQLite. А рекомендуемой СУБД является PostgreSQL, которую следует размещать на том же физическом сервере, где расположен Сервер индексирования. Однако при использовании других СУБД или контроле более чем 1,5 тысяч пользователей и сроках хранения информации более полугода необходимо использовать высокопроизводительные системы хранения данных (СХД, отдельный сервер СУБД).Системные требования для серверных компонентов Falcongaze SecureTower 6.0 приведены в таблице 1. При этом стоит отметить, что это минимальные системные требования для контроля 25 пользователей. Таблица 1. Системные требования для серверных компонентов Falcongaze SecureTower 6.0КомпонентМинимальные системные требованияРекомендации по установкеСерверное оборудованиеCPU: 2,2 ГГц и выше (4 ядра и более);Сетевой адаптер: 1 Гбит (2 адаптера при централизованном перехвате);RAM: 6 ГБ и более;HDD: 100 ГБ раздел для операционной системы и файлов SecureTower (RAID1/RAID10); раздел для хранения перехваченных данных (на RAID1/RAID10) из расчета: 1,5 ГБ данных от каждого контролируемого пользователя за месяц, плюс 3% от объема перехваченных данных для файлов поисковых индексов;Предустановленные компоненты: Windows.Net Framework 4.6 и выше, Microsoft Visual C++ Redistributable 2008/2010/2013 и 2015 (x86/x64);ОС: Microsoft Windows Server 2008/2012/2016 (x64)Центральный сервер и Сервер индексирования рекомендуется установить на отдельные серверы.Сервер контроля агентов может работать вне зависимости от наличия остальных компонентов системы. Для его работы достаточно настроить подключение к базе данных.Сервер сетевого трафика устанавливается с помощью отдельного мастера установки. Основной рекомендацией является выделение отдельного сервера (или нескольких серверов) для его установкиАгент контроля рабочих станцийОС: Microsoft Windows XP SP3/Vista/7/8/10/Server 2003/2008/2012/2016 (x86/x64)– Системные требования для клиентских компонентов Falcongaze SecureTower 6.0Клиентские компоненты SecureTower 6.0 (Консоль администратора и Консоль пользователя) могут быть установлены на любых рабочих станциях сети, которые удовлетворяют системным требованиям, приведенным в таблице 2. Таблица 2. Системные требования для клиентских компонентов Falcongaze SecureTower 6.0КомпонентМинимальные системные требованияРекомендации по установкеКонсоль администратора и Консоль пользователяCPU: 2 ГГц и выше;Сетевой адаптер: 100 Мбит/1 Гбит;RAM: не менее 4 ГБ;HDD: не менее 300 МБ;Windows .Net Framework: 4.6 и выше;Microsoft Visual C++ Redistributable 2008/2010/2013/ 2015 (x86/x64);Видеокарта: поддержка DirectX 7.0 и выше (разрешение экрана: 1024 x 768);ОС: Microsoft Windows Vista/7/8/10/2008/2012/2016 (x86/x64)Клиентские компоненты SecureTower 6.0 могут быть установлены на любых рабочих станциях сети (стационарные или мобильные рабочие станции) Сертификация SecureTowerСтоит отметить тот факт, что DLP-система SecureTower сертифицирована ФСТЭК России (Сертификат ФСТЭК № 3421 от 25.06.2015). DLP-система SecureTower является программным средством защиты от неправомерной передачи информации из информационной системы и соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню. Наличие такого сертификата делает использование SecureTower не только актуальным для защиты от внутренних угроз, но и обеспечивает соответствие этой защиты требованиям регуляторов.Соответствие требованиям регуляторовПрименение DLP-системы SecureTower 6.0 позволяет компаниям соответствовать требованиям нормативно-правовых актов РФ и отраслевых стандартов в области обеспечения информационной безопасности, таких как:Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;Федеральный закон от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»;Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;Федеральный закон от 27.07.2010 №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;Федеральный закон от 27 июня 2011 г. №161-ФЗ «О национальной платежной системе»;Положение Банка России от 09.06.2012 №382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;Стандарт Банка России СТО БР ИББС–1.0–2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Работа с DLP-системой Falcongaze SecureTower 6.0Изначально хотелось бы отметить, что работа с DLP-системой SecureTower 6.0 интуитивно понятна и не требует специальных дополнительных знаний. Системному администратору и администратору информационной безопасности организации не составит труда установить и настроить систему, как им необходимо.В части работы с DLP-системой SecureTower 6.0 рассмотрим ряд наиболее востребованных функций, которые являются новыми относительно рассмотренных в предыдущем обзоре.Аудио- и видеомониторингОдним из нововведений является осуществление не только аудио-, но и видеомониторинга. Теперь можно не только мониторить аудиосигнал с рабочей станции, но и удаленно просматривать видеоизображение происходящего на экране монитора пользователя или видеоизображение, поступающее с подключенной к компьютеру веб-камеры. При этом перехватывается видеопоток с экранов всех мониторов, подключенных к контролируемой рабочей станции.Воспроизведение результатов записи доступно напрямую из Консоли пользователя SecureTower 6.0 в окне модуля «Аудио- и видеомониторинг» (см. рисунок 4). Рисунок 4. Просмотр результатов аудио- и видеомониторинга вSecureTower 6.0  При этом можно настраивать автоматическую запись по расписанию (см. рисунок 5). Рисунок 5. Настройка автоматической записи результатов мониторинга аудио и видео в SecureTower 6.0  Функция аудио- и видеомониторинга позволяет просматривать, чем сотрудник занимается на своем рабочем месте, о чем и с кем ведет переговоры. В современных условиях перехват данных через такой канал связи широко используется в большинстве организаций (например, через такие приложения, как Skype, Viber, WhatsApp и др.) при общении с клиентами и заказчиками, т. к. позволяет в кратчайшие сроки уточнить информацию, сформировать заказ и т. д.Например, сотрудник организации в разговоре с клиентом может договориться об откате. Рассмотрим еще такую ситуацию: сотрудник знает о том, что он не может скопировать и переслать конфиденциальный документ, при этом он осуществляет видеозвонок заинтересованным лицам и показывает в видеотрансляции снимок экрана своего монитора, на котором открыт такой документ. Теперь система SecureTower 6.0 позволяет отслеживать и такую возможность утечки конфиденциальной информации.Возможность распознавания печатей на изображенияхНовая версия системы SecureTower 6.0 помимо распознавания текста на изображениях позволяет отслеживать передачу файлов, содержащих отсканированные копии документов с печатями установленного образца, и отправлять уведомление уполномоченному лицу о факте перехвата такого документа. Такая функция помогает отследить и перехватить неправомерную передачу, например, договоров, конструкторской документации, документов с пометкой «Для служебного пользования» и других завизированных печатью документов.Настройка распознавания печатей на изображениях и добавление эталонных образцов печатей выполняется в Консоли администратора на вкладке Распознавание (см. рисунок 6). Для работы данной функции необходимо добавить образцы печатей, которые недопустимы для передачи. Система поддерживает перехват печатей в том числе в документах XPS-формата. Рисунок 6. Настройка функции Распознавание печатей в SecureTower 6.0  Можно также настроить правило безопасности, в рамках которого осуществлялись бы автоматические уведомления уполномоченных лиц о случаях обнаружения документов с печатями в Центре обеспечения безопасности Консоли пользователя. Настройка уведомления приведена на рисунке 7. Рисунок 7. Настройка автоматического уведомления о случаях обнаружения документов с печатями в SecureTower 6.0  Может потребоваться отследить, кому передаются те или иные документы. В этом случае мы настраиваем правило отслеживать документы с теми или иными печатями, но не запрещаем их передачу. Для отслеживания, кому и кто передавал такие документы, поиск документов с распознанными печатями осуществляется в Консоли пользователя с помощью модуля Комбинированного поиска (настройки поиска см. рисунок 8). Рисунок 8. Настройка поиска документов с распознанными печатями в SecureTower 6.0 Контроль облачных хранилищВ настоящее время широко распространена возможность использования облачных хранилищ. Раньше, чтобы скопировать документ (по сути, украсть), необходимо было записать его на оптический диск или USB-носитель. Такая возможность в большинстве организаций была запрещена с помощью систем предотвращения утечки информации через периферийные устройства или системы защиты от несанкционированного доступа, имеющих функцию запрета использования периферийных устройств. Теперь пользователю достаточно иметь доступ в интернет и к облачному хранилищу.Система SecureTower позволяет пресечь и эту возможность, при этом список контролируемых облачных хранилищ постоянно растет. Мы уже говорили, что в SecureTower 6.0 добавилась возможность контролировать еще и Google Drive, Apple iCloud, Облако Mail.Ru. При этом доступ к облачным хранилищам можно настраивать, т. е. можно запретить совсем, разрешить или оставить доступ только на чтение (см. рисунок 9). Рисунок 9. Настройка доступа к облачным хранилищам в SecureTower 6.0  Настройка контроля облачных хранилищ осуществляется в Консоли администратора в профиле настроек агента на вкладке Контроль облачных хранилищ (см. рисунок 10). Рисунок 10. Настройка контроля облачных хранилищ в SecureTower 6.0  Перехват информации осуществляется путем теневого копирования данных, передаваемых в облачные хранилища. В дальнейшем можно будет просмотреть информацию о дате и времени перехвата данных, имени и размере файла, имени локального пользователя, произведшего запись файла в облачное хранилище, путь к переданному файлу в локальной папке облачного хранилища и т. д.Таким образом, система SecureTower 6.0 позволяет контролировать доступ и осуществлять перехват информации, передаваемой в самые распространенные облачные хранилища.Контроль мессенджеровКоличество появляющихся на рынке и используемых в современном мире мессенджеров постоянно растет. И зачастую очень сложно отследить информацию, передаваемую через них. SecureTower 6.0 позволяет осуществлять перехват данных в наиболее популярных мессенджерах (Skype, WhatsApp, Google Hangouts, Telegram, Viber и др.). Для этого в Консоли администратора в профиле настроек агента на вкладке Перехват мессенджеров можно установить, по каким мессенджерам требуется перехватывать информацию (см. рисунок 11). Рисунок 11. Настройка контроля мессенджеров в SecureTower 6.0  SecureTower 6.0 позволяет осуществлять перехват (как переписки, так и передаваемых файлов) для следующих мессенджеров: ICQ (протокол OSCAR), Skype, WhatsApp, Google Hangouts, Telegram, SIP, Viber, Microsoft Lync, XMPP (Jabber), Mail.Ru Агент, Yahoo. ВыводыВ обзоре мы познакомились с новой версией DLP-системы Falcongaze SecureTower 6.0. При этом, по заявлениям разработчиков, это не просто обновление, а совершенно новый продукт. И это действительно так, ведь Falcongaze в SecureTower 6.0 кардинально переработали архитектуру системы. Компания Falcongaze динамично развивает и совершенствует свою систему, что является немаловажным фактором при выборе.Для превентивного устранения утечек и вредоносной инсайдерской активности в SecureTower 6.0 реализован перехват максимально возможного количества каналов связи: электронная почта, веб-активность, USB-носители, принтеры, а также мессенджеры и облачные сервисы. Возможности перехвата постоянно увеличиваются разработчиками, ориентированными на требования рынка. SecureTower 6.0 позволяет не только предотвращать инциденты, но и оперативно их расследовать.В SecureTower 6.0 применяются две схемы перехвата — на шлюзе и с помощью агентов. В первом случае решение анализирует трафик на сервере, во втором перехват происходит непосредственно на рабочих компьютерах. Второй способ перехвата позволяет значительно расширить количество перехватываемых каналов, в том числе большинство мессенджеров и интернет-трафик по протоколу HTTPs. В зависимости от нужд организации способы перехвата могут комбинироваться, либо вообще использоваться только определенные модули системы. Также возможны работа системы на корпоративном почтовом сервере и интеграция с корпоративным Proxy-сервером.Анализ перехваченных данных происходит на основе заранее заданных правил безопасности. При этом в SecureTower 6.0 предусмотрена возможность достаточно гибкой настройки правил. Например, можно создать правила — уведомлять о передаче большого числа файлов на печать сотрудниками определенного отдела или блокировать передачу по электронной почте документа, содержащего данные из базы данных конфиденциальных документов. Все уведомления о событиях отправляются ответственному лицу.Система SecureTower 6.0 имеет так много достоинств, что может сложиться мнение, что она не имеет недостатков. Но недостатки есть. В частности, SecureTower 6.0 работает на серверах и компьютерах только под управлением операционной системы Windows. Конечно, большая часть организаций использует именно эту операционную систему, но разработчикам есть куда стремиться для расширения рынка. Еще одним недостатком является отсутствие функции агентского контроля мобильных устройств под управлением Android, iOS и мобильной версии Windows, востребованность которого вызывает сомнения, однако встречается все чаще.Достоинства SecureTower 6.0:система отечественного производителя, который динамично развивает ее функциональность;внедрение SecureTower 6.0 занимает считанные часы, а установка и настройка производится из одной консоли. Для внедрения не требуется дорогостоящий консалтинг и покупка специального оборудования;масштабируемость и модульность системы;высокая скорость анализа данных при перехвате;возможность контроля облачного хранилища;возможность контроля мессенджеров Skype, Telegram, Microsoft Lync, Viber, Google Hangouts, WhatsApp, ICQ с включенным шифрованием протокола;поддержка файлов проектных данных САПР-программ (DWG и DXF) (контроль бинарных документов);распознавание текста и печатей на изображениях;полный контроль документооборота и перехват данных в информационных каналах;контроль за действиями персонала;осуществление аудио- и видеомониторинга;построение подробных отчетов о действиях и коммуникациях пользователей. В том числе формирование отчетов в графическом виде, а также построение граф-анализаторов действий пользователя;выявления передачи конфиденциальной информации по цифровым отпечаткам;контроль мобильных рабочих станций;интуитивно понятный интерфейс и гибкие настройки системы;собираемый объем данных позволяет оперативно осуществлять расследование инцидентов.Недостатки SecureTower 6.0:поддержка только операционных систем на базе Windows;отсутствие агентов для мобильных устройств (смартфоны, планшеты);отсутствие готовой (из коробки) интеграции с другими продуктами по обеспечению информационной безопасности.

В статье описываются системы поведенческого анализа пользователей и сущностей User and Entity Behavioral Analytics (UBA/UEBA), основные принципы их работы, сферы использования и тенденции развития рынка. UEBA — достаточно молодой класс систем, но представляющий большой практический интерес в связи с тем, что эти системы используют принципиально новый подход в борьбе с современными угрозами.   ВведениеПринцип работы UEBA-системКакие прикладные задачи решают системы поведенческого анализа?3.1. Определение скомпрометированных аккаунтов пользователей и конечных станций3.2. Определение и предотвращение инсайдерских угроз3.3. Мониторинг сотрудников и их прав доступаМировой рынок систем поведенческого анализаРоссийский рынок систем поведенческого анализаКраткий обзор продуктов, предназначенных для поведенческого анализа6.1. Определение скомпрометированных аккаунтов пользователей и конечных станций6.2. Exabeam Advanced Analytics (Exabeam)6.3. Splunk UBA (Splunk)6.4. Определение и предотвращение инсайдерских угроз6.5. Microsoft Advanced Threat Analytics (ATA) (Microsoft)6.6. ObserveIT (ObserveIT)6.7. Мониторинг сотрудников и их прав доступа6.8. HPE ArcSight UBA (HPE/MicroFocus)6.9. IBM QRadar UBA (IBM)6.10. Другие игрокиВыводы ВведениеЦелевых атак стало больше, они стали более изощрёнными и продуманными, злонамеренные пользователи стали умнее, а корпоративные информационные системы показывают лавинообразный вертикальный и горизонтальный рост. В таком мире контролировать и реагировать на инциденты информационной безопасности становится все сложнее и дороже. Поэтому перед индустрией ИБ стоит множество задач по автоматизации процессов определения и реагирования на инциденты и угрозы. Одну из таких задач решают системы класса User [and Entity] Behavioral Analytics (UEBA/UBA).User [and Entity] Behavioral Analytics (UEBA/UBA) — класс систем, позволяющих на основе массивов данных о пользователях и ИТ-сущностях (конечных станциях, серверах, коммутаторах и т. д.) с помощью алгоритмов машинного обучения и статистического анализа строить модели поведения пользователей и определять отклонения от этих моделей, как в режиме реального времени, так и ретроспективно. В качестве источников данных для UEBA-систем могут выступать файлы журналов серверных и сетевых компонентов, журналы систем безопасности, локальные журналы с конечных станций, данные из систем аутентификации и даже содержание переписки в социальных сетях, мессенджерах и почтовых сообщениях.Формально UEBA и UBA относятся к одному классу систем, но при этом имеют одно фундаментальное отличие. UBA-системы берут за основу информацию, связанную только с пользовательской активностью и, соответственно, фокусируются на пользователях и их ролях. UEBA-системы информацию о пользователях и ролях обогащают информацией о системном окружении — хостах, приложениях, сетевом трафике и системах хранения данных. Это позволяет UEBA-системам строить профили не только пользователей, но и всего ИТ-окружения. Благодаря этому UEBA-системы, в отличие от UBA, способны идентифицировать более широкий класс угроз, связанных не только с пользователями, но и с объектами ИТ-инфраструктуры.Системы UEBA представлены как в виде отдельных программных решений, так и в виде расширений для уже существующих систем: SIEM (Security Information and Event Management), DLP (Data Loss Prevention), EDR (Endpoint Detection and Response) и пр. Принцип работы UEBA-системСистемы UEBA, архитектурно, решают 4 основные задачи:Прикладная аналитика данных из различных источников, как простая статистическая, так и расширенная, с использованием методов машинного обучения, в режиме реального времени и/или с определенной периодичностью.Быстрая идентификация атак и других нарушений, большинство из которых не определяются классическими средствами ИБ.Приоритизация событий, консолидированных из разных источников (SIEM, DLP, AD и т. д.), для более оперативного реагирования со стороны администраторов ИБ.Более эффективная реакция на события за счет предоставления администраторам ИБ расширенной информации об инциденте, включающей все объекты, которые были вовлечены в аномальную активность.Исходя из вышесказанного, в ядро любой UEBA-системы включаются технологии по работе с большими массивами данных. И если в случае с расширениями к известным SIEM-системам (IBM QRadar UBA, HPE ArcSight UBA, LogRhythm AI Engine) такие технологии доступны из коробки, то самостоятельные решения должны либо использовать сторонние разработки (например, Exabeam использует Elastic Stack), либо свои собственные (Splunk UBA, Microsoft ATA).Опираясь на массив собранных данных, UEBA-система строит модель нормального поведения пользователя и его взаимодействия с корпоративными системами. Построение модели происходит как с помощью простых статистических алгоритмов, так и с помощью алгоритмов машинного обучения. Помимо этого, UEBA-системы могут строить модели поведения целых групп пользователей и определять отклонения каждого из них от общей модели.Если какие-то действия пользователя выбиваются из построенной модели, UEBA-система определяет это как аномальную активность и создает соответствующее предупреждение администратору безопасности. Обычно это происходит в режиме реального времени или близком к нему.В дополнение к этому, системы UEBA ведут ретроспективную статистику по каждому пользователю и на основе собранных данных по его аномальной активности способны выставлять своеобразные оценки риска каждому из них. В дальнейшем эти оценки используются в ранжировании событий, облегчая работу администратора безопасности.Наконец, UEBA-системы предоставляют развернутую информацию по инцидентам, включая информацию обо всех задействованных пользователях и системах, с анализом определенных аномалий в их поведении, что значительно упрощает дальнейшее расследование. Какие прикладные задачи решают системы поведенческого анализа?Благодаря общему подходу ко всем сетевым сущностям (не только к пользователям, но и к элементам ИТ-инфраструктуры) UEBA способны дополнять широкий класс ИБ-систем и решать задачи, которые эти системы не могут решить в принципе.Определение скомпрометированных аккаунтов пользователей и конечных станцийБольшинство организаций обычно фокусируются на защите периметра и конечных станций. При этом злоумышленники зачастую могут обойти такую защиту, не обнаруживая себя. Решения класса UEBA в состоянии отследить такую активность, начиная с самой ранней стадии заражения и заканчивая конечными станциями и узлам ИТ-инфраструктуры, которые были поражены вследствие горизонтального распространения угрозы.В этом случае UEBA системе не принципиально, вовлечен ли в зловредную активность только пользовательский аккаунт или же под ударом оказались конечные станции и сервера — аномальная активность будет определяться на всех уровнях.Задача определения горизонтального распространения угрозы и последующего расследования инцидента практически недоступна для решения классическими ИБ-системами, ориентированными на защиту периметра и конечных станций.В этом случае UEBA системы могут быть использованы, как вспомогательные к системам классов SIEM, IPS и EDR.Определение и предотвращение инсайдерских угрозПомимо внешних атак на инфраструктуру, есть большой класс угроз, исходящих от доверенных источников — сотрудников организации. Сюда можно отнести утечки данных, внутренний фрод и эксплуатацию уязвимостей в корпоративных системах для повышения привилегий или вывода систем из строя. UEBA-системы в этом случае могут определить аномальную активность в поведении пользователей в их взаимодействии с корпоративными системами и предоставить исчерпывающую информацию администраторам безопасности.Производители UEBA-систем, фокусирующихся на внутренних угрозах, в качестве источников информации часто используют не только системные журналы, но и содержание переписок из корпоративной почты и мессенджеров, что позволяет строить более детальные и персонифицированные модели поведения пользователей.В этом случае UEBA-системы выступают вспомогательными к основным EDR-, SIEM-, DLP- и IPS-системам.Мониторинг сотрудников и их прав доступаНе всегда необходимость профилирования пользователей напрямую связана с предотвращением каких-либо угроз. Подчас, особенно в больших и сложных корпоративных структурах, возникает необходимость в более гранулированном подходе к пользовательским правам, как по их уровню доступа, так и по целевым системам, к которым предоставляется доступ.В этом случае UEBA-система, собирая информацию о пользователях и их привилегиях, дает очень ценную информацию о том, к каким корпоративным системам и с какими привилегиями эти пользователи осуществляют доступ. В результате анализа может выясниться, что не все привилегии и целевые системы, доступ к которым разрешен пользователю, ему реально необходимы. Это помогает понижать привилегии и сокращать число доступных целевых систем для единичных пользователей и групп, что в свою очередь снижает риски внутренних угроз.В этом случае UEBA-системы направлены на помощь ИТ- и ИБ-администраторам и могут использоваться в качестве дополнения к системам классов IAM/IDM, PAM/PUM и DAG. Мировой рынок систем поведенческого анализа«К 2022 году рынок UEBA-систем перестанет существовать», — вот так безрадостно, на первый взгляд, оценивает этот рынок вице-президент Gartner Авива Литан. И для этого есть основания.Мировой рынок UEBA-систем показывает стремительный рост — так со своего появления в 2014 году он растет на 100% от года к году - $50 млн в 2015 году, $100 млн в 2016 году, $200 млн в 2017 году (прогноз). При этом, как самостоятельный продукт UEBA-системы скорее всего в ближайшей перспективе перестанут существовать. И дело здесь в самой технологии.Действительно, UEBA-системы — это мощный аналитический инструмент. При этом для эффективного анализа эти системы требуют большого количества данных, собранных из разных источников. Задачи сбора и систематизации таких данных решают SIEM-системы, предоставляющие доступный из коробки инструментарий по сбору и базовому анализу больших данных. Поэтому наиболее эффективным механизмом внедрения UEBA является их тесная интеграция с уже существующими SIEM-системами.Этот тренд подтверждается слияниями и поглощениями на рынке SIEM/UEBA-систем. Так, в 2015 году Splunk (платформа для работы с большими массивами данных) приобрела поставщика UEBA Caspida и тесно интегрировала их не только со своим ядром (Splunk UBA), но и с собственным SIEM-решением Enterprise Security. HPE выпустил свое решение ArcSight UBA, включившее в себя разработки Securonix. Решение Microsoft Advanced Threat Analytics (ATA) включает в себя разработки купленной в 2014 году израильской компании Aorata, которая, в том числе, разрабатывала средства поведенческого анализа для учетных записей AD. 2017 год также был насыщенным на громкие поглощения: в январе HPE Aruba приобрела Niara, а уже в августе Forcepoint поглотил RedOwl. Нужно ли говорить, что обе компании — лидеры сегмента UEBA.Также некоторые производители SIEM-систем развивают собственные дополнения, отвечающие за поведенческий анализ. Так, IBM выпустил бесплатное расширение UBA для своей SIEM-системы QRadar — IBM QRadar UBA, а LogRhythm выпустил AI Engine — движок для определения аномалий в собираемых данных.При этом классические UEBA-производители, напротив, расширяют функциональность своих продуктов. Так, например, Exabeam, один из пионеров UEBA-рынка, теперь позиционирует свой продукт именно как SIEM & UBA. Balabit уже позиционируется как PUM-вендор и классическую UBA-функциональность использует в рамках своего продукта Blindspotter, отвечающего за расширенный анализ поведения привилегированных пользователей. ObserveIT — полноценный продукт для борьбы с инсайдерскими угрозами (Insider Threat Management), основанный на собственных разработках в области поведенческой аналитики.Gartner прогнозирует, что к 2018 году как минимум четыре компании в сфере UEBA будут поглощены производителями SIEM, DLP и других систем, ориентированных на задачи информационной безопасности. А к 2020 году на рынке останется менее пяти производителей, сфокусированных исключительно на поведенческом анализе. Российский рынок систем поведенческого анализаНа сегодняшний день на российском рынке UEBA-систем широко представлены иностранные продукты, которые поставляются в основном в рамках классических продуктовых каналов производителей ИТ- и ИБ- систем, уже зарекомендовавших себя на российском рынке: IBM, HPE, Splunk, Microsoft и т. д.Российские производители делают первые шаги в сторону поведенческой аналитики, и подобная функциональность уже внедряется в некоторые отечественные продукты:Определение скомпрометированных аккаунтов пользователей и конечных станций:Secure Portal от Group IBKaspersky Fraud Prevention от «Лаборатории Касперского»Определение и предотвращение инсайдерских угроз:Solar Dozor от Solar SecurityКонтур информационной безопасности (КИБ) от SearchInformМониторинг сотрудников и их прав доступа:StaffCop Enterprise от «Атом Безопасность»Но говорить о полноценной автоматической поведенческой аналитике в российских продуктах еще рано. Краткий обзор продуктов, предназначенных для поведенческого анализаКлассификация решений в обзоре весьма условна и базируется на сильных сторонах продукта, а не на исчерпывающем наборе функций.  Большинство решений класса UEBA/UBA в том или ином виде решают практически все перечисленные задачи.Определение скомпрометированных аккаунтов пользователей и конечных станций  Exabeam Advanced Analytics (Exabeam)Exabeam по праву можно считать пионером UEBA-рынка. По заявлениям самой компании, Exabeam имеет самую большую инсталляционную базу UEBA-систем в мире. На сегодняшний день компания позиционирует себя как комплексная платформа для SIEM с расширенной аналитической функциональностью. Классическое UEBA-решение компании стало частью этой экосистемы и получило название Exabeam Advanced Analytics.В основе Exabeam Advanced Analytics лежит собственная технология, названная Statefull User Tracking, которая в полностью автоматическом режиме строит нормальный профиль пользователей, опираясь на информацию о сессиях, устройствах, IP-адресах и учетных записях пользователей. Exabeam Advanced Analytics может разворачиваться как в качестве отдельного решения, так и как часть Exabeam Security Intelligence Platform. Рисунок 1. Интерфейс UEBA-модуля Exabeam Advanced Analytics  К дополнительным задачам, решаемым с помощью платформы Exabeam, можно отнести:Инсайдерские угрозы и утечка данных.Обнаружение вредоносных программ и их горизонтального распространения.Проведение аудита системы на соответствие требованием регуляторов.Платформа Exabeam лицензируется по числу пользователей и не привязывается к объему обрабатываемых данных, как классические SIEM-системы.Подробнее с платформой Exabeam Advanced Analytics можно ознакомиться здесь.  Splunk UBA (Splunk)Компания Splunk была основана в 2003 году и фокусировалась на обработке и быстрой аналитике больших массивов текстовых данных. Логичным продолжением развития платформы стала интеграция алгоритмов машинного обучения и расширений для работы с различными типами данных. Одним таких из решений стал продукт Splunk UBA, который выпускается как отдельное приложение, построенное на продуктах Big Data Foundation (Hadoop, Spark и GraphDB). Несмотря на это, Splunk UBA имеет прозрачную интеграцию с основным продуктами Splunk Enterprise и Splunk Enterprise Security (SIEM-расширение для платформы Splunk).Splunk UBA создает поведенческие модели пользователей, одноранговых групп, конечных станций, сетевых объектов, источников данных и др. Рисунок 2. Основное окно интерфейса Splunk UBA  К дополнительным задачам, решаемым с помощью Splunk UBA, можно отнести:Кража интеллектуальной собственности и «эксфильтрация» данных.Подозрительное поведение в связке пользователей, устройств и приложений.Обнаружение вредоносных программ и их горизонтального распространения.Splunk UBA лицензируется по числу анализируемых пользователей, полученных из Microsoft AD, LDAP или любой аналогичной системы аутентификации пользователей в сети.Подробнее с продуктом Splunk UBA можно ознакомиться здесь.Определение и предотвращение инсайдерских угроз  Microsoft Advanced Threat Analytics (ATA) (Microsoft)В ноябре 2014 года Microsoft купила израильскую компанию Aorato, а уже в мае 2015 года на своей конференции Microsoft Ignite представила решение Advanced Threat Analytics. Microsoft ATA может забирать данные как классическими средствами Microsoft (пересылка событий WEF или непосредственно из сборщика событий Windows), так и из сторонних SIEM-систем.Microsoft ATA выявляет три типа угроз: атака злоумышленников, аномальное поведение и проблемы/риски безопасности. Атаки злоумышленников определяются детерминировано по списку известных атак на инфраструктуру Microsoft (Pass-the-Hash, Golden Ticket, вредоносные запросы на репликацию и т. д.). Аномальное поведение, как и в других UBA-системах, определяется с помощью механизмов машинного обучения. Проблемы/риски безопасности включают в себя определение известных уязвимостей в протоколах или использование их старых неподдерживаемых версий. Рисунок 3. Пример поведенческого отчета в Microsoft ATA  Можно выделить несколько дополнительных сфер применения для Microsoft ATA с точки зрения поведенческой аналитики:Кража учетных записей и злоупотребление привилегированными учетными записями.Обнаружение неизвестных угроз и их горизонтального распространения.Microsoft ATA лицензируется либо по числу устройств, либо по числу пользователей. Помимо отдельно приобретаемой лицензии, Microsoft ATA входит в комплекты лицензий и подписок: Enterprise Client Access License Suite (и по пользователям, и по устройствам), Enterprise Mobility Suite + Security (только по пользователям) и Enterprise Cloud Suite (только по пользователям).Подробнее с решением Microsoft Advanced Threat Analytics можно ознакомиться здесь.  ObserveIT (ObserveIT)Компания ObserveIT была основана в 2006 году в Израиле. Изначально компания фокусировалась на мониторинге внешних поставщиков. С развитием собственной платформы поведенческого анализа компания стала расширять сферы применения своего продукта на мониторинг внутренних сотрудников, привилегированных пользователей и внешних поставщиков. С этого момента ObserveIT сосредоточилась на разработке полноценного ITM (Insider Threat Management) решения. В феврале 2016 года компания представила первое комплексное решение для предотвращения (а не только определения) внутренних угроз.Отличительной чертой архитектуры решения ObserveIT является наличие легковесных клиентских агентов. Эти агенты, помимо сбора данных, позволяют осуществлять проактивную блокировку определенных действий пользователя, в том числе при определении поведенческих аномалий в них. Рисунок 4. Окно интерфейса ObserveIT Insider Threat Intelligence  К дополнительным задачам, решаемым с помощью ObserveIT, можно отнести:Определение скомпрометированных учетных записей.Проведение аудита системы на соответствие требованием регуляторов.ObserveIT, в отличие от классических UEBA-решений, лицензируется по числу конечных станций, находящихся под управлением системы.Подробнее с ObserveIT можно ознакомиться здесь.Мониторинг сотрудников и их прав доступа  HPE ArcSight UBA (HPE/MicroFocus)HPE ArcSight UBA является расширением для одной из самых известных и распространенных SIEM-систем HPE ArcSight. ArcSight UBA построен на базе одного из лидеров UEBA-рынка — компании Securonix. Компания Securonix классически фокусируется на широком классе угроз: начиная с внутренних угроз и утечек данных, заканчивая безопасностью облачных сред и контролем учетных записей пользователей.HPE ArcSight UBA на основе готовых математических моделей для профилирования активности на основе полученных событий позволяет производить группировку однотипных событий (peer group analysis), выявлять аномалии (anomaly detection), определять штатные профили работы пользователей (baseline profiling), определять частоту возникновения событий (event rarity). Рисунок 5. Интерфейс HPE ArcSight UBA с поведенческой аналитикой пользователей  К дополнительным задачам, которые решает HPE ArcSight UBA, можно отнести:Определение инсайдерской активности.Обнаружение неизвестных угроз и их горизонтального распространения.В сентябре 2017 года завершилось слияние Software подразделения HPE и компании MicroFocus, из магазина которой теперь доступно расширение UBA. HPE ArcSight UBA лицензируется по количеству пользователей, для которых производится поиск поведенческих аномалий.Подробнее с расширение HPE ArcSight UBA можно ознакомиться здесь.  IBM QRadar UBA (IBM)IBM Security QRadar User Behavior Analytics (UBA) представляет собой расширение для SIEM-системы IBM QRadar, доступное из IBM X-Force App Exchange. На сегодняшний день UBA-расширение для IBM QRadar фокусируется исключительно на поведенческом анализе пользователей. Выставление оценок риска каждому пользователю производится, как на основе простых статистических правил, так и с помощью методов машинного обучения.Необходимо отметить, что IBM QRadar UBA является собственной разработкой IBM Security и в планах компании обеспечить непрерывное развитие приложения и расширение сфер его применения. Рисунок 6. Основное окно приложения IBM Security QRadar UBA  На сегодняшний день можно выделить несколько дополнительных сфер применения IBM QRadar UBA:Определение инсайдерской активности и утечек данных (инициированных пользователями)Обнаружение неизвестных угроз и их горизонтального распространения (если такая активность затрагивает конечных пользователей)Приложение IBM Security QRadar UBA доступно из IBM X-Force App Exchange и распространяется бесплатно.Подробнее с расширение IBM Qradar UBA можно ознакомиться здесь.Другие игрокиВ подробный отчет не включены производители, чьи решения не представлены на российском рынке, хотя они и имеют сильные позиции в сегменте UEBA/UBA:LogRhythm (и его AI Engine)Gurucul Risk Analytics (GRA)Balabit BlindspotterТакже в отчет не вошли компании, поглощенные относительно недавно более крупными игроками, которые представлены на российском рынке:Niara (поглощена HPE Aruba в феврале 2017 года)RedOwl (поглощена Forcepoint в августе 2017 года)Пока мало информации о конкретных сферах применения этих UEBA-систем в составе продуктов материнских компаний.Помимо этого, в отчет не вошли системы, представленные на российском рынке:McAfee UBA Content Pack — пока поддерживает базовые правила корреляции и ограниченное число сфер применения.RSA NetWitness Suite, в который глубоко интегрированы UBA-возможности, наравне с остальными решениями Advanced Threat Detection & Cyber Incident Response.Нужно заметить, что оба производителя являются безусловными лидерами многих сегментов ИБ-рынка, но выделить в их продуктах UEBA/UBA-функциональность, доступную для отдельного анализа, сложно. ВыводыUEBA/UBA-системы — это следующий шаг в определении неизвестных типов угроз, целенаправленных атак и внутренних нарушителей. Основываясь исключительно на поведенческом анализе, эти системы способны выявлять аномалии и неочевидные взаимодействия пользователей с корпоративными системами, что в конечном итоге позволяет администраторам безопасности видеть расширенную картину безопасности предприятия и оперативно реагировать на инциденты ИБ.При этом даже сейчас становится очевидным, что UEBA выступают отличным дополнением к аналитическим функциям SIEM-систем, но как отдельный продукт со своим рынком скорее всего перестанут существовать. В свою очередь, UBA-системы гармонично встраиваются в архитектуру ИБ-систем, сфокусированных исключительно на пользователях, таких как DLP и PUM.  Несмотря на технологически иной (и местами на порядок более качественный) подход к определению угроз, отдельные UEBA/UBA-системы будут восприниматься очередным нагромождением в ИБ-ландшафте предприятия, наравне с уже существующими SIEM, DLP, EDR, IAM и прочими системами. В будущем это станет ключевым фактором при выборе или отказе от внедрения отдельной UEBA/UBA-системы. Уже сегодня лидирующие UEBA/UBA-системы имеют механизмы тесной интеграции с существующими SIEM-системами, что открывает перед ними куда более широкий рынок, но уже как для OEM-поставщиков.На российском рынке уже есть интерес к подобному классу систем, но пока это носит точечный бессистемный характер. Мировой рынок UEBA/UBA-систем весьма молодой и перспективный, поэтому есть надежда, что российские производители SIEM, EDR и DLP будут расширять аналитические способности своих систем, в том числе с внедрением методов поведенческой аналитики или соответствующих продуктов сторонних производителей. 

В статье представлены по отдельности и в сравнении друг с другом сканеры уязвимостей компании Tenable, предназначенные как для малых организаций, так и для крупных предприятий, а также рассмотрен инновационный динамический подход для управления и измерения кибератак.       ВведениеNessus Professional2.1. Основные возможности Nessus ProfessionalTenable.io3.1. Основные возможности Tenable.ioTenable SecurityCenter4.1. Основные возможности Tenable SecurityCenterСравнение решений TenableВыводы ВведениеАктивы организаций никогда не находятся в статичном состоянии — обновляются операционные системы и программное обеспечение, добавляются новые серверы и рабочие станции пользователей, претерпевает изменения топология сети. Такие действия рано или поздно могут привести к ошибкам при настройке и негативным последствиям — инфраструктура становится уязвимой. Одним из запоминающихся примеров может служить вирус-шифровальщик WannaCry, широкое распространение которого было связано с несвоевременным обновлением операционных систем.В связи с этим организациям, разрабатывающим свое программное обеспечение, необходимо задумываться о безопасности создаваемых приложений и их кода. Причем эффективнее это делать на этапе разработки продукта, будь то облако, мобильное приложение, SaaS или DevOps. В свою очередь заказчикам не стоит забывать о безопасности, своевременном обновлении и устранении уязвимостей операционных систем, сетевого оборудования, баз данных и компонентов виртуальной инфраструктуры.На этом фоне компания Tenable (Штат Мэриленд, США) разработала продукты как для малых компаний, так и для крупных корпораций, которые обладают всеми основными функциями решений для управления уязвимостями — безопасность приложений, агенты на конечных устройствах, аудит конфигурации, настройка приоритизации при поиске угроз, приоритизация, построенная в контексте бизнеса, и многое другое. Важную роль в развитии Tenable сыграл и инновационный подход к поиску уязвимостей и угроз — основанный на активах информационных технологий, что позволило привнести в компанию порядка 200 млн долларов инвестиций. Руководство компании в лице нового генерального директора Амита Йорана (бывший директор RSA) закладывает понимание того, что активы уже давно вышли за пределы лишь ноутбуков и серверов, а складываются в сложные комбинации вычислительных платформ, подверженные разнообразным атакам. Для того чтобы избежать финансовых потерь и вовремя выявить уязвимости инфраструктуры, в зависимости от требуемых возможностей программы и количества человеческих ресурсов, организации могут выбрать подходящий продукт от компании Tenable — Nessus Professional, Tenable.io, Tenable SecurityCenter. Nessus ProfessionalNessus Professional — сканер уязвимостей для небольших организаций, включающих в себя до 50 рабочих машин, а также для аудиторов, осуществляющих анализ безопасности своих заказчиков. Продукт позволяет оценивать конфигурации, находить уязвимости и, в случае обнаружения проблем при настройке инфраструктуры, предотвращать сетевые атаки. Рисунок 1. Интерфейс, доступный администратору, в Nessus Professional Основные возможности Nessus ProfessionalК основным возможностям Nessus Professional можно отнести:Широкий выбор режимов анализа защищенности.Гибкие настройки параметров анализа уязвимостей.Управление обновлениями продукта и контента.Составление отчетов по заданным критериям.Совместимость с плагинами Nessus.Автоматические ежедневные обновления системы.Возможные типы анализа защищенностиNessus Professional предоставляет возможность проведения проверок для обеспечения соответствия нормативным требованиям FFIEC, HIPAA, NERC, PCI DSS, а также отраслевым стандартам CERT, CIS, COBIT / ITIL, DISA STIG. Такой охват обеспечивают более 450 предустановленных шаблонов.Сканирование уязвимостей . Оценка систем, сетей и приложений на наличие уязвимостей.Аудит конфигурации. Проверка соответствия сетевых активов политикам и отраслевым стандартам.Обнаружение вредоносных программ. Также обнаруживается потенциально нежелательное и неуправляемое программное обеспечение.Сканирование веб-приложений. Обнаружение уязвимостей веб-серверов и служб и уязвимостей OWASP.Гибкие поисковые запросы. Определение закрытой информации в системах или документах.Аудит системы управления. Сканирование систем SCADA, встроенных устройств и приложений ICS.Поддержка облачных вычислений . Оценка слабых мест конфигурации облачных решений, таких как Amazon Web Services, Microsoft Azure и Rackspace.Возможности анализа защищенностиСистема поддерживает несколько вариантов сканирования, таких как поддержка удаленного и локального сканирования активов, сканирования с аутентификацией, режим автономного аудита конфигурации сетевых устройств.Обнаружение и сканирование активов. Сетевые устройства, включая брандмауэры нового поколения, операционные системы, базы данных, веб-приложения, виртуальные и облачные среды.Сканирование сетей. Сканирование на IPv4, IPv6 и гибридных сетях.Сканирование по расписанию. Сканирование с настройкой по времени и частоте запуска.Выборочное повторное сканирование хоста. Выполнение повторного сканирования всех или выборочных хостов.Автоматический анализ сканирования. Рекомендации по восстановлению и настройке сканирования.Возможности управленияОбновление продукта. Автоматическое обновление программного обеспечения Nessus и изменение пользовательского интерфейса.Обновление контента. Постоянное обновление уязвимостей с помощью плагинов Nessus, актуальных угроз, угроз нулевого дня и новых типов конфигураций, позволяющих соответствовать нормативным требованиям.Поддержка пользователей. Варианты предоставления услуги технической поддержки — веб-портал, чат и электронная почта.Составление отчетовСистема может самостоятельно пересылать отчеты ответственным лицам в случае обнаружения уязвимостей, изменения их степени опасности, по расписанию, в том числе так называемые отчеты об исправлении.Гибкая отчетность. Возможность создания отчетов с сортировкой по уязвимостям или хосту, создание резюме или сравнение результатов сканирования для поиска изменений.Несколько форматов отчетов. Встроенный (XML), PDF (требуется, установка Oracle Java на сервер Nessus), CSV и HTML.Уведомление о целевых почтовых уведомлениях. Уведомление о результатах сканирования, рекомендациях по исправлению и улучшению конфигурации.Совместимость с другими системамиВ данный момент Nessus Professional поддерживает интеграцию с Nessus RESTful API — стандартизированный, поддерживаемый и документированный API для интеграции Nessus в рабочий процесс.  С помощью плагина Nessus можно поддерживать актуальное состояние системы, что позволяет своевременно получать отчеты и реагировать на новые уязвимости. Tenable.ioTenable.io является универсальной облачной платформой, предназначенной для управления уязвимостями в рамках крупного, среднего и малого бизнеса. Совсем недавно Tenable совместно с дистрибьютором в России (компания «Тайгер Оптикс») сообщила о новой версии Tenable.io, которая включает расширенные возможности, позволяющие снижать риски в критически важных информационных системах, таких как АСУ ТП и SCADA.Основные возможности Tenable.ioК основным возможностям Tenable.io можно отнести:Встроенные приложения. Tenable.io предоставляет несколько приложений для решения задач безопасности, таких как управление уязвимостями, безопасность контейнеров и сканирование веб-приложений. Приложения основаны на общей платформе, используют сенсоры Nessus®, API и SDK для получения информации и доступны в едином интерфейсе.Безопасность контейнеров. Tenable.io постоянно контролирует образы контейнеров на наличие уязвимостей, вредоносных программ и соответствия корпоративным политикам. Благодаря обеспечению безопасности в процессе сборки контейнеров организации могут увидеть скрытые риски в контейнерах и исправить их, а также обеспечить соответствие образов контейнеров политикам безопасности предприятия.Параметры сканирования. Включенные сенсоры Nessus увеличивают охват сканирования и уменьшают количество скрытых уязвимостей. Активное сканирование с помощью Nessus Professional обеспечивает широкий охват активов и уязвимостей, а сканирование на основе агентов Nessus Agents и мониторинг пассивного трафика на основе Nessus Network Monitor охватывают труднодоступные объекты, такие как периферийные устройства и критичные хосты (например, в сегментах АСУ ТП).Отслеживание активов. Используя расширенный алгоритм идентификации активов, Tenable.io определяет истинную идентичность каждого ресурса в инфраструктуре компании, в том числе ноутбуки и виртуальные машины. Этот алгоритм использует набор атрибутов для точного отслеживания изменений в активах, независимо от того, какие им присваиваются IP-адреса, как они перемещаются или как долго хранятся.Документированный API и интегрированный SDK. Сторонние компоненты можно интегрировать в продукт Tenable.io и автоматизировать использование его возможностей и данных об уязвимостях. Рисунок 2. Структура продукта Tenable.io  Модульные приложения Tenable.ioTenable.io предлагает модульные приложения, которые отвечают конкретным потребностям в области безопасности, такие как «Управление уязвимостями», «Сканирование веб-приложений» и «Защита контейнеров». Приложения Tenable.io могут быть лицензированы индивидуально; нет предварительных условий или требований о совместной покупке.Управление уязвимостямиПриложение «Управление уязвимостями», позволяющее обеспечить широкий охват активов, предоставляет администратору следующие возможности:Комплексная оценка активов инфраструктуры.Отслеживание активов с помощью алгоритма идентификации.Внутреннее и внешнее сканирование.Использование предустановленных шаблонов и встроенных проверок конфигурации.Интегрирование с хранилищами паролей, решениями по управлению уязвимостями и мобильными устройствами. Рисунок 3. Приложение «Управление уязвимостями» позволяет просматривать состояние уязвимостей в компании  Сканирование веб-приложенийПриложение «Сканирование веб-приложений» позволяет повысить уровень безопасности веб-приложений за счет автоматического сканирования и обнаружения уязвимостей благодаря следующим возможностям:Понимание собственных веб-приложений за счет информации об их расположении и полной карты сайта.Безопасное сканирование веб-приложений, позволяющее разграничить части веб-приложений, которые требуется сканировать всегда, и части, которые не должны никогда проверяться.Автоматизация сканирования.Включение в покрытие сканирования веб-приложений на HTML, HTML5 и AJAX.Интеграция с другими решениями компании Tenable.Безопасность контейнеровПриложение «Защита контейнеров» позволяет оценить уязвимость, обнаружить вредоносы и обеспечить соблюдение политик при работе с контейнерами благодаря следующим возможностям:Непрерывная оценка защищенности, которая позволяет запускать проверку в случае появления в базе данных ранее неизвестной уязвимости.Защита контейнеров от вредоносных программ за счет оценки исходного кода образа контейнера.Настройка корпоративной политики, позволяющей вовремя оповестить разработчиков контейнера в случае превышения в нем порогового значения уровня риска.Сводные отчеты, представленные в дашбордах и позволяющие оценить оперативную обстановку.Ускорение DevOps путем определения рисков безопасности.Внедрение тестирования безопасности в инструментарий разработки программного обеспечения. Tenable SecurityCenterTenable SecurityCenter предназначен для управления уязвимостями в крупных компаниях (от 500 машин). Tenable SecurityCenter консолидирует и оценивает данные об уязвимости на предприятии, уделяя приоритетное внимание рискам безопасности и обеспечивая четкое представление о состоянии защищенности информационных активов. Tenable SecurityCenter позволяет получить контекст, необходимый для эффективного определения приоритетов и устранения уязвимостей, обеспечения соответствия инфраструктуры стандартам и нормативным требованиям безопасности и принятия действенных мер для обеспечения эффективности программы обеспечения безопасности информационных технологий и снижения бизнес-рисков. Рисунок 4. Отчет Tenable SecurityCenter с анализом угроз за 3 месяца Основные возможности Tenable SecurityCenterК основным возможностям Tenable SecurityCenter можно отнести следующее:Управление уязвимостями и аналитика. В системе настраиваются панели мониторинга и отчеты, полученные данные можно группировать, визуализировать и анализировать, измеряя эффективность программы безопасности.Расширенная аналитика. Позволяет консолидировать и анализировать все данные об уязвимостях, полученных с различных сенсоров Nessus, которые были распределены по всей организации.Отчеты и дашборды. Администратор может воспользоваться предустановленными отчетами на основе HTML5. Такой инструмент предоставляет данные, необходимые для принятия решений администраторам безопасности, аналитикам и руководящему составу.Оповещения и уведомления. В системе можно настроить оповещения и действия для быстрого реагирования, которые предупредят администраторов о важных событиях и инцидентах безопасности, что позволяет вовремя устранить уязвимость и снизить риски.Оценка активов и их группировка. Для получения информации в режиме реального времени можно выполнять группировку активов информационных технологий компании на основе политик и проводить их оценку.Соответствие нормативным актам и международным стандартам, которое достигается благодаря встроенным в продукт шаблонам и отчетам.Возможность интеграции со многими смежными решениями, такими как патч-менеджмент, управление мобильными устройствами, а также киберразведка и анализ угроз. Рисунок 5. Пример построения отчета в Tenable SecurityCenter  Сравнение решений TenableКазалось бы, каждое из представленных решений позволяет выявлять уязвимости, однако их возможности и область применения различны. Это позволяет организациям осознанно подходить к вопросу безопасности своих активов и выбрать продукт, который будет оптимально соответствовать требованиям. Таблица 1. Сравнение решений для анализа защищенности компании TenableКритерийNessus ProfessionalTenable.ioTenable SecurityCenterУстановкаНа площадке заказчикаВ облакеНа площадке заказчикаСканирование на уязвимости+++Сканирование на соответствие политикам+++Поиск вредоносов и взломов+++Киберразведка (Threat Intelligence)+++Сканирование АСУ ТП+++Официальное сканирование на PCI DSS-+ОпцияОтчеты и дашбордыБазовыеСтандартныеРасширенная подсистемаЦентрализованный репозиторий политик и результатов сканированияОпция++Интеграции с MDM, Patch Management, PIMОпция++Сканирование агентамиОпцияОпцияОпцияСистема тикетов--+Динамические списки активов--+Непрерывный мониторинг по сети Nessus Network Monitor (ранее Passive Vulnerability Scanner, PVS)-ОпцияОпцияАналитика поведения хостов--ОпцияДетектирование аномалий поведения--Опция ВыводыПродукты компании Tenable имеют широкий спектр возможностей, позволяющий в режиме реального времени выявлять и эффективно устранять многие угрозы безопасности. Компаниям, которые рассматривают возможность использования в своей инфраструктуре сканеров уязвимости, стоит определиться с необходимыми возможностями продукта (требуется ли гибкая настройка подсистемы отчетов или достаточно базовых, нужен ли непрерывный мониторинг сети или определение аномалий поведения и др.), а также с типами и количеством информационных активов в организации.Несмотря на большое количество возможностей по анализу защищенности, у всех представленных решений отсутствует встроенная поддержка отечественных стандартов, потому что компания не так давно вышла на российский рынок, что частично компенсируется возможностью создания собственных отчетов. По тем же причинам продукты еще не сертифицированы ФСТЭК России.Тем не менее, решения позволяют в полной мере защищать организацию от уязвимостей, ошибочных настроек и вредоносов, что положительно сказывается на общей защищенности инфраструктуры и позволяет оценивать и снижать риски информационной безопасности. 

В обзоре рассматривается новая версия российского решения класса Unified Threat Management (UTM) — Ideco ICS 7.3, предназначенного для предотвращения большинства современных кибератак. Устройство обеспечивает безопасное межсетевое взаимодействие корпоративной сети с другими вычислительными сетями, включая интернет. В обзоре освещены вопросы развертывания шлюза, а также сделан акцент на особенностях его реализации и функционирования. ВведениеФункциональные возможности шлюза безопасности Ideco ICS 7.3Схемы развертывания шлюза безопасности Ideco ICS 7.3Системные требования шлюза безопасности Ideco ICS 7.3Работа с Ideco ICS 7.35.1. Межсетевой экран5.2. Контроль приложений5.3. Контентный фильтр5.4. Предотвращение вторжений5.5. Антивирусная проверка сетевого трафика5.6. Аутентификация пользователей5.7. Мониторинг и отчетыВыводы ВведениеВ современном мире сложно представить компанию, бизнес-процессы которой не были бы связаны с использованием интернета. Для предотвращения большинства современных кибератак требуется комплексный анализ как передаваемых файлов, так и сетевого трафика. Но межсетевые экраны 4-го уровня модели OSI не обеспечивают необходимого уровня анализа сетевого трафика. При этом анализа передаваемых файлов они также не обеспечивают.Для решения этой проблемы существуют решения класса Unified Threat Management (UTM), которые сфокусированы на защите сетевого периметра. Обладая возможностями анализа сетевого трафика (до 7-го уровня модели OSI), анализа HTTP-запросов (URL), анализа сетевого трафика на предмет обнаружения вторжений — такие решения позволяют эффективно бороться с современными угрозами информационной безопасности.Одним из таких решений является шлюз безопасности Ideco ICS 7.3 производства компании «Айдеко». Шлюз безопасности Ideco ICS 7.3 — многофункциональное программное и программно-аппаратное UTM-решение для организации защищенного доступа в интернет в корпоративных и ведомственных сетях. Это российская разработка на базе Linux, адаптированная специалистами компании «Айдеко» для использования в Российской Федерации: имеет русскоязычный интерфейс, а также базы контентной фильтрации для российского интернет-сегмента. Функциональные возможности шлюза безопасности Ideco ICS 7.3Шлюз безопасности Ideco ICS 7.3 — полноценное решение класса UTM, обладающее широкими возможностями по организации безопасного доступа в интернет.Следует особо отметить следующие основные функциональные возможности решения:межсетевое экранирование — пакетная фильтрация сетевого трафика до 4-го уровня модели OSI включительно;контроль приложений — определение используемых приложений независимо от используемого сетевого порта;контентная фильтрация — анализ посещаемых пользователем интернет-страниц (URL) с целью предотвращения доступа к запрещенным или вредоносным ресурсам; анализ сетевого трафика на предмет вторжений — сигнатурный анализ сетевого трафика с целью обнаружения активности вредоносов или попыток эксплуатации уязвимостей программного обеспечения;аутентификация пользователей — аутентификация пользователей при сетевом доступе в интернет;антивирусная проверка передаваемых файлов — сигнатурный анализ передаваемых файлов на предмет вредоносных программ;встроенный почтовый сервер — сконфигурированный и настроенный корпоративный почтовый сервер;встроенный VPN-сервер — обеспечение возможности подключения удаленных пользователей к корпоративной сети. Схемы развертывания шлюза безопасности Ideco ICS 7.3Шлюз безопасности Ideco ICS 7.3 устанавливается на границе корпоративной сети и интернета. Устройство может выступать как в роли шлюза по умолчанию для сетевых устройств, так и в роли прокси-сервера.Использование Ideco ICS 7.3 в роли прокси-сервера позволяет устанавливать устройство внутри локальной сети и при этом использовать все возможности решений класса UTM. Рисунок 1. Схемы развертывания Ideco ICS 7.3  Особенности реализации:реализована возможность централизованного управления группой устройств;для функционирования в режиме прокси-сервера необходимо 2 сетевых интерфейса (внешний и локальный);устройство всегда работает как маршрутизатор, установка устройства «прозрачно» не предусмотрена;отсутствует возможность кластеризации. Системные требования шлюза безопасности Ideco ICS 7.3Минимальные требования, предъявляемые Ideco ICS 7.3 к оборудованию, представлены в таблице ниже. Таблица 1. Минимальные аппаратные требованияПроцессорIntel Pentium G/i3/i5/i7/Xeon E3/Xeon E5 с поддержкой SSE 4.2Оперативная память4 Гб (до 30 пользователей) 8 Гб — для использования системы предотвращения вторжений, антивирусной проверки трафика и большего числа пользователейНакопительЖесткий диск или SSD объемом 64 Гб или больше, с интерфейсом SATA, SAS или совместимый аппаратный RAIDСетьДве сетевые карты (или два сетевых порта) 10/100/1000 Mbps. Рекомендуется использовать карты на чипах Intel, Broadcom. Поддерживаются Realtek, D-Link и другиеГипервизорыVMware, Microsoft Hyper-V (1-го поколения), VirtualBox, KVM, Citrix XenServerДополнительноМонитор КлавиатураЗамечанияНе поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жесткого диска Работа с Ideco ICS 7.3После инсталляции становится доступен веб-интерфейс управления шлюзом безопасности Ideco ICS 7.3 (по IP-адресу основного локального интерфейса, указанного во время установки). Рисунок 2. Вход в панель управления В интерфейсе управления представлены несколько разделов с настройками:Пользователи — раздел для управления пользователями и группами. Здесь можно создавать, редактировать и удалять пользователей и группы, а также устанавливать ограничения индивидуально для каждого из пользователей.Монитор — в разделе собрана информация о текущем состоянии шлюза безопасности: активные пользователи, аудит событий, текущее состояние системных служб, информация о системных ресурсах, системные журналы.Безопасность — раздел с настройками подсистем, обеспечивающих безопасность: межсетевого экрана, контроля приложений, антивирусной проверки сетевого трафика, анализа сетевого трафика на предмет обнаружения вторжений.Сервер — раздел с системными настройками. В этом разделе настраиваются: сетевые параметры, прокси- и DNS-серверы, способы аутентификации пользователей, дата, время и другие системный параметры. Профили — раздел настройки пулов IP-адресов, профилей пользователей и IP-сетей для использования их в правилах доступа.Отчеты — набор предустановленных отчетов посещаемых пользователями интернет-ресурсов.Для корректной работы необходимо в меню «Сервер» — «Интерфейсы» добавить внешний интерфейс. В качестве интерфейса может выступать как Ethernet-адаптер, так и туннельный интерфейс: PPTP, L2TP, PPPoE.После добавления сетевого интерфейса необходимо применить конфигурацию нажатием кнопки «Применить конфигурацию», после чего шлюз перезагрузится. Стоит отметить, что нажатие этой кнопки приводит к перезагрузке, даже если конфигурация не изменилась.   Рисунок 3. Конфигурация сетевых интерфейсовМежсетевой экранМежсетевой экран служит для фильтрации сетевого трафика по определенным критериям. Настройки межсетевого экрана доступны в меню «Безопасность» — «Системный фаервол» и «Безопасность» — «Пользовательский фаервол». Рисунок 4. Настройка правил межсетевого экрана Межсетевой экран анализирует заголовок сетевого пакета только до 4-го уровня модели OSI, и потому, как следствие данного ограничения, критерием фильтрации не может служить URL-адрес или приложение.В качестве критериев могут использоваться следующие параметры:IP-адрес;сетевой порт;сетевой протокол;временной интервал;размер сессии;сетевой интерфейс.В шлюзе безопасности Ideco ICS 7.3 используется 2 межсетевых экрана: системный и пользовательский. Правила системного межсетевого экрана отрабатываются для всего сетевого трафика. Пользовательский межсетевой экран служит для фильтрации сетевого трафика конкретного пользователя, после создания правил в настройках межсетевого экрана необходимо указать нужные правила фильтрации в профиле пользователя/группы. Правила пользовательского межсетевого экрана имеют приоритет над системными правилами.Особенности реализации:если сетевой пакет не попал ни под одно правило фильтрации, он пропускается;при маршрутизации трафика через внешний интерфейс по умолчанию осуществляется трансляция сетевых адресов (NAT);если использовать критерий «домен», то правило создается с параметром IP-адрес этого домена, взятого из DNS-сервера. При изменении IP-адреса домена правило переписывается, что может создать дополнительную нагрузку на DNS-сервера, а также блокировку легитимных ресурсов, находящихся на одном IP-адресе с заблокированным;в правилах из коробки в качестве критериев используются несуществующие IP-адреса, как следствие, весь сетевой трафик, кроме протокола SMB, проходящий через межсетевой экран, по умолчанию разрешен;если в настройках межсетевого экрана пользователя в параметре «путь» указать INPUT или OUTPUT — правило не будет работать для трафика пользователя, проходящего через межсетевой экран;отсутствие счетчиков срабатывания правил в web-интерфейсе, что затрудняет анализ использования и оптимизацию правил.Контроль приложенийКонтроль приложений осуществляет глубокий анализ сетевого трафика (DPI) и используется для блокировки активности приложения независимо от используемого сетевого порта. При применении технологии DPI необходимо учитывать, что для определения приложения необходимо пропустить какое-то количество пакетов перед тем, как приложение определится, это необходимо учитывать при написании правил. Например, если в «Межсетевом экране» заблокировать 80-й порт, но при этом в «Контроле приложений» разрешить протокол HTTP, то «Контроль приложений» не сможет определить приложение, т. к. первый SYN-пакет на 80-й порт будет заблокирован межсетевым экраном.Настройки контроля приложений доступны в меню «Безопасность» — «Контроль приложений». Рисунок 5. Настройка контроля приложений Настроек контроля приложений не очень много: выбор области применения правила, выбор протокола и — действие.Особенности реализации:действие указывается для конкретного правила, т. е. нельзя запретить все, кроме разрешенных протоколов;разрешенные приложения работают по всем разрешенным межсетевым экраном портам. Например, нельзя разрешить HTTP-протокол только по 80 порту, а SSH — только по 22, если в межсетевом экране разрешены и 80, и 22 порты;нет возможности группировать протоколы для использования этих групп в правилах.Контентный фильтрКонтентный фильтр используется для ограничения доступа к веб-ресурсам по URL. Контентная фильтрация осуществляется встроенным прокси-сервером на базе открытого прокси-сервера Squid. Настройки прокси-сервера доступны в меню «Сервер» — «Прокси». Рисунок 6. Настройка прокси-сервера Для осуществления контентной фильтрации необходимо, чтобы сетевой трафик попал в прокси-сервер. Это можно сделать либо разрешив прямые подключения, либо используя прозрачный режим работы прокси.Правила контентной фильтрации настраиваются в меню «Сервер» — «Контент-фильтр». Рисунок 7. Настройка правил контентной фильтрации Для того чтобы добавить URL-адрес для фильтрации, необходимо сначала добавить его в категорию, после чего привязать категорию к пользователю в его профиле. Помимо пользовательских категорий в шлюз безопасности Ideco ICS 7.3 производителем предустановлены 34 стандартных категории, а также 143 предустановленных категории и 9 типов потенциально опасных файлов, которые становятся доступны после приобретения дополнительной лицензии.Особенности реализации:контентная фильтрация не будет выполняться, если сетевой трафик не попадет в прокси-сервер (например, нестандартный HTTP-порт (отличный от 80 и 443));при блокировании HTTPs-ресурса всегда происходит подмена сертификата, даже без включенной расшифровки HTTPs-трафика;при добавлении домена блокируются также и его поддомены.Предотвращение вторженийВстроенная система предотвращения вторжений осуществляет анализ сетевого трафика с целью обнаружения активности вредоносных программ или попыток эксплуатации уязвимостей программного обеспечения.Обнаружение вторжений осуществляется на базе открытой IDS Suricata.Настройки системы предотвращения вторжений доступны в меню «Безопасность» — «Предотвращение вторжений». Рисунок 8. Настройка правил предотвращения вторжений Система предотвращения вторжений имеет 37 встроенных категорий защиты. Управление осуществляется путем включения/отключения встроенных категорий, которые позволяют не только защищаться от атак из сети, но и блокировать анонимайзеры, включая популярные плагины к браузерам, такие как Opera.VPN, Яндекс.Турбо.Особенности реализации:при срабатывании правила сетевой пакет блокируется;нельзя добавить в исключения для определенного IP-адреса, например, для сканера безопасности;для полноценной функциональности системы предотвращения вторжений необходимо, чтобы в качестве DNS-сервера был указан шлюз безопасности Ideco ICS 7.3, что может привести к ошибкам в работе существующего корпоративного DNS-сервера;некоторые сигнатуры, например, блокирование телеметрии Windows или анонимайзеров, анализируют DNS-запрос или сертификат и блокируют запрос по имени домена, а не по сигнатуре сетевого трафика, как следствие, при изменении домена сигнатура потребует обновления.Антивирусная проверка сетевого трафикаШлюз безопасности Ideco ICS 7.3 осуществляет антивирусную проверку файлов, передающихся по протоколам HTTP и HTTPs, а также в сообщениях электронной почты. По умолчанию активирован бесплатный антивирусный движок Clamav. Производителем также предусмотрена возможность активации средства антивирусной защиты производства «Лаборатории Касперского». Настройки антивирусной защиты доступны в меню «Безопасность» — «Антивирусы веб-трафика». Рисунок 9. Настройка антивирусной проверки               В данном меню возможно только включить/отключить антивирус. Дополнительных настроек не предусмотрено. Помимо встроенных антивирусных движков шлюз безопасности Ideco ICS 7.3 может интегрироваться со сторонними средствами защиты информации, такими как DLP, сетевые песочницы по протоколу ICAP. Настройка ICAP осуществляется в меню «Сервер» — «Прокси» — «ICAP». Рисунок 10. Настройка ICAP Особенности реализации:не предусмотрена настройка антивирусных средств из веб-интерфейса;по протоколу ICAP различным средствам защиты можно отправлять только запросы или только ответы;ICAP-сервисы обрабатываются последовательно, настройка логики обработки (например, переход к следующему при недоступности текущего) не предусмотрена;антивирусная проверка осуществляется только в отношении файлов, передающихся по протоколам HTTP, HTTPs и — только при условии попадания трафика в прокси-сервер.Аутентификация пользователейШлюз безопасности Ideco ICS 7.3 аутентифицирует любого пользователя (пытающегося получить доступ в сеть, находящуюся за внешним интерфейсом), определенного в меню «Сервер» — «Интерфейсы». Доступ неаутентифицированного пользователя через внешний интерфейс запрещен. Настройка пользователей доступна в меню «Пользователи». Рисунок 11. Настройка пользователей и групп Шлюзом безопасности Ideco ICS 7.3 поддерживаются следующие механизмы аутентификации:по IP-адресу;по PPPoE;при помощи агента (Ideco Agent);на веб-портале (Captive Portal);связки IP+Agent, IP+Web — в этом случае аутентификация должна быть произведена с IP‑адреса, указанного в профиле пользователя.В качестве базы данных пользователей может выступать как сам шлюз безопасности Ideco ICS 7.3, так и Microsoft Active Directory. Настройка интеграции с Active Directory осуществляется в меню «Сервер» — «Active Directory». При интеграции с Active Directory возможна сквозная аутентификация пользователей (SSO). Рисунок 12. Настройка интеграции с Active Directory Для интеграции с Active Directory (AD) необходимо указать: имя домена, DNS-сервер AD, имя сервера в AD, реквизиты учетной записи с правами добавления компьютеров в домен.После входа в домен необходимо в меню «Пользователи» создать группу и в меню «Active Directory» группы изменить тип группы на «Группа безопасности AD». Доменные пользователи добавятся в нее автоматически.Особенности реализации:аутентификация пользователя при передаче сетевого трафика между интерфейсами с типом «локальный» не происходит;привязка пользователей происходит к IP-адресу, при смене IP-адреса необходима повторная аутентификация;сквозная аутентификация возможна только через Captive Portal;для работы Captive Portal необходимо, чтобы в качестве DNS-сервера был указан шлюз безопасности Ideco ICS 7.3, что может привести к ошибкам в работе существующего корпоративного DNS-сервера.Мониторинг и отчетыМониторинг работы системы происходит в меню «Монитор». В разделе представлена информация о текущем состоянии шлюза безопасности.Авторизованные пользователи — в данном меню представлен перечень аутентифицированных на шлюзе пользователей.  В данном меню также возможно отключить пользователя. Рисунок 13. Мониторинг аутентифицированных пользователей Аудит событий — в данном меню по умолчанию представлены последние 1 000 событий на шлюзе, таких как:вход/выход;редактирование пулов IP-адресов;редактирование тарифных планов;редактирование пользователей;редактирование фаервола;системные события;включение/выключение. Рисунок 14. Журнал аудита событий Состояние системных служб —в данном меню представлено состояние используемых служб. Помимо отображения статуса (Запущена/Выключена) из данного меню также возможно запускать, перезапускать или останавливать службы. Рисунок 15. Мониторинг состояния системных служб Информация о системных ресурсах — в данном меню представлена информация о текущем потреблении системных ресурсов. Рисунок 16. Мониторинг системных ресурсов Графики загруженности — здесь представлены графики загруженности центрального процессора, использования памяти и другая статистическая информация. При клике на график открывается подробная информация. Рисунок 17. Графики загруженности системы Текущие сетевые соединения — в этом меню представлена таблица текущих сетевых соединений. Рисунок 18. Мониторинг текущих соединений Системные журналы — в данном меню представлены журналы системных служб. Рисунок 19. Системные журналы Помимо мониторинга также доступны отчеты по посещаемым пользователями веб-страницам. Отчеты доступны в меню «Отчеты». Рисунок 20. Отчет веб-активности Отчеты в разделе могут быть представлены различным образом: по пользователям, по категориям, по сайтам, по трафику. Отчеты генерируются постранично, блоками по 40 строк, что позволяет отображать их быстро. При необходимости отчет можно экспортировать в форматах HTML, CSV или XLS.Особенности реализации:в мониторе трафика видно только протоколы TCP и UDP;системные журналы представлены в виде части стандартного лога Linux. ВыводыШлюз безопасности Ideco ICS 7.3 представляет собой интересное решение для организации безопасного доступа в интернет из корпоративной сети. Несмотря на то, что данное решение не обладает широким набором возможностей по сравнению с импортными аналогами, его ориентированность на российский рынок, а также наличие сертифицированных ФСТЭК России версий в линейке Ideco ICS делает это решение вполне конкурентоспособным для российского рынка в условиях импортозамещения.Для Enterprise-сегмента возможностей решения все же, увы, недостаточно.  Так, несколько огорчает отсутствие:кластеризации, в том числе поддержки протокола VRRP;условной маршрутизации (VRF);возможности создания собственных правил IDS;снятие шифрования с протоколов, отличных от HTTPs;возможности чтения логов домен-контроллеров и почтовых серверов для аутентификации пользователей;шейпера сетевого трафика.Наличие русского интерфейса администрирования и простота настройки позволяют использовать решение даже начинающим администраторам, в SMB-сегменте и госорганах, где, как правило, перечисленные выше возможности чаще всего не используются.Достоинства:Наличие как программного, так и программно-аппаратного исполнения.Легкая интеграция с Active Directory.Возможность централизованного управления.Возможность работы в виртуальной среде.Многопоточный анализ сетевого трафика на предмет вторжений.Возможность задавать ограничения для каждого пользователя индивидуально.Возможность администрирования как через веб-интерфейс, так и через консоль.Русскоязычный интерфейс.Русскоязычная встроенная отчетность.Быстрое формирование отчетов.Адаптированные под российский сегмент базы контентной фильтрации.Наличие встроенного почтового сервера.Недостатки:Отсутствие возможности кластеризации.Необходимость перезагрузки устройства при изменении сетевых настроек.Нельзя привязать приложение к сетевому порту.Анализ сетевого трафика на предмет вторжений осуществляется только в режиме блокировки (предотвращения).При использовании необходимо учитывать не очень очевидные особенности реализации:аутентификация требуется только для сетевого трафика, исходящего через внешний интерфейс, сетевой трафик между внутренними интерфейсами пропускается без аутентификации;если сетевой пакет не подпадает ни под одно правило, он пропускается;контентный фильтр и статистика работают только при условии использования прокси-сервера.

Платформа Security Vision, разработка ГК «Интеллектуальная безопасность», предназначена для централизованного управления информационной безопасностью и автоматизации ключевых процессов информационной безопасности организации. В обзоре подробно описывается архитектура решения, функциональные возможности, варианты поставки и преимущества от внедрения.ВведениеФункциональные возможности Security Vision2.1. Управление информационной безопасностью2.2. Сбор данных о состоянии информационной безопасности2.3. Соответствие требованиям ИБ и нормативному законодательству2.4. Поддержка сервис-провайдеров ИБАрхитектура и системные требования Security VisionВарианты поставки Security VisionВыводы ВведениеПлатформа Security Vision — российский продукт класса SGRC (Security Governance, Risk, Compliance), SOC (Security Operation Center), Security Intelligence, IRP (Incident Response Platform), предназначенный для автоматизации системы управления информационной безопасностью организации (СУИБ). Продукт позволяет автоматизировать ключевые процессы обеспечения информационной безопасности, осуществлять мониторинг информационных систем в режиме реального времени, сокращая время реакции на инциденты, снижать время и ресурсы на обработку инцидентов ИБ за счет обучения системы и использования базы знаний. Кроме технических аспектов информационной безопасности, платформа имеет централизованное обновление документальной базы, что обеспечивает получение актуальных организационно-распорядительных документов и рекомендаций по приведению организации в соответствие с политикой информационной безопасности.Security Vision является пионером отечественного рынка SGRC и SOC: первая версия платформы вышла в 2007 году и носила название Security Monitoring and Management Center, а первые внедрения в 2008 году у таких заказчиков как Правительство Московской области позволили апробировать изыскания в сложных ИТ-ландшафтах. Эта версия системы позволяла осуществлять сбор и корреляцию событий безопасности из разрозненных систем информационной безопасности и имела уклон в сторону интеграции с оборудованием Cisco, выполняя такие задачи как анализ всплесков трафика, подключение и анализ отечественных средств защиты, обратную реакцию на инциденты.В настоящее время Security Vision позволяет сделать процесс управления безопасностью прозрачным, наглядным и автоматизированным в пределах потребности организации. Платформа является гетерогенной, что позволяет унифицировать и анализировать данные как с систем информационной безопасности, так и с ИТ-систем, систем технической безопасности, экономической безопасности, SCADA. При этом основным профилем платформы остается информационная безопасность, о чем свидетельствуют внедрения федерального масштаба. Смежные области безопасности остаются экспериментальными для группы компаний и исследуются на базе «Сколково».ГК «Интеллектуальная безопасность» сотрудничает с вендорами средств защиты информации. В результате технологического взаимодействия заказчик получает согласованную интеграцию со средствами защиты, исключая тем самым белые пятна в своей инфраструктуре. Примерами технологического взаимодействия является интеграция Security Vision со средствами защиты «Кода Безопасности», IBM QRadar, S-terra, «Лаборатории Касперского», Инфовотч DLP, RuSIEM и др.Платформа Security Vision используется в ряде государственных и коммерческих организаций. Примерами могут служить Сбербанк, Группа ВТБ (ВТБ24, «Мультикарта»), «Ростех», Пенсионный фонд Российской Федерации, Корпорация МСП, ФАНО России, «Газпром-Медиа», Правительство Московской области, ФСО России, ГУП «Специальное предприятие при Правительстве Москвы», Совет Федерации и Госдума. Под нужды ряда специализированных заказчиков компания строит свой собственный Центр реагирования с выделенным ЦОДом для гарантированной сохранности и обработки данных по модели MSSP (Managed Security Service Provider).Платформа Security Vision включена в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи России в 2016 году. В 2017 году согласно решению ФСТЭК России № 5751 от 23 октября 2017 года ведутся испытания продукции серийного производства. Получение сертификата ФСТЭК России ожидается во втором квартале 2018 года. Функциональные возможности Security VisionSecurity Vision предназначен для автоматизации подпроцессов ИБ:управление информационными активами (включая инвентаризацию и контроль целостности);управление жизненным циклом инцидентов ИБ. В том числе автоматизация деятельности по реагированию на инциденты: мониторинг и выявление, ведение и учет карточек инцидентов, регистрация действий пользователей при обработке инцидентов, назначение ответственных, оповещение, автоматическое принятие решений в рамках обработки инцидентов, автоматическое реагирование в рамках назначенного сценария;управление задачами ИБ (более конструируемое применение управления инцидентами ИБ);управление документами, регламентирующими порядок обеспечения ИБ;управление записями и логами ИБ;управление соответствием требованиям ИБ (Compliance);управление рисками ИБ (моделирование угроз по рекомендациям ФСТЭК России и ФСБ России, полный жизненный цикл управления рисками информационной безопасности);управление знаниями;управление взаимодействием с корпоративными системами;управление осведомленностью сотрудников в области ИБ (Awareness);управление мониторингом и аудитами;управления уязвимостями. В том числе автоматизация деятельности по реагированию на уязвимости: регистрация, настройка политик управления уязвимостями, выделение ложных срабатываний, назначение ответственных, автоматическое информирование;управление изменениями в ИТ-инфраструктуре;управление непрерывностью бизнеса;управление носителями информации;управление границами объекта защиты. В том числе визуализация состояния ИБ на масштабируемой географической карте как в целом, так и по отдельным процессам в 2D- и 3D-режимах;управление тестами на проникновение в КИС;управление физической безопасностью объекта защиты;управление резервным копированием;управление мобильными клиентами;управление экономической эффективностью;управление доступностью, активный мониторинг доступности узлов и сервисов, а также их состояния с возможностью диагностирования;управление системой ИБ в облачной инфраструктуре;управление визуализацией данных и оповещением о состоянии ИБ;управление отчетностью о состоянии ИБ;управление экономической безопасностью и др.Целью автоматизации каждого подпроцесса является создание интеллектуально саморегулируемого программно-технического модуля на борту платформы для освобождения человека от участия в рутинных операциях. Отличительной особенностью работы с каждым подпроцессом является конструируемый подход, в котором заказчик самостоятельно конструирует свой процесс и автоматизирует его. Платформа изначально построена как конструктор сущностей. Часть подпроцессов платформы рассмотрена ниже.Управление информационной безопасностьюSecurity Vision делает особый акцент на наглядности и прозрачности картины информационной безопасности с целью ускорения принятия управленческих решений. Платформа предоставляет пользователям широкий набор встроенных графических представлений, визуализирующих состояние безопасности корпоративной сети и результаты обработки информации. Рисунок 1. Виджеты консоли администратора  Рисунок 2. Визуализация данных об уязвимостях Рисунок 3. Состояние безопасности Пользователю представляется информация о состоянии информационной безопасности в масштабах отдельного здания, города, страны или всей планеты на графической карте. В режиме реального времени отслеживается доступность сетевых устройств и сервисов, срабатывает оповещение об инцидентах ИБ, точках заражения или проникновениях в защищаемую информационную систему. Рисунок 4. Графическое представление состояния ИБ в масштабах страны, планеты Для выделения информационных активов компании (информация, аппаратные и программные средства, системы, сервисы, персонал) и автоматизации работы с ними в состав продукта входит Модуль управления активами. Он позволяет установить взаимосвязь между активами и потоками передачи данных для обеспечения информационной безопасности, а также с помощью средств встроенного конструктора сформировать необходимые типы активов и свойства для их описания. Рисунок 5. Карта связей активов и потоков передачи данных Модуль управления аудитами предназначен для автоматизации управления внешними и внутренними аудитами. С его помощью возможно создание объектов контроля и отслеживание уровня их соответствия на всех этапах, а также генерация статистики и подробных отчетов, которые позволяют получить представление о ходе аудита в любой момент времени. Рисунок 6. Модуль управления аудитами Управление инцидентами включает в себя решение следующих задач:построение пользовательских рабочих процессов обработки инцидентов в системе;присвоение и управление атрибутами инцидентов для ответных действий;контроль обработки инцидентов в соответствии с установленными соглашениями о предоставлении услуг;управление доступом к инцидентам на основании атрибутов заявок. Рисунок 7. Перечень инцидентов Security Vision поддерживает основные процессы современных SOC:мониторинг и управление событиями ИБ;процесс категоризации событий ИБ;аналитика ИБ;реагирование на инциденты ИБ в соответствии с аналитикой и сценариями;управление изменениями;анализ прошлых инцидентов;управление проблемами;мониторинг источников событий ИБ;аналитика киберугроз (Cyber Threat Intelligence).Реализация процессов производится посредством механизма заявок. Заявки — новая концепция Security Vision, расширяющая границы управления инцидентами. Конструктор заявок позволяет формировать пользовательские свойства заявок различных типов, описание рабочих процессов заявки — изменений заявки в течение ее жизненного цикла — с помощью графического конструктора, настраивать типы заявок под различные задачи и сценарии. Рисунок 8. Перечень заявок Рисунок 9. Рабочий процесс заявки Управление знаниями и BigData в Security Vision позволяет:проводить автоматический анализ ранее случившихся инцидентов безопасности;принимать решения относительно каждого конкретного инцидента;оперативно принимать решения по наиболее распространенным инцидентам.Основой для управления знаниями является нейронная сеть с динамическими весовыми коэффициентами и с механизмом «обучения с учителем».Используя всю доступную системе информацию, строятся OLAP-кубы (On-Line Analytical Processing) для обеспечения функциональности BI (Business intelligence). Для осуществления механизмов кластеризации, классификации и предсказаний используются специализированные модели и структуры данных.Хранения больших данных обеспечивается технологией Hadoop, а в обработке данных используются такие технологии, как Spark и язык R. Рисунок 10. Детальное описание инцидента Управление документацией предоставляет функции автоматизации процесса хранения, создания и просмотра всего комплекса документов, связанных с информационной безопасностью организации. Изменение в системе автоматически отражается в документах, что позволяет располагать актуальными документами в любое время, а также в момент аудита. Рисунок 11. Перечень документов Security Vision позволяет проводить оценку рисков информационной безопасности, включая проведение оценки ценности активов, формирования моделей угроз, определения реестра рисков и составления плана обработки рисков. Кроме того, платформа помогает оценить риски информационной безопасности в денежном эквиваленте, что часто необходимо для принятия управленческих решений. Рисунок 12. Матрица управления рисками Security Vision позволяет сопоставлять и отслеживать соответствие (Compliance) отраслевым требованиям безопасности, международным стандартам, отечественной нормативной базе, а также соблюдение контрактных обязательств. Security Vision производит регулярную актуализацию базы нормативной документации и связанных с ней требований к обеспечению информационной безопасности. Рисунок 13. Законодательные и нормативные требования Security Vision автоматизирует процесс работы с жизненным циклом уязвимостей. Информация об активах, связанных с ними уязвимостях, сведения из подписок и справочников позволяют обеспечить немедленную реакцию на появившуюся уязвимость, создать план реагирования и реализовать его, обеспечив надежную защиту активов компании. Продукт имеет сканер сети из коробки и поддерживает интеграцию с распространенными сканерами уязвимостей сторонних производителей. Рисунок 14. Управление уязвимостями Security Vision собирает журналы событий аудита и позволяет пользователю выяснить первичную информацию о состоянии систем и сервисов на момент совершения инцидента, а также получить подтверждение причины инцидента в виде аналитического отчета. Это позволяет:использовать методологию заказчика для журналирования и автоматической оценки (grade) в соответствии с заданной методологией;снизить трудоемкость анализа и расследования инцидентов;выдать детализированный отчет анализа и предоставить развернутую информацию о самом инциденте;повысить точность определения наличия или отсутствия инцидента.Security Vision поддерживает интеграцию с центрами реагирования на инциденты безопасности (CERT), такими как ГосСОПКА и FinCERT, позволяя принимать информацию из CERTов и отправлять выбранную пользователем информацию по унифицированным протоколам данных. Также возможно выстраивать интеграцию с корпоративными системами для уменьшения стоимости владения СУИБ. Интеграция производится с корпоративными системами, такими как Service Desk, CMDB, ИТ-мониторинг, Сервисно-ресурсными системами, АБС и др.Security Vision позволяет построить процесс повышения уровня подготовки персонала к угрозам, связанным с методом социальной инженерии, и повышения общего уровня знаний об информационной безопасности. Рисунок 15. Осведомленность Продукт обеспечивает автоматизацию процесса подготовки и выдачи отчетов о состоянии ИБ в организации. Конструктор отчетов позволяет формировать произвольную структуру, наполняя ее графиками, таблицами и данными в соответствии с потребностями заказчика. Рисунок 16. Отчет по управлению инцидентами ИБ Рисунок 17. Отчет по соответствию требованиям информационной безопасности организации Рисунок 18. Отчет по инвентаризации и контролю целостности Рисунок 19. Отчет по программному обеспечениюСбор данных о состоянии информационной безопасностиВ первую очередь сбор событий осуществляется безагентным способом, дальше используются встроенные средства и универсальные сборщики событий (Wincollect, Event collector). В случае узкоспециализированных, саморазработанных или закодированных систем применяются специальные агенты: сбора, доступности, инвентаризации и контроля целостности, реагирования.Агент сбора осуществляет накопление, нормализацию и отправку событий на сервер мониторинга и управления. Рисунок 20. Агент сбора Агент доступности производит активный и пассивный мониторинг сетевых узлов и сервисов, позволяя оперативно реагировать на изменения их состояния и уровня связи с ними. Рисунок 21. Агент доступности Агент инвентаризации и контроля целостности предназначен для автоматизации процесса инвентаризации и контроля неизменности состава аппаратных и программных средств, системного программного обеспечения, системных файлов и критичной информации на серверах и рабочих станциях сети. Рисунок 22. Агент инвентаризации и контроля целостности Агент реагирования предназначен для автоматизации процесса реагирования на инциденты или события безопасности и является частью IRP-комплектации платформы. Внедрение обратной реакции и автоматизации выработанных правил реагирования рекомендуется осуществлять на одном из последних этапов внедрения Security Vision с целью планомерной автоматизации.Security Vision предоставляет заказчику комплексный подход в интеграции с системами класса SIEM:интеграцию с ведущими SIEM-системами, лидирующими в квадрате Gartner, такими как IBM QRadar, RSA Security, Intel Security, ArcSight и др. Интеграция производится на уровне API и БД, с целью обеспечения сквозной работы с системой управления инцидентами и реагирования на разных уровнях обработки — как правило L1/L2/L3;специализированную SIEM-систему, функционирующую на уровне ядра Security Vision, с определяемой и конструируемой логикой под нужды закрытого количества заказчиков;зонтичную интеграцию — платформа Security Vision позволяет объединить несколько сторонних SIEM-систем организации в единую платформу СУИБ-системы. Рисунок 23. Анализ инцидента с помощью IBM QRadar Рисунок 24. Зонтичная интеграция SIEM-системСоответствие требованиям ИБ и нормативному законодательствуSecurity Vision автоматизирует ИБ-процессы, составляющие систему управления информационной безопасностью организации, в соответствии с серией международных стандартов ISO/IEC 27001. Рисунок 25. Оценка соответствия требованиям информационной безопасности и бизнес-требованиям Security Vision позволяет автоматизировать процессы, связанные с отслеживанием изменений в нормативной базе (федеральных законах, постановлениях Правительства, приказах различных ведомственных структур) по персональным данным. Модуль управления документацией обрабатывает и поддерживает в актуальном состоянии организационно-распорядительные документы организации, регламентирующие обработку персональных данных.Security Vision позволяет автоматизировать процесс контроля над всеми процессами обеспечения информационной безопасности конфиденциальных данных с помощью различных модулей. Security Vision не только отслеживает состояние всех программно-аппаратных составляющих системы защиты, но и обрабатывает инциденты, управляет рисками, ведет базу знаний, проводит аудиты, контролирует степень соответствия организации требованиям стандартов по защите конфиденциальной информации, а также следит за уровнем осведомленности сотрудников и планирует процедуры повышения уровня информационной безопасности.Агент инвентаризации и контроля целостности обеспечивает централизованное автоматизированное управление процессом инвентаризации и контроля целостности состава аппаратных средств, системного и прикладного программного обеспечения, установленного на серверы и рабочие станции сети организации.Платформа Security Vision, проходящая процедуру сертификации ФСТЭК России, представляет собой инструмент управления, который позволяет автоматизировать процесс контроля над всеми процедурами обеспечения безопасности автоматизированных систем заказчика, объектов ключевой системы информационной инфраструктуры (КСИИ), с помощью различных модулей, решая следующие задачи:управление соответствием;управление ключевыми показателями;визуализация данных;управление знаниями;управление инцидентами;управление аудитами;управление осведомленностью;управление рисками;управление тестами на проникновение;управление лицензиями;управление уязвимостями;управление активами;управление непрерывностью бизнеса;управление изменениями;управление документацией;управление отчетностью и др.Помимо этого, Security Vision учитывает особенности КСИИ в части обеспечения доступности критически важной информации, текущих (тесной интеграции с операционными системами) и новых (виртуализация) реалий. Поддержка сервис-провайдеров ИБSecurity Vision позволяет сервис-провайдерам предоставлять услуги по ИБ для малых и средних компаний на коммерческой основе, организуя на своей базе корпоративные и ведомственные центры услуг. Основным преимуществом предоставления услуг клиентам по модели SSC/MSSP (Центр разделяемых сервисов и аутсорсинг) является возможность расширения бизнеса сервис-провайдеров за счет организаций, которые не могут самостоятельно выстраивать и поддерживать систему мониторинга ИБ силами сотрудников ИТ-отдела организации, но имеют потребность в таких сервисах. Со стороны клиентов по модели SSC/MSSP также наблюдается ряд преимуществ:прозрачность ценообразования и экономия средств организации — оплачивается только объем фактического использования;короткие сроки получения первых экспертных результатов;стандартизация бизнес-процессов в соответствии с международной практикой;мониторинг процессов;опыт специалистов сервис-провайдера постоянно растет за счет решения вопросов по ИБ, с которыми они сталкиваются при работе с разными клиентами;отсутствие необходимости закупать и поддерживать дорогостоящее программное обеспечение и оборудование. Архитектура и системные требования Security VisionПлатформа Security Vision имеет трехуровневую архитектуру — уровень сбора, уровень ядра и уровень управления. Рисунок 26. Архитектура Security Vision Уровень управления предназначен для автоматизации процесса управления информационной безопасностью и представляет собой русскоязычный портал управления — непосредственно платформу Security Vision. Таблица 1. Минимальные системные требования для функционирования программного обеспечения уровня управленияОперационная системаАппаратные требованияMicrosoft Windows Server 2012 R2Процессор — два 4-ядерных 2.4 ГГцMicrosoft Windows Server 2008 R2Оперативная память — 8 ГбMicrosoft Windows Server 2008 SP2 32/64Свободное место на жестком диске — 50 ГбMicrosoft Windows Server 2012Сетевая платаMicrosoft Windows Server 2016 Уровень ядра предназначен для сбора, анализа и корреляции событий, генерируемых в процессе работы различных источников событий в корпоративной сети. Таблица 2. Минимальные системные требования для функционирования программного обеспечения уровня ядраОперационная системаАппаратные требованияRed Hat Enterprise Linux 5.7 64-bitПроцессор — два 4-ядерных 2.4 ГГц Оперативная память — 24 Гб Свободное место на жестком диске — 3 Тб (RAID10) Сетевая плата Уровень сбора обеспечивает:сбор, нормализацию и отправку на уровень ядра событий, поступающих от отечественных систем обеспечения безопасности;инвентаризацию и контроль целостности состава аппаратных средств, системного и прикладного программного обеспечения, установленного на серверы и рабочие станции. Таблица 3. Минимальные системные требования для функционирования программного обеспечения уровня сбораОперационная системаАппаратные требования (для работы с логами)Аппаратные требования (для инвентаризации и контроля целостности)Microsoft Windows Server 2012Процессор — 1.4 ГГцПроцессор — 800 МГцMicrosoft Windows Server 2008 R2 Оперативная память — 512 МбОперативная память — 512 МбMicrosoft Windows Server 2008 SP2 32/64Свободное место на жестком диске — 500 МбСвободное место на жестком диске — 500 МбMicrosoft Windows Server 2003 R2 SP2 32/64Сетевая платаСетевая платаMicrosoft Windows Server 2003 SP2 32/64  Microsoft Windows 8 32/64  Microsoft Windows 7 32/64  Microsoft Windows Vista 32/64  Microsoft Windows XP SP3 32/64   Программное обеспечение сертифицируется по 4 уровню контроля отсутствия недекларированных возможностей, с возможностью использования в автоматизированных системах до класса 1Г включительно, ГИС до 1 класса включительно, ИСПДн до 1 уровня включительно. Варианты поставки Security VisionSecurity Vision выпускается в четырех комплектациях, отвечающих различным задачам бизнеса в области ИБ, начиная от централизованного сбора и хранения информации о событиях информационной безопасности и заканчивая построением ситуационных центров информационной безопасности (Information Security Operation Center, ISOC).Комплектация «Старт (Инвентаризация и контроль целостности)» предназначена для автоматизации инвентаризации информации с рабочих станций и серверов организации с возможностью обеспечения защиты целостности важных файлов. В этой комплектации Security Vision позволяет организовать управление активами в соответствии с международными стандартами управления информационной безопасностью (ISO 27000 и др.). Продукт предоставляет инструменты графических представлений (виджетов) в интерфейсе и механизмы оповещений и ведения отчетности.Комплектация «Стандартный (SOC)» позволяет построить ситуационный центр информационной безопасности (ISOC) предприятия. В этой комплектации Security Vision обладает функциональностью комплектации «Старт», а также позволяет визуализировать информационную безопасность в режиме 2D/3D на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра имеют возможность оперативно реагировать на инциденты безопасности, получая полную информацию и аналитику в любой момент.Комплектация «Стандартный (GRC)» позволяет построить полноценную автоматизированную СУИБ предприятия. В этой комплектации Security Vision обладает функциональностью комплектации «Старт», а также позволяет управлять ключевыми процессами информационной безопасности, такими как:управление ключевыми показателями эффективности (KPI);управление жизненным циклом инцидентов;управление документами, регламентирующими порядок обеспечения ИБ;управление рисками ИБ;управление соответствием требованиям ИБ.Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту в соответствии с серией стандартов ISO 27000.Комплектация «Корпоративный» ориентирована на средние и крупные компании. Данная комплектация Security Vision включает минимальный набор модулей и позволяет подключать любые необходимые модули к платформе, в том числе и модули по индивидуальному заказу:управление KPI;управление жизненным циклом инцидентов (Ticketing);управление документами, регламентирующими порядок обеспечения ИБ;управление рисками ИБ;управление соответствием требованиям ИБ;географическая карта;управление знаниями;управление аудитами;управление уязвимостями;управление носителями информации;управление осведомленностью (Awareness) в области ИБ;тесты на проникновение (Pentest);взаимодействие с корпоративными системами;интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force);криминалистика;управление непрерывностью бизнеса;управление изменениями в ИТ-инфраструктуре. ВыводыГК «Интеллектуальная безопасность» — молодая российская компания, однако ее продукт Security Vision уже зарекомендовал себя среди крупнейших федеральных финансовых и государственных организаций страны и был отмечен наградами в области информационной безопасности.Security Vision — платформа SGRC, имеющая более 20 различных модулей и встроенную SIEM-систему, специализированную под задачи SGRC и IRP. Внедрение платформы Security Vision позволяет в прямом смысле наглядно решать важные организационные задачи в управлении информационной безопасностью, достичь соответствия организации современным международным и отечественным стандартам ИБ, повысить уровень осведомленности сотрудников компании. Security Vision позволяет снизить издержки организации и сократить время реагирования на инциденты безопасности.Security Vision предоставляет заказчикам широкий набор комплектаций, но даже стартовый пакет платформы позволяет небольшой компании повысить уровень системы ИБ до приемлемого в части большинства вопросов безопасности.Достоинства:Подтвержденная внедрениями (Сбербанк, Группа ВТБ, Корпорация МСП и др.) реальная автоматизация процессов при построении SOC: мониторинг, категоризация и управление событиями ИБ; анализ киберугроз; реагирование на инциденты; управление изменениями; мониторинг источников событий ИБ и т. д.Наличие единого инструмента для оценки состояния ИБ и принятия как тактических, так и стратегических решений.Централизованный сбор и хранение информации о событиях информационной безопасности с предпосылками применения технологий BigData.Визуализация информационной безопасности, предоставление карты инцидентов ИБ и состояния активов в различных аспектах (включая режим 3D) и повышение прозрачности взаимодействия ИБ с бизнесом.Наглядное и объемное получение актуальной картины состояния ИБ и обеспечивающих процессов. Большое внимание уделено наглядности и прозрачности.Глубокая техническая интеграция с наиболее известными SIEM-системами (IBM QRadar, RSA Security, Intel Security, ArcSight и др.). Позволяет строить масштабные и при этом гибко ориентированные на заказчика SOC.Расширенные возможности кастомизации настроек за счет наличия встроенного визуального конструктора процессов.Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». В дополнение к workflow сильным элементом является автоматическое реагирование в соответствии с runbook/playbook/use case.Формализация и унификация процессов обеспечения ИБ в рамках единой платформы.SIEM-система Security Vision имеет конструктор простых правил корреляции.Наличие функций управления активами, в том числе ИТ-активами.Обнаружение компьютерных атак, направленных на защищаемые информационные ресурсы в режиме реального времени.Механизмы автоматического формирования нормативной документации (политик, процедур и т. д.).В ближайшее время ожидается сертификат ФСТЭК России.Недостатки:Нет автоматической интеграции с БДУ ФСТЭК.Нет возможности создания пользовательских шкал оценки соответствия нормативным требованиям. Ожидается появление в новой версии.Недостаточная функциональность управления осведомленностью пользователей (не осуществляется учет доступа работников к информационным активам, учет проведения инструктажей и тестирование знаний пользователей).

Инсайдеров, безответственный персонал и людей, превышающих свои должностные полномочия, необходимо быстро выявлять и наказывать. А значит, системы контроля сотрудников набирают популярность. В данном обзоре мы познакомимся с отечественным программным комплексом «Стахановец: Полный контроль» версии 6.64, который позволяет предотвратить утечки информации, выявить риски в действиях подчиненных, обнаружить факторы, влияющие на продуктивность персонала. По данным анализа можно понять, кто в компании работает, а кто просто просиживает время и получает за это деньги или трудится на конкурентов. ВведениеВерсии программного комплекса «Стахановец»Функциональные возможности программного комплекса «Стахановец: Полный контроль»Архитектурные решения, применяемые в программном комплексе «Стахановец: Полный контроль»Системные требования программного комплекса «Стахановец: Полный контроль»Установка и настройка программного комплекса «Стахановец: Полный контроль»Работа с системой контроля сотрудников «Стахановец: Полный контроль»7.1. Работа в режиме «БОСС-Онлайн»7.2. Мониторинг местоположения (GPS-трекинг)7.3. Мониторинг клавиатурного почерка7.4. Цифровые отпечатки7.5. Построение отчетов о работе пользователейВыводы ВведениеМногие, наверное, помнят слова доктора из популярного сериала: «Все врут!» В большинстве случаев сотрудники постоянно обманывают свое руководство, часто создают видимость активной работы, а на деле просто бездельничают или занимаются личными делами. Частые опоздания, невыполнение задач в поставленный срок, потеря клиентов и т. д. — ­на все это находятся оправдания. А сколько обиженных после увольнения навредили компании, в которой работали? Зачастую, увольняясь, персонал старается захватить с собой что-нибудь, например, контакты клиентов и партнеров, личные данные коллег или другую ценную информацию. А сколько времени работники тратят на выполнение своих трудовых обязанностей? Тут можно с уверенностью сказать, что меньше половины, остальную часть используют в личных целях. Онлайн-шопинг, игры, общение в соцсетях и мессенджерах и т. д. В современном мире это становится нормой. Для предотвращения подобных ситуаций и существуют системы контроля сотрудников, которые позволяют вовремя выявить недобросовестных (лентяев или работающих на конкурентов).Рынок систем контроля и мониторинга сотрудников предлагает богатый выбор. Российские системы наравне конкурируют с зарубежными аналогами. В этом можно убедиться, прочитав наш недавний обзор систем контроля персонала и рабочего времени. Функциональность систем контроля тесно связана с комплексами предотвращения утечек информации (DLP), поэтому и рынок богат решениями подобного класса.В этой статье мы остановимся на отечественном представителе — рассмотрим программный комплекс «Стахановец: Полный контроль». Он предназначен для наблюдения как за сотрудниками, работающими в офисе компании, так и за выездным персоналом, а также для оценки эффективности их работы на основе факторов, представленных в многочисленных отчетах, формируемых программным комплексом. «Стахановец» может использоваться в любой организации, где персонал работает за компьютерами, и позиционируется как система контроля сотрудников, необходимая директорам и работникам отдела кадров, HR-менеджерам.«Стахановец» предлагает несколько версий продукта. В том числе есть версия, которая применима для домашнего наблюдения. Версии программного комплекса «Стахановец»Спектр применения программного комплекса «Стахановец» широк: от домашнего использования до внедрения в крупных организациях с распределенной структурой (в том числе позволяет контролировать сотрудников, работающих вне офиса, и выездной персонал).«Стахановец» предлагается в четырех вариантах: «Полный контроль»;«Легкий контроль»;«Мобильный контроль»;«Родительский контроль».Рассмотрим кратко основные возможности каждого из вариантов. Таблица 1. Общее сравнение версий программного комплекса «Стахановец»«Полный контроль»«Легкий контроль»«Мобильный контроль»«Родительский контроль»Основные функциональные возможности:- Система контроля доступа и учета рабочего времени.- Система информационной безопасности предприятия и защиты данных (DLP).- Мощный анализатор рисков информационной безопасности.- Система мониторинга эффективности сотрудников, способная распознавать полезную и вредоносную активность.Система позволяет собирать, обрабатывать и анализировать информацию и формировать порядка 30 вариантов отчетов о действиях сотрудниковФункциональность комплекса рассчитана на средний и малый бизнес.Применим, если в организации работает до 25 сотрудников.Представляет урезанную функциональность версии «Полный контроль».Основным отличием является поддержка только одного сервера, не поддерживается отложенное наблюдение (если сервер недоступен, данные мониторинга будут потеряны), не поддерживает интеграцию с Active Directory, не поддерживает мобильный мониторинг, количество отчетов о мониторинге немного ниже, и недоступны некоторые функции при онлайн-наблюденииПозволяет контролировать:- передвижение выездного персонала;- время, потраченное на каждый выезд;- общение с клиентами по телефону.Определение местоположения сотрудника осуществляется с высокой точностью при помощи карт Google, датчиков GPS, Wi-Fi и данных оператора связиПрименяется для мониторинга действий за вашим домашним компьютером. Позволяет осуществлять онлайн-мониторинг и получать полную статистику действий за компьютером. Например, если вы хотите знать, что ваш ребенок делает за компьютером в ваше отсутствие (особенно актуально в связи с ростом числа так называемых «групп смерти»). Также можно следить за наемным персоналом, работающим у вас дома, через веб-камеры, подключенные к компьютеру В данном обзоре мы рассматриваем самую полную версию программного комплекса «Стахановец: Полный контроль» (далее по тексту — «Стахановец»). Функциональные возможности программного комплекса «Стахановец: Полный контроль»Спектр возможностей «Стахановца» весьма внушителен. При этом все функциональные возможности системы контроля сотрудников «Стахановец» можно разделить на следующие группы:система контроля доступа и учета рабочего времени;система информационной безопасности предприятия и защиты данных (DLP);анализатор рисков информационной безопасности;система мониторинга эффективности сотрудников, способная распознавать полезную и вредоносную активность. Рисунок 1. Функциональные возможности программного комплекса «Стахановец»  Теперь рассмотрим более подробно эти возможности «Стахановца».В части осуществления мониторинга «Стахановец» позволяет осуществлять:мониторинг рабочего стола, программ и посещенных сайтов;мониторинг вводимого текста;распознавание клавиатурного почерка: выявление сотрудников в состоянии алкогольного, наркотического опьянения или стресса;мониторинг подозрительных действий;видео- и аудионаблюдение за действиями пользователя с помощью веб-камеры и микрофона;мониторинг и контроль печати;мониторинг оборудования и компонентов компьютера для предотвращения краж;инвентаризация программного обеспечения;контроль присутствия и активности сотрудников на рабочем месте, учет времени работы;скрытое и открытое наблюдение за пользователем;многочисленные удобные отчеты.Мониторинг работы персонала позволяет выявлять недобросовестных сотрудников, которые тратят время на игры, общение в соцсетях, онлайн-покупки и прочую деятельность, не связанную с выполнением своих трудовых обязанностей. Также «Стахановец» позволяет отслеживать, во сколько работник включил компьютер, как долго за ним работал, какие программы запускал и даже какой текст набирал на клавиатуре. Все собранные данные формируются в отчеты, по которым проще выявить отклонения от нормальной работы. Например, если один сотрудник тратит 20 минут в день на соцсети, а второй 4 часа рабочего времени проводит за онлайн-играми, то первого еще можно простить, а вот второго явно нужно дисциплинировать.Еще один пример: для менеджера по продажам время, проведенное в социальной сети LinkedIn или на специализированном форуме, будет расцениваться как полезное. Он изучает профиль компании-клиента и ищет выходы на лиц, принимающих решения. При этом аномально высокая активность в социальных сетях, непрофильных форумах или сайтах фиксируется программой как нецелевой расход рабочего времени.Возможности «Стахановца» в части осуществления контрольной деятельности:контроль отклонений, анализ рисков;прогноз и анализ рисков, связанных с работой сотрудников;оповещение о вредоносной активности;автоматическая категоризация рабочих активностей сотрудника;анализ эффективности работы каждого сотрудника, выявление максимально эффективных и неэффективных сотрудников;возможность сформировать отчет по отличительным признакам поведения сотрудника, т. е. определить, чем работа продуктивного менеджера отличается от работы непродуктивного;фиксация отклонений в поведении;сводный отчет и «Мастер отчетов», формирующий отчетность по заданным параметрам;оповещение начальства о случаях поиска работы сотрудником;поиск сотрудника по различным критериям.Контроль никогда не был лишним: чем больше руководство организации знает о деятельности своих подчиненных, тем проще выстроить работу отделов, подразделений или отдельных лиц. Также становится легче выявить самых продуктивных сотрудников и самых неэффективных. «Стахановец» позволяет контролировать использование интернета:Сколько времени сотрудник тратит на использование Сети в рабочих и личных целях.Фиксация URL-адресов.Время, в течение которого страница была открыта, и время активной работы.Вводимый в браузере текст, включая текст в почтовых сервисах.Запросы в поисковых системах Google, Yandex, Rambler и других.Уведомления о посещении нежелательных сайтов.«Стахановец» неплохо работает в части выявления бизнес-рисков, связанных с утечкой информации. Например, если сотрудник воспользовался личным почтовым ящиком для отправки письма со словосочетанием «клиентская база», «финансовые показатели» или подобными, программа расценит это как вредоносную активность. Оповещение будет незамедлительно направлено руководителю.Стоит отметить, что программный комплекс «Стахановец» позволяет не только осуществлять контроль и мониторинг действий сотрудников, но также предотвращать утечки данных, т. е. позиционируется и как DLP-система. В части элементов DLP в «Стахановце» присутствуют основные функции, отвечающие всем современным требованиям. А именно:предотвращение утечек информации;перехват данных, выводимых за периметр персонального компьютера;контроль файловых операций;перехват и анализ почтовых сообщений;контроль и оповещение о подозрительных действиях, запрет на их выполнение;контроль почты;мониторинг программ и посещенных сайтов;мониторинг переписки и голосовых переговоров в различных мессенджерах;контроль присутствия и активности сотрудников на рабочем месте;граф связей;проверка фальсификаций;управление правами доступа контролирующих сотрудников;контроль изъятия или замены компонентов ПК для препятствия кражам;контроль мобильных устройств;перехват звука с микрофонов и изображения с веб-камер;отложенное наблюдение;удаленная установка;возможность запрета флеш-накопителей;распознавание текста на скриншотах.Таким образом, «Стахановец» контролирует переписки в широко используемых мессенджерах, таких как Skype, ICQ, Lync, Viber, QIP, Miranda, MailRu-агент. DLP-возможности «Стахановца» позволяют перехватывать входящие и исходящие сообщения в почтовых клиентах Outlook, Outlook Express, The Bat, Windows Live, Mozilla Thunderbird по протоколам Exchange/IMAP/POP3/SMTP/NRPC. В случае ввода подозрительных словосочетаний «Стахановец» тут же выдаст уведомление. Возможность поиска по алгоритму неточного сравнения слов, который позволяет осуществлять поиск в установленных словарях с учетом опечаток и особенностей языка.Позволяет запретить отправку файлов через интернет, запись на flash-накопитель или запретить любое использование flash-накопителей.«Стахановец» может строить так называемый граф связей, который визуализирует взаимосвязи и контакты сотрудника. Особенно удобно отслеживать неблагонадежных сотрудников.В части отчетности «Стахановец» позволяет построить общий сводный отчет, который содержит обобщенную информацию: опоздания, ранние уходы с работы и прогулы; характеристики эффективности проводимого сотрудником времени за компьютером; количество распечатываемых документов; наличие подозрительной активности; часто используемые приложения и сайты.Также «Мастер отчетов» формирует отчеты по любым заданным критериям.Режимы работы «Стахановца»Стахановец может работать как в онлайн-режиме («БОСС-Онлайн»), так и офлайн («БОСС-Оффлайн»). Эти режимы работы предназначены для начальника (руководителя), или по-другому — контролера. «БОСС-Онлайн» предназначен для наблюдения за включенными машинами и пользователями в реальном времени.«БОСС-Оффлайн» — для просмотра отчетов о действиях пользователей из базы данных. При этом не требуется, чтобы компьютеры были включены в текущий момент. Более того, есть возможность просмотра отчетов из удаленного места (например, из дома или даже с планшета в командировке), конечно, если технически это разрешено сетевой инфраструктурой и настроено должным образом.При этом «БОСС-Онлайн» и «БОСС-Оффлайн» имеют веб-оболочку, т. е. для осуществления мониторинга и просмотра отчетов необходимо запустить любой браузер и осуществить переход по определенному веб-адресу.Общий вид модулей наблюдения «Стахановца» представлен на рисунках 2 и 3. Рисунок 2. Общий вид модуля «БОСС-Оффлайн» Рисунок 3. Общий вид модуля «БОСС-Онлайн» Также стоит отметить, что доступ к «Стахановцу» можно осуществлять с мобильных устройств, т. е. контроль и мониторинг может вестись с планшета или смартфона. Архитектурные решения, применяемые в программном комплексе «Стахановец: Полный контроль»Архитектуру программного комплекса «Стахановец: Полный контроль» можно назвать стандартной для систем такого класса, она является клиент-серверной. Клиент передает данные на сервер, которые сохраняются в одной (общей) базе данных.Состав «Стахановца» тоже можно назвать стандартным:Серверная часть, которая отвечает за мониторинг, реагирование и обобщение информации для отчетов.База данных, хранение всей собранной и сформированной информации.Программа администратора, в которой осуществляется настройка и изменение настроек клиентских машин, настроек сервера и установка прав.Клиентская часть, модуль, который выполняет наблюдение за пользователями и передает данные на сервер.«Стахановец» весьма универсален в плане внедрения в организации. Архитектура комплекса позволяет разворачивать его как в крупных организациях с территориально распределенной структурой, так и в небольших компаниях. Рисунок 4. Архитектура и возможности программного комплекса «Стахановец» В зависимости от топологии сети и требований организации по осуществлению контроля сотрудников возможны следующие схемы развертывания:Простой случай (один зал и один сервер). Серверная часть установлена на одном сервере, и все контролируемые рабочие места находятся в одной сети. Данная схема актуальна для небольших организаций. Рисунок 5. Схема взаимодействия программного комплекса «Стахановец» (простой случай) Несколько залов и один сервер. Данная схема предполагает, что серверная часть установлена на одном сервере, рабочие места персонала находятся в нескольких подсетях. Например, если организация имеет большую организационно-штатную структуру, то обычно в отдельную подсеть выделяются подразделения в зависимости от обрабатываемой ими информации. Также возможно распределение обязанностей по администрированию и контролю, а именно назначение нескольких администраторов и нескольких контролеров. Соответственно для каждой подсети можно настроить свои правила по контролю в зависимости от деятельности сотрудников. Рисунок 6. Схема взаимодействия программного комплекса «Стахановец» (распределенная сеть) Сложный случай (несколько залов и несколько серверов). В случае если организация имеет территориально распределенную структуру либо просто большую организационно-штатную структуру, то целесообразней будет использовать несколько серверов для «Стахановца», тем более, что он может работать в режиме нескольких серверов и одной центральной базы данных. Рисунок 7. Схема взаимодействия программного комплекса «Стахановец» (сложный случай) Работа в терминальных сессиях. Если работа организована через терминальный доступ, то контроль рабочих мест пользователей будет осуществляться через терминальный сервер организации. Клиентская часть «Стахановца» является тонким клиентом, т. е. вся обработка данных ведется на сервере, потому не возникает никаких сложностей при работе комплекса в терминальных сессиях. Рисунок 8. Схема взаимодействия программного комплекса «Стахановец» (работа в терминальных сессиях) Стоит отметить, что для хранения данных мониторинга программный комплекс «Стахановец» предполагает использование одной базы данных. В данный момент «Стахановец» поддерживает MySQL и Microsoft SQL Server. Выбор невелик, но это основные программы для работы с базами данных, которые используются в большинстве организаций.В случае отсутствия связи между клиентом и сервером (например, сервер перезагружается) наблюдение не останавливается, а данные мониторинга будут накапливаться в локальной базе данных клиентского средства и будут переданы на сервер после возобновления связи.Также «Стахановец» поддерживает интеграцию с Active Directory, что обеспечивает:возможность синхронизировать данные одновременно с несколькими доменами компании;синхронизацию клиентских установок/удалений с группами компьютеров Active Directory;данные досье сотрудника (ФИО, отдел, должность и т. д.) будут синхронизированы с записями в Active Directory;связь начальник-подчиненный для доступа к отчетам будет соответствовать реальной связи в компании на основе данных из Active Directory;возможность автоматической синхронизации структуры сразу с несколькими доменами компании.При этом стоит обратить внимание, что синхронизация c Active Directory возможна только при использовании MS SQL Server (MySQL не поддерживается). Системные требования программного комплекса «Стахановец: Полный контроль»Каких-то особых требований для установки «Стахановца» не выдвигается. В частности, рекомендуемая операционная система для серверной и клиентской части Windows: XP(SP2)/Server2003/Vista/Win7/Server2008/Win8 и более поздние (32/64-бит). Для базы данных SQL—Сервер: MS SQL Server, My SQL (от версии выше 5.0.27). Таблица 2. Конфигурация сервера для установки «Стахановца»ПользователиПроцессорОперативная памятьТребования50-1002-ядерный2 Гбминимальные500+4-ядерный4 Гбрекомендуемые «Стахановец» работает как в IPv4, так и в IPv6-сетях.Для мобильного мониторинга необходимы устройства с поддержкой Android.Особых требований для установки не предъявляется, но и вариантов мало. Установка и настройка программного комплекса «Стахановец: Полный контроль»Программный комплекс «Стахановец» предусматривает два варианта установки. Первый — это установка в один клик, которая позволяет быстро установить серверные компоненты комплекса без каких-либо настроек. Идеально подходит для первоначального ознакомления с программой.Второй вариант предусматривает полную установку и настройку необходимых параметров. Такой вариант подходит для опытных системных администраторов. Так как в данном обзоре мы рассматриваем самую полную версию «Стахановца», которая ориентирована на средние и крупные организации со штатом свыше 50 сотрудников, то в них точно присутствуют такие администраторы. Поэтому установка не вызовет каких-то трудностей.Особенности установки в один клик:Все серверные компоненты устанавливаются на один компьютер.Автоматически устанавливается новая отдельная инстанция SQL Server Express.Текущий пользователь Windows автоматически станет администратором созданной базы данных.SQL Express-версия имеет ограничения в 10 ГБ на базу, исп. макс. 1 ГБ ОЗУ и один CPU.SQL Express-версия не установится на Windows XP и Windows Server 2003 (используйте полную установку).Для Windows Server 2008 может потребоваться установка обновления.Если в системе не установлен .NET 3.5 SP1 или .NET 4.0, то установщик попытается скачать и установить из интернета.После установки можно сразу переходить к настройкам комплекса.Полная установкаРассмотрим более подробно второй вариант установки. Он предусматривает последовательное выполнение определенных шагов процесса установки:Шаг 1. Установка SQL-сервераШаг 2. Установка программы администратораШаг 3. Установка сервера комплексаШаг 4. Установка клиентской частиШаг 5. Наблюдение для начальникаСтоит отметить, что все действия по установке следует выполнять только из-под учетной записи администратора компьютера.Настройка программного комплекса «Стахановец» после установкиДалее производится настройка функционирования «Стахановца», которая включает настройку сервера и клиента.Серверные настройки используются самим сервером. Они включают настройку мониторинга, установку словарей для отслеживания, параметры генерации отчетов, периодичность сбора и анализа данных, а также настройку реагирования на рисковые или нештатные ситуации.Клиентские настройки используются клиентскими машинами и пользователями. При этом настройка производится на сервере, а потом рассылается клиентам. Если с сервером временно отсутствует связь, то будут использоваться предыдущие настройки, которые сохраняются в локальном кэше клиентских машин. Работа с системой контроля сотрудников «Стахановец: Полный контроль»Работа в режиме «БОСС-Онлайн»Этот режим работы «Стахановца» предназначен для наблюдения в режиме реального времени и позволяет отслеживать действия пользователей, находящихся онлайн. «БОСС-Онлайн» позволяет видеть запущенные программы, открытые документы и сайты. В том числе в случае ввода пользователями текста из словаря угроз в «БОСС-Онлайн» сразу выдается сообщение с информацией о пользователе и прилагается скриншот рабочего стола. Например, пользователь в переписке через мессенджеры или в поисковой строке браузера вводит слово «резюме». В случае если это слово из словаря угроз, начальник получит уведомление о данном событии и скриншот рабочего стола пользователя.Ранее мы говорили, что «Стахановец» делает снимки экранов пользователей. Можно настроить периодичность выполнения снимков экранов, а можно просматривать в онлайн-режиме. Рисунок 9. Снимки экранов пользователей в «БОСС-Онлайн»  «БОСС-Онлайн» также позволяет осуществлять наблюдение через веб-камеры компьютеров или просматривать снимки, сделанные с веб-камеры. Таким образом, можно отследить, работает ли пользователь или просто включил компьютер и общается с коллегами или занимается своими делами. Рисунок 10. Наблюдение за пользователями через веб-камеру в «БОСС-Онлайн» Рисунок 11. Изображение с веб-камеры в «БОСС-Онлайн» Еще одной интересной функцией режима «БОСС-Онлайн» является прослушивание через микрофон компьютера пользователя. Таким образом, руководство может узнать, о чем разговаривают сотрудники в рабочее время. Рисунок 12. Прослушивание пользователей в «БОСС-Онлайн» Также в «БОСС-Онлайн» присутствует ряд возможностей административного характера, которые начальник может применить к конкретному пользователю или компьютеру. Ряд из этих возможностей иллюстрируют рисунки 13 и 14. Рисунок 13. Административные возможности «БОСС-Онлайн» в части действий с пользователем Рисунок 14. Административные возможности «БОСС-Онлайн» в части действий с компьютером пользователяМониторинг местоположения (GPS-трекинг)«Стахановец» с легкостью определяет местоположение выездного персонала. Данная опция весьма актуальна для торговых компаний, когда необходимо отслеживать маршрут торговых представителей, мерчендайзеров и других выездных сотрудников, непосредственно работающих с клиентами. Такой персонал обычно работает со служебными мобильными устройствами (смартфонами, планшетами). Единственное, что необходимо, это мобильное устройство на базе Android. GPS-трекер определяет, где и когда находился сотрудник, проверяет его маршрут. Работает через Google-карты.Эта функция «Стахановца» работает в режиме «БОСС-Оффлайн» и формирует отчет о перемещении пользователя и затраченном им времени, а также показывает места его посещения на карте. Рисунок 15. Отчет о местоположении пользователя (GPS-трекинг) в «БОСС-Оффлайн» Рисунок 16. Маршрут передвижения пользователя на карте (GPS-трекинг) в «БОСС-Оффлайн»Мониторинг клавиатурного почеркаКаждый сотрудник обладает своим уникальным клавиатурным почерком. Это такая же биометрическая характеристика, как отпечаток пальца или сетчатка глаза. Однако она способна меняться в зависимости от психологического состояния человека.Мониторинг клавиатурного почерка способен:Идентифицировать пользователя по набранному тексту.Определить, действительно ли за компьютером закрепленный сотрудник или действия за него совершает кто-то другой.Обнаружить несанкционированный доступ к важной информации.Найти автора конкретного текста.Определить состояние пользователя: алкогольное или наркотическое опьянение, паника, страх, стресс и другие измененные психические состояния.Цифровые отпечаткиЦифровые отпечатки используются, если содержимое определенных важных файлов компании (с которыми работают сотрудники) меняется редко или не меняется совсем, для более удобного поиска операций с ними и получения уведомлений о событиях.В случае если содержимое файлов, с которых снят цифровой отпечаток, изменилось или добавились новые файлы, можно добавить новые цифровые отпечатки вручную или указать список папок/файлов, откуда сервер будет периодически обновлять цифровые отпечатки файлов.Стоит отметить, что количество цифровых отпечатков ограничивается 200.Использование цифровых отпечатков позволяет предотвратить утечку важной информации из компании. Даже если пользователь переименует файл, «Стахановец» не позволит ему скопировать или переслать такой файл. Эта функция относится к DLP-функциональности.Построение отчетов о работе пользователейМожно сказать, что построение отчетов о действиях пользователей — это основная функциональность «Стахановца». Мы уже говорили ранее, что «Стахановец» позволяет строить по собранным данным порядка 30 вариантов отчетов. Построение отчетов зависит от выполняемой пользователями деятельности, пожеланий и фантазии руководства.Отчеты формируются в режиме «БОСС-Оффлайн». Слева мы видим структуру компании, которая представляет подконтрольных пользователей по группам (отделам компании). На первой вкладке нам предлагается настроить «Мастер отчетов», в котором можно установить, за какой период будут выводиться отчеты, какие отчеты необходимо формировать по каждому пользователю, а какие по группам пользователей. Рисунок 17. Мастер генерации отчетов в «БОСС-Оффлайн» После настройки «Мастера отчетов» можно переходить к генерации. Выбираем нужный отчет, период, за который нужно выгрузить, пользователей или группу и нажинаем кнопку «Генерировать». После этого «Стахановец» выдаст нужный нам отчет.Рассмотрим наиболее интересные отчеты.Сводный упрощенный отчетПозволяет посмотреть общую статистику по действиям пользователя. Если в нем мы увидим аномальные действия пользователя, например, что популярной программой у пользователя является World of Tanks вместо Microsoft Word, в которой он должен выполнять свою основную деятельность, то, соответственно, формируется отчет по программам, где удобно посмотреть детальную статистику работы пользователя. Рисунок 18. Сводный упрощенный отчет в «БОСС-Оффлайн» Отчет «Машинное время»Этот отчет позволяет посмотреть статистику включения и выключения компьютера пользователя за выбранный период времени. Рисунок 19. Отчет «Машинное время» в «БОСС-Оффлайн» Отчет «Пользовательское время»Этот отчет показывает активность и бездействие пользователя на рабочем месте за выбранный период по дням недели. Рисунок 20. Отчет «Пользовательское время» в «БОСС-Оффлайн» Отчет «Программы»Отслеживает работу пользователя в установленных на его компьютере программах. В этом отчете видно, в какое время был запуск, какие действия производились, в том числе можно посмотреть, какой текст вводил пользователь. Рисунок 21. Отчет «Программы» в «БОСС-Оффлайн» Отчет «Сайты»Отчет демонстрирует активность пользователя в интернет-браузерах: какие сайты посещались, продолжительность посещения, вводимые поисковые запросы.Такой вид контроля обнаруживает пользователей, которые тратят рабочее время на поиски и просмотр сайтов в личных целях. Рисунок 22. Отчет «Сайты» в «БОСС-Оффлайн» Отчет «Категории/Отклонения»Данный отчет позволяет наглядно увидеть аномалии в поведении работников и отделов. Благодаря этому отчету руководитель может провести сравнительную аналитику моделей действий сотрудников, выявить эффективные способы решения задач и внедрить успешные практики в компании. При оптимизации и сокращении штата отчет «Категории/Отклонения» является незаменимым инструментом для обнаружения отстающего персонала.Особую роль отчет играет при поиске инсайдера, поведение которого всегда отличается от нормы. Рисунок 23. Общий вид отчета «Категории/Отклонения» в «БОСС-Оффлайн»  Рисунок 24. Отчет «Категории/Отклонения» по отклонениям выбранного сотрудника в «БОСС-Оффлайн» Рисунок 25. Отчет «Категории/Отклонения» по используемым ресурсам выбранного сотрудника в «БОСС-Оффлайн» Отчет «Анализатор рисков»Это интеллектуальный инструмент, автоматически выявляющий возможные риски для компании в повседневной деятельности сотрудников. Это может быть передача критически важных данных конкурентам, поиск нового места работы, снижение производительности труда и т. д. «Анализатор рисков» проводит сканирование всей ранее собранной информации по деятельности сотрудников и показывает, у кого из них есть те или иные риски, а также на основании каких событий эти риски были определены. Анализатор наглядно демонстрирует, куда именно расходует рабочее время сотрудник, и дает возможность оценить полезность тех или иных действий.Настройка «Анализатора рисков» доступна на сервере и предусматривает ручную корректировку словарей и профилей рисков. Первоначально необходимо настроить словари: для каждого можно указать программы, сайты, слова, контакты. Сам словарь не может иметь признака «полезной» или «вредной» активности, т. к. зависит от того, к какому сотруднику будет применен. В каждом словаре настраиваются «списки чувствительности». Рисунок 26. Настройка словарей для «Анализатора рисков» Затем необходимо настроить профили рисков. Профили включают те или иные словари с признаками «польза» или «вред». Причем не обязательно, чтобы все словари были в профиле. Рисунок 27. Настройка профиля для «Анализатора рисков» В «БОСС-Оффлайн» можно сформировать отчет по анализу рисков для пользователя. В соответствии с настройками словарей и профилей «Стахановец» проанализирует собранные данные по выбранному пользователю и выдаст нам результат по действиям пользователя. Рисунок 28. Отчет «Анализатор рисков» в «БОСС-Оффлайн» Отчет «Чат и звонки»Этот отчет отображает, когда, при помощи каких мессенджеров и с кем общается пользователь. При этом можно просматривать переписку.Такой вид контроля выявляет как любителей поболтать, так и инсайдеров, которые сливают данные конкурентам. Рисунок 29. Отчет «Чат и звонки» в «БОСС-Оффлайн» Отчет «Снимки экранов»Данный отчет позволяет просматривать историю работы пользователя в «картинках». То есть, какие окна были открыты у пользователя в момент выполнения снимка. Периодичность снимков настраивается заранее. Данный отчет обладает весьма гибкими настройками. Например, в нем даже можно настраивать условия, когда необходимо выполнять снимок экрана. Рисунок 30. Отчет «Снимки экранов» в «БОСС-Оффлайн»  При этом в настройках комплекса (а именно для пользователей) можно установить периодичность выполнения снимков, а также в каком виде необходимо выполнять снимки экранов:делать снимок всего экрана;делать снимок только активного окна;делать снимок активного монитора.Также для уменьшения занимаемой памяти можно настроить качество снимков экранов. Рисунок 31. Настройки мониторинга — «Снимки экранов» Рисунок 32. Вариант просмотра снимка экрана пользователя, сделанный для «Активного монитора» Отчет «Печать на принтере»Этот отчет показывает, какие документы, когда и на каком принтере распечатывал пользователь. Если в настройках на сервере указать цену печати страницы, то «Стахановец» посчитает общую стоимость распечатанных документов.Такой вид наблюдения дает возможность вычесть из зарплаты стоимость печати личных документов (например, некоторые любят печатать книги). Рисунок 33. Отчет «Печать на принтере» в «БОСС-Оффлайн» ВыводыВ этом обзоре мы познакомились с отечественным программным комплексом «Стахановец: Полный контроль», который ведет контроль и мониторинг действий персонала, выявляет риски в их действиях и осуществляет предотвращение от утечки информации.Функциональность «Стахановца» весьма существенна и позволяет отслеживать практически любое действие персонала компании. При этом присутствует и функциональность предотвращения утечки информации (цифровые отпечатки, перехват и запись сообщений в мессенджерах, контроль и блокировка USB-устройств, контроль печати, построение графа связей и т. д.).Возможности «Стахановца» очень обширны, поэтому в обзоре мы отразили его наиболее интересные отличительные опции.Одной из них является анализ рисков, который позволяет по собранным данным мониторинга выяснить, в какой части сотрудник наносит вред компании.Настройка «Стахановца» занимает немного времени и не требует определенных знаний и навыков. При этом грамотная настройка в дальнейшем существенно упростит жизнь. Руководство сможет следить практически за всеми действиями сотрудников, начиная от включения компьютера и заканчивая их местоположением в случае выезда.Еще одним немаловажным фактором является наличие на сайте производителя «Стахановца» онлайн-демоверсии. Единственное, для ознакомления с основными функциями доступен только режим «БОСС-Оффлайн». Режим «БОСС-Онлайн» пока недоступен.Достоинства: Большое количество отчетов о действиях персонала (порядка 30 видов).Гибкие настройки отчетов по данным мониторинга.Доступ к наблюдению из любого места, в том числе и через смартфон или планшет.Анализ рисков действий сотрудников, который позволяет увидеть, приносит ли сотрудник пользу компании или же наоборот наносит ей вред.Отслеживание выездного персонала с использованием GPS-трекинга.Наблюдение за сотрудниками в режиме реального времени (аудио- и видеомониторинг).Запись видео рабочего стола, перехват изображения с веб-камеры и звука с микрофона, снимки экранов в офлайн-режиме.Преобразование голосовых переговоров в текст.Возможность поиска по алгоритму неточного сравнения слов (с учетом опечаток и особенностей языка).Возможность перехвата сообщений в мессенджерах Skype, ICQ, Lync, Viber, QIP, Miranda, MailRu-агент.Распознавание клавиатурного почерка: выявление сотрудников в состоянии алкогольного, наркотического опьянения или стресса.Выявление передачи конфиденциальной информации по цифровым отпечаткам.Небольшие системные требования, которые не требуют закупки специализированного оборудования.Интеграция с Active Directory.Контроль и блокировка USB-устройств.Оповещение о вредоносной активности персонала.Недостатки:Поддержка только операционных систем на базе Windows.Использование мобильных устройств только с поддержкой Android.Поддержка баз данных только MS SQL Server, My SQL.Установку и настройку может выполнить только опытный системный администратор.

Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение в версии 14.1—  улучшение интеграции Endpoint Detection and Response с модулем анализа и поиска угроз Advanced Threat Protection, который также был обновлен до версии 3.0. В статье рассмотрим подробнее эту технологию.    ВведениеСистемные требованияВозможности Symantec Endpoint Detection and Response и Symantec Advanced Threat ProtectionКак работает Symantec Endpoint Detection and ResponseВыводы ВведениеКомпания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Весной этого года мы публиковали подробный обзор четырнадцатой версии продукта. Основное изменение в версии 14.1 — новая версия Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint) версии 3.0. Endpoint Detection and Response не является самостоятельным продуктом, это сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищенности сети. EDR собирает данные по различным параметрам — информацию о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и другие данные. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты.ATP:Endpoint — это виртуальный или физический аплайнс, работающий внутри периметра компании, который получает информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. Он выявляет угрозы и приоритизирует инциденты путем анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы в один клик. ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в песочнице. В качестве песочницы может быть использован облачный сервис Cynic, который входит в ATP, или локальная песочница Symantec Content Analysis System версии 2.2 и выше с опцией Malware Analysis, которая лицензируется отдельно от ATP.Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединен вместе c ATP:Endpoint в одном аплайнсе. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путем совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях. Системные требованияДля работы модуля Endpoint Detection and Response необходимо наличие установленного продукта Symantec Endpoint Protection версии 12.1 и старше, максимальная функциональность (EDR 2.0) поддерживается только в версии 14.1. Системные требования к Symantec Endpoint Protection мы подробно описывали в прошлом обзоре. Поддерживается работа на всех операционных системах, где доступен Symantec Endpoint Protection — MS Windows, macOS и Linux, однако максимальная функциональность доступна только на агентах MS Windows.Для работы EDR необходимо наличие развернутого продукта Symantec Advanced Threat Protection, который поставляется в виде аппаратного или виртуального аплайнса. Существует два варианта аппаратных платформ, но полнофункциональная работа с EDR 2.0 поддерживается только в модели 8880-30, виртуальный аплайнс работает с EDR без ограничений.Минимальные требования к виртуальной инфраструктуре для развертывания Symantec Advanced Threat Protection:Система виртуализации VMware ESXiКоличество процессоров — 12Оперативная память — 48 ГбОбъем жесткого диска — 1 ТбКоличество сетевых интерфейсов 1 Гб/сек — 2 Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat ProtectionВ основе алгоритмов работы ATP — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:Исследование активности в системеEDR передает в ATP данные о событиях в системе, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создается база данных, по которой можно проводить расследования инцидентов. При корреляции определенных событий создается инцидент, причем все инциденты приоритизируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.ПесочницаATP использует песочницу (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непоследственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в песочницу. При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в песочницу. В случае «детонации» файла в песочнице файл может быть сразу же заблокирован на всех рабочих местах в сети.Использование глобальной сети GINСистемы ATP, установленные у разных заказчиков, активно взаимодействует с глобальной сетью GIN и производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec. Рисунок 1. Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response  Оперативная реакцияВ случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. С помощью централизованной консоли управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, и команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.Корреляция событий между различными продуктами SymantecВ контур мониторинга ATP помимо конечных точек с EDR входят все продукты Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, и систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.Интеграция с другими средствами защитыВ продукте Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-системами Splunk и QRadar, а также с системой обслуживания инфраструктуры ServiceNow. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с продуктами Symantec. Как работает Symantec Endpoint Detection and ResponseУправление Endpoint Detection and Response осуществляется из единой консоли Advanced Threat Protection вместе с другими модулями системы. На главном экране ATP представлен дашборд по всей системе защиты с графиком возникновения событий, статистикой и информацией о количестве угроз. Рисунок 2. Главный экран управления Symantec Advanced Threat Protection и Endpoint Detection and Response  В боковом меню представлены основные разделы — поиск, главный экран, инциденты, события, отчеты, настройки и т. д. При переходе в раздел инцидентов отображается график возникновения проблем по времени и перечень последних обнаруженных проблем. Для реагирования на инциденты нужно выбрать одно из событий в списке и перейти к его просмотру. Рисунок 3. Список последних инцидентов в Symantec Advanced Threat Protection и Endpoint Detection and Response  На экране просмотра инцидента отображается вся информация по событию — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной атаки, дата и время возникновения инцидента и его статус. В отдельном блоке осуществляется визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов.Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения деталей инцидента специалист по безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным событиям. После принятия решения инцидент закрывается и пропадает из общей выдачи экрана с инцидентами. Рисунок 4. Детальная информация по инциденту в Symantec Advanced Threat Protection и Endpoint Detection and Response  Все события могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из песочницы об активности в изолированной среде и информация о действиях в реальных системах. Из интерфейса управления можно выполнить некоторые действия с файлом — собрать его дамп, добавить в список угроз или исключений, запустить в песочнице (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения или удалить его. Рисунок 5. Детальная информация по анализу потенциально вредоносных файлов в Symantec Advanced Threat Protection и Endpoint Detection and Response  В системе управления ATP присутствует глобальный поиск — по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам. С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения безопасности.Для руководителей будет полезна функциональность отчетов — возможность собрать и визуализировать основные метрики по работе системы, реакции специалистов по безопасности и уровню защищенности инфраструктуры. ВыводыКомпания Symantec в очередной раз подтверждает свой статус одного из лидеров на рынке защиты конечных точек. Концентрация на безсигнатурной защите, использовании частного и глобального облаков и объединение всей системы защиты в единый механизм для поиска и устранения угроз в кратчайшие сроки выделяют продукты Symantec на фоне остальных. Новая версия Symantec Endpoint Protection 14 с обновленной функциональностью Endpoint Detection and Response с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты позволяет быстро и эффективно построить комплексную систему защиты конечных точек. 

Безопасность электронного документооборота обеспечивается применением технологий электронной подписи (ЭП) и шифрования данных: ЭП наделяет документ юридической значимостью, а шифрование позволяет передавать по открытым каналам конфиденциальные данные, исключив риски их компрометации. Рассмотрим криптографическую платформу Litoria Crypto Platform разработки компании «Газинформсервис», решающую множество задач, связанных с внедрением и использованием ЭП в организациях. ВведениеУсловия примененияФункциональные возможности3.1. Управление СОС3.2. Создание УЭП3.3. Добавление УЭП3.4. Заверение УЭП3.5. Проверка УЭП3.6. Сервисы ДТС3.7. Шифрование3.8. Расшифровывание3.9. Гарантированное удаление3.10. Реализация сервисов службы штампов времени3.11. Сервис пролонгацииПримеры успешных решений4.1. Интеграция с системой электронного документооборота Directum4.2. Интеграция с решениями Citrix4.3. Интеграция с SharePoint4.4. Интеграция с сервисами службы ДТС4.5. Интеграция с медицинской информационной системой qMSВходные и выходные данныеЧем обусловлена простота интеграцииВыводы ВведениеГод от года число государственных ведомств и коммерческих структур, осуществляющих переход к электронному юридически значимому и конфиденциальному взаимодействию, неуклонно растет. Катализаторами этого процесса являются нормативно-правовые акты, принятые на государственном уровне (ФЗ-263 от 13.07.2015 «Об отмене ограничений на электронный документооборот»; программа «Цифровая экономика Российской Федерации»), а также наличие необходимой технической составляющей. Параллельно с этим нестабильная ситуация на международной арене стала толчком к повсеместному импортозамещению решений иностранного производства и укреплению позиций российских вендоров.В сфере электронного взаимодействия и электронного документооборота мы догнали и даже обогнали Европу, что проявилось в создании технических решений, обеспечивающих корректную работу с ЭП и сертификатами ключей проверки ЭП, сформированных с использованием иностранной и российской криптографий, несмотря на специфичность утвержденных в РФ на государственном уровне криптографических стандартов (создание технических решений, реализующих сервисы Доверенной третьей стороны).Бизнес любых масштабов заинтересован в переходе к электронному юридически значимому и конфиденциальному взаимодействию, поскольку это напрямую связано с ростом производительности предприятия и эффективности труда сотрудников. Одновременно этот путь сопряжен с проблемами материальных и интеллектуальных инвестиций, а также сложностью восприятия нововведений рядовыми пользователями, особенно остро эта проблема встает для сотрудников старшего поколения. При этом внедрение большинства из представленных на рынке средств, реализующих технологии ЭП и шифрования, характеризуются длительным периодом развертывания, тестирования, сложностью управления, высокими затратами на внедрение и последующее обслуживаниеРешениями, на основе которых могут быть реализованы задачи электронного документооборота, являются продукты линейки Litoria.В данной статье будет приведен обзор одного из продуктов линейки — криптографической платформы Litoria Crypto Platform, а также входящего в его состав сервиса, позволяющего выполнить интеграцию платформы быстро и легко.Криптографическая платформа Litoria Crypto Platform вобрала в себя достижения специалистов компании в направлении PKI более чем за 10 лет существования на рынке информационной безопасности. Она соответствует требованиям российского законодательства в части реализации технологий ЭП и шифрования и при этом учитывает лучшие мировые практики (успешно проходит все тесты PKI, разработанные Национальным институтом стандартов и технологий США — NIST).При использовании криптографической платформы Litoria Crypto Platform разработчику доступны следующие возможности:создание, добавление, заверение и проверка ЭП различного типа (простая, усовершенствованная ЭП (УЭП), отделенная);создание и добавление ЭП документа без предоставления данных (подпись хеш-значения документа);шифрование, расшифровывание, гарантированное удаление файлов;работа с ключевой информацией и сертификатами:cоздание ключевой пары и запроса на сертификат;создание ключевой пары и запроса на сертификат, с использованием уже существующего сертификата;установка сертификата в хранилище «Личное» и в контейнер;создание связки «ключ ЭП — ключ проверки ЭП»;создание самоподписанного сертификата;создание пользовательского сертификата;создание атрибутного сертификата;установка сертификата в заданное хранилище;получение сертификата из хранилища;получение информации о сертификате;проверка статуса сертификата по спискам отзыва сертификатов (СОС) и по протоколу Online Certificate Status Protocol (OCSP);управление СОС: создание, импорт, экспорт, удаление, детальный просмотр;применение для работы с ЭП различных криптопровайдеров, как программных (Base CSP, КриптоПро CSP, ViPNet CSP, ВАЛИДАТА CSP, Avest CSP и др.), так и аппаратных (JaCarta, eToken ГОСТ, РУТОКЕН ЭЦП);реализация функций службы актуальных статусов сертификатов согласно RFC2560 Online Certificate Status Protocol (OCSP);реализация функций службы штампов времени согласно RFC3161 Time-Stamp Protocol (TSP);формирование и проверка ЭП электронных сообщений в соответствии с рекомендациями RFC3029 Data Validation and Certification Server Protocol (DVCS);интеграция сервисов пролонгации (для реализации сервисов пролонгации УЭП поддерживается стандарт CAdES-A);интеграция в системы электронного документооборота, включая SharePoint, Citrix, веб-сервер MS IIS (Internet Information Servies);предоставление интерфейсов (Com, Java, C#, SilverLight, ASP.net) для встраивания в различные среды и системы. Условия примененияКриптографическая платформа Litoria Crypto Platform функционирует под управлением следующих операционных систем:MS Windows 2000/XP/2003/Vista/2008/7/2008R2/8/2012/8.1/2012R2/10/ 2016 (32- и 64-bit);Linux, удовлетворяющие стандарту LSB 4.x/3.х;Mac OS Х (x64);iOS версии 4.2 и выше.Для работы платформы требуется установка следующего программного обеспечения:Криптопровайдера, реализованного в соответствии с технологией Microsoft CSP, или драйверов к используемому аппаратному криптопровайдеру.Драйверов к электронному идентификатору, использующемуся для хранения сертификатов. Функциональные возможностиУправление СОСКриптографической платформа Litoria Crypto Platform предоставляет интерфейс создания СОС для приложений с функциями удостоверяющего центра. Для пользовательских приложений платформа предоставляет функции импорта, экспорта, удаления и просмотра СОС.Создание УЭПУЭП представляет собой структурированную запись в формате ASN.1 (X.209: Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1)). В УЭП включаются следующие элементы:подписываемый ЭД;подписываемые атрибуты (хеш-код сообщения, хеш-коды отдельных полей сертификата, тип документа и др.);ЭП документа;штамп времени, полученный на данные, указанные выше;ссылки на сертификаты и OCSP-ответ;штамп времени, полученный на данные, указанные выше;сертификат пользователя и данные по СОС.Таким образом, УЭП содержит в себе не только доказательства подлинности ЭП в электронном документе (неотказуемость, целостность), но и подтверждение момента формирования ЭП, а также действительности сертификата ключа проверки ЭП на момент ее формирования. Рисунок 1. Схема создания УЭП Добавление УЭПЕсли в подписании документа участвует несколько лиц и каждый должен поставить в нем свою ЭП (например, в листе согласования), используется операция добавления УЭП. В отличие от операции создания, добавление ЭП производится в уже подписанный ранее документ.Криптографическая платформа Litoria Crypto Platform предоставляет возможность добавления ЭП, созданной на криптографическом алгоритме, отличном от ГОСТ, например, RSA или AES. Основной областью применения такой ЭП является система доверенной третьей стороны (юридически значимый документооборот между различными странами или регионами, в которых используются национальные криптографические стандарты).Заверение УЭППомимо операций создания и добавления УЭП, криптографическая платформа Litoria Crypto Platform предоставляет возможность создания заверяющей ЭП. Под заверяющей УЭП понимается ЭП, утверждающая ЭП другого пользователя, содержащаяся в документе (например, ЭП директора организации на финансовом документе никогда не появится раньше ЭП главного бухгалтера, так же как одна лишь ЭП главного бухгалтера без ЭП директора не будет иметь юридической ценности).Проверка УЭППроверка УЭП подразумевает подтверждение подлинности УЭП в электронном документе, то есть:подтверждение принадлежности ЭП в электронном документе владельцу сертификата ключа проверки ЭП;подтверждение отсутствия искажений в подписанном документе;подтверждение момента формирования ЭП;подтверждение действительности сертификата ключа проверки ЭП на момент формирования ЭП. Рисунок 2. Схема проверки УЭП Сервисы ДТСКриптографическая платформа Litoria Crypto Platform предоставляет следующие сервисы (при взаимодействии со службой ДТС):1) создание и отправка 4 типов DVCS-запросов:подтверждение ЭП электронного документа (Validation of Digitally Signed Document — VSD);подтверждение действительности сертификата ключа проверки ЭП (Validation of Public Key Certificates — VPKC);удостоверение обладания информацией в указанный момент времени с предоставлением ее сервису (Certification of Possession of Data — CPD);удостоверение обладания информацией без предоставления ее сервису (по хеш) (Certification of Claim of Possession of Data — CCPD);2) анализ результатов выполненных запросов (DVC-квитанции) и вывод этой информации.ШифрованиеШифрование производится на ключе проверки ЭП, содержащемся в сертификате получателя зашифрованных данных. Ключ ЭП есть только у владельца использованного сертификата ключа проверки ЭП, и только он может получить доступ к зашифрованным данным. Платформа способна выполнять шифрование сразу для нескольких получателей. Для каждого сертификата получателя отправитель может просмотреть его статус и сделать вывод о пригодности данного сертификата к шифрованию.РасшифровываниеРасшифровывание данных пройдет успешно при наличии ключа ЭП, связанного с одним из ключей проверки ЭП, на которых производилось шифрование. Если пользователь располагает несколькими ключами ЭП, которым соответствуют несколько ключей проверки ЭП, участвующих при шифровании, то расшифровывание будет выполнено на первом из ключей ЭП. После расшифровывания пользователь может получить информацию о том, на каком сертификате была произведена операция расшифровывания.Гарантированное удалениеУдаление файлов происходит трехкратным затиранием содержимого по специальному алгоритму, исключающему считывание остаточной информации на диске после удаления.Реализация сервисов службы штампов времениКриптографическая платформа Litoria Crypto Platform предоставляет функции как для создания запроса в службу штампов времени, так и для создания программного обеспечения, которое осуществляет функции сервисов службы штампов времени.Сервис пролонгацииДля реализации сервисов пролонгации УЭП платформа Litoria Crypto Platform поддерживает стандарт CAdES-A. Примеры успешных решенийСилами специалистов ООО «Газинформсервис», а также собственными силами заказчиков компании реализован не один успешный проект по интеграции криптографической платформы Litoria Crypto Platform, среди которых можно выделить встраивание в следующие системы:система электронного документооборота Directum;решения терминального доступа на основе Citrix;порталы SharePoint;веб-сервера IIS;служба ДТС;медицинская информационная система qMS.Для интеграции в различные среды и системы поддерживаются интерфейсы Com, Java, C#, SilverLight, ASP.net.Интеграция с системой электронного документооборота DirectumПример алгоритма решения задачи встраивания платформы в систему электронного документооборота  (СЭД) изображен на рисунке 3. Рисунок 3. Алгоритм решения задачи встраивания платформы в СЭД  В качестве примера успешно реализованного решения по интеграции криптографической платформы Litoria Crypto Platform с СЭД может послужить информационная система компании «Газинформсервис». Интеграция платформы выполнена с СЭД Directum и успешно эксплуатируется внутри компании.Интеграция с решениями CitrixВесьма интересным является решение по интеграции криптографической платформы Litoria Crypto Platform с решениями терминального доступа на основе Citrix Virtual Channel (CVC). Рисунок 4. Интеграция с Citrix  На схеме синим цветом изображены компоненты, разработанные компанией «Газинформсервис»; фиолетовым — дополнительно устанавливаемые компоненты, которые используются компонентами компании «Газинформсервис»; оранжевым — компоненты, разрабатываемые заказчиком.В данном решении интерфейсный модуль реализован как COM-сервер (на схеме — COM service), который посредством COM-интерфейсов осуществляет связь между Java-апплетом и основными функциями платформы Litoria Crypto Platform и предоставляет доступ к каналу передачи данных (Citrix Virtual Channel).Интеграция с SharePointПрименение платформы Litoria Crypto Platform для защиты электронного документооборота, реализованного на базе Microsoft SharePoint, является еще одним фундаментальным решением компании «Газинформсервис».Общая схема взаимодействия компонентов интеграции библиотеки с порталом Microsoft SharePoint представлена на рисунке 5. Рисунок 5. Интеграция с ShareРoint  В этом решении для серверных операционных систем создан интерфейсный модуль С#, посредством которого осуществляется связь между серверным программным обеспечением и основными функциями платформы. Для пользовательских операционных систем создан интерфейсный модуль Java, с помощью которого пользователь указывает тип и параметры необходимой операции.Интеграция с сервисами службы ДТССлужба ДТС предназначена для проверки математической корректности ЭП, актуального статуса сертификата ключа проверки ЭП, удостоверения обладания пользователем информацией с предоставлением ее сервисам службы ДТС и без такового (по хеш-значению данных) в соответствии с нормами российского и иностранного законодательств. При этом для подключения к уже существующей службе ДТС в ИТ-инфраструктуру заказчика должна быть интегрирована платформа Litoria Crypto Platform, которая будет обеспечивать трансляцию запросов на проверку в ДТС (это может быть встраивание библиотеки в серверное ПО, на базе которого функционируют веб-службы, обеспечивающие возможность работы пользователя через личный кабинет в веб-интерфейсе, или же интеграция в программное обеспечение толстого клиента).Схема взаимодействия Litoria Crypto Platform с сервисами службы ДТС приведена на рисунке 6. Рисунок 6. Схема формирования запроса к сервисам службы ДТС  Для формирования запроса на проверку и приема отчета о проверке на Клиентах Пользователь ДТС1, Пользователь ДТС2 в серверное программное обеспечение, на базе которого функционирует веб-интерфейс личного кабинет пользователя или «толстый» клиент какого-либо программного обеспечения выполняется интеграция криптографической платформы Litoria Crypto Platform. Для серверов службы DVCS ДТС 1…ДТС N платформа поставляется в составе программного комплекса «Службы доверенной третьей стороны «Litoria DVCS».Примером успешного внедрения может послужить ДТС, развернутый в ООО «УЦ ГИС», который обрабатывает запросы, транслируемые платформой Litoria Crypto Platform, от ряда заказчиков.Интеграция с медицинской информационной системой qMSОдним из примеров успешной интеграции криптографической платформы Litoria Crypto Platform в стороннее программное обеспечение силами заказчика является решение, позволяющее обмениваться электронными листами нетрудоспособности между медицинской организацией и Фондом социального страхования Российской Федерации (ФСС России). Медицинская информационная система qMS в этом решении формирует soap-пакеты, а Litoria Crypto Platform — подписанную структуру данных в соответствии с требованиями спецификации ФСС России.Интеграция и тестирование корректности реализуемых функций были выполнены в очень короткий период силами разработчиков qMS, что еще раз подтверждает простоту работ по встраиванию. Входные и выходные данныеВходные данныеКриптографическая платформа Litoria Crypto Platform выполняет функции шифрования/расшифровывания и создания/проверки ЭП файлов следующих типов:файл любого типа *.* (для генерации УЭП);подписанные ЭП файлы, в которых ЭП совмещена с исходным файлом;подписанные ЭП файлы, в которых ЭП отделена от исходного файла;файл сертификата.Выходные данныеНа выходе криптографическая платформа Litoria Crypto Platform может формировать следующую информацию:байтовый массив данных (обработанный оригинал файла с ЭП);байтовый массив данных (файлы отделенных ЭП);сертификаты (из ЭП);четыре статуса проверок достоверности подписи (ЭП на документ, ЭП на штампе времени, ЭП на OCSP ответе, ЭП на «закрывающем» штампе);дату и время из штампа времени;сообщение об ошибке (при наличии). Чем обусловлена простота интеграцииВ составе Litoria Crypto Platform имеется специализированный сервис, основная функция которого — предоставление пользователю доступа к базовым функциям криптографической платформы Litoria Crypto Platform через REST-интерфейс.Этот сервис позволяет:обращаться к сертификатам ключей проверки ЭП в хранилище сертификатов;выполнять подписание данных с использованием сертификата ключа проверки ЭП;проверять ЭП;шифровать/расшифровывать данные;отправлять DVCS-запросы (vsd, vpkc).После развертывания сервиса запускается локальная веб-служба, принимающая REST-запросы. Для выполнения функций приложения можно использовать любой REST-клиент, например Advanced REST client для Google Chrome (Рисунки 7, 8, 9). Рисунок 7. Интерфейс Advanced REST-client  Рисунок 8. Получение сертификата ключа проверки ЭП из хранилища с использованием Advanced REST-client  Рисунок 9. Создание ЭП с использованием Advanced REST-client  ВыводыКомпания «Газинформсервис» — разработчик криптографической платформы Litoria Crypto Platform — работает более 13 лет на рынке информационной безопасности в качестве интегратора и вендора, продукты компании зарекомендовали себя у крупных заказчиков, имеют десятки тысяч инсталляций. Следует отметить, что продукты собственной разработки компания внедряет самостоятельно силами специалистов департамента внедрения и пуско-наладочных работ, а также через различных интеграторов России и близлежащих стран.Рассмотренная в обзоре криптографическая платформа Litoria Crypto Platform имеет множество интерфейсов (в том числе REST-интерфейс) для встраивания и может быть легко интегрирована в любую информационную систему, систему электронного документооборота, программное обеспечение, на серверы.Внедрение Litoria Crypto Platform позволяет достичь следующих производственно-экономических показателей:повысить оперативность процессов согласования и утверждения документов внутри компании, а также с партнерами и контрагентами (российскими и иностранными);сократить материальные затраты на услуги третьих лиц по пересылке документов, содержащих конфиденциальные сведения, а также исключить риски их хищения злоумышленниками;сократить текущие затраты на расходные материалы (бумага, краска для принтера) и на аренду помещений за счет исключения площадей, отводимых под громоздкие бумажные архивы;сократить трудозатраты и повысить оперативность поиска необходимого документа, за счет создания электронного хранилища на рабочем месте пользователя и исключения складирование бумаги;снизить вероятность компрометации ключа ЭП при генерации его в УЦ, поскольку платформа позволяет это выполнить непосредственно на рабочем месте пользователя.Достоинства:Весь спектр функциональных возможностей PKI.Работа с иностранной ЭП и сертификатами (в соответствии с RFC3029).Может быть использована в качестве базы для создания системы длительного архивного хранения документов при поддержании свойств их юридической значимости, а также автоматизации процессов проверки электронных документов при значительных потоках входящих данных.Мультиплатформенность.Простота интеграции.Соответствие требованиям законодательства РФ и лучшим международным практикам.Недостатки: Необходимость оценивания корректности встраивания платформы в информационные системы, СЭД, программное обеспечение.

В этом обзоре мы расскажем о продукте Vembu BDR Suite от индийской компании Vembu Technologies — это решение для резервного копирования и восстановления данных на физических серверах и в виртуальной среде любого масштаба и уровня сложности, поддерживающее платформы VMware vSphere и Microsoft Hyper-V.     ВведениеАрхитектура решения и состав компонентовФункциональные возможности Vembu BDR SuiteСистемные требования и поддерживаемые технологииРабота с продуктомВыводы ВведениеРабота с любыми данными всегда связана с потенциальной возможностью их потери. Данные могут быть потеряны в результате различных факторов: человеческих ошибок (как пользователей, так администраторов сети), физической кражи, в результате деструктивных действий вредоносных программ, поломки устройств хранения данных.Для защиты от потери информации используются системы резервного копирования и восстановления данных. Как правило, это программный или программно-аппаратный комплекс для создания копий данных с определенной периодичностью для их последующего восстановления. Использование средств резервного копирования в виртуальных инфраструктурах позволяет защитить данные от потери или искажения в случае выхода из строя оборудования, возникновения сбоев в программном обеспечении или же человеческих ошибок (пользователей и администраторов инфраструктуры).  В данном обзоре речь пойдет о системе резервного копирования и восстановления данных Vembu BDR Suite от индийской компании Vembu Technologies. Архитектура решения и состав компонентовРешение для резервного копирования Vembu BDR Suite является модульным и включает следующие основные компоненты:Vembu VMBackup,Vembu ImageBackup,Vembu NetworkBackup,Vembu OffsiteDR.Архитектура решения Vembu BDR Suite приведена на рисунке 1: Рисунок 1. Архитектура Vembu BDR Suite Vembu VMBackupКомпонент Vembu VMBackup предназначен для резервного копирования и аварийного восстановления Центров обработки данных. Поддерживает технологии виртуализации VMware vSphere and Microsoft Hyper-V. Vembu VMBackup обеспечивает резервное копирование и восстановление виртуальных машин VMware без использования агентов.Vembu ImageBackupVembu ImageBackup создает образы дисков серверов и рабочих мест операционных систем семейства Windows.Vembu NetworkBackupVembu NetworkBackup — решение для резервного копирования, для организаций малого и среднего бизнеса, которые хотели бы гибридное решение для резервного копирования (с использованием облака). Vembu NetworkBackup предназначен для компьютеров и ноутбуков, файловых серверов, приложений, в том числе Microsoft Exchange, SQL Server, сервер SharePoint, и Outlook и др.Vembu OffsiteDRVembu OffsiteDR позволяет осуществлять резервное копирование на другую площадку. Пользователи могут мгновенно передавать данные с резервного сервера на свой собственный сервер OffsiteDR. Прямая передача данных обеспечивает мгновенное обновление данных на OffsiteDR сервере. Сервер резервного копирования может быть перестроен с нуля с помощью данных от OffsiteDR сервера. Локальный сервер перестраивается в течение нескольких минут. Данные реплицируются на OffsiteDR-сервер в зашифрованном виде с использованием AES 256. Функциональные возможности Vembu BDR SuiteК основным функциональным возможностям Vembu BDR Suite относятся:Резервное копированиеРезервное копирование и восстановление данных физических рабочих мест и серверов, а также виртуальных сред VMware vSphere и Microsoft Hyper-V.Инкрементальное копирование каждые 15 минут.Резервное копирование на другую площадку (OffsiteDR) и в облако (CloudDR).Восстановление данныхМгновенное восстановление ВМ из резервной копии с возможностью запустить их на другом гипервизоре (например: vSphere, Hyper-V, KVM).Монтирование дисков из резервной копии ВМ к рабочей станции через Vembu virtual drive.Выгрузка дисков из резервной копии ВМ в различных форматах: vmdk, vhd, vhdx и img.Восстановление отдельных элементов Active Directory, SharePoint, SQL, Exchange через Vembu Universal Explorer.Восстановление отдельных файлов не только из бэкапа, но и из реплики.Проверка резервной копии ВМ, с запуском их из бэкапа и отправкой скриншота рабочего стола по почте администратору.Дополнительные возможности:Шифрование резервных копий паролем.Поддержка storage pool для гибкого управления и масштабирования репозиториями.Ручная проверка резервных копий с помощью изолированной виртуальной лаборатории.LAN-Free с помощью режимов передачи данных SAN/HotAdd. Системные требования и поддерживаемые технологииДля небольших компаний достаточно одного сервера Vembu BDR, который может осуществлять все операции, связанные с резервным копированием. В более сложных инфраструктурах Vembu BDR можно расширить, развернув прокси-серверы резервного копирования для распределения нагрузки резервного копирования. Кроме того, клиенты могут использовать облачные вычисления для резервного копирования Vembu Cloud или Amazon Web Services.Минимальные системные требования для основных компонентов При развертывании Vembu BDR Backup необходимо учитывать следующие основные требования к аппаратному и программному обеспечению его компонентов: Таблица 1. Системные требования Vembu BDR BackupBDR Backup Server ОСMicrosoft Windows Server 2012 R2Microsoft Windows Server 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2016Linux Ubuntu LTS 12.04Linux Ubuntu LTS 14.04Linux Ubuntu LTS 16.04Instant Boot InfrastructureVMware vSphereMicrosoft Hyper-VKVM HypervisorОЗУ8 ГбПроцессорQuad Core Xenon ProcessorХранилище мета-данных10% of the planned total backup data sizeСеть1 Gbps и большеБраузерIE v11Firefox v28 и вышеChrome v34 и вышеImageBackup Client ОСWindows XP SP2 & above 64 bitWindows Server 2003 SP2 & aboveWindows 7 & VistaWindows 8, 8.1 & 10Windows Server 2008 SP2 & aboveWindows Server 2008 R2Windows Server 2012 & 2012 R2Windows Server 2016SBS 2003, 2008 & 2011ОЗУ2 ГбПроцессорDual Core ProcessorБраузерIE v11Firefox v28 и вышеChrome v34 и выше Поддерживаемые Vembu BDR Suite технологии:Поддерживаемые решения VMware:vSphere: 6.x, 5.x, 4.xvCenter: 6.x, 5.x, 4.xESXi: 6.x, 5.x, 4.xподдержка vSphere 6.5 VVoLs и VSANПоддерживаемые решения Hyper-V:Microsoft Windows Server Hyper-V 2016Windows Server Hyper-V 2012 R2Windows Server Hyper-V 2012Windows Server Hyper-V 2008 R2Операционные системы, поддерживаемые Vembu BDR Backup Server/Offsite BDR Server:Microsoft Windows Server 2016Windows Server 2012/R2Windows Server 2008 R2Ubuntu 16.04 LTS/14.04 LTS/12.04 LTSОперационные системы, поддерживаемые Vembu VMBackup Client;Windows Server 2016Windows Server 2012/R2Windows Server 2008 (x64)/R2Windows 7 (x64)Windows Server 2003 SP2 (x64)Поддерживаемые хранилища:Локальные накопителиNAS Share (NFS иCiFS)SAN (iSCSI и FC) Работа с продуктомУправление Vembu BDR Suite осуществляется через центральную консоль, доступ к которой осуществляется через веб-браузер. Рисунок 2. Вход в веб-консоль Vembu BDR Suite При входе в систему пользователь видит рабочую область, на которой отображаются основные элементы управления. Рисунок 3. Основное меню Vembu BDR Suite Меню Vembu BDR включает разделы:Dashboard — для визуализации процессов резервного копирования.Backup — добавление хостов для резервного копирования, а также заданий.VM Replication — управление репликами ВМ vSphere.Recovery — управление восстановлением данных.Reports — отчеты о резервном копировании.Managements — управление сервером, хранилищами, списками резервируемых хостов.Прежде чем приступать к задачам резервного копирования, необходимо добавить сервера или автоматизированные рабочие места в систему Vembu BDR. Рисунок 4. Добавление хоста в список машин для резервного копирования Vembu BDR Suite При добавлении Vembu BDRустанавливает агент резервного копирования на хост. Рисунок 5. Список добавленных хостов в Vembu BDR Suite Для создания резервной копии необходимо в списке выбрать требуемую машину (хост) и нажать кнопку Backup.На первом этапе создания резервной копии выбираются разделы, подлежащие бэкапу. Рисунок 6. Выбор раздела хоста для создания резервной копии в Vembu BDR Suite На этапе Guest Processing осуществляется выбор дополнительных опций резервного копирования. Рисунок 7. Выбор дополнительных опций резервного копирования в Vembu BDR Suite На этапе Schedule осуществляется выбор расписания резервного копирования. Рисунок 8. Выбор расписания резервного копирования в Vembu BDR Suite В разделе Settings можно задать дополнительные параметры политик и настроек хранилища. Рисунок 9. Дополнительные параметры политик и настроек хранилища в разделе Settings Vembu BDR Suite В разделе Review необходимо задать имя задачи резервного копирования, а также ознакомиться с заданными параметрами резервного копирования. Рисунок 10. Дополнительные параметры политик и настроек хранилища в разделе Settings Vembu BDR Suite После осуществляется запуск процесса резервного копирования. Процесс и статус резервного копирования можно посмотреть в List of Backup Job. Рисунок 11. Процесс и статус резервного копирования в List of Backup Job в Vembu BDR Suite На этом мы заканчиваем обзор Vembu BDR Suite и переходим к выводам. ВыводыVembu BDR Suite — это комплексное универсальное решение для резервного копирования и восстановления данных в различных ИТ-средах.Одним из ключевых преимуществ решения Vembu BDR Backup является его модульная архитектура. Модульность позволяет клиентам внедрять только те продукты, в которых есть потребность. Таким образом, Vembu BDR Backup подходит как для компаний сегмента SMB, так и для крупных дата-центров и поставщиков облачных услуг резервного копирования (BDRaaS).Также к сильным сторонам продукта относятся: широкий спектр поддерживаемых целевых систем  — в Vembu BDR Backup есть не только резервное копирование виртуальных сред и резервирование физических серверов и рабочих станций Windows, но также интеграция с бэкапом в облако и резервное копирование SaaS (MSOffice 365/GoogleApps). Кроме того, Vembu BDR Backup предоставляет гибкие варианты развертывания: локальное, облачное или гибридное. Консоль централизованного управления также упрощает мониторинг и управление крупными инфраструктурами резервного копирования.К явным недостаткам можно отнести отсутствие продукта на российском рынке, и, следовательно, отсутствие сертификатов соответствия требованиям безопасности ФСТЭК России, что является препятствием использования продукта в организациях государственного сектора, а также во многих частных компаниях. Еще одним недостатком является отсутствие русифицированного интерфейса, что может затруднить работу с системой, если пользователи плохо владеют иностранными языками.Преимущества:Мгновенное восстановление виртуальных машин при помощи технологии, которое занимает около 15 минут.Резервное копирование на другую площадку (OffsiteDR) и в облако (CloudDR).Выгрузка дисков из резервной копии ВМ в различных форматах.В личном кабинете на портале Vembu можно управлять компонентами (регистрировать сервера резервного копирования), управлять лицензиями, покупать дополнительные модули.Недостатки:Отсутствие ресейлеров в России.Техническая поддержка, GUI и документация на английском языке.Отсутствие поддержки гипервизора Xen.Отсутствие возможности автоматического тестирования резервных копий.

В обзоре рассмотрено СЗИ ВИ Dallas Lock (разработчик — компания «Конфидент») — освещены основные этапы работы с продуктом, варианты его использования в среде VMware для различных классов (уровней) защищенности за счет настройки правил фильтрации трафика, идентификации и аутентификации пользователей, контроля целостности и возможности аудита и регистрации событий, а также соответствие требованиям ФСТЭК России. ВведениеАрхитектура и системные требования СЗИ ВИ Dallas LockФункциональные возможности СЗИ ВИ Dallas LockРазвертывание и настройка СЗИ ВИ Dallas Lock4.1. Установка СБ ВИ Dallas Lock4.2. Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализации4.3. Установка агента СЗИ ВИ Dallas Lock4.4. Добавление серверов виртуализации4.5. Синхронизация настроек объектов виртуальной инфраструктуры4.6. Настройка уведомлений администратора об несанкционированных действияхРабота с СЗИ ВИ Dallas Lock5.1. Управление учетными записями в СЗИ ВИ Dallas Lock5.2. Управление доступом к объектам виртуальной инфраструктуры5.3. Контроль целостности5.4. Аудит событий виртуальной инфраструктурыВыводы ВведениеСокращая расходы на аппаратные средства, все чаще компании настраивают в своих дата-центрах виртуальную инфраструктуру. Используя одну производительную платформу, можно поддерживать несколько виртуальных машин с различными сервисами, обеспечив их отказоустойчивость и балансировку нагрузки. При этом значительно сокращается количество сотрудников, администрирующих большой пул физических серверов. Используя такое решение, руководству компании следует задуматься о защите своей виртуальной среды.Для организаций, которые планируют использовать виртуальные серверы для обработки конфиденциальной информации, в том числе персональных данных, на российском рынке информационной безопасности появился новый продукт — система защиты информации в виртуальных инфраструктурах (СЗИ ВИ) Dallas Lock от компании «Конфидент». Разработчик позиционирует свое решение как систему для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere 5.5.СЗИ ВИ Dallas Lock прошло сертификационные испытания на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ (сертификат соответствия ФСТЭК России № 3837 от 18.12.2017 г.). В соответствии с Приказом ФСТЭК России №17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и с Приказом ФСТЭК России №21 от 02 июня 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» СЗИ ВИ Dallas Lock можно использовать для создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно, для обеспечения 1 уровня защищенности персональных данных, в государственных информационных системах (ГИС) 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до 1 класса защищенности включительно.СЗИ ВИ Dallas Lock реализует следующие защитные меры: идентификация и аутентификация субъектов и объектов доступа, управление доступом к объектам виртуальной инфраструктуры, регистрация событий безопасности, обеспечение доверенной загрузки серверов виртуализации, контроль целостности инфраструктуры виртуализации, резервирование данных, а также сегментирование виртуальной инфраструктуры. Архитектура и системные требования СЗИ ВИ Dallas LockВ архитектуре СЗИ ВИ Dallas Lock присутствуют три основных модуля, и в зависимости от компонента меняются требования к программно-техническому обеспечению:Клиентская часть СЗИ Dallas Lock 8.0.Обязательным условием во время развертывания инфраструктуры СЗИ ВИ Dallas Lock является установка клиентской части СЗИ Dallas Lock 8.0 на сервер виртуализации и сервер с установленным компонентом СБ ВИ Dallas Lock для предотвращения несанкционированного удаленного доступа к VMware vCenter.Техническое средство с установленным VMware vCenter Server 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:ОС: Microsoft Windows Server 2008 R2 64-bit (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008) или Microsoft Windows Server 2012 64-bit (Foundation, Essentials, Standard, Datacenter);процессор: Intel или AMD с двумя логическими ядрами по 2 ГГц каждое;оперативная память: минимум 12 Гб;свободное место на диске: минимум 60 Гб;сетевая карта.Клиентский модуль поддерживает большой список популярных операционных систем:Windows XP (SP3) (Professional, Home, Starter);Windows Server 2003 (SP2) (Web, Standard, Enterprise, Datacenter);Windows Server 2003 R2 (SP2) (Web, Standard, Enterprise, Datacenter);Windows Vista (SP2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter);Windows Server 2008 (SP2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008);Windows 7 (SP1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter);Windows Server 2008 R2 (SP1) (Foundation, Standard, Web, Enterprise, Datacenter);Windows 8 (Core, Pro, Enterprise);Windows Server 2012 (Foundation, Essentials, Standard, Datacenter);Windows 8.1 (Core, Pro, Enterprise);Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter);Windows 10 (Enterprise, Education, Pro, Home).Сервер безопасности виртуальной инфраструктуры (СБ ВИ) Dallas Lock, Консоль сервера безопасности (КСБ).Данный модуль осуществляет управление сервером vCenter и доверенными клиентами управления vCenter.Минимальная и оптимальная конфигурация компьютера для СБ ВИ Dallas Lock определяется требованиями к версии операционной системы Windows, на которую установлена клиентская часть СЗИ Dallas Lock 8.0, на сервере необходимо наличие сетевой карты и USB-порта для использования аппаратного идентификатора (RuToken, eToken), содержащего лицензионный ключ.Агент СЗИ ВИ Dallas Lock.Устанавливается на гипервизор VMware ESXi и является необходимым компонентом для защиты информации в виртуальной инфраструктуре. Агент СЗИ ВИ Dallas Lock разворачивается на гипервизоре VMware ESXi для выполнения части функций СЗИ на соответствующем гипервизоре.Техническое средство с установленным гипервизором VMware ESXi 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:процессор: Intel или ADM с двумя логическими ядрами по 2ГГц каждое, только x64;оперативная память: минимум 8 Гб;свободное место на диске: минимум 60 Гб;сетевая карта. Функциональные возможности СЗИ ВИ Dallas LockВ инфраструктуре СЗИ ВИ Dallas Lock, на автоматизированных рабочих местах, где установлена клиентская часть СЗИ Dallas Lock 8.0, возможно применение шаблонов настроек под различные классы защищенности автоматизированных (информационных) систем в соответствии с российскими нормативно-правовыми актами. Администратор также может самостоятельно настроить систему под требуемый класс защищенности, используя следующие сертифицированные механизмы:Управление паролями. Так как использование продукта подразумевает возможность дальнейшей аттестации объекта информатизации по требованиям безопасности, администратор домена безопасности может настроить параметры идентификации и аутентификации пользователей: минимальная длина пароля, необходимость наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и срок его действия. Помимо стандартного входа по паролю пользователям может быть назначен аппаратный идентификатор.Контроль целостности. В СЗИ ВИ Dallas Lock реализована система контроля целостности следующих объектов — системных файлов VMware ESXi и конфигурационных файлов виртуальных машин — на основе расчета контрольной суммы по одному из выбранных алгоритмов: CRC32, MD5, ГОСТ Р 3411-2012.Разграничение доступа. В СЗИ ВИ Dallas Lock можно настроить правила разграничения доступа к компонентам виртуальной инфраструктуры — к серверу виртуализации и СБ ВИ, а также правила разграничения доступа по дискреционному принципу к объектам файловой системы и устройствам в виртуальной среде (виртуализированное оборудование) — на СБ ВИ и на сервере виртуализации. Разграничение доступа к гипервизорам ESXi и к виртуальным машинам (файлам виртуальных машин) реализуется в пределах ролевой модели разграничения доступа vSphere 5.5. Также возможен контроль доступа к операциям создания, запуска, остановки, удаления виртуальных машин.Межсетевой экран. Через интерфейс СЗИ ВИ можно производить настройку правил фильтрации сетевого трафика гипервизора VMware ESXi.Доверенная загрузка. В случае, когда целостность конфигурационных файлов виртуальной машины нарушена, функциональность доверенной загрузки виртуальной машины предотвращает запуск гостевой операционной системы.Регистрация событий. СЗИ ВИ Dallas Lock позволяет регистрировать и просматривать события аудита в трех журналах: журнал сервера безопасности виртуальной инфраструктуры, журнал сервера виртуализации и журнал гипервизора. Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку, экспортирования журналов в различные форматы и выполнение архивации журналов.Сохранение параметров конфигурации. Существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры.Удаленное администрирование. Возможно удаленное (сетевое) администрирование СБ ВИ с помощью консоли сервера безопасности. Развертывание и настройка СЗИ ВИ Dallas LockВендор предлагает следующий порядок развертывания СЗИ ВИ Dallas Lock:Установка клиента СЗИ Dallas Lock 8.0 на сервер, предназначенный для сервера безопасности виртуальной инфраструктуры.Установка СБ ВИ Dallas Lock.Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализации.Ввод сервера виртуализации в СБ ВИ.Установка агента СЗИ ВИ Dallas Lock на защищаемые гипервизоры.Прежде чем приступить к установке модулей, стоит ознакомиться с подробным списком ограничений по эксплуатации продукта. Так, например, администратор информационной безопасности не может назначить следующие роли и права на других пользователей: создание пользователей, ролей, групп и привилегий на сервере виртуализации, администрирование через консоль сервера безопасности. Также стоит обратить внимание, что суперадминистратором автоматически становится пользователь, установивший систему защиты Dallas Lock, и в дальнейшем изменять параметры его учетной записи средствами Windows запрещается.Установка СБ ВИ Dallas LockОсновными требованиями для установки СБ ВИ Dallas Lock является наличие установленного клиента СЗИ Dallas Lock 8.0 на сервере, компьютер не должен быть контроллером домена. Лицензия на сервер безопасности предоставляется на ключе eToken (RuToken), поэтому перед установкой необходимо проверить наличие соответствующих драйверов для USB-ключей.Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализацииВ процессе установки клиентской части СЗИ Dallas Lock 8.0 необходимо будет указать номер лицензии и код технической поддержки (код технической поддержки не является обязательным, но действующий код является условием доступа к сертифицированным обновлениям и условием предоставления технической поддержки).Для установки СЗИ ВИ ввод клиента Dallas Lock в домен безопасности не выполняется, если требуется, то загружается соответствующий файл конфигурации. Рисунок 1. Выбор конфигурации клиента СЗИ ВИ Dallas Lock Основной инструмент администратора безопасности представлен на рис. 2. С помощью консоли сервера безопасности выполняется настройка и конфигурирование виртуальной инфраструктуры, установка агентов СЗИ ВИ Dallas Lock на гипервизоры, добавление серверов виртуализации, синхронизация настроек объектов виртуальной инфраструктуры с внутренней базой данных сервера безопасности, настройка уведомлений администратора об инцидентах безопасности. Рисунок 2. Основной инструмент администратора безопасности — Консоль сервера безопасности СЗИ ВИ Dallas LockУстановка агента СЗИ ВИ Dallas LockЧтобы обеспечить защищенность виртуальной инфраструктуры, на каждый гипервизор требуется установить агент СЗИ ВИ Dallas Lock. В то время как сервер безопасности осуществляет управление сервером vCenter, агент СЗИ ВИ Dallas Lock выполняет функции средства защиты информации на соответствующем VMware ESXi. Важным моментом во время установки агента является сохранение учетных данных администратора гипервизора. Эти действия выполняются через консоль администратора безопасности. Рисунок 3. Сохранение учетных данных гипервизора и установка агента СЗИ ВИ Dallas LockДобавление серверов виртуализацииВвести сервер виртуализации можно через консоль сервера безопасности (КСБ) или из оболочки администратора СЗИ Dallas Lock 8.0.Для ввода сервера виртуализации с помощью КСБ потребуется указать следующие данные:имя в сети или IP-адрес сервера виртуализации;данные учетной записи администратора Dallas Lock 8.0 клиента;учетные данные сервера виртуализации. Рисунок 4. Добавление сервера виртуализации из Консоли администратора безопасности СЗИ ВИ Dallas Lock Для ввода в СБ ВИ из оболочки администратора необходимо выполнить настройку роли компьютера в виртуальной инфраструктуре. Рисунок 5. Ввод в СБ ВИ из оболочки администратораСинхронизация настроек объектов виртуальной инфраструктурыВ процессе синхронизации выполняется сверка соответствия настройки объектов виртуальной инфраструктуры с внутренней базой данных СБ ВИ. Если злоумышленник внес изменения в настройки виртуальной инфраструктуры, во время синхронизации конфигурация вернется в прежнее состояние. При этом не затрачиваются ресурсы на синхронизацию данных, которые не подвергались изменению. Синхронизацию по команде администратора возможно выполнить для определенного сервера виртуализации или для всей виртуальной инфраструктуры, также у администратора есть возможность задать частоту периодической синхронизации и расписание синхронизации.Настройка уведомлений администратора об несанкционированных действияхЕсли была выполнена попытка нелегитимного доступа к объектам виртуальной инфраструктуры, информацию о событии можно найти в журнале сервера безопасности, а на самом сервере будет воспроизведен звуковой сигнал и отображено всплывающее сообщение на панели задач. Параметры настройки уведомлений представлены на рис.6. Рисунок 6. Настройка уведомлений виртуальной инфраструктуры в СЗИ ВИ Dallas Lock Работа с СЗИ ВИ Dallas LockКак было отмечено ранее, решение является системой защиты информации в виртуальной инфраструктуре, сертифицированной на соответствие требованиям руководящих нормативных документов по защите информации. С этой целью администратору безопасности необходимо произвести настройку подсистем управления пользователями, управления доступом к объектам инфраструктуры, контроля целостности и аудита.Управление учетными записями в СЗИ ВИ Dallas LockРедактирование учетных записей, созданных средствами Windows, системой защиты информации от несанкционированного доступа, синхронизированных из Active Directory и созданных на сервере виртуализации, производится в консоли администратора безопасности. Здесь настраиваются такие параметры, как тип учетной записи, число разрешенных сеансов и расписание работы.Средствами СЗИ ВИ Dallas Lock возможно настроить политики входа на vCenter и гипервизор ESXi. Рисунок 7. Изменение парольной политики в Консоли сервера безопасности СЗИ ВИ Dallas LockУправление доступом к объектам виртуальной инфраструктурыПодсистема управления доступом к объектам виртуальной инфраструктуры позволяет гибко и оперативно настроить правила управления сервера виртуализации, управлять ролями и правами пользователей, выполнять настройку фильтрации трафика гипервизора. Рисунок 8. Редактирование правил управления сервера виртуализации в Консоли сервера безопасности СЗИ ВИ Dallas LockКонтроль целостностиКонтроль целостности осуществляется для следующих объектов: системные файлы гипервизора ESXi, конфигурационные файлы ВМ. Настройка параметров контроля целостности выполняется с помощью Консоли сервера безопасности СЗИ ВИ Dallas Lock. Контроль целостности для сервера виртуализации vCenter осуществляется средствами СЗИ Dallas Lock. Рисунок 9. Редактирование правил контроля целостности в Консоли сервера безопасности СЗИ ВИ Dallas LockАудит событий виртуальной инфраструктурыСобытия безопасности регистрируются на всех гипервизорах, на которых установлен агент. В СЗИ ВИ Dallas Lock поддерживается аудит следующих типов событий безопасности:Сведения о действия агента, который управляет функциями безопасности на гипервизоре ESXi.Сведения о действиях агента, который взаимодействует с сервером виртуализации.Сведения о действиях агента, который управляет и конфигурирует гипервизор ESXi и виртуальные машины.События и записи всех введенных команд в ESXi Shell.События, связанные с подключаемыми USB-устройствами к гипервизору.События, связанные с аутентификацией на гипервизоре.Системные события.События, связанные с виртуальными машинами и гипервизорами ESXi.Полученные события группируются в зависимости от типов и отображаются в трех журналах. Рисунок 10. Настройка параметров аудита гипервизоров в Консоли сервера безопасности СЗИ ВИ Dallas Lock ВыводыНа сегодняшний день для обработки информации в государственных информационных системах, информационных системах персональных данных или в автоматизированных системах управления производственными и технологическими процессами организациям требуется выполнять требования регуляторов — Приказы №17, №21 и №31 ФСТЭК России. Помимо уже существующих средств защиты виртуальной инфраструктуры, на отечественном рынке ИБ появился новый продукт — СЗИ ВИ Dallas Lock, который уже сейчас можно смело назвать достойным конкурентом существующих решений для обеспечения 1 уровня защищенности персональных данных, защиты информации в государственных информационных системах 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами до 1 класса защищенности включительно, создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно.Процесс установки прост и интуитивно понятен. Администратору безопасности предоставляется возможность управления паролями, доступом к объектам виртуальной инфраструктуры, настройками брандмауэра, подсистемой контроля целостности.Все продукты вендора совместимы между собой и позволяют выстроить комплексное решение для защиты виртуальной и физической инфраструктуры.Несмотря на то, что в текущей версии поддерживается только ограниченный список гипервизоров, а именно VMware vCenter Server 5.5 и VMware ESXi 5.5, компания «Конфидент» планирует поддержку VMware ESXi версии 6.0, 6.5 и Microsoft Hyper-V в рамках плановых обновлений. Однако разработчики решений в сфере виртуализации не стоят на месте, и некоторые российские компании уже переходят на решение VMware NSX — платформу виртуализации сети для программного центра обработки данных. В отличие от конкурентов, СЗИ ВИ Dallas Lock на текущий момент не поддерживает эту платформу.Достоинства: Наличие сертификата ФСТЭК России на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ.Совместимость со всей продуктовой линейкой Dallas Lock для построения комплексного решения по защите физической и виртуальной инфраструктуры.Возможность управления политиками безопасности нескольких серверов виртуализации из единой консоли.Простота развертывания, настройки и администрирования. Недостатки:Малое количество поддерживаемых гипервизоров на сегодняшний день (VMware vCenter Server 5.5 и VMware ESXi 5.5).Отсутствие поддержки платформы VMware NSX.

Для подготовки обзора мы протестировали сервис по защите сайтов от DDoS-атак StormWall от российской компании ООО «СТОРМ СИСТЕМС» в боевых условиях — подставив под атаки один из наших порталов. StormWall подключается за 10 минут, имеет интуитивно понятный интерфейс, собственные точки присутствия в крупнейших ЦОДах мира, оперативную техподдержку, использует передовые технологии и собственные разработки, позволяющие отражать DDoS-атаки мощностью до 1650 Гбит/с. ВведениеФункциональные возможности StormWallВарианты подключения сервиса StormWallДополнительные опции и расширенияТестирование сервиса StormWall5.1. Работа с личным кабинетом5.2. Техническая поддержкаТестовые DDoS-атаки на сайт6.1. Атака TCP SYN Flood6.2. Атака Distributed HTTP FloodВыводы ВведениеDDoS-атаки сегодня, увы, — такая же обыденность, как и доступ в интернет. При этом в условиях распространения Индустрии 4.0 (термин объединяет инновационные технологии, созданные человечеством за последние годы: интернет вещей, блокчейн, дополненная реальность, 3D-печать, автономные роботы и другие) не столь важно, завязан ли бизнес целиком на продающий сайт, онлайн-сервис или нет. В любом случае обеспечение надежных коммуникаций между распределенными офисами и гарантия бесперебойного доступа сотрудникам к ключевым информационным ресурсам компании являются обязательным условием нормального функционирования бизнеса. Попробуйте представить ситуацию, когда менеджер на важной деловой встрече вдруг не смог «достучаться» до корпоративной CRM-системы и не сделал конкурентное предложение важному клиенту. А невозможность отправить электронное письмо в любое время суток – страшный сон любого делового человека. Сегодня мы воспринимаем «круглосуточный онлайн» как данность, зачастую не просчитывая риски вдруг оказаться без связи в тот момент, когда это крайне важно. Именно поэтому сегодня DDoS-атаки являются серьезным риском и угрозой непрерывности бизнеса, требующей современной и качественной защиты. Кроме того, последние публичные кейсы доказывают, что DDoS-атака зачастую является отвлекающим маневром при проведении сложного целенаправленного вторжения, конечной целью которого становится кража финансовых, учетных или личных данных.Сервис StormWall является одним из лидеров на рынке защиты от DDoS-атак. Штаб-квартира ООО «СТОРМ СИСТЕМС» находится в Москве, но компания имеет точки присутствия в крупнейших ЦОДах не только России (Москва), но и США (Вашингтон), Европы (Франкфурт), что позволяет эффективно обрабатывать трафик ближе к местоположению ресурсов клиента.ООО «СТОРМ СИСТЕМС» является официальным членом организации RIPE, имеет статус локального интернет-регистратора (LIR) и имеет пиринговые соглашения об обмене трафиком с крупными интернет-провайдерами.Существенную часть защитных технологий составляют собственные разработки, что наделяет сервис по защите сайтов от DDoS-атак StormWall весьма интересными функциональными возможностями, о которых поговорим далее. Функциональные возможности StormWallСервис обеспечивает фильтрацию большого числа разновидностей DDoS-атак практически на всех уровнях модели OSI: сетевом, транспортном и сеансовом, а также на уровне приложений.Технические характеристики сервиса StormWall:1650 Гбит/с полосы пропускания без проверки соединения (stateless) — обработка IP-пакетов на уровне ACL/FlowSpec;150 Гбит/с полосы пропускания с проверкой соединения (stateful) — каждое входящее TCP-соединение обрабатывается и анализируется.Cистема фильтрации собственной разработки Triple Filter построена таким образом, что прохождение нелегитимного трафика от злоумышленников до серверов клиента максимально затруднено. Технология борьбы с HTTP-флудом (т. е. непрерывной отсылки HTTP-запросов GET на 80-й порт, что приводит к перегруженности сервера) BanHammer позволяет при атаке автоматически определять ботов и отсеивать их от потока реальных пользователей, не блокируя при этом нормальный режим работы. Рисунок 1. Принцип действия системы «тройной очистки» Весь идущий к серверу клиента трафик подвергается очистке в 3-х местах:На пограничных маршрутизаторахНа более чем сотне пограничных маршрутизаторов, разбросанных по всему миру, отсекается паразитный трафик, генерируемый атаками типа TCP- и UDP-amplification (направлены на переполнение каналов связи путем генерации огромного потока пакетов данных).На аппаратных фильтрахСеть фильтрации, состоящая из нескольких аппаратных решений для обработки пакетов на высокой скорости, блокирует атаки типа UDP- и TCP-флуд (заключается в отправке пакетов большого объема на определенные или случайные номера портов серверов клиента), при этом динамическая балансировка нагрузки на оборудование позволяет максимально эффективно распределять ресурсы очистки.На Stateful-фильтрахТонкая очистка на этом уровне позволяет дополнительно защититься от сложных атак, в том числе атак ботнетов (сетей зараженных пользовательских устройств с запущенными ботами, скрытно установленными на них), путем выполнения проверки трафика на корректность процесса соединения и передачи данных. Варианты подключения сервиса StormWallВоспользоваться сервисом по защите от DDoS-атак StormWall можно согласно одному из трех сценариев.Защита сайтаТакой вариант организации защиты предполагает трансляцию А-записи DNS сайта клиента на выданный StormWall защищенный IP-адрес. При этом проксируются запросы посетителей сайта, а на сервер клиента направляется чистый трафик с сохранением реальных IP-адресов в HTTP-заголовке, что абсолютно прозрачно для веб-приложений. Рисунок 2. Схема потоков трафика при защите сайта Кроме того, при защите сайта есть вариант с переездом сайта на хостинг StormWall либо на VDS/выделенный сервер.Защита IP-адресов (TCP/UDP)Подключение сервиса в таком варианте осуществляется с помощью GRE- или IPIP-туннеля. Необходимо, чтобы оборудование или софт клиента поддерживало протоколы туннелирования GRE/IPIP. В этом случае при запросах к сайту посетители подключаются к защищенному IP (выделяется сервисом StormWall и прописывается на оконечном оборудовании клиента при организации туннеля). Важно отметить, что при такой технологии подключения клиент видит все реальные IP-адреса подключающихся пользователей.Если сервер клиента не поддерживает технологию GRE/IPIP-туннелирования (например, в случае использования сервера на базе Windows), единственным способом остается подключение сервиса StormWall с использованием проксирования. В этом случае фиксировать реальные адреса пользователей не представляется возможным, т. к. все запросы к серверу будут проксироваться через один IP-адрес. Рисунок 3. Схема потоков трафика при защите IP-адресов Защита сети (BGP)Данный тип организации защиты актуален, если у клиента своя собственная AS (автономная система, набор IP-сетей для использования в BGP маршрутизации между провайдерами) или PI (провайдеро-независимый) блок выделенных IP-адресов. Для подключения сервиса StormWall по такому сценарию устанавливается подключение с помощью туннеля GRE/IPIP/MPLS либо физически на одной из площадок (на момент написания обзора доступно физическое подключение в Москве, Франкфурте, Вашингтоне), либо через IX (MSK-IX, Data-IX, DE-CIX, NL-ix). При этом необходимо анонсировать по протоколу BGP нужные IP-префиксы в сторону сервиса, который затем фильтрует весь проходящий трафик и доставляет обратно клиенту очищенный. Важно отметить, что существует возможность управлять транзитом трафика, переводя, например, анонсы на защиту только в случае детектирования атаки, для чего клиенту предоставляется бесплатный DDoS-сенсор. Рисунок 4. Схема потоков трафика при защите сети Дополнительные опции и расширенияПомимо непосредственной защиты сайтов, расположенных на собственной площадке клиента либо на стороннем хостинге, у сервиса StormWall предусмотрен ряд дополнительных опций, некоторые из которых предоставляются бесплатно.Защищенный хостингКомплексный пакет услуг «хостинг + защита от DDoS-атак» можно заказать прямо на портале сервиса StormWall, выбрав необходимые параметры. В этом случае сервис по защите от DDoS-атак будет уже «на борту».CDN-сервис (Content Delivery Network)Для оптимизации скорости загрузки сайтов для посетителей из разных точек планеты клиентам StormWall предлагается подключить опцию CDN с суммарной пропускной способностью 500 Гбит/с и более 40 точек отдачи трафика по всему миру (географически распределенная сетевая инфраструктура, позволяющая оптимизировать доставку и дистрибуцию контента сайта конечным пользователям). Сервис позволяет достичь максимальной скорости загрузки независимо от местонахождения как источника контента, так и его потребителя. Данный сервис реализован совместно с партнером (компания CDNNOW) и может быть заказан в один клик непосредственно в личном кабинете StormWall.WAF (Web Application Firewall) as a ServiceБольшое число современных атак нацелены непосредственно на web-приложения и эксплуатируют уязвимости в них. При заказе сервиса StormWall можно подключить опцию WAF (Web Application Firewall — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня). Реализация указанной функциональности осуществляется на базе партнерского решения — SolidWall WAF от компании Solid Lab, при этом техническая поддержка и консультации по инцидентам входят в стоимость подписки. Тестирование сервиса StormWallДля тестирования функций по защите сайтов от DDoS-атак был выбран один из наших порталов — datacenterexpert.ru. Чтобы начать пользоваться сервисом, необходимо заказать услугу на сайте stormwall.pro, выбрав при этом один из желаемых тарифных планов: Lite, Standard, Business One или Enterprise One. Для большинства средних и крупных сайтов наиболее оптимально подойдет Business One, который мы и заказали. Рисунок 5. Процесс заказа сервиса по защите сайтов  Процесс заказа в прямом смысле укладывается в 3 клика, а возможность выбора удобного расчетного периода (месяц, квартал, полгода, год) позволит гармонизировать планирование расходов на сервис с принятой в компании бюджетной политикой. Сразу же при оформлении можно выбрать количество доменов, выделенных защищенных IP-адресов, максимальную пропускную способность в режиме очистки, а также подключить WAF и CDN. Бросается в глаза частично не переведенный на русский язык интерфейс настройки параметров, что во многом объясняется исторически сложившимися обозначениями технических терминов. Однако разработчики анонсируют максимальную степень русификации уже в ближайших релизах.Работа с личным кабинетомПосле регистрации, подтверждения и оплаты заказа появляется возможность попасть в личный кабинет (он же — панель управления). Рисунок 6. Интерфейс панели управления сервисом Стоит отметить удобный и уже ставший привычным для web-продуктов интерфейс, где можно ознакомиться с текущими параметрами заказанной услуги. Система сразу же предлагает услуги «виртуального помощника-оператора», которому можно задавать совершенно любой вопрос как по настройке сервиса, так и обращаться по возникающим проблемам и срочным инцидентам. Кстати, по фактам обращений по последним двум пунктам автоматически создается тикет в техподдержку, об удобстве и качестве которой мы поговорим отдельно. Постоянно всплывающее окно помощника сначала показалось нам излишне навязчивым, однако в процессе тестирования мы вполне «подружились» с ним. Кроме того, разработчики анонсировали возможность отключения этой функции в следующих версиях сервиса.Визуализированная карта запросов к сайту позволит оценить предпочтения посетителей по географическому признаку, что может оказаться весьма полезным, особенно для интернет-магазинов и поставщиков облачных сервисов. Рисунок 7. Карта топ запросов к сайту за минуту Профиль циркуляции трафика к сайту можно посмотреть на соответствующих графиках, выбрав при необходимости тип контента. Кроме того, доступна ретроспектива за неделю. Рисунок 8. Графики запросов к сайту Из панели управления по принципу «одного окна» (или single sign on) можно перейти к настройкам WAF и CDN, что, несомненно, удобно. Рисунок 9. Интерфейс перехода к панелям управления WAF и CDN Непосредственная тонкая настройка работы сервиса доступна в разделе «Управление фильтром» (HTTP и HTTPS). Важно подчеркнуть, что при конфигурировании настроек обновленные политики применяются сразу же, при этом не происходит обрыва клиентских сессий. Рисунок 10. Панель управления фильтрамиВкладка HomeВкладка Home фильтра HTTP содержит основные настройки, их предназначение интуитивно понятно и сопровождается примерами. Рисунок 11. Вкладка Home фильтра HTTP Из интересного стоит отметить возможность замены стандартной страницы ошибки (параметр StormWall error pages) при недоступности вашего сайта у посетителя на визуализированное представление с указанием проблемной точки, в которой рвется соединение. Рисунок 12. Страница ошибки StormWall error pages Простая на первый взгляд функциональность редиректа (с http на https и обратно, обработка написания сайта с префиксом www или без него, а также перенаправление по иному адресу, например, на время проведения регламентных работ) реализована далеко не на всех хостингах, поэтому возможность его использования в StormWall является несомненным плюсом.Отдельно остановимся на возможности гибкой балансировки нагрузки на сайт и его резервирования. Сервиса позволяет настроить привязку высоконагруженных сайтов к нескольким IP-адресам, чтобы в соответствии с заданным приоритетом балансировать поток посетителей между ними. Кроме того, если по каким-либо причинам основной IP-адрес, к которому привязано DNS-имя сайта, «ляжет», система автоматически перенаправит запросы на указанный резервный IP. Рисунок 13. Настройка балансировки и резервирования IPВкладка ProtectionНа этой вкладке реализована собственная разработка StormWall — настраиваемые режимы работы (параметр Protection mode). Доступны следующие уровни работы фильтра:Always OFF — анализ и фильтрация трафика не производится. Своего рода правило any-to-any.Sensor mode — при отсутствии подозрительной активности запросы анализируются, но не фильтруются, при детектировании атаки фильтр самостоятельно подключает необходимые параметры. После окончания атаки строгость проверки фильтра будет снижена автоматически. Этот режим установлен по умолчанию и подойдет для повседневной работы большинству сайтов, именно его мы и выбрали в качестве основного при тестировании.Always ON (Redirect) — фильтр постоянно активен с минимальным уровнем строгости проверки. При обнаружении подозрительной активности или детектировании атаки уровень защиты автоматически повышается до JS validation.Always ON (JS/JSA validation) — постоянно активен строгий режим проверки, может вызвать проблемы в работе ботов и отдельных категорий пользователей, обращающихся к сайту. Указанный режим блокирует большинство известных атак. В процессе тестирования данного режима нами не было замечено большого количества ложных срабатываний, однако на популярных сайтах с большой посещаемостью эффект может быть непредсказуемый.Always ON (CAPTCHA) — при запросах к сайту осуществляется 100% проверка «на робота» при первичном входе. Данный режим кажется нам избыточным в большинстве случаев, однако может быть полезен при отладках определенных функций на сайте или с целью мгновенного прекращения неконтролируемого всплеска запросов.Остальные настройки на описываемой вкладке позволяют оптимизировать работу фильтров, управляя конкретными типами файлов. В ходе тестирования настройки по умолчанию оказались для нас оптимальными. Рисунок 14. Настройки вкладки Protection HTTP-фильтраВкладка CachingНа этой вкладке настраивается управление кэшем для выбранных типов файлов. Настройки такого рода будут полезны, чтобы минимизировать «хабра-эффект» при одновременном большом количестве однотипных сессий. Мы в процессе тестирования сервиса включили кэширование статических файлов (изображения, файлы шаблонов и стилей). Рисунок 15. Настройки вкладки Caching HTTP-фильтра Оставшиеся вкладки в разделе настроек HTTP-фильтров позволяют вручную прописать black- и white-листы, используя IP-адреса или URL соответствующих сайтов.Настройки фильтра HTTPSПри использовании сайтом SSL- или TLS-шифрования (протокол HTTPS) трафика посетителей необходимо выполнить в данном разделе настройки, аналогичные описанным выше. При этом важно не забыть прописать действующий сертификат SSL сайта (а лучше — всю цепочку, вплоть до корневого удостоверяющего центра), а также приватный ключ.Также стоит заметить, что при включении SSL на стороне защиты StormWall автоматически активируется протокол HTTP2, который позволяет ускорить загрузку сайта. Рисунок 16. Вкладка SSL фильтра HTTPSТехническая поддержкаОтдельного упоминания заслуживает служба технической поддержки сервиса StormWall. Про возможность оперативно задать вопрос с экспресс-чате мы уже писали выше. В ходе тестирования нам было интересно оценить скорость реакции на возникающие вопросы. Время первого ответа живого человека не превысило 1 минуты с момента обращения. Развернутые же пошаговые рекомендации по решению озвученной проблемы мы получили через 10 минут. Все сообщения в чате автоматически транслируются во внутреннюю корпоративную систему коммуникаций StormWall, в принудительном порядке оповещаются руководители технической поддержки. Если озвученная в чате проблема не является срочной или ее решение занимает длительное время, автоматически создается тикет и присваивается номер. Впоследствии можно будет обращаться с указанным номером по любым иным каналам: по электронной почте, с помощью кнопки «создать тикет» или позвонив по круглосуточному номеру телефона. А при выборе тарифа Enterprise клиенту предоставляется выделенный канал Slack, в котором можно напрямую пообщаться с инженерами и Anti-DDoS-экспертами компании, причем круглосуточно. Рисунок 17. Чат технической поддержки Тестовые DDoS-атаки на сайтЧтобы в полной мере оценить возможности сервиса StormWall, мы самостоятельно организовали тестовые атаки разных типов на наш сайт http://www.datacenterexpert.ru/.Атака TCP SYN FloodОдин из самых распространенных типов атаки, поскольку она является крайне действенной. Атака заключается в отправке большого количества SYN-запросов (пакетов по протоколу TCP) в короткий срок. Мы в процессе тестирования сгенерировали флуд мощностью порядка 7 миллионов пакетов в секунду. Рисунок 18. Трафик атаки TCP SYN Flood Вся информация об атаке в режиме реального времени отображается в личном кабинете (начало атаки в 15:11). Напомним, что режим контроля трафика у нас установлен Sensor mode (по умолчанию). Рисунок 19. Информация об атаке в личном кабинете Из записи в личном кабинете видно, что атака началась в 15:11, длилась 4 минуты и завершилась в 15:14, тип вредоносной активности также определен без ошибок. Стоит отметить, что оповещения о начале и завершении атаки нам поступили на электронную почту. Рисунок 20. Письмо с информацией об атаке в электронной почте Чтобы оценить, насколько StormWall реально справляется с атаками и как это сказывается на доступности сайта для посетителей, мы использовали возможности сервиса check-host.net для тестирования факта и времени отклика на различные запросы. Рисунок 21. Доступность сайта в нормальном режиме работы, до атаки (запросы HTTP) — время: 15:05 Рисунок 22. Доступность сайта во время атаки (запросы HTTP) — время: 15:13 Замеры показывают, что степень доступности сайта во время атаки для посетителей практически не изменилась, StormWall успешно отразил попытку положить сайт. Визуально также наблюдается, что сайт нормально открывается в браузере — как до атаки, так и во время нее задержек не замечено.Атака Distributed HTTP FloodПо статистике, 95% всех DDoS-атак на сайты приходится именно на этот тип. Запросы злоумышленника маскируются под легитимные GET-request обычных пользовательских браузеров. С целью усложнить задачу сервису StormWall по борьбе с такого рода атаками нам удалось сгенерировать серию распределенных атак (с 900 IP), создающих суммарную нагрузку на сайт около 1800 HTTP-запросов в секунду. Рисунок 23. Карта распределенных запросов к сайту в момент атаки Рисунок 24. График HTTP-запросов до и во время атаки Из графика запросов в личном кабинете видно, что атака началась в 15:16, длилась около 10 минут и завершилась в 15:26. Стоит отметить, что оповещения о начале и завершении атаки нам также поступили на электронную почту, однако в личном кабинете эта вредоносная активность в историю атак не попала. Рисунок 25. Письмо с информацией об атаке в электронной почте Аналогичные описанным ваше замеры доступности сайта до и во время атаки также подтвердили, что сервис StormWall успешно справился с ней, и все это никак не повлияло на доступность для посетителей. ВыводыDDoS-атаки сегодня являются очень серьезной головной болью практически для любой современной компании. Защита от них — обязательный элемент построения той самой эшелонированной обороны предприятия, состоящей их различных средств противодействия злоумышленникам. Сервис по защите от DDoS-атак StormWall от отечественной компании ООО «СТОРМ СИСТЕМС» зарекомендовал себя как один из признанных лидеров на этом рынке. В процессе тестирования мы убедились на практике в возможностях StormWall по отражению атак, проверив функции защиты сайта, подключив услугу по методу трансляции А-записи DNS сайта. Также немаловажную роль играет преимущество сервиса, связанное с возможностью выбора защищенного хостинга под ключ, опций WAF и CDN.ПреимуществаСервис имеет точки присутствия в крупнейших ЦОДах в разных точках мира.Возможность фильтрации 1650 Гбит/с полосы пропускания без проверки соединения (stateless) и 150 Гбит/с полосы пропускания с проверкой соединения (stateful).Cистема фильтрации собственной разработки.Широкий выбор вариантов подключения сервиса под разные задачи.Наличие дополнительных сервисов: защищенный хостинг, CDN, WAF.Процедура заказ услуги в 3 клика.Оперативная техническая поддержка, собственный чат, график работы 24х7.Ретроспективный анализ трафика, сохранение полной истории атак.Имеется тестовый период с полным спектром функций.НедостаткиНеобходимость предоставлять сервису закрытый ключ в случае подключения защиты к сайту, использующему HTTPS.Тестовый период по умолчанию составляет всего 24 часа.Поддержка русского языка реализована далеко не везде в интерфейсе.База знаний весьма обширна, но также не целиком русифицирована.Число настроек и дополнительных опций на данный момент невелико (например, настройка списков white- и black-листов только вручную).Недостаточная гибкость настройки графиков просмотра трафика (возможность выбрать только час, день и неделю).

В обзоре представлена аппаратно-программная платформа от компании «А-Реал Консалтинг» — ИКС КУБ версии 5.2, которая может одновременно выполнять функции по управлению сетью, пользователями, телефонией и безопасностью за счет модулей межсетевого экрана, почтового антивируса и веб-фильтра, детектора атак, DLP, WAF и возможности управлять цифровыми сертификатами.   ВведениеФункциональные возможности ИКС КУБЛицензирование ИКС КУБСистемные требования ИКС КУБУстановка и настройка ИКС КУБУправление пользователямиУправление защитой в ИКС КУБ7.1. Антивирус7.2. Антиспам7.3. Межсетевой экран7.4. Детектор атак7.5. DLP7.6. Контент-фильтр7.7. Цифровые сертификаты7.8. Web Application FirewallРабота с ИКС КУБ8.1. Управление сетью8.2. Файловый сервер8.3. Почтовый сервер8.4. Jabber-сервер8.5. ТелефонияВыводы  ВведениеДля обеспечения работы сети и управления корпоративной безопасностью, как правило, в организациях используется множество устройств. Чтобы обеспечить многоуровневую защиту, администраторам зачастую приходится работать с большим количеством продуктов от различных вендоров. Так, например, для средней организации в порядке вещей иметь в своей сети отдельные устройства для осуществления межсетевого экранирования, прокси-сервер, почтовый сервер с настроенным почтовым антивирусом и антиспамом, сервер с функциями детектора атак и проверки трафика на возможность утечек конфиденциальной информации. Проблема администрирования и настройки такого количества устройств стояла достаточно остро, в связи с чем на рынке продуктов информационной безопасности появились UTM-системы. В то же время небольшие компании не всегда готовы поддерживать сложную инфраструктуру, и многим достаточно одного устройства, включающего в себя множество возможностей и позволяющего закрывать задачи информационной безопасности.Возможности UTM-систем должны позволять как минимум выполнять стандартные функции межсетевого экранирования, организации удаленного доступа, проверки сетевого трафика и предотвращения сетевых вторжений.На российском рынке представлено не так много отечественных универсальных шлюзов безопасности. Российская компания «А-Реал Консалтинг» активно разрабатывает систему ИКС КУБ, построенную на базе FreeBSD и модулей на базе программного обеспечения с открытым исходным кодом. ИКС КУБ позволяет закрывать широкий круг задач, стоящий как перед администраторами безопасности, так и сетевыми администраторами. Стоит отметить, что ИКС КУБ — это программно-аппаратная платформа, реализованная на базе оборудования отечественной компании Depo. В условиях импортозамещения система ИКС КУБ будет отличным решением для организаций с небольшим количеством сотрудников. Функциональные возможности ИКС КУБ 5.2ИКС КУБ является решением для осуществления комплексной безопасности сетевой инфраструктуры, позволяющим выполнять множество задач безопасности в рамках единой аппаратной платформы:защита сети и отдельных узлов от несанкционированного доступа;защита конфиденциальной информации от утечек;защита почтового сервера от спама и фишинга;защита входящего и исходящего трафика веб-приложений компании;фильтрация контента;обнаружение и предотвращение вторжений;контроль доступа сотрудников в интернет;VPN-шифрование.В то же время ИКС КУБ способен гибко настраивать сеть и управлять работой пользователей в сети, выполнять функции почтового сервера, файлового сервера, сервера веб-приложений и телефонии. Важно понимать, что благодаря ИКС все эти функции могут выполняться не на множестве устройств, а только на одном, позволяющем централизованно управлять каждым компонентом и получать единообразную подробную статистику и отчеты. Лицензирование ИКС КУБ 5.2Ознакомиться с порядком лицензирования ИКС КУБ можно на сайте производителя. При расчете учитываются несколько параметров:Тип лицензии: новая лицензия, расширение существующей лицензии или лицензия на обновление.Модуль антивируса: Dr.Web и/или Kaspersky Anti-Virus (с модулем антиспама или без него).Категории трафика: SkyDNS и/или Kaspersky Web Filtering.В стоимость новой лицензии включена аппаратная часть и лицензия на программу. Системные требования ИКС КУБ 5.2ИКС КУБ 5.2 поставляется в виде готового решения, представленного на аппаратной платформе DEPO Stream 6040CX ICS_CUBE, имеющей в себе процессор Celeron J1900, 8GB оперативной памяти DDR3L и жесткий диск 1T1000G5. Разработчики гарантируют стабильную работу устройства при 200 пользователей в сети.   Установка и настройка ИКС КУБ 5.2Платформа ИКС КУБ версии 5.2 поставляется в виде коробочного решения. Однако опишем вкратце процесс установки программного обеспечения по аналогии с другими редакциями ИКС от компании «А-Реал Консалтинг».Для установки программного обеспечения необходимо подготовить flash-накопитель и записать на него предварительно скачанный с сайта .iso-образ с помощью утилиты для создания загрузочных носителей. После этого нужно установить flash-накопитель в платформу и настроить в BIOS загрузку с внешнего накопителя.Установка ИКС КУБ 5.2Программное обеспечение ИКС КУБ разработано на базе FreeBSD. Поэтому после подключения диска администратору будет выведено на экран сообщение загрузчика, а после — предложение выбрать язык установки (русский или английский). Следующим шагом появится информация о лицензионном соглашении, с которым рекомендуется ознакомиться, принять и продолжить установку. Рисунок 1. После настройки BIOS на загрузку с CD-диска появится сообщение загрузчика Далее потребуется выбрать сетевой интерфейс, к которому в последующем будет подключена внутренняя сеть компании, и с него же будет осуществляться подключение и настройка параметров ИКС КУБ. Рисунок 2. Во время настройки интерфейса необходимо назначить ему IP-адрес из внутренней подсети После настройки сетевых интерфейсов следует указать жесткий диск для установки. Причем форматировать и размечать диск не требуется — эти действия выполнит программа установки. Рисунок 3. В процессе установки необходимо указать жесткий диск, и система самостоятельно отформатирует и разметит его Последним шагом установки является настройка системного времени: даты, времени и часового пояса.После выполненных действий начнется установка программного обеспечения ИКС КУБ. После завершения система перезагрузится, и начнется процесс установки компонентов. Рисунок 4. В случае успешного завершения установки администратору будет выведено сообщение с данными для подключения Первичная настройка ИКС КУБ 5.2После установки ИКС КУБ можно выполнить вход в веб-интерфейс управления для последующей настройки. Разработчики рекомендуют использовать браузеры Mozilla Firefox или Google Chrome. Интерфейс визуально разделен на две части. На панели слева представлены все модули системы, а в правой — окно выбранного модуля. При входе в веб-интерфейс отображается главная страница, на которой представлена актуальная информация по пользователям, трафику, атакам и вирусам, сетевым и аппаратным характеристикам и другое. Все данные на виджетах обновляются в режиме реального времени. Рисунок 5. Главный интерфейс системы ИКС КУБ Первоначально систему можно настроить с помощью Мастера первоначальной настройки системы. Это позволит указать название организации, имя хоста и учетные данные администратора.Совместно с Мастером первоначальной настройки вендор предлагает воспользоваться Мастером настройки сети. Это позволит завершить этап первоначальной настройки и запустить модуль межсетевого экрана.Во время настройки сети потребуется настроить каждый сетевой интерфейс, указав его тип (для корректной работы необходимо указать как минимум один интерфейс класса «Провайдер» и один класса «Локальная сеть»).Минимальная настройка сети заключается в выполнении трех шагов:указание типа интерфейсов;настройка локального интерфейса;настройка интерфейса провайдера. Рисунок 6. Существующие типы интерфейсов в ИКС КУБ 5.2 Для настройки интерфейса локальной сети администратору следует указать его mac-адрес. Также можно настроить интерфейс на работу по протоколу DHCP. Рисунок 7. Пример настройки локальной сети в ИКС КУБ 5.2 Для интерфейса провайдера потребуется ввести IP-адрес и маску интерфейса, IP-адрес шлюза и адрес DNS-сервера. Рисунок 8. Пример настройки интерфейса провайдера в ИКС КУБ 5.2 После настройки всех интерфейсов система покажет на экране введенные данные для проверки, после чего можно завершать работу Мастера.Схемы развертывания ИКС КУБ 5.2Вендор предлагает несколько сценариев для размещения ИКС КУБ в сети, рассмотрим два наиболее популярных среди существующих заказчиков.Выделенная линияПервый вариант заключается в установке ИКС КУБ в разрыв сети. Таким образом, устройство будет выполнять роль маршрутизатора и межсетевого экрана. При такой настройке на ИКС КУБ достаточно настроить один сетевой интерфейс, подключенный к внешней сети, и один интерфейс, подключенный к локальной сети компании. Рисунок 9. ИКС КУБ 5.2 может быть установлен в качестве маршрутизатора Размещение в качестве выделенного сервисаВторой вариант установки позволяет использовать только отдельные сервисы на ИКС КУБ, например, прокси-сервер, веб-сервер или сервер электронной почты. При такой конфигурации устройство устанавливается рядом с другими серверами или компьютерами в сети. Рисунок 10. В случае, когда не требуется маршрутизатор, ИКС КУБ 5.2 может быть установлен рядом с другими устройствами Управление пользователямиПользователи в ИКС КУБ — это единица управления системой. Они являются наименьшим объектом применения политик.Создание пользователя возможно как в ручном режиме, так и с помощью Мастера создания пользователя. После добавления пользователь получает доступ во внешнюю сеть в соответствии с его способом авторизации, а также индивидуальными и глобальными политиками доступа.ИКС КУБ 5.2 поддерживает следующие возможные ограничения для пользователей:Запрещающие и разрешающие правила на уровне IP-адресов.Запрещающие и разрешающие правила прокси, исключения.Ограничение количества соединений.Ограничение скорости.Выделение полосы пропускания.Квоты на трафик по указанному адресу, протоколу или порту.Статический маршрут.DLP.Контентная фильтрация.Созданных пользователей можно объединять в группы, на которые назначаются правила доступа и квоты. Перемещение пользователей между группами осуществляется простым перетаскиванием мышью.В ИКС КУБ 5.2 можно импортировать пользователей различными способами: из файла, из домена, LDAP-каталогов или из сети. Рисунок 11. Пример списка пользователей в ИКС КУБ 5.2 Управление защитой в ИКС КУБ 5.2Для управления защитой сети компании ИКС КУБ предоставляет администраторам широкий выбор модулей, которые можно гибко настраивать.АнтивирусИКС КУБ осуществляет защиту от вредоносных файлов с помощью трех антивирусов — бесплатного ClamAV и платных Dr.Web и Kaspersky. Причем ClamAV выполняет роль антивирусного прокси-сервера и настраивается на соответствующей вкладке. Рисунок 12. На вкладке «Антивирус» можно настроить проверку HTTP-трафика на наличие вредоносовАнтиспамДля защиты сотрудников компании от спама ИКС КУБ предлагает использовать модуль «Антиспам» от «Лаборатории Касперского». Таким образом, на наличие спама проверяются письма, проходящие через устройство. В настройках можно самостоятельно указать черные и белые списки IP-адресов и адресов электронной почты. Рисунок 13. Многообразие настроек модуля антиспамаМежсетевой экранДля осуществления контроля и фильтрации сетевых пакетов, в ИКС КУБ имеется модуль межсетевого экрана. В настройках можно настроить трансляцию сетевых адресов и перенаправление портов.Правила межсетевого экрана позволяют указывать IP-адрес источника и IP-адрес назначения, протокол, порт источника и порт назначения, сетевой интерфейс и время действия правила. Также можно настроить приоритеты для трафика, позволяющие назначить более высокий приоритет обработке почты. Рисунок 14. Возможности ИКС КУБ 5.2 позволяют гибко настроить параметры межсетевого экранаДетектор атакДетектор атак в 5 версии ИКС КУБ реализован на базе свободной сетевой системы обнаружения и предотвращения вторжений с исходным кодом — Suricata. В отличие от Snort, которая использовалась ранее, Suricata является более надежной, высокопроизводительной и многозадачной системой и полностью поддерживает формат правил Snort. Таким образом теперь Интернет Контроль Сервер позволяет блокировать трафик по правилам, в том числе и на Тор-сети, ботнет-сети и p2p-сети.Обновления для детектора атак можно скачивать и устанавливать вручную, а можно настроить ИКС КУБ на самостоятельное получение обновлений. Рисунок 15. Пример настроек детектора атак в ИКС КУБ 5.2DLPМодуль DLP можно включить для проверки почтового трафика и выполнения проверки на прокси. В качестве параметров можно настроить использование контрольных сумм файлов, шаблоны, ключевые слова и отпечатки текстовых файлов. Рисунок 16. Для выявления утечек конфиденциальной информации можно настроить модуль DLPКонтент-фильтрМодуль контентной фильтрации проверят данные по шаблонам и ключевым словам. Более того, в ИКС заранее встроены несколько групп слов для контент-фильтра: Список слов для школ, по данным сервиса SkyDNS, список слов с сайта Госнаркоконтроля и список слов с сайта Минюста. Такие списки позволяют блокировать загрузку веб-страниц в случае совпадения слов из заданных списков с текстом, содержащемся в HTML-коде сайта.Заказчикам, которым важен компонент контентной фильтрации (например, школам) ИКС КУБ позволяет обеспечить максимальную защиту сети. В то же время для тех, кому требуются и дополнительные возможности, описанные в следующем разделе, ИКС КУБ предоставляет возможность использовать их без угроз для безопасности.Цифровые сертификатыВ ИКС КУБ 5.2 можно создать несколько различных корневых сертификатов для различных служб, например, FTP и HTTPs. Это позволит устанавливать защищенное соединение, при котором исключается возможность расшифровки трафика злоумышленниками. Рисунок 17. Пример хранения цифровых сертификатов в ИКС КУБ 5.2Web Application FirewallМодуль WAF, который появился в последней версии ИКС, позволяет отслеживать и блокировать такие распространенные атаки на веб-приложения, как SQL-инъекции, межсайтовый скриптинг и неправильная настройка безопасности. Включить WAF можно на странице редактирования виртуального хоста (см. рисунок 19). Работа с ИКС КУБ 5.2Платформа ИКС КУБ позволяет выполнять множество функций и настраивать большое количество параметров. Это помогает гибко настроить устройство под нужды компании и потребности как сетевых администраторов, так и администраторов безопасности.Управление сетьюВыполнение ИКС КУБ 5.2 функций маршрутизатора возможно за счет гибкой настройки сети. Для подключения могут использоваться как Wi-Fi-сети, так и VPN. Доступ во внешнюю сеть может осуществляться по различным протоколам, таким как PPTP, L2TP, PPPoE, VLAN, 3G, IPIP и GRE.Обезопасить внутреннюю сеть можно настроив зону DMZ.ИКС КУБ 5.2 поддерживает сборку статистики по IP-трафику с маршрутизаторов Cisco по протоколу netflow версий 5 и 9.Файловый серверИКС КУБ может быть использован в качестве хранилища файлов сотрудников компании. К папкам из хранилища файлов можно предоставить общий доступ, доступ через веб-интерфейс или FTP-доступ. Рисунок 18. Параметры, доступные для настройки FTP-сервера организацииМодуль веб-сервера позволяет добавлять веб-ресурсы и привязывать их к IP-адресам ИКС КУБ. На странице настроек можно разрешить или запретить выполнение PHP-скриптов и назначить права доступа.Для размещения сайта потребуется выполнить всего 4 действия:Добавить в Хранилище файлов папку и создать в ней FTP-ресурс.Закачать необходимые материалы по протоколу FTP.Создать в этой же папке виртуальный хост.Настроить DNS-записи для доменного имени созданного виртуального хоста. Рисунок 19. В ИКС КУБ 5.2 можно поднять свой виртуальный хостПочтовый серверНастройка на ИКС КУБ собственного почтового сервера открывает для администратора множество возможностей по формированию политик приема и отправки электронных сообщений, ведению учета и статистики.Работу пользователей можно настроить не только через почтовый клиент, но и через веб-интерфейс. Рисунок 20. На ИКС КУБ можно настроить почтовый сервер и получать детальную статистикуJabber-серверИКС КУБ 5.2 может выступать в роли сервера обмена сообщениями по протоколу XMPP. Для этого необходимо создать новый jabber-домен, после чего добавить пользователей. Для подключения к jabber-серверу на ИКС КУБ пользователям потребуется на клиенте указать IP-адрес внутреннего интерфейса ИКС КУБ. Рисунок 21. В корпоративных целях на ИКС КУБ 5.2 можно поднять собственный jabber-серверТелефонияИКС КУБ может выступать в роли сервера IP-телефонии. Этот модуль разработан на базе сервера Asterisk. Сервер поддерживает передачу аудиосигнала по протоколам SIP и IAX. Рисунок 22. Пример добавления телефонного номера в ИКС КУБ 5.2 ВыводыПрограммно-аппаратный комплекс по управлению безопасностью ИКС КУБ 5.2 можно назвать достойным конкурентом на рынке отечественных UTM-систем. Возможность централизованного управления, а также наличие модуля DLP и WAF позволяет говорить о преимуществе ИКС КУБ перед решениями того же класса. Модуль контентной фильтрации позволяет обеспечивать максимальную защиту и блокировать загрузку веб-страниц по предустановленным спискам слов от SkyDNS и государственных органов. Платформа позволит закрывать задачи информационной безопасности, которые стоят перед малым бизнесом и государственными компаниями с небольшим количеством сотрудников. Наравне с импортными решениями разработчикам ИКС КУБ удалось построить многофункциональную платформу на базе программного обеспечения с исходным кодом, добавив решения, которые отсутствуют в традиционных UTM-системах.  Интегрированные модули межсетевого экрана, детектора атак и антивируса позволяют не тратить отдельные аппаратные мощности под каждую задачу. Помимо выполнения традиционных задач безопасности, преимуществом продукта является возможность настройки почтового сервера, сервера телефонии, файлового хранилища и jabber-сервера на той же самой аппаратной платформе. Настройка продукта не вызывает затруднений, дружественный интерфейс позволит администраторам с небольшим опытом быстро разобраться с каждым модулем и решить проблемы безопасности. Для опытных специалистов приятным бонусом послужит гибкость настройки каждого модуля и обширные возможности получения статистики и мониторинга.На данный момент платформа ИКС КУБ 5.2, в отличие от смежного решения «А-Реал Консалтинг» — ИКС ФСТЭК, не имеет сертификата ФСТЭК, позволяющего закрывать задачи аттестации, но получение сертификата планируется в ближайшее время. Однако ИКС КУБ уже сейчас входит в реестр отечественного ПО и является продуктом, который с успехом выполнит повседневные задачи системных администраторов и администраторов по безопасности.Достоинства:Поставляется в качестве единой компактной программно-аппаратной платформы, которая имеет трехлетнюю гарантию от производителя, позволяет выполнять множество функций и не требует дополнительных расходов.Комплексное коробочное решение, закрывающее стандартные функции UTM-систем (межсетевой экран, VPN, IPS, антивирус и антиспам), а также включающее в себя дополнительные возможности (файловый сервер, почтовый сервер, сервер телефонии, DLP, модуль контентной фильтрации и WAF).Российское решение на базе FreeBSD и программного обеспечения с открытым исходным кодом. Входит в реестр отечественного ПО.Возможность использования российских антивирусных решений (Dr.Web, Kaspersky Anti-Virus), а также модуля веб-фильтрации от «Лаборатории Касперского».Недостатки:ИКС КУБ не имеет сертификата ФСТЭК России, однако в данный момент передан на сертификацию во ФСТЭК и проходит испытания в лаборатории.Межсетевой экран не работает на уровне приложений.Не осуществляется фильтрация трафика IPv6.Модуль DLP не проверяет HTTPs-трафик, списки ключевых слов придется создавать самостоятельно.В случае выхода из строя UTM-устройства компания может лишиться доступности сразу многих сервисов. 

В ноябре 2017 года вышла новая версия One Identity Manager — 8.0. В этой части обзора (ранее часть 1) мы поговорим об архитектуре решения, среде настройки и разработки коннекторов и средствах настройки системы в целом. В следующих частях мы будем подробно разбирать изменения и дополнения в новой версии, а также отдельные возможности продукта — следите за обновлениями на сайте. ВведениеАрхитектура One Identity ManagerКоннекторыФункциональные возможности One Identity ManagerНастройка работы системы и управление данными пользователей5.1. Административная консоль Manager5.2. Создание отчетов при помощи конструктора отчетов Report Editor5.3. Настройка коннекторов в Synchronization Editor5.4. Построение ролевой модели доступа при помощи конструктора ролей AnalyzerВыводы ВведениеДанной публикацией мы продолжаем обзор системы управления идентификационными данными и доступом компании One Identity — One Identity Manager. В первой части обзора нами были рассмотрены история продукта, его функциональные возможности и детально описан портал самообслуживания — как основное рабочее средство для сотрудников компании (рядовых пользователей, их руководителей, а также сотрудников отдела информационной безопасности и аудиторов).В прошлом обзоре мы рассматривали версию продукта 7.1.2 (дата выпуска — сентябрь 2017), которая на тот момент была текущей. С тех пор на свет вышла новая версия — 8.0 (дата выпуска — ноябрь 2017), и наше дальнейшее описание мы будем основывать на ней. В следующих частях обзора мы расскажем подробнее об изменениях и дополнениях в новой версии продукта, а также один из обзоров посвятим детальному описанию возможностей One Identity Manager по интеграции с системой SAP и функциям разделения полномочий (Segregation of Duties). Архитектура One Identity ManagerПо своей архитектуре система One Identity Manager имеет все стандартные компоненты, присущие продуктам данного класса, а именно:База данных.Обработчик очереди заданий и их выполнения в подключенных информационных системах (через коннекторы и интерфейсы).Веб-сервер (Сервер приложений).Интерфейсы пользователя и администратора. Рисунок 1. Архитектура решения One Identity Manager То есть это классическая «трехзвенка». При этом, в зависимости от требований, обмен данными между веб-сервером и базой данных может осуществляться как напрямую, так и через сервер приложений.Ниже приведено описание компонентов One Identity Manager в терминологии, которую использует вендор:База данных (Database) — является центральным компонентом системы. Можно выделить два типа данных, хранящихся в базе данных решения: пользовательские данные и метаданные. Пользовательские данные содержат информацию о сотрудниках, учетных записях, группах, связанные с ними данные аттестации, ресертификации доступа и т. д. В состав метаданных входит информация для работы самой системы, а именно: полная конфигурация системы, параметры управления интерфейсом, правила форматирования данных, шаблоны, скрипты, и т. д. На уровне базы данных реализованы процессы обработки данных, вычисление наследования объектов (прав доступа, полномочий, ресурсов), связанных с иерархическими структурами (ролевая модель, оргштатная структура компании — структура подразделений, филиалов и др).Служба сервера (Server Service) — компонент, который отвечает за синхронизацию информации между базой данных и любыми подключенными целевыми системами. Кроме того, здесь контролируется выполнение различных процессов в системе, т. е. определяется, как должна продолжаться обработка задачи в зависимости от предыдущих результатов. Служба сервера является единственным компонентом, которому разрешено вносить изменения в целевую систему.Сервер приложений (Application server) — этот компонент содержит бизнес-логику системы. Клиенты подключаются непосредственно к нему, что обеспечивает безопасное соединение и работу с базой данных. Все запросы, формируемые в клиентских приложениях, отправляются на сервер приложений, который их обрабатывает. Данные из сервера приложений отправляются в базу данных для их сохранения.Веб-сервер (Web server) — используется для предоставления пользователям web-интерфейса для работы с системой (портал самообслуживания), а также для работы сервера приложений.Интерфейсы пользователя и администратора (Front-Ends) — в составе системы присутствует множество интерфейсов, каждый предназначен для выполнения определенного круга задач. Эти интерфейсы и их функции доступны пользователям в зависимости от их текущих прав доступа в самой системе One Identity Manager (внутренняя ролевая модель). Интерфейсы представлены в двух вариантах: в виде тонких (веб-) и толстых клиентов (Windows-приложений). КоннекторыВ решении One Identity Manager присутствует широкий набор готовых коннекторов к наиболее распространенным типам целевых систем. Кроме того, вендор предоставляет графическую среду (фреймворк) для подготовки коннекторов — приложение Synchronization Editor, которое позволяет создавать коннекторы и подключать к IdM-решению новые целевые системы, не требуя написания кода.Отдельно стоит отметить, что система One Identity Manager имеет коннектор для подключения системы SAP, сертифицированный самой компанией SAP. С этой системой реализована глубокая интеграция, в том числе включающая разграничение доступа (SoD) как на уровне ролей, профайлов, объектов авторизации, так и на уровне отдельных транзакций.Ниже приведен перечень штатных коннекторов к целевым информационным системам:CSV — коннектор к текстовым файлам с возможностью чтения и записи.Коннектор к реляционным базам данных — любым, поддерживающим ADO.NET.LDAP-коннектор.Web service — коннектор к любому SOAP-веб-сервису, предоставляющему wsdl.Active Directory.Microsoft Exchange (2010, 2013, 2016 и Exchange Online).SharePoint (2010, 2013 и SharePoint Online).SAP R/3-коннектор:SAP Web Application Server 6.40;SAP NetWeaver Application Server 7.00, 7.01, 7.02, 7.10, 7.11, 7.20, 7.31, 7.40 SR 2, 7.41, 7.50 ;SAP S/4HANA On-Premise-Edition.Unix connector — поддерживаются большинство распространенных релизов Linux и Unix.IBM Notes connector (Lotus Domino Server Version 8.0, 9.0).Native database connector — коннектор к базам данных:SQL Server;Oracle Database;SQLite;MySQL;DB2 (LUW);CData ADO.NET Provider.Mainframe-коннектор:RACF;IBM I;CA Top Secret;CA ACF2.Windows-PowerShell-коннектор — позволяет создавать модули (интерфейсы) для взаимодействия с другими системами (включая облачные), инкапсулировать вызовы API (например, REST API) в PowerShell cmdlets, настраивать взаимодействие с целевой системой унифицированным способом в среде настройки коннекторов Synchronization Editor.Коннектор к One Identity Active Roles (6.9, 7.0).Коннектор к Azure Active Directory.SCIM connector — коннектор к облачным приложениям, которые поддерживают стандарт System for Cross-domain Identity Management (SCIM) version 2.0.G-Suite-коннектор.Oracle E-Business Suite connector (versions 12.1 and 12.2).Полный список поддерживаемых систем и платформ приведен в документе Release Notes, который находится в общем доступе на сайте компании (как и вся официальная техническая документация, база знаний и другие полезные материалы):Кроме того, благодаря множеству внедрений решения One Identity Manager у российских заказчиков имеются наработки по коннекторам к популярным российским системам, таким как: 1C, Босс, различным автоматизированным банковским системам (АБС) и другим.Более подробно настройка коннекторов описан в соответствующем разделе ниже. Функциональные возможности One Identity ManagerКратко напомним основные функциональные возможности решения. Частично мы их рассматривали в первой части нашего обзора.One Identity Manager осуществляет управление идентификационными данными и контроль доступа к приложениям, платформам, системам и данным в масштабах всего предприятия согласно модели RBAC (Role Based Access Control). Кроме того, частично поддерживается атрибутная модель доступа. В продукте реализовано решение таких задач, как управление учетными записями, правами доступа пользователей к ресурсам информационных систем, управление запросами на новые учетные записи и права доступа, контроль за учетными записями и правами доступа, контроль соответствия правилам и политикам (нормоконтроль), контроль разделения полномочий и т. д. При этом большинство этих задач унифицированы (либо автоматизированы), что позволяет снизить нагрузку на ИТ-персонал и сократить операционные расходы.Основные функциональные возможности One Identity Manager:интеграция с доверенными источниками данных (информационные системы, из которых в IdM-систему загружаются данные о внутренних и внешних сотрудниках компании, оргштатной структуре и др.) и целевыми системами; при этом в качестве доверенной системы может быть использована любая подключенная информационная система;автоматизация процессов, связанных с созданием, удалением и изменением учетных записей сотрудников, а также предоставлением им доступа к различным ресурсам в соответствии с заданной ролевой моделью;множество предопределенных рабочих процессов, которые могут использоваться с минимальной настройкой (или вообще без нее) — из коробки;наличие портала самообслуживания, реализованного по принципу интернет-магазина с полной локализацией интерфейса на русский язык;права доступа могут предоставляться автоматически на основе ролей и оргштатной структуры, а также посредством заявок на портале самообслуживания;наличие встроенного механизма расчета и оценки рисков, связанных с имеющимися у сотрудника правами доступа;возможность проведения регулярной аттестации прав доступа (по расписанию или по событиям);возможность построения ролевой модели путем анализа текущих полномочий в каждой целевой системе, используя конструктор ролей — приложение Analyzer;обзор информации по сотруднику «на 360 градусов», предоставляющий полное отображение всех имеющихся в системе данных по нему и предоставленных ему прав доступа;процессы согласования заявок, различные правила и политики настраиваются в удобном графическом интерфейсе;неограниченные возможности создания и настройки отчетов во встроенном универсальном конструкторе отчетов — Report Editor;наличие графической среды для подготовки коннекторов, которая позволяет подключать целевые системы, не требуя написания кода;встроенные возможности по изменению интерфейса пользователя — Web Designer;глубокая интеграция с SAP, вплоть до разграничения доступа (SoD) на уровне транзакций;для автоматизации обработки запросов пользователей имеется возможность интеграции с внешними системами Helpdesk (как on premise, так и облачными). Настройка работы системы и управление данными пользователейДля работы с системой One Identity Manager используется ряд приложений (интерфейсов), предназначенных для решения разных задач. В данной части обзора мы рассмотрим несколько основных интерфейсов, используемых для настройки системы, а именно:Административная консоль ManagerИнтерфейс настройки коннекторов Synchronization EditorРедактор расширенных настроек DesignerКонструктор отчетов Report EditorКонструктор ролей AnalyzerВсе действия, которые касаются процессной деятельности, выполняются из портала самообслуживания One Identity Manager. Т.е. это единственный рабочий интерфейс, который будет необходим сотрудникам компании как результат внедрения системы IdM, предназначенный для запроса прав доступа, согласования заявок, проведения аттестации прав доступа ответственными лицами по каждой целевой системе, аудита, контроля за соблюдением установленных политик и правил, их нарушениям, отчетности, делегирования полномочий и др. Подробнее — в первой части обзора.Настройка системы производится администраторами при помощи набора приложений (в основном, толстых клиентов), каждое из которых предназначено для решения определенных задач. Рассмотрим некоторые из них.Административная консоль ManagerАдминистративная консоль Manager является основным средством для настройки работы бизнес-логики системы. Из этой консоли администратору, среди прочих, доступны такие действия, как:просмотр/редактирование/связывание идентификационных данных (информация по сотрудникам из кадровых источников, учетные записи, полномочия в системах и т. п.);построение ролевой модели на основе оргштатной структуры компании (иерархическая структура отделов, филиалов, центров учета затрат и т. п.);настройка внутренней ролевой модели решения (разграничение полномочий внутри самой системы IdM);настройка интернет-магазина и каталога услуг (сервис-каталога) для дальнейших запросов через портал самообслуживания;настройка правил разделения полномочий, политик безопасности;настройка рабочих процессов согласования запросов;настройка процедур аттестации для регулярной проверки правильности данных о сотрудниках, их ролях и правах доступа;Информация по сотрудникам и оргштатной структуреВ административной консоли администратору доступна вся информация по сотрудникам и оргштатной структуре компании, которую система обычно получает из кадровых систем. В решении полностью поддерживается оргштатная иерархия, ограничений по количеству уровней вложенности нет. Рисунок 2. Информация по сотрудникам в административной консоли Manager На любой из элементов графического представления можно кликнуть, чтобы получить дополнительные сведения по нему (так называемый, drill-down), посмотреть другие, связанные с ним объекты и элементы, т. е. получить полный обзор «на 360 градусов». Рисунок 3. Представление оргштатной структуры в административной консоли Manager Подобным же образом в административной консоли отображаются объекты целевых систем, подключенных в данный момент к системе One Identity Manager. Рисунок 4. Представление клиента SAP R/3 в административной консоли Manager Рисунок 5. Представление информации по учетной записи пользователя в SAP Рисунок 6. Представление домена Active Directory в административной консоли Manager Рисунок 7. Представление почтовой организации Microsoft Exchange в административной консоли Manager Рисунок 8. Представление информации об учетной записи пользователя в домене Active Directory в административной консоли Manager Отдельно стоит отметить, что решение One Identity Manager предоставляет широкие возможности по связыванию разрозненных учетных записей пользователей в различных системах с основной записью сотрудника (карточкой сотрудника). Используя различные критерии, система может связать записи автоматически (во время синхронизации), либо администратор может выполнить поиск и связывание вручную, используя интерфейс административной консоли Manager. Рисунок 9. Интерфейс поиска учетных записей пользователей в SAP R/3 и связывания их с карточкой сотрудника Тот же самый интерфейс задания критериев поиска и связывания учетных записей используется для всех типов систем, подключенных к решению.Настройка ролевой моделиВ решении One Identity Manager поддерживается иерархическая структура ролей с возможностью выбора правила наследования ресурсов, привязанных к роли: «сверху вниз» или «снизу вверх». Выбор правила наследования доступен для каждого класса ролей (классов может быть неограниченное количество). В системе также имеются штатные иерархии — департаменты, отделы, центры учета затрат (имеется в виду привязка сотрудника к бюджету — это SAP-терминология; в России используется редко) и территориальная структура (филиалы, участки).На основании любой установленной иерархии (роль, департамент, филиал, центр учета затрат) можно настраивать права доступа и привязывать ресурсы. Система работает по стандарту RBAC (Role Based Access Control), ее дополняет частичная поддержка стандарта ABAC (Attribute-based access control), т. е. атрибутной модели. Рисунок 10. Информация о бизнес-ролях в графическом виде в административной консоли Manager Здесь мы можем наглядно увидеть, каким сотрудникам компании в данный момент присвоена выбранная роль, какие права доступа и ресурсы привязаны к роли, а также какие отчеты будут доступны сотруднику, какие устройства должны ему выдаваться и т. п. Соответственно, при присвоении роли сотруднику он автоматически получает все необходимые права и ресурсы в рамках этой роли.Также доступна функция настройки динамических правил членства в бизнес-роли. Т. е. мы можем задать определенные критерии, по которым данная бизнес-роль будет автоматически назначаться сотрудникам. В примере ниже для присвоения роли сотрудник не должен быть внешним, не должен быть уволенным и должен работать в определенном подразделении. Здесь же, еще перед сохранением изменений, мы можем сразу увидеть информацию, какие конкретно сотрудники подпадают под каждый критерий и общий результат по всем критериям. Рисунок 11. Настройка динамической бизнес-роли в административной консоли Manager Кроме того, для создания правил включения в бизнес-роль доступен SQL-редактор, а также wizard, позволяющий по соотношению таблиц в базе данных настроить SQL-запрос. Wizard доступен в системе везде, где доступен SQL-редактор.После выполненных настроек динамической роли система периодически выполняет проверку, какие сотрудники попадают в эту роль (временной параметр настраивается).Любая роль может быть опубликована на портале самообслуживания для ее заказа сотрудниками (с последующим согласованием).Настройка каталога услуг для портала самообслуживанияВ разделе настройки портала самообслуживания (ИТ-супермаркет) администратор может настраивать его вид, структуру, содержимое каталога услуг (сервис-каталога), создавать цепочки согласования и привязывать их к структуре и элементам сервис-каталога и др. Здесь же мы можем определить правила (критерии), каким сотрудникам какие элементы сервис-каталога будут доступны для заказа, т. е. разграничить видимость (доступность) элементов на портале самообслуживания для разных категорий пользователей. Для настройки видимости элементов сервис-каталога используется тот же самый графический интерфейс, что и для настройки динамических правил членства в бизнес-ролях. Рисунок 12. Настройка каталога услуг (сервис-каталога) в административной консоли Manager Здесь же располагается редактор шаблонов email-уведомлений, которые будут рассылаться сотрудникам при работе с порталом самообслуживания. Рисунок 13. Редактор шаблонов email-уведомлений в настройках ИТ-супермаркета Любое уведомление можно настроить по шаблону, на разных языках, выбрав нужную локаль из списка: Рисунок 14. Выбор локали для шаблона email-уведомления В настройках ИТ-супермаркета также доступна привязка рабочего процесса согласования, который настраивается посредством графического редактора. Рисунок 15. Привязка процедуры согласования к иерархии сервис-каталога Поддерживается как последовательное, так и параллельное согласование, одним или несколькими сотрудниками, с ветвлением по условиям и т. п. На каждом шаге согласования можно назначить несколько действий, которые также имеют свое графическое обозначение (согласовать, отклонить, поставить на тайм-аут, вернуть на предыдущий шаг, отправить уведомление, эскалировать на следующий уровень и др.). Рисунок 16. Настройка рабочих процессов согласования в графическом редакторе административной консоли Manager Этот же редактор используется и для настройки рабочих процессов аттестации доступа и сертификации сотрудников и учетных записей. Рисунок 17. Настройка рабочих процессов сертификации и аттестации в графическом редакторе административной консоли Manager Для каждого шага в цепочке согласования устанавливаются правила, по которым будет выбран согласующий для данного шага, необходимое количество согласующих на этом шаге, email-уведомления, тайм-аут в рабочих часах (через какой период времени придет повторное уведомление о необходимости принятия решения), общий срок согласования, срок согласования по каждому шагу и т. д. Также возможна настройка автоматических действий по согласованию (согласовать, отклонить, эскалировать, вернуть на предыдущий шаг, поставить на тайм-аут, эскалировать). В системе доступен широкий набор предустановленных рабочих процессов согласования, каждый из которых может быть скопирован и изменен. Рисунок 18. Настройка параметров отдельного шага в рабочем процессе согласования (сертификации, аттестации)Настройка корпоративных политикВ административной консоли мы можем настроить так называемые корпоративные политики, т. е. правила соответствия, которые будут срабатывать по установленным требованиям. Например, можно задать политику, устанавливающую, что у всех департаментов должен быть назначен менеджер. По результатам работы такой политики система будет сообщать обо всех департаментах, в которых отсутствует назначенный менеджер. Можно создать политики, которые будут проверять соответствие по различным критериям по компании в целом. Рисунок 19. Настройка политик соответствия в компанииКонтроль доступа при помощи правил разделения полномочийРазделение полномочий (Segregation of Duties, SoD) — важный элемент контроля доступа сотрудников к информационным ресурсам компании. Решение One Identity Manager предоставляет широкие возможности по настройке правил разделения полномочий в рамках всей экосистемы приложений (информационных систем) предприятия, в том числе учитывая данные о персонале и оргштатной структуре. Правила разделения полномочий создаются и настраиваются в административной консоли Manager. Система позволяет проводить анализ на наличие конфликтных доступов (нарушающих установленные правила) по всем информационным системам и полномочиям, подключенным к решению (а не только в рамках какой-то одной системы), выводить список сотрудников, у которых нарушено то или иное правило, и организовать процесс утверждения исключений (уполномоченными на это лицами). Рисунок 20. Правило разделения полномочий в административной консоли Manager Информация об имеющихся на данный момент нарушениях и предоставленных исключениях доступна как в административной консоли Manager, так и через портал самообслуживания (см. информацию в первой части нашего обзора). Стоит отметить, что и здесь портал самообслуживания является основным рабочим инструментом для контроля, утверждения и отклонения исключений — как основное рабочее средство сотрудников компании (рядовых сотрудников, руководителей, работников отдела информационной безопасности, аудиторов и др). Административная консоль Manager используется только для настройки самих правил. Это позволяет не плодить различные инструменты под каждую категорию сотрудников. Рисунок 21. Отображение нарушений правил на карточке сотрудника в административной консоли Manager Рисунок 22. Отображение нарушений правил для ответственного за утверждение исключений на портале самообслуживания Настройка самих правил производится при помощи уже знакомого конструктора (как и в случае настройки динамических ролей, корпоративных политик, видимости и доступности элементов сервис-каталога). Рисунок 23. Настройка критериев для правил разделения полномочий Система позволяет использовать различные комбинации для задания правил — по всем подключенным системам, организациям и другим параметрам. При этом в момент настройки правила можно сразу увидеть, какие сотрудники под какие критерии подпадают. Изменения всегда вносятся в рабочую копию правила, которая впоследствии активируется для применения сделанных изменений. Система ведет версионность и аудит изменений самих правил. Рисунок 24. Правило разделения полномочий и предпросмотр подпадающих под критерии сотрудников Более подробное описание функций контроля доступа при помощи правил разделения полномочий, в частности, применительно к таким распространенным и достаточно сложным системам, как SAP, мы приведем в следующих частях нашего обзора.Создание отчетов при помощи конструктора отчетов Report EditorДля настройки различных типов отчетов пользователям также доступно отдельное графическое приложение — конструктор отчетов Report Editor. Он позволяет формировать новые и настраивать существующие отчеты, которые создаются в процессе работы системы (более 90 готовых отчетов доступно в решении из коробки). Доступность отчета тому или иному сотруднику определяется на основе настраиваемой внутренней ролевой модели решения One Identity Manager. В зависимости от членства во внутренних ролях системы IdM (рядовой сотрудник, руководитель, сотрудник службы информационной безопасности, аудитор, администратор и пр.) им будут доступны те или иные отчеты для подписки на портале самообслуживания. Сотрудники могут сами определять, какие отчеты из списка доступных им нужны, как часто и в каком виде — из портала самообслуживания. Более подробную информацию о портале самообслуживания One Identity Manager см. в первой части нашего обзора.В Report Editor доступно изменение конфигурации отчетов (поменять верстку, шапку, стили форматирования, расположение и состав таблиц, списков, диаграмм) и непосредственно настройка его содержимого (какие данные, из каких источников должны собираться, как их обрабатывать, сортировать, группировать, агрегировать и др.). Рисунок 25. Конструктор отчетов Report EditorНастройка коннекторов в Synchronization EditorЕще один важный и мощный компонент решения One Identity Manager — графический интерфейс настройки коннекторов к целевым системам — Synchronization Editor. Рисунок 26. Выбор коннектора для настройки подключения к целевой системе в Synchronization Editor Synchronization Editor представляет собой единую, унифицированную среду подключения к целевым системам, настройки рабочих процессов синхронизации данных (реконсиляция и provisioning), сопоставления объектов и их атрибутов (object matching и attribute mapping) в итерактивном режиме. При настройке коннектора объекты целевой системы со всеми своими атрибутами доступны для анализа в режиме реального времени. Это помогает увидеть, какие данные и в каком формате коннектор One Identity Manager получает из целевой системы и как эти данные будут трансформироваться и передаваться дальше во время синхронизации. Рисунок 27. Просмотр свойств объекта в целевой системе через коннектор в реальном времени Рисунок 28. Настройка соответствия полей (атрибутов) для класса объекта По объему описания всех своих возможностей и тонких настроек среда настройки коннекторов Synchronization Editor стоит отдельного обзора. Здесь мы отметим только, что благодаря продуманности интерфейса и логики настройка различных типов коннекторов производится похожим образом. Это облегчает как саму настройку, так и отладку и мониторинг (например, в Synchronization Editor присутствует возможность симуляции процесса синхронизации с полным, детальным отчетом по результатам) при подключении разнородных целевых систем. Рисунок 29. Запуск процесса симуляции синхронизации при настройке коннектораПостроение ролевой модели доступа при помощи конструктора ролей AnalyzerДля построения ролевой модели в системе One Identity Manager используется специальный инструмент, реализованный в виде отдельного приложения — конструктор ролей Analyzer. С его помощью можно настроить ролевую модель, основываясь на тех правах доступа и полномочиях, которые уже есть у пользователей в каждой целевой системе. Приложение вычитывает информацию о текущих правах доступа из различных подключенных информационных систем (права доступа, членство в группах, ролях и т. д.), выполняет анализ собранных данных по определенному алгоритму и предлагает вариант формирования ролевой модели.После проведенного анализа система позволяет просмотреть каждую предложенную роль по отдельности. Мы можем увидеть, какие сотрудники будут входить в данную роль и какие права доступа будут им предоставляться через эту роль. Здесь же можно вручную внести изменения и далее отправить предложенную роль в IdM-систему на согласование для дальнейшего утверждения. Рисунок 30. Конструктор ролей для построения ролевой модели ВыводыПо набору имеющихся функциональных возможностей продукт является мощным и в то же время сравнительно недорогим относительно своих западных конкурентов. В настоящее время система One Identity Manager активно развивается на российском рынке и планирует занять достойное место в лидерах рынка IdM-систем.Решение One Identity Manager обладает следующими ключевыми преимуществами:наличие уникальных встроенных инструментов для подключения любых целевых систем (позволяет создавать коннекторы самостоятельно);глубокая интеграция с SAP, а также наличие сертифицированного компанией SAP коннектора;большая часть настроек в процессе внедрения может быть выполнена самостоятельно с использованием графических интерфейсов (без привлечения программистов);наличие портала самообслуживания пользователя, построенного по принципу интернет-магазина с полной поддержкой русского языка, а также удобных графических средств настройки каталога услуг (сервис-каталога);наличие конструктора ролевой модели с использованием оргштатной структуры, либо произвольно, либо на основе уже существующих прав доступа в целевых системах;предоставляет наглядный и всеобъемлющий обзор информации по сотрудникам, оргштатной структуре, ролям, полномочиям, объектам целевых систем и др. «на 360 градусов»;встроенный механизм задания правил разделения полномочий, поиска нарушений и утверждения исключений, не требующий написания кода;встроенный механизм вычисления и оценки рисков с возможностью использования индекса риска сотрудника в процессе предоставления (согласования) прав доступа;настройка рабочих процессов согласования (например, предоставления новой учетной записи, выдачи новых прав доступа и т.д.) при помощи удобного графического интерфейса;наличие конструктора построения отчетов с широким набором функций по созданию и настройке.К видимым недостаткам системы можно отнести следующее:В системе присутствует большое количество интерфейсов для работы с ней, что на первом этапе может создать некое неудобство, несмотря на общую простоту администрирования системы. Хотя здесь следует также отметить, что компания One Identity на протяжении ряда лет регyлярно проводит в России обучение для сотрудников компаний-партнеров, которые внедряют ее решение у своих заказчиков. На данный момент около 10 партнеров прошли все необходимые тренинги и сертифицированы для проведения проектов внедрения. Известны также случаи в России и мире, когда заказчики обучаются сами и успешно внедряют решение самостоятельно. Это подчеркивает простоту решения относительно аналогов.Отсутствие у продукта на данный момент сертификации по требованиям ФСТЭК России (это может являться существенным ограничением при внедрении продукта в организациях государственного сектора и в некоторых частных компаниях). Но вендор заверил, что получение сертификата ФСТЭК запланировано на 2018 год, для этого уже выделен бюджет и получены необходимые согласования.Благодарим Романа Каляпичева (One Identity) за активное участие в создании статьи.

В обзоре подробно рассмотрено комплексное решение для оценки защищенности Tenable SecurityCenter 5.6 от компании Tenable, которое позволяет анализировать состояние инфраструктуры крупных компаний, выявлять уязвимости, ошибки в конфигурации и вредоносные программы и представляет всю информацию в виде графиков и матриц. ВведениеСистемные требования Tenable SecurityCenter 5.62.1. Аппаратные требования Tenable SecurityCenter2.2. Программные требования Tenable SecurityCenterФункциональные возможности Tenable SecurityCenter 5.6Установка и настройка Tenable SecurityCenter 5.64.1. Подготовка к установке Tenable SecurityCenter4.2. Установка Tenable SecurityCenter4.3. Первоначальная настройка Tenable SecurityCenterРабота с Tenable SecurityCenter 5.65.1. Дашборды Tenable SecurityCenter5.2. Активы в Tenable SecurityCenter5.3. Сканирование активов в Tenable SecurityCenter5.4. Анализ уязвимостей в Tenable SecurityCenter5.5. Анализ событий в Tenable SecurityCenter5.6. Отчеты Tenable SecurityCenter5.7. Рабочий процесс в Tenable SecurityCenter5.8. Assurance Report Cards в Tenable SecurityCenterВыводы ВведениеИнфраструктура организаций находится в постоянном изменении — ни дня не проходит без обновления конфигурации сетевого оборудования, установки обновлений для операционных систем и систем управления базами данных. Все это накладывает на администраторов безопасности обязанности по отслеживанию актуальных версий программного обеспечения и отсутствия в нем уязвимостей. Ошибка в таком вопросе может обернуться для компании репутационными и финансовыми потерями. В конце октября 2017 г. вирус-вымогатель Bad Rabbit (модификация вируса-шифровальщика Petya) пытался атаковать российские банки из топ-20. Вирус использовал эксплойт EternalRomance, который был устранен Microsoft в марте 2017 г. Несмотря на это, многие компании пострадали от его воздействия. Всем известно, что даже в небольших организациях сотрудники способны допускать ошибки, позволяющие злоумышленникам добраться до «сердца» компании. Как же в таком случае поступать крупным компаниям, в которых парк только персональных компьютеров превышает 500 машин?Именно для таких компаний разработчики Tenable выпустили свой продукт — Tenable SecurityCenter, позволяющий производить сбор данных об уязвимостях, анализировать полученную информацию с тысяч IP-адресов одновременно и гибко настраивать отчеты и уведомления. Параллельно с Tenable SecurityCenter развивается и Tenable SecurityCenter Continuous View, который отличается расширенными возможностями обнаружения новых, временных или неуправляемых активов и сканирования их на наличие уязвимостей, а также наличием мощного инструмента корреляции, обнаружения и анализа аномального поведения. Ранее в обзоре мы уже рассматривали сканеры уязвимостей от компании Tenable, однако чтобы разобрать тонкости реального использования программы, рассмотрим решение Tenable SecurityCenter более подробно. Системные требования Tenable SecurityCenter 5.6Аппаратные требования Tenable SecurityCenterАппаратные требования для развертывания решения Tenable SecurityCenter представлены в Таблице 1. Помимо этого стоит учитывать следующие особенности:Если активный сетевой сканер Nessus, входящий в состав решения, будет развернут на том же сервере, что и система управления SecurityCenter, во время сканирования будет снижаться производительность. Чтобы этого избежать, разработчики рекомендуют использовать отдельные машины для сканеров.В случае развертывания SecurityCenter, рассчитанного на одновременную работу более чем 25 пользователей, потребуется добавить дополнительную память или процессоры.Стоит ознакомиться с требованиями к ресурсам отдельных компонентов, входящих в состав решения SecurityCenter. Так, например, не рекомендуется на одном сервере размещать несколько компонентов Tenable SecurityCenter. Таблица 1. Аппаратные требования для Tenable SecurityCenter 5.6№ п/пСценарий использованияЦПУОперативная памятьЖесткий диск Управление от 500 до 2500 IP-адресов2 dual-core 2 GHz4 GB RAM120 GB на 7200 rpm (рекомендовано: 320 GB на 10000 об/мин) Управление от 2500 до 10000 IP-адресов4 dual-core 3 GHz CPU16 GB RAM160 GB на 7200 об/мин (рекомендовано: 500 GB на 10000 об/мин) Управление от 10000 от 25000 IP-адресов8 dual-core 3 GHz CPU32 GB RAM500 GB на 10000 об/мин (рекомендовано: 1 TB на 15000 об/мин, RAID 0) Управление более чем 25000 IP-адресов8+ quad-core 3 GHz CPU32+ GB RAM1 TB на 15000 об/мин (рекомендовано: 3 TB на 15000 об/мин, RAID 0)Программные требования Tenable SecurityCenterДля работы с пятой версией SecuritCenter потребуется:Активная лицензия на SecurityCenter;OpenJDK или Oracle Java JRE;RHEL/CentOS 5.x, 6.x, or 7.x, 64-bit.При этом на операционной системе должны быть заранее установлены следующие программы: java-1.7.0-openjdk.x86_64 (or the latest Oracle Java JRE), openssh, expat, gdbm, libtool, libtool-ltdl, libxml2, ncurses, readline, compat-libstdc++, libxslt. Функциональные возможности Tenable SecurityCenter 5.6Обнаружение активов информационных технологий:Активное обнаружение несколькими методами (режим пен-теста, режим с аутентификацией, сканирование агентами, пассивный сканер).Интеграция с EMM/MDM-системами, позволяющая выполнять запросы к системе управления мобильными устройствами и выводить список уязвимостей, обнаруженных при сканировании серверов ActiveSync, Apple Profile Manager, VMware AirWatch или MobileIron MDM.Анализ уязвимостей:Широкий охват активов, включающий в себя сервера, рабочие станции, сетевые устройства, операционные системы, базы данных, а также приложения в физических, виртуальных и облачных инфраструктурах, элементы АСУ ТП.Большой выбор вариантов сканирования, поддерживающий удаленное сканирование, локальные проверки для глубокого и подробного анализа активов, как автономных станций, так и находящихся в сети.Сканирование как с агентами, так и без них, возможность аккумулировать информацию с нескольких сканеров Nessus, что позволяет производить анализ большего количества активов и уменьшать вероятность возможной атаки.Аудит соответствия и конфигурации:Встроенные шаблоны отраслевых стандартов, таких как PCI DSS, HIPAA/HITECH и NERC.Встроенные шаблоны государственных стандартов, таких как FISMA, GLBA и SOX.Встроенные шаблоны стандартов безопасности, таких как CERT, СНГ, COBIT/ITIL, DISA STIGS и NIST.Обнаружение вредоносных программ:Поиск подозрительных процессов путем сравнения всех процессов с базой киберразведки (Threat Intelligence).Аудит параметров автозапуска с целью предупреждения запуска вредоносных программ.Интеграция с другими системами:Взаимодействие со сторонними продуктами управления уязвимостями, мобильными устройствами, облачными приложениями и приложениями для проверки угроз.Использование API для обеспечения централизованного управления, подготовки отчетности, исправления и работы.Уведомления и предупреждения:Отправка уведомлений на электронную почту в случае появления рекомендаций, предупреждений или нахождения определенной в настройках уязвимости;Создание инцидентов и возможность их назначения на ответственных сотрудников с целью проведения расследования.Возможность отправки syslog в SIEM-систему.Анализ уязвимостей:Возможность использования встроенных и настраиваемых отчетов.Настраиваемые дашборды.Подготовка графиков, диаграмм для проведения анализа состояния уязвимостей в зависимости от времени. Установка и настройка Tenable SecurityCenter 5.6Подготовка к установке Tenable SecurityCenterПрежде чем приступить к установке продукта, необходимо в первую очередь убедиться в том, что операционная система поддерживается SecurityCenter и настроено корректное взаимодействие с NTP-сервером.Далее потребуется получить лицензию для SecurityCenter. Стоит учитывать, что для получения тестового ключа потребуется обратиться в компанию Tenable или к ее дистрибьютору в России — компании Тайгер Оптикс.Во время инсталляции SecurityCenter устанавливает веб-сервер Apache, поэтому на выбранном сервере потребуется отключить веб-сервер (если он ранее устанавливался) и освободить порт 443. Чтобы убедиться в том, что порт свободен, можно воспользоваться командой:netstat -pan | grep ':443 'Следующим шагом потребуется изменить настройки фаервола: отключить SELinux и проверить разрешения для протоколов SSH (порт 22), HTTPS (порт 443).Далее потребуется настроить ротацию логов, например, с помощью утилиты logrotate. По умолчанию после установки этой утилиты каждый месяц будут архивироваться следующие файлы:Все файлы из /opt/sc/support/logs matching *log;/opt/sc/admin/logs/sc-error.logЗаключительным этапом предварительной настройки является подготовка инсталляционного пакета SecurityCenter. Название пакета выглядит следующим образом: SecurityCenter-x.x.x-os.arch.rpm. Установка Tenable SecurityCenterДля установки SecurityCenter потребуется выполнить следующую команду от имени администратора root:rpm -ivh SecurityCenter-5.x.x-es6.x86_64.rpmЭта команда установит пакет в каталог /opt/sc и запустит все необходимые для работы домены и веб-службы. В некоторых случаях может потребоваться перезагрузка системы, чтобы произошел корректный запуск всех процессов.Первоначальная настройка Tenable SecurityCenterПосле установки SecurityCenter можно приступить к первоначальной настройке. Работа с приложением производится через веб-интерфейс, который доступен по HTTPS-протоколу. В браузере необходимо указать:https://<имя или адрес сервера SecurityCenter>После этого администратору откроется возможность выполнить быструю настройку:Добавить файл с лицензией (название имеет вид: НазваниеКомпании_SC-КоличествоIP>-<#>-<#>.key).Настроить соединения со сканером Nessus Professional (указывается имя хоста, порт, название и тип аутентификации).Настроить соединение с пассивным сканером Tenable Network Monitor (в случае, если на него имеется лицензия).Настроить соединение с LCE (Системой корреляции событий) в случае, если на него имеется лицензия).Создать репозиторий (база данных уязвимостей, которая определяется одним или несколькими диапазонами сканируемых IP-адресов).Настроить параметры организации (ввести наименование компании, адрес, контактные данные и др.).Настроить LDAP-конфигурацию (потребуется учетная запись с доступом на чтение из AD).Настроить учетные записи пользователей, которые будут иметь доступ к SecurityCenter.Все шаги проходятся последовательно, перед сохранением всех введенных параметров система отобразит их и предложит принять. Рисунок 1. После выполненных настроек Tenable SecurityCenter отобразит их и предложит продолжить работу Работа с Tenable SecurityCenter 5.6  Рабочая панель Tenable SecurityCenter включает в себя 7 основных элементов: Дашборд, Анализ, Сканирование, Отчеты, Активы, Рабочие процессы и Пользователи. При клике мышкой на каждый элемент открывается дополнительное меню. Рассмотрим элементы, с которыми работает администратор.Дашборды Tenable SecurityCenterДашборд — это первое, что видит пользователь после авторизации в SecurityCenter. На этой странице отображается сводная информация о наличии уязвимостей в инфраструктуре компании, о существующих событиях и другие данные, которые могут быть настроены самостоятельно. На дашборды можно выводить таблицы, линейные и круговые графики, матрицы и др. на основе данных по уязвимостям, событиям, инцидентам, пользователям и предупреждениям. Удобна возможность экспорта и импорта ранее созданных дашбордов. Рисунок 2. Пример дашборда в Tenable SecurityCenterАктивы в Tenable SecurityCenterВо вкладке «Активы» перечислены все списки активов, их параметры и атрибуты. Списки могут динамически изменяться и дополняться или (при соответствующей настройке) оставаться неизменными. В зависимости от структуры компании и полномочий сотрудников списки активов можно разделить среди нескольких ответственных.Группировка активов осуществляется по типу устройств — ноутбуки, серверы, планшеты, телефоны, по их свойствам, установленному ПО и др. Список динамических активов можно составить, например, на основе любых плагинов Nessus, после чего все устройства с положительным результатом проверки будут автоматически добавляться в список.Сканирование активов в Tenable SecurityCenterНа вкладке «Сканирование» можно создавать, просматривать, настраивать и управлять расписанием сканирования активов на наличие уязвимостей. На этой же вкладке можно открыть список всех запущенных процессов сканирования, где также будет видно название политики, время начала, статус, группа и владелец, расписание. Здесь же можно добавить новые устройства для активного сканирования или для работы агентов. Рисунок 3. В списке активного сканирования Tenable SecurityCenter можно сортировать значения по столбцамАнализ уязвимостей в Tenable SecurityCenterНа вкладке «Уязвимости» пользователю доступна информация для анализа уязвимостей в двух видах: совокупные данные и облегченные. Все показатели ранжируются в зависимости от уровня и представления — выше показаны наиболее сжатые показатели, а ниже максимально детализированные. При нажатии на кнопку «Анализ» и «Уязвимости» на экране появится информация из совокупной базы уязвимостей (для поиска в ней можно воспользоваться фильтром).Tenable SecurityCenter предлагает широкий выбор инструментов для анализа:Сводка по IP-адресам.Сводка по активам.Сводка по CCE (уязвимости в общей конфигурации устройств).Сводка по CVE (фильтр настроен на идентификаторы общих уязвимостей и подверженностей воздействиям).Сводка по DNS-именам.Список операционных систем.Список запущенных процессов и сервисов.Список SSH-серверов.Список программного обеспечения.Список веб-клиентов.Список веб-серверов.Сводка действий, необходимых для исправления уязвимостей и улучшений защищенности инфраструктуры.Список уязвимостей (обычный и расширенный). Рисунок 4. Уязвимости на вкладке «Анализ уязвимостей» ранжируются по степени критичности в баллахАнализ событий в Tenable SecurityCenterНа вкладке «События» находятся агрегированные события безопасности из журнала корреляции Tenable. Как и на вкладке «Уязвимости», здесь можно просматривать события в зависимости от настроенных параметров, например, активные или архивные, а также применять инструменты для анализа: сводки по активам и соединениям, датам, IP-адресам источника и назначения, протоколам, портам, сенсорам и др.  Рисунок 5. События в Tenable SecurityCenter можно просматривать в нескольких форматах Рисунок 6. В Tenable SecurityCenter можно просматривать события syslogОтчеты Tenable SecurityCenterВ Tenable SecurityCenter существует множество шаблонов для составления отчетов, которые, к тому же, можно гибко настраивать. Выгружать отчеты можно в различных форматах — PDF, RTF, CSV, что обеспечивает высокий уровень совместимости и простоту использования. Рисунок 7. Tenable SecurityCenter позволяет гибко настраивать отчеты Существуют и дополнительные параметры отчетности, такие как DISA ASR, DISA ARF и CyberScope, которые настраиваются администратором SecurityCenter. Любой отчет может выполняться автоматически в заданное время и отправляться на электронный адрес либо запускаться вручную, их можно копировать, а параметры использовать для повторной генерации. Рисунок 8. Графический отчет Tenable SecurityCenter по найденным уязвимостям за 25 днейРабочие процессы в Tenable SecurityCenterВ разделе «Рабочие процессы» (Workflow) содержатся параметры для оповещения и создания инцидентов (тикетов). Такая возможность позволяет ответственным администраторам своевременно получить уведомление и начать работу над уязвимостями и событиями. Рисунок 9. В Tenable SecurityCenter можно настраивать параметры оповещений и создания инцидентов SecurityCenter можно настроить таким образом, чтобы при определенных условиях система отправляла оповещения на электронную почту по выбранным уязвимостям, создавала оповещения в пользовательском интерфейсе, создавала или назначала инцидент, производила сканирование исправлений, запускала отчеты и отправляла данные по syslog.Assurance Report Cards в Tenable SecurityCenterВ SecurityCenter есть возможность просматривать так называемые Отчеты успеваемости (ARCs), предназначенные для того, чтобы руководители отделов информационной безопасности могли определять бизнес-цели в четких и сжатых терминах, выявлять и закрывать потенциальные пробелы в безопасности, а также обосновывать затраты на безопасность перед высшим руководством объективными данными от Tenable SecurityCenter.Каждый отчет (см. рисунок 10) представляет собой бизнес-задачу (business objective), разделяющуюся на политики (policy statements), определенные администратором безопасности или руководством. Эти политики оцениваются в SecurityCenter с помощью заданных контролей (underlying controls). Рисунок 10. Пример работы с ARCs в Tenable SecurityCenter Кроме того, разработчики SecurityCenter подготовили один встроенный Отчет успеваемости по критическим элементам управления (ССС — Critical Cyber Controls) на основе лучших практик управления защищенностью. Эти элементы представляют собой пять основ безопасности бизнеса:Периодическая инвентаризация аппаратного и программного обеспечения.Своевременное обновление программ, оборудования и облачных сервисов с целью устранения уязвимостей и ошибочных настроек.Построение защищенной сети.Ограничение пользователям прав доступа по принципу «что не разрешено, то запрещено».Поиск вредоносных программ и злоумышленников. ВыводыКомпания Tenable представила продукт, позволяющий централизованно управлять и аккумулировать информацию об уязвимостях и состоянии разрозненных активов в каждом сегменте организации. Несмотря на англоязычную документацию и интерфейс, работать с Tenable SecurityCenter удобно и интуитивно понятно за счет единой схемы представления данных. Множество отчетов и сводок позволяют получать только актуальную и требуемую в тот или иной момент информацию, что является крайне важным для руководителей. Так, например, в SecurityCenter можно просматривать график трендов событий за последние 24 часа. Вывод графиков на дашборды позволяет в любой момент обращаться к панели SecurityCenter и иметь возможность наблюдать оперативную обстановку. Важным преимуществом продукта являются встроенные политики безопасности на основе отраслевых, государственных стандартов, а также стандартов информационной безопасности. Особенностью решения является наличие отчетов успеваемости (ARCs), позволяющих отслеживать бизнес-цели и их выполнение. Для решения этой задачи в SecurityCenter уже имеется предопределенный набор критически важных элементов управления (ССС), который можно доработать под собственные политики и контроли.Однако стоит заметить, что продукт только начинает активно выходить на российский рынок. В связи с этим возникают некоторые особенности, такие как отсутствие документации на русском языке, а также сертификатов регулятора. Кроме того, продукта нет в реестре отечественного программного обеспечения.Достоинства: Гибкая настройка отчетов и дашбордов, возможность просмотра трендов за определенный период времени.Наличие отчетов успеваемости (ARCs) и предопределенного набора CCC.Возможность создания инцидентов и назначения их на сотрудников.Поддержка отраслевых и государственных стандартов, стандартов безопасности: PCI DSS, HIPAA/HITECH и NERC, FISMA, GLBA и SOX; CERT, СНГ, COBIT/ITIL, DISA STIGS и NIST.Наличие системы определения аномального поведения и интеграции с киберразвдекой Threat Intelligence (SecurityCenter Continuous View).Возможность аналитики поведения хостов (SecurityCenter Continuous View).Недостатки:Отсутствие встроенной поддержки отечественных стандартов.Отсутствует русская локализация.Отсутствие сертификата ФСТЭК России.

В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.      ВведениеМировой рынок криптошлюзовРоссийский рынок криптошлюзовРоссийские криптошлюзы4.1. Атликс-VPN («НТЦ Атлас»)4.2. ЗАСТАВА («ЭЛВИС-ПЛЮС»)4.3. «Континент» («Код Безопасности»)4.4. ФПСУ-IP (АМИКОН, «ИнфоКрипт»)4.5. ALTELL NEO («АльтЭль»)4.6. С-Терра Шлюз («С-Терра СиЭсПи»)4.7. Diamond VPN (ТСС)4.8. Dionis-NX («Фактор-ТС»)4.9. ViPNet Coordinator HW («ИнфоТеКС»)Зарубежные криптошлюзы5.1. Cisco ASA (Cisco VPN Solutions)5.2. F5 Networks VPN Solutions5.3. NetScaler (Citrix Systems)5.4. Pulse Secure (Juniper Networks)5.5. SonicWALLВыводы ВведениеКриптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:прозрачность для NAT;сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;обеспечение целостности и конфиденциальности IP-пакетов;аутентификация узлов защищенной сети и пользователей.Предприятия различного масштаба, государственные учреждения, частные компании — основные категории потребителей криптошлюзов.На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются. Мировой рынок криптошлюзовНепрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:защита распределенной корпоративной сети в различных топологиях;подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);защита канального уровня.На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:режим тонкого клиента;режим полного туннелирования;режим без клиента. Рисунок 1. Направления роста мирового рынка SSL VPN  Российский рынок криптошлюзовВ России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.К таким документам можно отнести следующие:Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).Одним из основных требований, предъявляемых к криптошлюзам, является наличие действующих сертификатов соответствия регуляторов рынка — ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если криптошлюз реализован с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89.Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются российские компании-вендоры средств криптографической защиты информации (СКЗИ).Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах:Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды».Это позволяет говорить о серьезной перспективе данного направления для производителей СКЗИ в части развития своих продуктов.Рассмотрим особенности некоторых российских и зарубежных криптошлюзов подробнее. Российские криптошлюзы Атликс-VPN («НТЦ Атлас»)Программно-аппаратный комплекс (ПАК) «Атликс-VPN» — продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) — микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию — 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, — КВ2. Рисунок 2. ПАК «Атликс- VPN»  «Атликс-VPN» имеет следующие действующие сертификаты соответствия:ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 4 классу защищенности.Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя.  ЗАСТАВА (ЭЛВИС-ПЛЮС)Программно-аппаратные комплексы ЗАСТАВА — разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран. ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью. По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам. ЭЛВИС-ПЛЮС принимает активное участие в этих работах и оперативно добавляет поддержку новых возможностей протокола в ПАК ЗАСТАВА.ЗАСТАВА состоит из трех отдельных компонентов:ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.Отличительные особенности:использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;поддержка не только отечественных криптографических алгоритмов, но и зарубежных — RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;аутентификация партнеров с использованием X.509-сертификатов;поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка — продукт ЗАСТАВА-Клиент.ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя.  «Континент» («Код Безопасности»)Аппаратно-программный комплекс шифрования «Континент» (АПКШ) — криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.АПКШ обладает следующими особенностями:поддерживает централизованное управление и мониторинг с помощью продукта «Центр управления сетью «Континент»;аппаратное резервирование АПКШ в целях реализации отказоустойчивой конфигурации;в модельном ряду АПКШ представлено исполнение для защиты информации в индустриальных системах;широкий модельный ряд с поддержкой скоростей шифрования от 10 Мбит/с до 3.5 Гбит/с при использовании standalone-решения (до 10 Гбит/с — при распределении шифрованного трафика между фермой из АПКШ);поддержка прозрачного объединения сетей на канальном уровне (L2 VPN);фильтрация трафика на уровне сетевых приложений (DPI);фильтрация команд протоколов HTTP, FTP;URL-фильтрация на основе статических списков и регулярных выражений;шлюзы средней и высокой производительности (от IPC-400 и выше) реализованы в форм-факторе 2U;в состав модельного ряда АПКШ входят платформы, имеющие в своем составе до 34 интерфейсов GbE, в том числе до 4 оптических 10 Gb SFP+, до 32 оптических 1 Gb SFP;в качестве VPN-клиента используется программный продукт «Континент-АП». Рисунок 3. АПКШ «Континент» IPC -3034  Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД — программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя.  ФПСУ-IP (АМИКОН, «ИнфоКрипт»)Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня — Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.ФПСУ-IP обладает следующими особенностями:поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;использует собственный VPN-протокол;в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках). Рисунок 4. Шлюз ФПСУ-IP  ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя.  ALTELL NEO («АльтЭль»)Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.ALTELL NEO обладает следующими особенностями:широкий модельный ряд аппаратных платформ различной конфигурации;аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP+ 10 GbE);производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN — от 14 Мбит/с до 1,4 Гбит/с. Рисунок 5. Шлюз ALTELL NEO 340  Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя.  С-Терра Шлюз 4.1 («С-Терра СиЭсПи»)Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее — ПК) на базе различных аппаратных платформ.СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки — С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».С-Терра Шлюз 4.1 обладает следующими основными особенностями:поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);возможна установка ПК С-Терра Шлюз на АП заказчика;производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует). Рисунок 6. С-Терра Шлюз 1000  С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:- ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;- ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;- ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 3 классу защищенности.Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя.  Diamond VPN (ТСС)Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.Основными особенностями являются:поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование — до 40 Гбит/с);высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP+);наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП. Рисунок 7. ПАК Diamond VPN/FW  ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя.  Dionis-NX («Фактор-ТС»)Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.Обладает следующими отличительными особенностями:производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя.  ViPNet Coordinator HW («ИнфоТеКС»)Программно-аппаратный комплекс ViPNet Coordinator HW разработан российской компанией «ИнфоТеКС» и представляет собой сертифицированный криптошлюз и межсетевой экран.ViPNet Coordinator HW обеспечивает защиту — шифрование данных, передаваемых по различным каналам связи с помощью построения VPN (как на сетевом, так и на канальном уровнях модели OSI — L3, L2 VPN) по ГОСТ 28147-89. ПАК позволяет организовать защищенный доступ как в ЦОД, так и в корпоративную инфраструктуру. ПАК средней и высокой производительности поставляются в форм-факторе 1U. Функционирует на базе адаптированной ОС Linux.ViPNet Coordinator HW обладает следующими особенностями:для построения VPN используется собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи, автоматический роуминг между каналами связи;поддержка работы в современных мультисервисных сетях (с использованием протоколов Cisco SCCP, H.323);производительность по шифрованию от 50 Мбит/с до 5,5 Гбит/с (для standalone-решений) в зависимости от модели;поддержка отказоустойчивой конфигурации (режим «активный/пассивный») для моделей среднего и высокого уровня (от модели HW1000);поддержка централизованного управления и удаленного обновления с помощью ПО ViPNet Administrator;поддержка взаимодействия с клиентскими компонентами (ПО ViPNet Client) на различных операционных системах (Windows, Linux, macOS, iOS, Android). Рисунок 8. ПАК ViPNet Coordinator HW1000  Производитель ПАК в своих решениях использует аппаратные платформы фиксированной конфигурации, что позволяет получить высокий класс криптозащиты (КС3) без использования дополнительных устройств, таких как аппаратно-программные модули доверенной загрузки (АПМДЗ).ViPNet Coordinator HW входит в реестр отечественного ПО (№2798) и обладает различными действующими сертификатами соответствия, в том числе:ФСБ России №СФ/124-2981, подтверждающим выполнение требований к шифровальным (криптографическим) средствам класса КС3;ФСБ России №СФ/525-3007, подтверждающим выполнение требований к межсетевым экранам 4 класса защищенности;ФСТЭК России № 3692, удостоверяющий, что ПАК является межсетевым экраном типа «А» и соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».Подробнее с информацией о ViPNet Coordinator HW можно ознакомиться на сайте производителя. Зарубежные криптошлюзыВ данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);ввоз по лицензии ФСБ России или Минпромторга России.В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены. Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.Отличительными особенностями являютсяРезервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.Поддержка технологий DMVPN, GET VPN, Easy VPN.Оптимизация защиты мультимедиа-трафика.Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации. Рисунок 9. Cisco Firepower 9300  Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.  F5 Networks VPN SolutionsF5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций. Рисунок 10. F5 Viprion 4800  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.  NetScaler (Citrix Systems)NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций. Рисунок 11. Citrix NetScaler MPX-8005  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.  Pulse Secure (Juniper Networks)Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000. Рисунок 12. Pulse Secure Appliance 7000  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.  SonicWALLSonicWALL — американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS. Рисунок 13. SonicWALL SuperMassive 9000 Series  В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя. ВыводыКриптографический шлюз — не только специализированное VPN-решение, но и многофункциональный продукт, решающий большой спектр задач информационной безопасности практически любого предприятия или государственного учреждения. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов.По данным статистического портала Statista.com, в 2014 году объем мирового рынка VPN составлял 45 млрд долларов США. При этом к 2019 году ожидается его рост до 70 млрд. Это позволяет говорить о том, что устройства для построения VPN станут год от года всё более востребованными.Несмотря на то, что на территории РФ процессы эксплуатации средств криптозащиты регулируются «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», у иностранных разработчиков все еще остается возможность предлагать свои продукты российским заказчикам. В соответствии с ПКЗ-2005, лишь участники обмена информацией (с рядом оговорок), если это не государственные учреждения, определяют необходимость ее криптографической защиты и выбирают применяемые средства криптозащиты.Вступление в силу с 1 января 2018 года Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ) обяжет компании и объекты КИИ и топливно-энергетического комплекса информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации. Такая законодательная инициатива создаст дополнительную возможность для роста сегмента средств криптозащиты в перспективе нескольких ближайших лет.Современные отечественные криптошлюзы всё быстрее получают функциональности (Next Generation Firewall, IDS, IPS, потоковый антивирус), ещё вчера предлагаемые лишь зарубежными производителями. Рост конкуренции, увеличение числа игроков на рынке позволяет заказчику быть в наиболее выгодном положении и выбирать то, что действительно соответствует его потребностям и возможностям. 

В обзоре рассмотрены решения класса Cloud Access Security Broker (CASB), выделены наиболее популярные в России — это решения от компаний Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft. Мы рассказали о том, что собой представляют эти решения, как развивается рынок брокеров безопасного доступа в облако, а также порассуждали о перспективах развития этого рынка в ближайшее время.   ВведениеРазвитие рынка облачных сервисов. ПроблематикаФункциональные возможности CASB3.1. Наглядность3.2. Защита данных3.3. Защита от угроз3.4. СоответствиеПринцип работы CASBМировой рынок решений CASBРоссийский рынок CASB и краткий обзор систем6.1. Cisco6.2. Oracle6.3. Palo Alto Networks6.4. Symantec6.5. MicrosoftВыводы ВведениеВ скором будущем организации будут все чаще строить свою работу за пределами периметра сети, соответственно, вектор по обеспечению информационной безопасности будет постепенно смещаться в сторону защиты облачной инфраструктуры и хранящихся в ней критически важных для бизнеса данных. Облака постепенно становятся преобладающей частью инфраструктуры компаний, количество облачных потребителей в ближайшие годы значительно увеличится, поэтому компаниям придется уделять пристальное внимание вопросам обеспечения безопасности доступа в облака и защиты данных, хранящихся в нем.C уверенностью можно предположить, что неминуема популярность решений класса  CASB (Cloud Access Security Broker), которые на данный момент занимают всего лишь 5% на рынке, но постепенно становятся все более востребованными, и, по данным ведущего аналитического агентства Gartner, эта цифра увеличится до 85% к 2020 году. Из обзора вы узнаете о технологии CASB, основных функциональных блоках, принципах работы и о рынке решений данного класса в целом. Развитие рынка облачных сервисов. ПроблематикаПо данным международной исследовательской и консалтинговой компании IDC, проникновение облачных приложений и процент перехода на облачные сервисы в зависимости от представленных на рынке приложений сейчас выглядит так (источник: IDC Public Cloud Services Tracker, Software Tracker, 2017): Рисунок 1. IDC. Cloud Applications. Functional Market Penetration Переход в облако значительно повышает гибкость работы сотрудников, предоставляя огромный портфель удобных инструментов, а также значительно снижает расходы на ИТ-инфраструктуру. В настоящее время сотрудники большинства компаний уже используют публичные облачные сервисы для выполнения своих рабочих задач и за пределами корпоративного периметра используют мобильные устройства для доступа к этим сервисам, без информирования об этом работодателя. Многие бизнес-единицы предприятий или линейные руководители приобретают для нужд своих отделов подписку на облачные сервисы напрямую, без участия ИТ/ИБ-департаментов и, соответственно, без проведения оценки риска использования этих сервисов, а также без учета возможного их влияния на соблюдение внутренних политик ИБ и соответствия требованиям внешних регуляторов. Эта форма «теневой ИТ» стимулирует не только рост использования неучтенных организацией облачных сервисов, но и соответствующие риски. Чтобы реализовать все преимущества облачных приложений, ИТ- и ИБ-департаментам требуется найти баланс между удобством использования облаков и обеспечением информационной безопасности при их использовании.Следовательно, несмотря на целый ряд преимуществ использования облачных сервисов, такая доступность большого количества различных облачных приложений и перенос данных в облака, наряду с большим количеством устройств, которые используются для доступа, создают для организаций проблему по обеспечению информационной безопасности. Решение такой проблемы — это  наиболее часто упоминаемый фактор, влияющий на успешность применения облаков, независимо от типов облаков и предоставляемых услуг. Рисунок 2. IDC CloudView Survey. Top Drivers of Cloud Adoption, April, 2017 Как видно из опубликованных данных опроса, проведенного агентством IDC, самый большой процент опрошенных проголосовали за необходимость улучшения информационной безопасности в облаках (n = 6,084 респондентов по всему миру, взвешенных по странам, размеру, сферам деятельности). При столь стремительном росте количества используемых облачных бизнес-приложений и популярности облачных услуг, в первую очередь, компании обращают пристальное внимание на характерные проблемы по обеспечению информационной безопасности при использовании этих приложений и услуг и пути решения этих проблем.   Рисунок 3. Проблемы безопасности облаков На рынке все еще остаются организации, которые исключают риски, связанные с облачными приложениями/сервисами, путем полной блокировки их использования. Но этот подход неэффективен и может оказать негативное влияние на уже устоявшиеся бизнес-процессы современных организаций, например, там, где сотрудники уже использовали в своей работе облачные сервисы.Поскольку уже сейчас большинство компаний все же переносят свои рабочие процессы в облако и все чаще прибегают к использованию облачных сервисов, возникает резонный вопрос: какие меры обеспечения безопасности необходимо предпринять, чтобы спокойно пользоваться облачными сервисами и не бояться переносить корпоративные данные в облака?Для решения вопросов по обеспечению информационной безопасности в облаках и соблюдения требований внутренних служб информационной безопасности и внешних регулирующих органов в части работы с облачными данными на рынке предлагаются решения класса Cloud Access Security Brokers (CASB) — брокер безопасности облачного доступа. CASB является одной из новых, но быстро развивающихся технологий облачной безопасности. Функциональные возможности CASBВыделим наиболее актуальные задачи по обеспечению безопасности использования облаков:видимость используемых облачных сервисов;контроль над их использованием;обеспечение защиты облачных данных от неправомерного искажения или удаления, предотвращение утечки информации;защита данных от внешних и внутренних угроз, передающихся  в облака и хранящихся на их стороне;защита от облачных вредоносных программ и их распространения.Системы CASB в начале своего развития были в основном сосредоточены на контроле доступа к бэк-офисным приложениям, поставляемым как Software as a Service (SaaS), таким как CRM, ERP, HR, совместное использование файлов (EFSS), облачные приложения типа G Suite и Microsoft Office 365 и службы технической поддержки (Service desk). Сейчас же область их применения включает в себя инструменты для контроля доступа к более широкому спектру облачных сервисов: Platform as a Service (PaaS) и Infrastructure as a Service (IaaS). Рисунок 4. Облачные сервисы Системы CASB помогают организациям контролировать облачные приложения и сервисы, как официально разрешенные политиками ИБ компаний к использованию, так и не разрешенных, считающимися неправомерными. CASB предоставляет видимость, необходимую для обеспечения безопасности облачных приложений, и возможность быстро и эффективно реагировать на внешние и внутренние угрозы. Ведущие аналитические агентства к этому классу решений относят следующие основные функциональные блоки: наглядность, защита данных, защита от угроз и соответствие требованиям регулирующих органов. Далее подробно опишем, какая функциональность может входить в каждый из этих блоков. Рисунок 5. Основные функциональные блоки CASBНаглядностьВ этот функциональный блок в первую очередь входит поиск и обнаружение всех используемых организацией разрешенных и неразрешенных облачных приложений и сервисов. Отсутствие наглядности используемых облаков приводит не только к тому, что нет видимости используемых ресурсов, но и нет понимания в целом, насколько компания подвержена рискам информационной безопасности в отношении перемещающихся в облако или хранящихся уже там  данных. Очевидно, что несанкционированное использование облаков в организациях, так называемое «теневое ИТ» может привести к потере критичных для компании данных или к различным вариантам негативного воздействия на них и на инфраструктуру организации в целом.После обнаружения всех используемых ресурсов в облаке, система CASB позволяет обеспечивать наглядное представление: к каким облачным приложениям/сервисам сотрудники имеют доступ и кто действительно пользуется этими сервисами, с каких именно устройств и какого местоположения. Далее позволяет провести анализ и оценить риски конкретных используемых облачных сервисов и принять необходимые меры по обеспечению безопасности. Рисунок 6. Основная функциональность блока НаглядностьЗащита данныхВ первую очередь, для обеспечения защиты данных CASB предоставляет инструменты управления правами доступа к облакам для предотвращения несанкционированного использования сервисов и неразрешенных приложений, контроля доступа к ресурсам с различных устройств, а также применения политик разграничения прав доступа к критичным данным.CASB контролирует доступ пользователей ко всем используемым облачным сервисам, в том числе предоставляет возможность не только разграничивать доступ к ним, но и запрещать использование определенных облачных сервисов, в зависимости от установленных политик ИБ каждой конкретной организации. Также CASB поддерживает различные политики разграничения прав доступа пользователей к данным, находящихся в облаках и, при необходимости, блокирует доступ к ресурсам с неавторизованных устройств и доступ к данным без соответствующих привилегий. Некоторые системы CASB предоставляют возможность интеграции с существующими на инфраструктуре системами IDM/IGA по управлению учетными записями и пользовательским доступом.С применением механизма поведенческого анализа UEBA решения класса CASB позволяют обнаружить аномальные активности с правами доступа или действия подозрительных учетных записей. Мониторинг событий в облаке и обнаружение подозрительных активностей, а также оповещения в режиме реального времени позволяют перехватить мошеннические действия, своевременно заблокировать такого рода активности и, при необходимости, учетные записи, для предотвращения дальнейшего распространения неправомерных действий.Во-вторых, CASB включает в себя возможность обнаружения критичных данных, хранящихся или перемещаемых в облачные сервисы, их категоризации и/или классификации и дальнейшего контроля над ними. Для предотвращения утечки важной информации изначально применяется поиск критичного контента и дальнейшая его защита в санкционированных облачных приложениях, а также обнаружение критичной информации на пути к несанкционированным приложениям и применение режима блокировки, в зависимости от настроек и установленных политик. Данная функциональность всецело повторяет функциональность систем класса DLP, только ориентирована на облачную среду. Некоторые CASB-системы не имеют встроенных DLP-функций, но могут использовать сторонние DLP-инструменты, предоставляя интерфейс взаимодействия через API ICAP или RESTful к существующим на сети DLP-системам. Некоторые CASB предлагают встроенные функции контроля и защиты данных DCAP (Data-Centric Audit and Protection) или также возможность интеграции.В-третьих, в качестве дополнительной защиты данных CASB представляет функциональность шифрования, или токенизации данных в облачных платформах. Полное или выборочное, настраиваемое шифрование структурированных полей в облачных приложениях, а также неструктурированных данных в облачных платформах и шифрование контента «на лету»,  обеспечивает дополнительную защиту данных. Злоумышленникам не очень интересны зашифрованные данные, их невозможно использовать оперативно в своих целях без дополнительных затрат на их расшифровку. В зависимости от конкретного вендора, решения CASB поддерживают разные типы шифрования данных и способы управления ключами. Рисунок 7. Основная функциональность по защите данныхЗащита от угрозСистемы класса CASB включают в себя функциональность по обнаружению, нейтрализации и устранению вредоносных программ в облачных платформах. Согласно недавним исследованиям Netskope и Ponemon Institute, одна из трех организаций подвержена влиянию вредоносного кода и не знает об этом. Более того, 31% организаций испытали негативные воздействия на свои критичные данные, вызванные облачными вредоносными программами. Рисунок 8. Типы зафиксированных облачных вредоносных программ в процентном соотношении, по данным Netskope Clould report, сентябрь 2017 г. Хакеры идут туда, где находятся менее защищенные и не менее ценные данные, а на сегодняшний момент это облако. В настоящее время наблюдается рост числа инцидентов, связанных с облачными вредоносными программами и вирусами-вымогателями в облаках. Это связано с тем, что вредоносы могут скрываться в облачных сервисах, и организации не могут защитить себя, потому что они либо не знают об использовании сотрудниками конкретного облачного сервиса с присущим в нем вредоносным кодом, или просто не контролируют его.В связи с тем, что пользователи многих организаций имеют неконтролируемый доступ к облачным приложениям/сервисам, которые могут быть изначально скомпрометированы или пользуются зараженными файлами в облаках, возникает риск быстрого распространения вредоносной программы по всему периметру корпоративной сети и нанесения более глобального ущерба организации. Например, скомпрометированные привилегированные учетные записи позволяют получить расширенный доступ ко всем облачным сервисам и данным организации, что позволит в дальнейшем злоумышленнику получить доступ и к локально расположенным данным и инфраструктуре в целом, например, при проведении целенаправленной атаки.CASB, в зависимости от решения конкретного производителя, предлагает различные методы предотвращения облачных угроз и кибератак, такие как поведенческая аналитика, антивирусное сканирование, применение машинного обучения для установления шаблонов поведения, использование аналитики угроз в реальном времени от поставщиков облачных сервисов. У некоторых производителей CASB-систем есть собственные аналитические центры, специализирующиеся на изучении облачных вирусов и специфики облачных атак, а также дающие возможность использовать дополнительные инструменты, например песочницу.Решение CASB обеспечивает возможность обнаружения, карантина и нейтрализации вредоносных программ, а также блокировки доступа к вредоносным облачным приложениям, регистрируя и наглядно отображая все подозрительные действия. Рисунок 9. Основная функциональность по защите от угрозСоответствиеНеобходимость соответствовать требованиям внутренних и внешних регуляторов не исчезает даже при частичном переходе организаций в облако. CASB помогает соблюдать установленные внутренние политики информационной безопасности и демонстрировать соответствие нормативным требованиям внешних регуляторов, обеспечивая комплексную защиту облачных ресурсов.Решение CASB предоставляет единую консоль визуализации, мониторинга и отчетности по всем используемым облачным приложениям и сервисам, единую бизнес-ориентированную платформу по реагированию и расследованию инцидентов информационной безопасности. Рисунок 10. Описание функционального блока Соответствие Принцип работы CASBCASB представляет собой унифицированный инструмент контроля за всеми облачными приложениями, ресурсами и сервисам, контролирует взаимодействие между облачными приложениями и внешним миром с помощью прокси-режима (Proxy) и/или API-режима, позволяющий выявлять потенциальные угрозы, и ориентирован на высокий уровень защиты облачной среды.Системы CASB могут разворачиваться как в локальной, так и в облачной среде, а также в гибридной комбинации с использованием локальных и облачных контрольных точек, в зависимости от потребностей и требований к построению систем безопасности конкретной организации. Внедрение CASB в облачном исполнении заметно более популярно, чем в локальном, и становится все более предпочтительным вариантом для большинства случаев использования. Тем не менее, локальные варианты развертывания имеют право на существование.В зависимости от конкретного вендора системы CASB, как упоминалось выше, поддерживают различные архитектурные возможности подключения к облакам:APIProxyГибридное исполнение Рисунок 11. Гибридное исполнение работы CASB Невозможно с ходу ответить на вопрос, какой подход к развертыванию CASB-решения является наиболее правильным. Все зависит от конкретной организации, от ландшафта используемых в ней облачных приложений/сервисов, от используемых ИБ-решений в инфраструктуре и от стратегии по обеспечению информационной безопасности в целом. Хотя стоит отметить, что Gartner в своем отчете Magic Quadrant for Cloud Access Security Brokers выделяет в фаворитах гибридный подход как наиболее полный по функциональным возможностям. В этом же отчете при желании можно почерпнуть более подробную информацию об упомянутых подходах, их достоинствах и недостатках. Мировой рынок решений CASBИз-за быстрого внедрения организациями облачных сервисов поставщики CASB-систем в настоящее время активно борются за лидерство. Большинство глобальных игроков систем информационной безопасности совершили покупки нишевых игроков, специализирующихся на облачной безопасности, тем самым пополнив свои портфели решениями класса CASB. Стоит упомянуть, что 3 января 2018 г. компания McAfee закрыла сделку по приобретению решения CASB компании Skyhigh Networks и тем самым расширила свой список предлагаемых решений одним из сильных продуктов этого класса.Ведущие аналитические агентства Gartner, KuppingerCole, IDC, Forrester в своих отчетах упоминают следующих вендоров в данном классе решений со своими подходами в реализации и функциональными возможностями: Таблица 1. Список CASB-решений  №ПроизводительНазвание решения1BitglassBitglass CASB2CensorNetCensorNet Unified Security Service, CensorNet Secure Web Gateway3CipherCloudCipherCloud Platform4CiscoCISCO Cloudlock5ForcepointForcepoint CASB6IBMIBM Cloud Security Enforcer7ManagedMethodsManagedMethods Cloud Access Monitor8MicrosoftMicrosoft Cloud App Security9NetskopeNetskope Active Platform10OracleOracle CASB Cloud Service11Palo Alto NetworksAperture (SaaS Security)12SkyFormationSkyFormation CASB13Skyhigh NetworksSkyhigh Security Cloud14SymantecSymantec CloudSOC15VaultiveVaultive Cloud Security Platform Лидерами же рынка решений класса CASB мировые аналитические агентства выделяют следующих производителей:1. По данным, опубликованнымGartner, лидерами рынка являются: Skyhigh NetworksNetskopeSymantec Рисунок 12. Gartner Magic Quadrant for Cloud Access Security Brokers, 2017 2. KuppingerCole выделает в категории Overall Leadership (лидеры по совокупности критериев) следующие компании:CipherCloudSkyhigh NetworksMicrosoftNetskopeSymantecOracle Рисунок 13. The rating for the Cloud Access Security Brokers market segment, KuppingerCole Report 2017 3. В отчете IDC отмечены следующие лидеры:Skyhigh NetworksNetskope Рисунок 14. IDC MarketScape Worldwide Cloud Security Gateways Vendor Assessment, 2017 4. На дату публикации данной статьи Forrester еще не выпустил обзор за 2017/2018 гг, поэтому используем данные отчета, опубликованного в конце 2016 года.Лидеры:Skyhigh NetworksSymantec Рисунок 15. Forrester Wave™: Cloud Security Gateways, Q4 ’16 Российский рынок CASB и краткий обзор системНа российском рынке CASB на данный момент представлены решения следующих западных вендоров: Cisco SystemsCisco Cloudlock представляет собой облачную CASB-платформу с API-ориентированным подходом к обеспечению безопасности в облаках и с поддержкой SaaS, IaaS, PaaS и IDaaS облачных сервисов. Брокер безопасного доступа к облачной среде Cloudlock, который мониторит более 10 миллионов пользователей и 1 миллиарда файлов ежедневно, обеспечивает прозрачность в использовании организацией облаков и предоставляет все необходимые меры по защите облачных приложений и данных от внешних и внутренних угроз. Тем самым предоставляя возможность безопасно пользоваться всеми преимуществами приобретенных и разработанных своими силами облачных приложений и сервисов и соблюдать требования внешних и внутренних регуляторов. Рисунок 16. Обзорная схема решения Cisco Cloudlock  Cisco выделяет следующие ключевые функциональные возможности своего решения CASB Cloudlock:Обнаружение и контроль приложенийCisco Cloudlock позволяет определить все используемые облачные сервисы/приложения (распознается свыше 250 тысяч приложений), подключаемые к корпоративной среде и провести анализ риска каждого из них, используя Cisco Community Trust Rating. Конкретные приложения могут быть занесены в черный или белый список, в зависимости от исходящего от них риска, что в дальнейшем позволяет контролировать действия вне белого списка и своевременно реагировать на обнаружение вредоносных приложений.Защита от угрозCisco Cloudlock защищает приложения, данные и учетные записи от компрометаций с помощью технологии UEBA, а также использует современные алгоритмы машинного обучения для выявления различных аномалий в облачной среде. Кроме того, Cisco Cloudlock обеспечивает дополнительную защиту от вредоносного кода за счет возможной интеграции с различными песочницами, например Cisco Threat Grid или Check Point Sandblast.Защита данныхCisco Cloudlock защищает от утечки информации в облаках через задействованный в решении движок DLP. Осуществляет непрерывный мониторинг облачных ресурсов с целью выявления и защиты критичных данных. В Cloudlock включено огромное количество преднастроенных политик, при несоблюдении которых срабатывает соответствующий процесс реагирования, например: шифрование, блокировка, карантин, а также различные уведомления.Безопасность разработанных облачных приложенийПлатформа Cisco Cloudlock CyberDev обеспечивает безопасность для самостоятельно разработанных  облачных приложений, позволяя использовать основную функциональность CASB по защите от компрометаций и потери данных. Использование cloud-native и API позволяет быстро интегрировать созданные приложения с популярными платформами IaaS, включая AWS.Контроль пользователейВ решении Cisco Cloudlock не только реализована технология UEBA, позволяющая контролировать поведение пользователей и отслеживать аномалии в нем, но Cloudlock также может консолидировать пользовательскую активность за счет интеграции с решениями класса IDaaS (например, Okta), подключаться к корпоративным приложениям, а также учитывать геолокационную информацию о местонахождении пользователей при принятии решений в области безопасности.Комплексное управлениеДля борьбы со сложными угрозами Cisco Cloudlock Cybersecurity Orchestrator, основанный на API, предоставляет возможность объединения всех потоков данных и обогащения security intelligence, что позволяет получить единую картину, понимание и контроль, а также единый подход к  защите данных, как в локальных, так и в облачных средах.ИнтеграцияЗа счет наличия функционального API Cisco Cloudlock имеет интеграцию не только с корпоративными средствами обеспечения кибербезопасности Cisco (например, Cisco ASA/Firepower), но и с широким спектром иных средств защиты информации, контроля и мониторинга — ArcSight, QRadar, Splunk, Okta, OneLogin и др.Подробнее с решением Cisco Cloudlock можно ознакомиться здесь. OracleOracle CASB Cloud Service — это облачная служба безопасности CASB, являющаяся посредником между потребителями и поставщиками облачных услуг, которая предоставляет компаниям обзор всего стека приложений и сервисов в облаке, обеспечивает наглядность бизнес-операций, происходящих за периметром организации и в целом обеспечивает безопасное использование облаков и соответствие требованиям регуляторов.Oracle CASB Cloud Service обеспечивает мониторинг, выявление угроз ИБ и оповещения в режиме реального времени, используя преднастроенные правила и анализ поведения пользователей (UBA). Готовые к использованию политики безопасности и контроль на базе API позволяют в короткий промежуток времени начать пользоваться Oracle CASB Cloud Service. Рисунок 17. Обзорная схема решения Oracle CASB Cloud Service Описание основной функциональности решения Oracle CASB Cloud Service:Видимость облаковOracle CASB Cloud Service обеспечивает полную прозрачность всего, что происходит в облаке, предоставляет видимость всех используемых сервисов и приложений, а также действия пользователей, активность устройств, что позволяет  быстро и эффективно реагировать на угрозы, направленные на множество облачных сервисов.МониторингПредоставляется функциональность по непрерывному мониторингу действий, конфигураций и транзакций в облаке, что позволяет своевременно обнаружить аномалии, характерные мошеннические действия в облачных приложениях или непреднамеренные/преднамеренные нарушения с правами доступа к облакам и данным, хранящихся в них.Прогнозная аналитикаПрименение методов моделирования (патентуются) для предупреждения угроз, которые оценивают риски по сотням векторов угроз для предоставления краткой сводки о потенциально возможных нарушениях.Безопасность данныхВозможность установки политик для обнаружения и предотвращения недозволенных действий с важным контентом в облаке. Отправка оповещений в режиме реального времени, шифрование и блокировка доступа к критичным данным в соответствии с этими политиками.Защита от угрозОбнаружение существующих угроз в облачной среде, прогнозирование и визуализация состояния в облаке во время атаки. Oracle CASB Cloud Service поддерживает расширенные возможности по обнаружению угроз за счет встроенной аналитики, используемого машинного обучения и расширенного поведенческого анализа. Подробнее с решением Oracle CASB Cloud Service можно ознакомиться здесь. Palo Alto NetworksPalo Alto Networks Aperture является брокером безопасности облачных приложений CASB, с фокусом на санкционированные SaaS-приложения. Решение защищает корпоративные облачные приложения и данные от различного рода угроз, внутри которого работают такие технологии как антивирус, песочница, DLP и др.  Для всех поддерживаемых облачных приложений Aperture позволяет сканировать содержимое на угрозы, автоматически классифицировать конфиденциальную информацию, выявлять нарушения политик распространения информации, отслеживать открытый доступ к данным, а также осуществлять мониторинг активностей в облаке и пр. Рисунок 18. Обзорная схема решения Palo Alto Networks Aperture Palo Alto Networks выделяет следующие функциональные преимущества в отношении своего решения Aperture:Простота использованияОблачный сервис Aperture подключается напрямую к облачным приложениям и не требует установки каких-либо компонентов в инфраструктуре заказчика, что позволяет просто и в короткие сроки начать пользоваться решением. Aperture напрямую связывается с приложениями SaaS для поиска и анализа поступающих данных, независимо от источника или местоположения.Видимость Aperture предоставляет полную видимость всех действий пользователей с данными, обеспечивая подробный анализ происходящего в SaaS-приложениях в режиме реального времени. Это дает возможность для проведения глубокой аналитики и быстрого определения рисков в отношении данных, пользователей или нарушений требований соответствия регуляторам.Предотвращение угроз Собственная песочница и Threat Intelligence WildFire, интегрированные с Aperture, обеспечивают защиту от известных вредоносных программ, а также позволяют выявить и блокировать неизвестные. Эта интеграция предотвращает распространение угроз через санкционированные приложения SaaS, исключая тем самым появление новой точки входа для проведения сложных атак.Подробнее с решением Palo Alto Networks Aperture можно ознакомиться здесь. SymantecCASB-платформа Symantec CloudSOC позволяет компаниям использовать облачные приложения, соблюдая принятые внутренние политики информационной безопасности и требования внешних регуляторов. CloudSOC обеспечивает видимость «теневого ИТ», защищает данные путем контроля доступа и шифрования, позволяет бороться с внутренними и внешними угрозами на основе анализа поведения пользователей и обнаружения вредоносных программ, и обеспечивает интеллектуальное реагирование на инциденты.Решение CloudSOC интегрируется с облачными приложениями с помощью API на основе Securlets, контролирует доступ пользователей с помощью облачного прокси на основе Gatelets и локального прокси ProxySG, которые получают данные о десятках параметров облачных  приложений (CASB Audit AppFeed). Источником логов сетевого доступа могут быть локальные прокси и фаерволы любых производителей, облачные прокси Web Security Services, а также агенты Symantec Endpoint Protection. Для обеспечения соответствия требованиям регуляторов логи сетевого доступа могут быть анонимизированы.Symantec CloudSOC использует уникальную технологию машинного обучения StreamIQ, которая извлекает гранулированные события из логов сетевого доступа в реальном времени и обеспечивает глубокую видимость и контроль транзакций в широком спектре облачных приложений. Рисунок 19. Обзорная схема решения Symantec CloudSOC Функциональные возможности платформы CloudSOC обеспечивают безопасность облачных приложений, включая:Снижение рисков и защита данныхСнижение рисков путем блокировки несанкционированных приложений, уведомлений о высокорискованных последовательностях действий пользователей, запрета сохранения и публикации критичного контента и пр. Автоматическое определение критичной информации в облачных приложениях и защита от утечки с помощью технологии CASB ContentIQ или Symantec DLP.Применение технологии UBAОбнаружение сомнительных действий пользователей и других аномальных активностей, таких как brute force атаки или атаки вирусов-шифровальщиков с помощью технологии UBA и подсчета рисков методом ThreatScore. Реагирование на инциденты путем соответствующих действий согласно установленным политикам при достижении пороговых значений.Защита от вредоносных программЗащита облачных приложений от вредоносных программ с использованием продвинутых технологий защиты при взаимодействии с облаками: репутационная база, антивирусный анализ, песочница.Подробнее с решением Symantec CloudSOC можно ознакомиться здесь. MicrosoftПлатформа Cloud App Security является важнейшей частью стека Microsoft Cloud Security. Это комплексное решение, которое помогает организациям полноценно использовать преимущества облачных приложений, а также сохранять контроль над облачной средой за счет повышенной прозрачности всех активностей в ней. Кроме того, оно повышает уровень защиты критически важных данных в облачных приложениях. Располагая средствами для обнаружения теневых ИТ-ресурсов, оценки рисков, применения политик, анализа активности и предотвращения угроз, организации могут более безопасно перемещаться в облака, сохраняя контроль над критически важными данными. Рисунок 20. Обзорная схема решения Microsoft Cloud App Security Основные функциональные блоки, которые Microsoft выделяет в своем CASB-решении:Исследование облачной среды (Cloud Discovery)Динамическое обнаружение и анализ всех облачных приложений, используемых в организации, а также мониторинг всех действий, связанных с использованием облаков. Cloud Discovery анализирует журналы трафика на основе каталога облачных приложений Cloud App Security, которые оцениваются по более чем 60 факторов риска. Это обеспечивает непрерывный контроль использования облачной среды, теневых ИТ-ресурсов и риска, который эти ресурсы представляют для организации.Защита данныхCloud App Security предоставляет функциональность по управлению и контролю доступа к облачным приложениям и данным в облаке, предотвращению утечки данных посредством упреждающей блокировки скачивания файлов, применяя политики DLP, настройки правил принудительного шифрования данных, хранящихся в облаке или скачиваемых из него, мониторинг и оповещения в режиме реального времени.Защита от угрозОбнаружение аномальных активностей в облаках и инцидентов, связанных с действиями вредоносов. Cloud App Security использует усовершенствованный эвристический механизм обнаружения аномалий, который позволяет профилировать среду и оповещать о любых подозрительных действиях по отношению к определенному базовому уровню, обеспечивая более детальное отслеживание состояния облаков для устранения рисков. Предоставляет гибкий механизм настройки политик и оповещений для получения максимального контроля над облачным сетевым трафиком.Подробнее с решением Microsoft Cloud App Security можно ознакомиться здесь. ВыводыCASB является решением, которое позволяет организациям предотвращать непредвиденные угрозы, создаваемые разнообразием облачных сервисов. Рассмотренный класс решений контролирует доступ, трафик, загрузку и хранение данных на облачных платформах, наглядно представляя информацию об использовании разрешенных и неразрешенных, в соответствии с установленными  политиками ИБ в каждой конкретной организации, облачных сервисов и приложений. CASB предотвращает несанкционированные действия пользователей с правами доступа, обнаруживает аномальную активность, в том числе связанную с действиями различных вредоносных программ.Несмотря на то, что в настоящее время рынок решений класса CASB еще находится на стадии развития, выбор поставщиков огромен. На мировом рынке уже представлены и активно используются компаниями различных сфер деятельности почти два десятка решений. Российский же рынок CASB пока на этапе формирования, но и на нем уже представлены решения глобальных производителей, а со стороны заказчиков замечен интерес к решениям данного класса. Учитывая растущий спрос на облачные сервисы, можно смело утверждать, что решения класса CASB будут актуальны и востребованы вскоре и на российском рынке.

Тематика платформ реагирования на инциденты (Incident Response Platforms, или IRP) набрала популярность в последние несколько лет — что подтверждает экспертная оценка. В этой статье мы определим, что такое IRP, и посмотрим, какое предложение IRP существует на рынке на начале 2018 года.     ВведениеОпределение предметной области и рынка платформ реагирования на инцидентыРоссийские поставщики платформ реагирования на инциденты3.1. Jet Signal3.2. R-Vision Incident Response Platform3.3. Security Vision Incident Response PlatformЗарубежные поставщики платформ реагирования на инциденты4.1. CyberBit4.2. IBMOpen-Source-платформы реагирования на инциденты5.1. Fast Incident Response (FIR)5.2. The HiveВыводы ВведениеРост популярности IRP вызван как видимыми бизнесу атаками (WannaCry, Petya, большие DDoS-атаки на российские банковские и государственные структуры), так и постепенным уменьшением объема доступной на рынке труда экспертизе по ИБ. Демографический кризис в сочетании с «клиповым» мышлением приводят к обмелению ранее обманчиво кажущегося безбрежным кадрового моря ИБ-талантов, и заставляет организации искать пути повышения КПД имеющегося персонала, а именно через разработку, внедрение и автоматизацию процессов ИБ, управления инцидентами и реагирования на инциденты, в частности.Особую актуальность тематика автоматизации реагирования приобрела из-за точности и скорости процедур и процессов реагирования. Ведь именно в этот момент счет идет на секунды — организации стремятся снизить время реагирования (а значит, понесенный ущерб) до минимального значения. Определение предметной области и рынка платформ реагирования на инцидентыОпределения IRP в зависимости от источника существенно различаются, но в целом IRP — это класс технологий, направленных на автоматизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Иногда поставщики называют IRP технологической основой для SOC — и с точки зрения рыночных практик с ними трудно спорить, ведь историческая основа для SOC SIEM потихоньку сходит с рынка, а понимание центральной роли log management (и концепции data lake в целом) на рынок еще не проникло в полной мере.Определяющими характеристиками IRP являются наличие функций по автоматизации жизненного цикла управления инцидентами (Incidents management & investigations) и определенная база знаний (Security Knowledge Base), ценятся также функции проведения киберучений (Wargames), автоматического реагирования на инциденты определенного типа (Active Response) и интеграции с различными источниками данных об угрозах (например, платформами управления информацией об угрозах — Threat Intelligence Management Platforms),  что позволяет определить IRP как пересечение четырех множеств на рисунке 2. Рисунок 1. Модель IRP аналитического центра Anti-Malware.ru версии 1.0  Каждое из направлений  IRP имеет свою специфику, например, автоматизация процессов ИБ (incident workflow management & orchestration) предназначена и имеет функции для поддержки достижения трех целей:Контроль качества работы аналитиков в части классификации инцидентов и определениях их статуса (false positive) — архив инцидентов и кастомизируемые карточки инцидентов.Контроль оперативности работы аналитиков — контроль выполнения SLA.Повышение полезной нагрузки на аналитика — автоматическое распределение и назначение инцидентов.На рисунке 2 приведен пример функциональности IRP, что поддерживает процессы реагирования на инциденты ИБ: Рисунок 2. Пример функциональности IRP, поддерживающей процессы реагирования на инциденты ИБ  Рынок IRP включает в себя российских и зарубежных поставщиков решений, а также возможно использовать различные Open-Source-решения. Российские поставщики платформ реагирования на инцидентыРынок IRP в России представлен в первую очередь российскими поставщиками. Особой специфики в российском рынке IRP автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.Jet SignalОдним из наиболее молодых игроков на рынке IRP стала компания «Инфосистемы Джет». Компания давно известна своей способностью создавать продукты ИБ — на ее счету Dozor Jet, Jet InView, «Тропа» и много других, и несмотря на выделение вендорского ИБ-бизнеса в компанию Solar Security в 2015, «Джет» продолжает создавать новые продукты ИБ.Вендор позиционирует Jet Signal как систему класса IRP — технологическую платформу для создания SOC, основные задачи которой — управление инцидентами ИБ на всех этапах жизненного цикла: сбор событий ИБ от подсистем ИБ, SIEM, неавтоматизированных источников, управление планами реагирования, автоматизация расследования, организация работы дежурных смен, ведение базы знаний, систематизация данных Threat Intelligence и т. д.Достоинства:Архитектура — как новое на рынке решение, система не имеет legacy-кода.Киберучения — система позволяет проводить киберучения для подразделения мониторинга ИБ (нет отдельного модуля но можно создать синтетический инцидент).Сертификация — система имеет сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны и поддерживает комплекс средств защиты Astra Linux. Рисунки 3, 4, 5. Возможности модулей Jet Signal и интерфейс Jet Signal  R-Vision Incident Response PlatformR-Vision IRP стал результатом развития R-Vision GRC в сторону автоматизации процессов мониторинга и реагирования на инциденты ИБ, поэтому в решении традиционно сильны компоненты работы с активами, а за счет длинного присутствия на рынке R-Vision GRC многие функции решения достигли промышленной зрелости и решение разворачивается из коробки — вендор готов проводить пилотные проекты для многих клиентов.Однако стоит отметить, что любая кастомизация предполагает затраты с каждой из сторон, поэтому запросы на добавление функциональности решения определенно будут учтены, но могут быть не приняты вендором без дополнительной оплаты.Достоинства:Опыт проектов в России — источники в индустрии и публичные выступления (например, кейс МТС-банка на Сколково CyberDay 2017) свидетельствуют о значительном опыте вендора по автоматизации процессов реагирования на инциденты ИБ в России в организациях разного масштаба — например, банки топ-50, банки топ-10, государственные структуры.Интеграция — R-Vision инвестировал миллионы в интеграцию с самыми разными средствами защиты информации, некоторые консоли управления от вендоров интегрируемых систем отображают меньше информации, чем R-Vision.Наличие готовых скриптов реагирования (cmd, sh script, Power Shell) и возможность добавления собственных (cmd, sh script, Power Shell , а также в средах python, java и perl).Динамические playbooks. Возможность включения в цепочку действия, результат которого будет зависеть от результата предыдущего.Наличие функциональности по управлению активами и уязвимостями — редкий функциональный блок для классических, прежде всего, западных IRP-решений. Благодаря взаимосвязи указанных блоков с блоком управления реагированием на инциденты значительно повышается эффективность работы аналитиков SOC при расследовании инцидентов, устранении их последствий, установлении причин или оценке ущерба. Рисунки 6, 7, 8, 9. Архитектура и интерфейс R-Vision IRP    Security Vision Incident Response PlatformКомпания Security Vision работала над базовыми функциями IRP, когда аббревиатуры IRP не существовало на российском рынке, одни из первых автоматизировали жизненный цикл управления инцидентами на примере Сбербанка России, где решение находится в промышленной эксплуатации более 3 лет.Для реагирования на инциденты (Active Response) решение использует автоматические планы реагирования и отдельное приложение «Агент реагирования», который является логическим продолжением и развитием собственной системы управления инцидентами ИБ (системы SGRC).  База знаний накапливает знания и позволяет проводить автоматический анализ ранее случившихся инцидентов безопасности и помогает в принятии решений. Функции проведения киберучений (Security Awareness), используется для повышения осведомленности сотрудников компании об информационной безопасности. Агентная и безагентная интеграция с различными источниками данных с поддержкой более 2000 источников (форматы CSV, email, STIX, XML, JSON, и др.) Интеграция для получения фидов на примере IBM X-Force и GIB, GovCERT.Достоинства:Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Развитые средства визуализации и карта инцидентов ИБ (геоинформационная подсистема с проекцией 3D).Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». Имеется автоматическое реагирование в соответствии с runbook/playbook/use case.Высокая надежность, подтвержденная проектами федерального значения (крупнейший SOC в Восточной Европе, SOC госорганов). Наличие агентов для инвентаризации, контроля целостности, доступности и реагирования, что позволяет дополнять функции классической IRP.SIEM-система Security Vision имеет конструктор простых правил корреляции.Наличие функций управления активами, в том числе ИТ-активами.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.Ожидается получение сертификата ФСТЭК России. Рисунки 10, 11, 12, 13. Интерфейс Security Vision    Зарубежные поставщики платформ реагирования на инцидентыНесколько лет назад приобрести IRP от зарубежного игрока в России было непросто. Продвигая IRP, еще в 2014 году автор сталкивался как с малым интересом вендоров к России, так и с отсутствием у нас представительств и дистрибуторов. Приходилось выкручиваться с помощью ITSM\BPM-игроков, но с той поры стало легче — на рынок вышло 2 полноценных игрока.При этом до конца неясно, появился ли у зарубежных игроков реальный интерес к рынку — их в стране всего два, в том числе ни одного представительства специализированной (pure play) IRP-компании. Сегмент представлен эксклюзивным дистрибутором CyberBit (IITD Group) и IBM, что ранее приобрела Resilient Systems.CyberBitИзраильская компания CyberBit была основана в 2015 году для защиты корпоративных и критичных (АСУ ТП) инфраструктур от наиболее продвинутых угроз, возможно, ранее являясь внутренним подразделением израильского оборонного концерна Elbit (сейчас его дочерняя компания). Кроме IRP (CyberBit SOC3D) в портфеле решений компании возможно найти EDR, SCADA Security и даже решение класса Cyber Range, что предназначено для имитации корпоративной инфраструктуры при проведении упражнений RedTeam — BlueTeam.Вендор декларирует наличие ключевых для IRP-решения функций автоматического реагирования на инциденты ИБ и управления и контроля обработки инцидентов и тикетов ИБ (подозрений на инциденты), но вынес функциональность киберучений в отдельное решение Cyber Range.Вендор не разглашает своих клиентов, несколько неожиданно комбинируя на своем сайте клиентов с партнерами, поэтому при оценке решения желательно запросить истории успеха.Достоинства:Специализированный портфель решений — вероятна синергия при условии приобретения пакетом.Глобальный опыт — офисы в Израиле, США, Великобритании, Германии и Сингапуре позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Новый на российском рынке бренд и молодая компания — позволяет надеяться на ценовую лояльность производителя.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений. Рисунки 14, 15, 16. Интерфейс IRP-решения компании CyberBit   IBMВ 2016 году известная своим широким портфелем ИБ-решений компания IBM приобрела самого известного IRP-вендора — Resilient Systems. Компания реализует, возможно, наиболее функционально полное на рынке решение, однако рыночные и открытие источники (например, нашумевший тендер в Пенсионном фонде России) свидетельствуют о соответствии цены функциональным возможностям. Видимо, цена не смущает действительно крупные организации — вендор заявляет о присутствии решения в 100 организациях из списка Fortune 500.      Достоинства:Широкий портфель решений — вероятна синергия при условии приобретения пакетом или наличия ранее приобретенных решений IBM.Глобальный опыт — многочисленные офисы IBM по миру позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Сильный бренд — «еще никого не уволили за то, что он купил IBM».Функциональное лидерство на российском рынке. Рисунки 17, 18. Схемы работы Resilient Systems компании IBM   Open-Source-платформы реагирования на инцидентыБесплатные решения с открытым исходным кодом (Free Open Source Solutions, FOSS^ или открытые решения) набирают популярность в разных категориях — от операционных систем и виртуализации до прикладных задач безопасности. Ввиду разработки небольшими коллективами энтузиастов FOSS могут развиваться и решать определенные задачи ИБ даже более полно, чем традиционные коммерческие решения от забюрократизированных гигантов — например, тесно интегрируются с TIMP, нативно поддерживают .Fast Incident Response (FIR)В 2014 году CERT Societe Generale (команда быстрого реагирования на инциденты ИБ глобальной банковской группы французского происхождения) выложила в открытый доступ платформу Fast Incident Response для учета и управления инцидентами ИБ.FIR является наиболее функционально простым решением из решений обзора и даже может быть исключен из класса IRP по формальным основаниям. Фактически в решении реализованы лишь процессы управления инцидентами. Однако такой набор функциональности востребован многими организациями среднего размера, которые еще не осознали пользу от развитых процессов и технологий для оптимизации реагирования на инциденты. Вместе с этим в наличии и продвинутая функция — интеграция с TIMP YETI.Открытые IRP-решения несколько концептуально противоречивы — IRP предназначены для повышения эффективности работы аналитиков, однако перед выбором открытого решения стоит определиться, кто из аналитиков (инженеров) будет поддерживать такое решение, неизбежно отвлекаясь тем самым от мониторинга угроз ИБ.Достоинства:Простота — решение быстро разворачивается и обучать его использованию просто.Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Технологическая гибкость — открытый код, распространенный язык программирования (Python) и небольшой размер кодовой базы позволяют подправить код самостоятельно при наличии соответствующих компетенций. Рисунки 19, 20, 21. Интерфейс платформы Fast Incident Response     The HiveВ 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу The Hive для поддержки расследований инцидентов ИБ.The Hive плотно интегрирована с целым рядом смежных решений для поддержки расследования инцидентов ИБ — платформой по управлению информацией об угрозах MISP, специализированным поисковиком Cortex и агрегатором информации об угрозах Hippocampe.Достоинства:Развитие — решение быстро развивается и обрастает новыми сервисами в рамках единой экосистемы.Расследования — за счет плотной интеграции с техническими средствами расследования The Hive оптимален для Threat Hunting (поиска и расследования сложных угроз).Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Интеграция с любым внешним источником (SIEM, IPS, DLP и т. д.) через TheHive4py. Рисунки 22, 23, 24. Платформа The Hive      ВыводыСегодняшний рынок IRP находится еще в своем младенчестве — в России пока лишь десятки клиентов, кому тема интересна и кто готов за нее платить. Однако спрос в основном еще не квалифицирован, а решений мало, поэтому поставщики решений получают премиальную маржу, а развитие функциональности за счет такой маржи идет впечатляющими темпами.Несмотря на молодость рынка на нем уже есть 7 решений с достаточной для выполнения базовых задач функциональностью. Российские поставщики решений обладают уникальными функциями (управление активами и сканирование сети, собственные агенты) либо лучшими функциями на уровне мировых конкурентов (киберучения), зарубежные пока только присматриваются к рынку, а открытые решения угрожают забрать рынок среднего бизнеса у коммерческих — они проще в использовании, разворачиваются быстрее, чем некоторые коммерческие, и не требуют закупки программного обеспечения или обоснования приобретения ПО не из реестра Минкомсвязи.Отдельная тема — контентные базы и референсные библиотеки процессов из коробки. Архитектура и функциональные возможности решений во многом формируются стихийно, и даже мировые лидеры не в состоянии принести клиентам детальный стек проработанных процессов управления инцидентами — процессы «допиливаются» прямо на клиенте. Качественные процессные модели неминуемо станут конкурентным преимуществом для тех игроков, что будут в состоянии их разработать. Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:   Jet SignalАндрей Янкин, заместитель директора Центра ИБ ЗАО «Инфосистемы Джет»R-VisionИгорь Сметанев, коммерческий директор ООО «Р-Вижн»Security VisionРуслан Рахметов, генеральный директор ООО «Интеллектуальная безопасность»Роман Овчинников, инженер ООО «Интеллектуальная безопасность»

В последние годы спрос на технологию SIEM высок. Компания Fortinet представляет на рынке SIEM единую систему сбора и анализа событий информационной безопасности FortiSIEM. Продукт предоставляет заказчику полнофункциональные панели мониторинга, гибкий механизм сбора журналов, управление функциями анализа угроз, контроль за состоянием корпоративной сети предприятия, в том числе за распределенной. FortiSIEM осуществляет взаимодействие с сетевыми устройствами, устройствами безопасности различных производителей, облачной и виртуальной инфраструктуры, серверами и рабочими станциями.  ВведениеФункциональные возможностиВарианты поставки FortiSIEMАрхитектура FortiSIEM и источники входных данныхСценарии внедрения FortiSIEM5.1. Внедрение автономного супервизора — «Все-в-одном»5.2. Внедрение супервизора и кластера обработчиков — частично распределенное внедрение5.3. Внедрение супервизора и коллекторов — распределенное внедрение5.4. Распределенное внедрение с обработчикамиОсновные возможности FortiSIEM по управлению информационной безопасностью6.1. Мониторинг событий6.2. Мониторинг состояний и производительности6.3. Анализ событий6.4. Обнаружение вредоносных программ6.5. Управление угрозамиСхемы лицензирования FortiSIEMВыводы ВведениеFortiSIEM — это комплексное, масштабируемое средство управления безопасностью, производительностью и обеспечением соответствия требованиям всех компонентов инфраструктуры, способное работать как с облаками, так и с интернетом вещей (IoT). Решение FortiSIEM направлено на снижение сложности обнаружения угроз при повышении эффективности системы безопасности. SIEM-система такого уровня направлена на защиту не только информации, но и репутации клиентов, снижая негативные последствия от угроз и противодействуя возникновению новых атак.FortiSIEM является развитием известной и зарекомендовавшей себя на рынке SIEM-системы компании AccelOps, которую Fortinet приобрела в 2016 году. Fortinet добавила к классической SIEM-системе ряд своих запатентованных технологий:распределенной корреляции событий в режиме реального времени;автоматизированного обнаружения инфраструктуры и приложений (CMDB);настраиваемой обработки журналов.FortiSIEM поддерживает интеграцию со сторонними устройствами, опрашивая инфраструктуру о возникающих событиях безопасности, логах, производительности и т. д. При этом FortiSIEM позволяет общаться с внешними системами управления уязвимостями и оповещения об обнаруженных уязвимостях и таким образом расширять возможности по противодействию и защите от них.FortiSIEM является частью фабрики безопасности Fortinet Security Fabric, то есть другие средства защиты Fortinet могут быть интегрированы с FortiSIEM и обмениваться с продуктом информацией, в том числе и об обнаруженных уязвимостях. Рисунок 1. FortiSIEM в концепции Fortinet Security Fabric Система FortiSIEM располагается на границе отдельных технологий SOC (Security Operations Center) и NOC (Network Operations Center), позволяя использовать кросс-корреляцию информации от одного и от другого и повысить эффективность взаимодействия между SOC и NOC, снижая время на расследование инцидентов информационной безопасности. Функциональные возможностиFortiSIEM представляет собой комплексное и масштабируемое корпоративное решение, обеспечивающее охват сети от IoT до облака и включающее в себя запатентованные аналитические инструменты, которые обеспечивают эффективное управление сетевой безопасностью и производительностью в режиме реального времени.Основные возможности FortiSIEM:Поддержка широкого множества сторонних устройств и приложений.Масштабируемый и гибкий сбор журналов:сбор, обработка, хранение, нормализация, индексирование и корреляция событий безопасности с поддержкой десятков тысяч событий в секунду (один супервизор — в едином исполнении до 20000 EPS, с возможностью масштабирования до необходимого объема);поддержка большого количества систем безопасности и API поставщиков (локальных и облачных);сбор событий при помощи агентов Windows, мониторинг целостности файлов, изменений установленных программ и изменений реестра;мониторинг целостности файлов при помощи агентов Linux;создание и изменение средств синтаксического анализа (шаблонов XML) в рамках графического интерфейса и предоставление доступа другим пользователям при помощи функции экспорта/импорта.Уведомление и управление инцидентами:построение инфраструктуры уведомления об инцидентах на основе политик;возможность запуска сценария обновления в случае возникновения указанного инцидента;интеграция на основе API с внешними системами отправки запросов — ServiceNow, ConnectWise и Remedy;встроенная система отправки запросов.Предоставление пользователю полнофункциональных настраиваемых панелей мониторинга:настраиваемые в режиме реального времени панели мониторинга с функцией прокрутки слайд-шоу для демонстрации ключевых показателей эффективности;генерация отчетов и аналитических данных, доступных для коллективного использования сотрудниками организаций и пользователями;цветовая маркировка для оперативного выявления критических проблем;специализированные многоуровневые панели мониторинга для бизнес-служб, виртуализированных инфраструктур и специальных приложений.Интеграция внешних данных об угрозах:предоставление API для интеграции внешних источников данных об угрозах — доменах с вредоносными программами, IP-адресах, URL-адресах, хэшах, узлах Tor;интеграция популярных источников данных об угрозах — ThreatStream, CyberArk, SANS, Zeus;технология обработки больших объемов данных об угрозах —добавочная загрузка и распространение в рамках кластера, сопоставление шаблонов с сетевым трафиком в режиме реального времени.Предоставление масштабируемой функции анализа:поиск событий в режиме реального времени;поиск по ключевому слову и обработанным атрибутам события;поиск исторических событий — запросы по типу SQL с булевыми условиями фильтрации, группировка по соответствующим агрегированиям, фильтрация в зависимости от времени суток, сопоставление регулярных выражений, вычисляемые выражения — графический интерфейс и API;триггер для шаблонов сложных событий в режиме реального времени;использование обнаруженных объектов CMDB, данных пользователя/удостоверения и сведений о расположении в процессе поиска и создания правил;планирование составления отчетов и доставка результатов ключевым сотрудникам с помощью электронной почты;поиск событий в рамках всей корпоративной сети либо физического или логического домена составления отчетов;динамически изменяющиеся списки отслеживания, предназначенные для выявления критических нарушений — поддерживается использование списков отслеживания для создания правил составления отчетов;масштабирование каналов аналитических данных за счет добавления рабочих узлов без простоя;возможность развертывания функции определения приоритета в процессе составления отчетов об инцидентах с помощью критических бизнес-служб.Задание базовых показателей и выявление статистических аномалий поведения конечной точки/сервера/пользователя.Интеграция внешних технологий:интеграция с любым внешним веб-сайтом в целях поиска IP-адреса;интеграция на основе API для внешних источников данных об угрозах;двухсторонняя интеграция на основе API с системами служб поддержки — мгновенная поддержка ServiceNow, ConnectWise и Remedy;двухсторонняя интеграция на основе API с внешней CMDB — мгновенная поддержка ServiceNow и ConnectWise;поддержка Kafka для интеграции с усовершенствованными средствами составления аналитических отчетов (ELK, Tableau, и Hadoop);предоставление API для простой интеграции с системами подготовки;предоставление API для добавления организаций, создания учетных данных, инициализации обнаружения, внесения изменений в процесс мониторинга событий. Варианты поставки FortiSIEMПродукт доступен в качестве физического или виртуального устройства (FortiSIEM Virtual Appliance) или как облачный сервис (FortiSIEM Cloud via BYOL in the AWS Market Place). Рисунок 2. Линейка физических устройств FortiSIEM Таблица 1. Характеристики физических устройств FortiSIEM FortiSIEM 500F CollectorFortiSIEM 2000F SupervisorFortiSIEM 3500F SupervisorФорм-фактор1 юнит2 юнита4 юнитаПроцессорIntel Xeon E3-1225V3 4C4T3,2 ГГцIntel Xeon E5-2620V3 6C12T2,40 ГГц2x Intel Xeon E5-2680V2 10C20T2,80 ГГцСетевые интерфейсы4 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ452 слота 1 Гбит Ethernet SFP (оптика)Объем жесткого диска3 ТБ (1 x 3 ТБ)36 ТБ (12 x 3 ТБ)72 ТБ (24 x 3 ТБ)Оперативная памятьDDR3 16 ГБ (2 x 8 ГБ)DDR3 32 ГБ (4 x 8 ГБ)DDR3 64 ГБ (8 x 8 ГБ)Высота х Ширина х Длина (мм)43 x 437 x 50389 x 437 x 648178 x 437 x 660Вес (кг)1426,342,5 Архитектура FortiSIEM и источники входных данныхАрхитектура FortiSIEM представляет собой иерархическую структуру, которая строится на базе различных элементов в зависимости от местоположения системы (собственная инфраструктура, облако, ЦОД) и объема обрабатываемых данных. Рисунок 3. Архитектура FortiSIEM Основным элементом FortiSIEM является супервизор (Supervisor), на котором располагаются все службы по обработке, веб-сервер, сервер приложений, сервер баз данных, интерфейс решения. Далее идут обработчики (Workers), занимающиеся аналитикой и отвечающие за часть событий безопасности, снимая нагрузку с супервизора. Следующим элементом архитектуры являются коллекторы (Collectors), собирающие и нормализующие события на удаленных узлах для дальнейшей передачи данных с инфраструктуры на обработчики и супервизор. Таблица 2. Сравнение технологий сбора данных FortiSIEM Безагентная технологияАгентОбнаружение+ -Мониторинг производительности+ -(Низкая производительность) Сбор журналов системы, приложений и безопасности+ -(Высокая производительность) Сбор журналов системы, приложений и безопасности -+Сбор журналов DNS, DHCP, DFS, IIS -+До 1800 событий в секунду/низкая потеря ресурсов сервера, низкая задержка -+До 500 агентов на диспетчер агентов -+Локальная обработка и нормализация времени -+Выявление установленного ПО -+Мониторинг изменений реестра -+Мониторинг целостности файлов -+Мониторинг файлов журнала клиента -+Мониторинг вывода команд WMI -+Мониторинг вывода команд PowerShell -+ FortiSIEM поддерживает безагентную технологию сбора данных, однако для более подробного сбора данных и точного мониторинга применяются средства Fortinet Windows Agents и Fortinet Agent Manager, установленные на конечных станциях пользователей и серверах.В качестве источников событий для FortiSIEM выступают все продукты Fortinet, функционирующие под управлением FortiOS (FortiGate, FortiMail, FortiSandbox, FortiWeb, FoetiAP, FortiManager, FortiSwitch). Подключение осуществляется по SNMP, Telnet, SSH, Syslog и другим поддерживаемым протоколам.FortiSIEM имеет административный доступ к операционной системе устройств Fortinet, позволяющий:снимать конфигурации устройств и хранить у себя эталоны конфигураций;коррелировать события, связанные с изменениями этих конфигураций, и отвечать на вопросы, кто, когда и что сделал;проводить текущий мониторинг производительности и состояния устройств, интерфейсов, памяти и процессоров и отслеживать загрузку;осуществлять интеграцию с фабрикой безопасности Fortinet Security Fabric для обмена информацией о найденных уязвимостях.На данный момент FortiSIEM поддерживает подключение к более чем 380 устройствам различных типов сторонних производителей для доступа к конфигурациям, текущему мониторингу производительности и состояния, отслеживанию загрузки. Типы устройств и приложений:сетевые устройства, к числу которых относятся коммутаторы, маршрутизаторы, точки доступа беспроводных сетей и другое оборудование;устройства безопасности — межсетевые экраны, сетевые системы IPS, веб-шлюзы и шлюзы электронной почты, средства защиты от вредоносных программ, сканеры на наличие уязвимостей и другое оборудование;серверы, в том числе Windows, Linux, AIX, HP UX;инфраструктурные службы, в том числе DNS, DHCP, DFS, AAA, контроллеры доменов, VoIP;ориентированные на пользователей приложения, к числу которых относятся веб-серверы, серверы приложений, почтовые системы, базы данных;устройства хранения, в том числе NetApp, EMC, Isilon, Nutanix, Data Domain;облачные приложения, в число которых входят AWS, Box.com, Okta, Salesforce.com;облачные инфраструктуры, в том числе AWS;устройства среды, в число которых входят UPS, HVAC, устройства аппаратного обеспечения;средства виртуализации, в том числе VMware ESX, Microsoft HyperV.Интеграция FortiSIEM со сторонними устройствами осуществляется за счет поддержки большого числа протоколов: FTP (FTP over SSL), HTTP, HTTPS, IMAP (IMAP over SSL), JDBC, JMX, LDAP (LDAP start TLS), LDAPS, SMTP, SMTPS, SSH, TELNET, SNMP, VM SDK, Syslog. Сценарии внедрения FortiSIEMАрхитектура FortiSIEM предполагает ряд вариантов внедрения для предприятий любого масштаба и поставщиков услуг.Внедрение автономного супервизора — «Все-в-одном»Это самый простой вариант развертывания, в котором один супервизор осуществляет всю работу по сбору, мониторингу, обработке и анализу данных и отслеживанию возникающих инцидентов безопасности. Супервизор может использовать локальное или NFS-хранилища в зависимости от требований к хранилищу данных событий. Для повышения точности мониторинга на рабочих станциях и серверах могут использоваться Windows Agents и Agent Manager. Рисунок 4. Сценарий внедрения FortiSIEM с одним супервизором «Все-в-одном»Внедрение супервизора и кластера обработчиков — частично распределенное внедрениеПо мере увеличения количества контролируемых устройств или темпа роста событий один супервизор может не справиться с нагрузкой. В этом случае разворачивается один обработчик или кластер обработчиков, которые обмениваются данными с супервизором через общую базу данных (NFS). Обработчики являются stateless-узлами (не сохраняют информацию о предыдущих взаимодействиях, каждый запрос на взаимодействие обрабатывается исключительно на основе информации, приходящей с ним) и могут быть легко добавлены или удалены из кластера по мере необходимости.В кластере узлы супервизора и обработчиков выполняют определенные функции:обнаружение всегда выполняется на узле супервизора;анализ журналов событий выполняется на супервизоре или на обработчике, получившем эти журналы;мониторинг производительности распределяется супервизором по всем обработчикам с использованием алгоритма распределения нагрузки. Рисунок 5. Сценарий внедрения FortiSIEM с кластером обработчиков — частично распределенное внедрениеВнедрение супервизора и коллекторов — распределенное внедрениеСуществует два случая, когда при развертывании FortiSIEM одного супервизора недостаточно:межсетевой экран блокирует протоколы (например, Windows Management Instrumention, WMI), используемые супервизором для контроля устройств, расположенных за межсетевым экраном;супервизор подключается к контролируемым устройствам через сеть с высокой задержкой, например, через глобальную компьютерную сеть (Wide Area Network, WAN), и в этом случае мониторинг через протоколы, такие как SNMP или WMI, как правило, не внедряется или не работает.В этих случаях целесообразно использовать коллекторы для мониторинга недоступных устройств, которые будут взаимодействовать с супервизором через HTTP (HTTPS). Коллекторы размещаются на удаленных площадках, общаются с устройствами, собирают и проводят первичную обработку событий и журналов, сжимают данные, а затем направляют их нормализованным потоком супервизору для мониторинга, анализа и отслеживания возникающих инцидентов. Коллекторы также могут буферизовать события в случае прерывания передачи супервизору. Рисунок 6. Сценарий внедрения FortiSIEM с использованием коллекторов — распределенное внедрениеРаспределенное внедрение с обработчикамиСовокупность всевозможных внедрений, применяющая все элементы архитектуры FortiSIEM — супервизор, обработчики, коллекторы. В составе корпоративной инфраструктуры в дополнение к супервизору разворачивается один или несколько обработчиков и один или несколько коллекторов, при этом используется общая база. Рисунок 7. Сценарий распределенного внедрения FortiSIEM с обработчиками Основные возможности FortiSIEM по управлению информационной безопасностьюМониторинг событийFortiSIEM предоставляет два типа интерфейсов. Первый содержит иерархическую структуру разделов и рабочую область для отображения информации. Такой интерфейс позволяет осуществлять администрирование FortiSIEM и управление информационной безопасностью, настраивать взаимодействие с элементами инфраструктуры заказчика, получать информацию о возникающих инцидентах. Рисунок 8. Интерфейс администратора FortiSIEM, панель инцидентов Второй интерфейс позволяет осуществлять текущий мониторинг событий на любом устройстве, на крупных экранах и плазменных панелях. Отображение выполняется по панелям (Dashboard) или инцидентам (Incidents) и различным критериям. Рисунок 9. Интерфейс администратора FortiSIEM, виджеты панели FortiSIEM Настраиваемые в режиме реального времени панели мониторинга могут отображаться с функцией прокрутки слайд-шоу для демонстрации ключевых показателей. Рисунок 10. Отображение панелей мониторинга FortiSIEM в режиме слайд-шоу По каждому устройству можно получить развернутые отчеты, содержащие подробную информацию о событиях безопасности. Рисунок 11. Отчет о событиях, наступивших на контролируемом устройстве, в интерфейсе администратора FortiSIEMМониторинг состояний и производительностиFortiSIEM поддерживает автоматизирование обнаружение устройств, приложений и конфигураций, позволяя сопоставлять топологию физических и виртуальных инфраструктур, локальных и общедоступных/частных облаков с помощью учетных данных.Для устройств, расположенных на периметре сети, таких как межсетевые экраны и маршрутизаторы, важно обладать информацией, какие интерфейсы заняты и какой трафик потребляет большинство ресурсов устройств. Специальная панель мониторинга предоставляет необходимые статистические данные и позволяет администратору определять, какие интерфейсы маршрутизатора загружены, какие приложения используют их и какова статистика QoS. Рисунок 12. Мониторинг состояний межсетевых экранов в интерфейсе администратора FortiSIEM Обнаруженные средствами FortiSIEM устройства будут постоянно отслеживаться, а собранные данные позволяют выполнять анализ производительности инфраструктуры.Для удобства администратор может настроить панель мониторинга производительности того или иного устройства или сервиса. Контролируемое состояние отслеживается, коррелируется, и могут выдаваться соответствующие инциденты в зависимости от заданных в FortiSIEM настроек. Рисунок 13. График производительности контролируемого средствами FortiSIEM сервиса Анализируя состояние устройств и сервисов, можно детектировать ряд атак. Например, резкое увеличение сетевого потока свидетельствует о проведении DDoS-атаки. Это событие будет отображено на панели мониторинга, и сгенерировано правило корреляции, по которому событие будет отслеживаться. Рисунок 14. Мониторинг сетевого потока на контролируемом устройстве, определение DDoS-атаки средствами FortiSIEM В правиле корреляции задается ряд параметров (уровень риска, активность правила, частота оповещения о возникновении инцидента по этому правилу) и механизмы корреляции, в соответствии с которыми будет формироваться инцидент. Рисунок 15. Формирование правила корреляции FortiSIEM По нескольким событиям можно построить корреляцию, написав соответствующее правило, и это будет отдельный инцидент безопасности, который будет выдавать свой отчет и оповещение.Анализ событийАналитика FortiSIEM базируется на функциях поиска, выполнении правил и генерации отчетов.Функция поиска FortiSIEM включает в себя поиск в реальном времени и исторический поиск информации, собранной из ИТ-инфраструктуры. При поиске в реальном времени отображаются события по мере их возникновения, в то время как исторический поиск основан на информации, хранящейся в базе данных событий. Оба типа поиска включают простой поиск по ключевым словам и структурированные поисковые запросы, которые позволяют выполнять поиск на основе определенных атрибутов и значений событий, а затем группировать результаты по атрибутам. Рисунок 16. Исторический поиск FortiSIEM FortiSIEM постоянно отслеживает инфраструктуру и предоставляет информацию, которую можно использовать для анализа производительности, доступности и безопасности. Для оперативного реагирования на события безопасности необходимо своевременно получать предупреждения о возникновении исключительных, подозрительных или потенциальных неисправностей и нарушений. Для этого используются правила, определяющие условия, на которые следует обратить внимание и которые инициируют инцидент. FortiSIEM включает в себя более 500 системных правил, а также редактор для генерации собственных правил. Рисунок 17. Страница управления правилами FortiSIEM Отчеты представляют собой заранее определенные поисковые запросы. FortiSIEM включает в себя большой каталог отчетов для общих устройств и задач анализа, которые можно использовать и настраивать под собственные нужды. Рисунок 18. Пример автоматически сгенерированного отчетаОбнаружение вредоносных программОбнаружение вредоносных программ осуществляется c помощью сетевой песочницы FortiSandbox.FortiSandbox фиксирует некоторую вредоносную активность, а поскольку FortiSandbox является отслеживаемым устройством для FortiSIEM, то будет сгенерировано событие по обнаружению вредоносов, будет обновлена соответствующая панель мониторинга на FortiSIEM, и будет сформировано правило оповещения об этом инциденте. Также автоматически может быть сформировано правило FortiSIEM, позволяющее передавать команды на устройства для блокировки вредоносных активностей. Рисунок 19. Оповещение панели мониторинга FortiSIEM об обнаруженном вредоносном файлеУправление угрозамиБлагодаря средствам FortiSIEM у администратора всегда есть возможность просмотреть резюме инцидента, содержащее информацию о том, кто передал информацию об инциденте, какого рода этот инцидент, к какому бизнес-сервису инцидент относится, количество инцидентов. По этой информации можно сделать вывод о критичности инцидента. Рисунок 20. Резюме инцидента (нижняя часть интерфейса администратора FortiSIEM), выделенного из списка зафиксированных инцидентовПо каждому инциденту доступна детальная информация, где можно отследить события, по которым этот инцидент формировался, просмотреть детальный лог события. Таким образом, можно сформировать дополнительное правило корреляции. Правила строятся иерархическим способом с возможностью корреляции большого числа критериев. Рисунок 21. Лог инцидента в FortiSIEM Для управления угрозами администратору доступен исторический поиск, по которому можно отследить конкретный тип угрозы и увидеть конкретные события за определенный отрезок времени. Схемы лицензирования FortiSIEMЛицензии FortiSIEM служат для доступа к основным функциям обнаружения сетевых устройств. В число устройств входят коммутаторы, маршрутизаторы, межсетевые экраны, серверы и т. д. FortiSIEM распространяется в виде постоянной лицензии или в виде подписки. Каждая лицензия поддерживает сбор и корреляцию данных, создание предупреждений и оповещений, составление отчетов, анализ, поиск и оптимизацию репозитория данных, включает 10 EPS (событий в секунду) на одно сетевое устройство (коммутатор, маршрутизатор, межсетевой экран и т. д.) и 2 EPS на конечное устройство (серверы Windows, Linux, конечные станции пользователей и т. д.). Для инфраструктурных заказчиков предлагается лицензия FortiSIEM All-In-One. Отдельно лицензируются агенты расширенного мониторинга Windows, на каждого агента рассчитано 2 EPS. Поддержка FortiCare также покупается отдельно (от 1 до 5 000 устройств).Базовый объем обслуживания FortiSIEM All-In-One включает в себя до 50 устройств и 500 EPS. ВыводыРешение FortiSIEM является полнофункциональной SIEM-системой, интегрированной с фабрикой безопасности Fortinet Security Fabric и другими продуктами Fortinet (FortiGate, FortiClient, FortiWeb и FortiMail и т. д.) для более оперативной идентификации первоисточников угроз и принятия необходимых мер устранения угроз и предотвращения нарушений в будущем.В настоящий момент FortiSIEM поддерживает подключение к примерно 400 устройствам и приложениям сторонних производителей (Alcatel-Lucent, Amazon, Apple, CentOS, Checkpoint, Cisco, Dell, GitHub, Google, HP, Huawei, IBM, McAfee, Microsoft, Nginx, Oracle, Postgres, Redhat, Symantec, TrendMicro, VMware, WatchGuard и т. д.), контролируя их конфигурацию, производительность, нагрузку, состояние. Ожидается, что в ближайшее время возможности FortiSIEM пополнятся интеграцией с отечественными средствами защиты информации, в частности с продуктами «Лаборатории Касперского».Производители FortiSIEM предусмотрели несколько сценариев внедрения и вариантов поставки продукта, позволяя даже небольшим компаниям повысить уровень осведомленности о состоянии инфраструктуры и информационной безопасности до приемлемого уровня.Достоинства:Комплексное средство анализа состояния сети в режиме реального времени.Высокая производительность и скорость анализа событий в режиме реального времени.Большое число правил корреляции и генерируемых отчетов, доступных при внедрении продукта из коробки.Большое число протоколов интеграции со сторонними устройствами и системами.Взаимная корреляция данных анализа SOC и NOC.Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Автоматизация процессов обнаружения угроз и аномалий.Автоматизация процессов регистрации и контроля инцидентов, с последующей возможностью их расследования.Контроль за состоянием инфраструктуры.Наличие агентов сбора данных и мониторинга для Microsoft Windows и агентов контроля целостности файлов для Linux.Поддержка нескольких сценариев развертывания.Поддержка горизонтального масштабирования и виртуализированной архитектуры.Гибридная архитектура базы данных.Распределенная корреляция событий в режиме реального времени.Оперативная настраиваемая обработка журналов.Предусмотрено несколько сценариев развертывания в зависимости от нужд и инфраструктуры заказчика.Недостатки:Отсутствие русской локализации.Отсутствует поддержка подключения к ФинСерт или ГосСОПКА (актуально для отечественного рынка).В настоящей версии FortiSIEM нет поддержки технологии поведенческой аналитики пользователей и сущностей UEBA (User and Entity Behavior Analytics), однако ее внедрение планируется в ближайших релизах.