Можно ли построить современную систему защиты на решениях российских вендоров?

В целом, уже около года прошло после ухода многих значимых вендоров по ИБ. Они просто оставили своих клиентов, которые должны были быстро адаптироваться к новым условиям, выбрав оптимальные решения для обеспечения процесса ИБ необходимыми средствами защиты. И это на фоне растущих угроз ИБ и жестких действий регуляторов, которые не только скорректировали законодательство, но и отозвали сертификаты соответствия ФСТЭК и ФСБ для некоторых решений, в т.ч. и российских производителей.

Сегодня обеспечение системы защиты информации является нетривиальной задачей, появляются новые актуальные вопросы: стоит ли в текущем финансовом году проводить кардинальные изменения состава технических средств, какое программное обеспечение или средства защиты действительно соответствуют заявляемым характеристикам, насколько отечественные производители ПО могут заместить ушедшие компании и иные. В данном материале Федора Музалевского, директора технического департамента RTM Group, мы проанализируем, уход каких вендоров оказал наибольшее влияние на рынок и можно ли построить современную систему защиты на продуктах отечественных разработчиков.

Для начала, определим основные типы инструментов ИБ, которые наиболее востребованы и выполняют наибольшее количество функций по обеспечению безопасности:

Уход каких вендоров оказал наибольшее влияние на отрасль?

Среди основных сложностей, возникших в ходе рыночного потрясения, можно выделить следующие результаты прямого воздействия:

Среди них:

Основные проблемы обработки и защиты информации в правовой сфере связаны:

Одним из главных событий в этой сфере стал отзыв лицензий ФСТЭК и ФСБ на средства защиты иностранных производителей. В результате стало невозможно использовать такое ПО и СЗИ для защиты, например, персональных данных, ввиду давно установленных требований к СЗИ. В рамках же обеспечения непрерывности деятельности недопустимо применение программных продуктов, для которых остановлено сопровождение, что также вызывает ряд осложнений.

Курс на импортозамещение, который взяли власти в прошлом году, с каждым месяцем лишь ужесточается – появляются новые требования и решения. Единственное послабление, которое было здесь предоставлено, это временный запрет на проведение внеплановых проверок.

Рассмотрим ситуацию на рынке отечественного программного обеспечения и определим текущий уровень предложения с учетом нарастающего спроса на российские средства защиты и программные продукты.

Для реализации системы защиты, учитывающей основные направления обеспечения защиты данных, требуется внедрение внушительного перечня технических средств защиты. Большинство перечисленных решений могут выполнять схожие функции и в отдельных случаях замещать друг друга по отдельным параметрам, однако в общем случае потребуется внедрение внушительного списка продуктов.

Сегодня на российском рынке можно выделить большой список крупных производителей и поставщиков средств защиты и приложений:

Рассмотрим детальнее указанные категории решений и выделим, какие области применения средств защиты были затронуты в процессе актуальных событий.

1. Средства защиты вычислительной сети. К данной категории можно отнести UTM решения, межсетевые экраны, IPS/IDS системы, прокси, VPN и иные выполняющие их функции продукты. Особенностью этой группы является постепенное расширение возможностей существующих продуктов и включение в них опционала узкоспециализированых перечисленных систем. Основной утратой в разрезе описанных средств защиты является прекращение поддержки и отзыв сертификатов решений Cisco: Cisco FirePower, Cisco ASA, Cisco IE. Также оказал влияние и отзыв сертификатов средств защиты FortiGate, ESET и ряда межсетевых экранов Huawei. Данное направление подверглось наибольшему негативному воздействию, однако даже здесь можно выделить несколько отечественных производителей и их продукцию: АПКШ Континент, Континент-Сов от компании Код Безопасности, универсальный шлюз безопасности UserGate компании Юзергейт, различные решения VIPNet от компании ИнфоТеКС и другие.

В настоящий момент 4 из 5 клиентов RTM Group находятся в затруднительной ситуации по причине использования сетевого оборудования Cisco. Нередки случаи, когда все сетевое оборудование и средства защиты вычислительной сети закуплены у данной иностранной компаний и иных, покинувших российский рынок. Также стоит отметить, что в общем случае один программно-аппаратный продукт содержит и реализует функции практически всех перечисленных решений, что увеличивает риски информационной безопасности, подобные недавно реализованным.

2. Антивирусные средства. Рассмотрим повсеместно используемые средства защиты от вредоносного кода. В данном направлении можно выделить незначительные потери рынка от ухода иностранных вендоров. Явно был заметен уход компании ESET, которая в настоящее время уже вновь работает в России. Наибольший урон был нанесен средствам защиты от вредоносного кода межсетевого трафика, функции которых выполняли средства защиты вычислительной сети.

В каждой компании гарантированно используется антивирусное средство как минимум одного вендора. В подавляющем большинстве случаев это решения от Лаборатории Касперского с широким набором функций. Основная же проблема защиты от воздействия вредоносного кода – это организация защиты на уровне контроля трафика в ЛВС. Защита от вредоносного кода на уровне межсетевого трафика в общем случае реализуется решениями по защите вычислительной сети и для них характерны соответствующие проблемы.

3. Средства разграничения доступа. В общем случае функции средств разграничения доступа в совокупности выполняют несколько технических средств: контроллеры домена, компоненты автоматизированных систем, средства операционных систем. Основным средством разграничения доступа был и является Active Directory – компонент операционной системы Windows. На данный момент вопрос перехода на качественную IDM систему – это серьезная проблема проектирования системы защиты. До недавнего времени спрос на комплексные IDM системы практически отсутствовал. Однако, все же можно выделить некоторые предложения отечественных производителей: IDM Solar inRights Солар Секьюрити и IDM Avanpost.

В общем случае система разграничения доступа в любой компании основана на Active directory и функциях ПО АС и на данный момент практически невозможно найти исключение из данного правила. Причина распространения такого подхода – это повсеместно использующаяся ОС Windows и Windows Server. Хотя такой подход юридически уязвим, Центральный Банк относится снисходительно к подобному решению.

4. Средства защиты от утечек. DLP-системы, предотвращающие утечки, – это значимая категория решений для защиты конфиденциальной информации в любой организации. Функционально такие инструменты от разных вендоров схожи между собой, и включают контроль возможности передачи информации, контентный анализ файлов, контроль работы пользователя с информационной системой и др. В этой категории можно выделить несколько решений, у которых отозвали сертификат ФСТЭК: в мае 2022г. это произошло с DeviceLock DLP, а в ноябре – с DLP Zecurion. Примечательно, что оба случая связаны с продукцией отечественных компаний, что еще раз подтверждает начало процесса саморегуляции рынка. Помимо указанных решений выделим те, которые в настоящее время актуальны для рассмотрения: InfoWatch Traffic Monitor и DLP “Стахановец” от компании InfoWatch, Solar Dozor от компании Солар Секьюрити.

DLP-система – это основной инструмент для борьбы с внутренним нарушителем. По этой причине многие решения содержат не только функции защиты информации от утечек, но также и дополнительные инструменты для мониторинга работы пользователей. Данная область рынка гораздо моложе остальных, однако спрос на DLP-системы в России только растет. По результатам исследований компании СёрчИнформ, только 36% отечественных компаний используют DLP-систему для предотвращения внутренних инцидентов безопасности.

5. Системы централизованного сбора данных о событиях защиты. Внедренная и корректно настроенная SIEM-система дает исчерпывающий набор инструментов для расследования инцидентов и анализа действий в любое время и из любого источника. Среди отечественных SIEM можно выделить RuSIEM, Ankey SIEM, MaxPatrol SIEM, KOMRAD Enterprise SIEM и многих других.

В данном вопросе стоит отметить, что некоторая часть финансовых организаций, вместо самостоятельного внедрения и настройки SIEM-системы, пользуется услугами сторонних организаций по сбору и мониторингу событий защиты. Причин возникновения такой тенденции несколько:

Если привлекать сторонние компании для подобных работ, необходимо выбирать те из них, что будут полностью удовлетворять потребности в функциях защиты и реализовывать требования законодательства.

6. Сканеры уязвимостей используются повсеместно на периодической основе для контроля наличия и устранения уязвимостей защиты информационной инфраструктуры. Все средства защиты функционируют по единому принципу и опираются на единые базы уязвимостей. Ввиду особенностей практик использования сканеров уязвимостей и предъявляемых к их функциональным возможностям требований, можно утверждать, что в данный момент на рынке России избыток таких средств, например: Maxpatrol, Xspider, Сканер-ВС и многие другие.

Сканер уязвимостей – это незаменимое средство для проведения внутреннего аудита информационной безопасности. Существуют различные решения сканеров уязвимостей, но в отличие от остальных перечисленных систем защиты функциональные возможности таких продуктов растут медленно, и они все еще выполняют те же базовые функции, что годами ранее. По этой и многим другим причинам данный сегмент рынка пострадал незначительно, хотя и потерял несколько крупных производителей.

7. MDM-системы. Активный переход на удаленный формат работы вызвал всплеск спроса на данную категорию средств защиты. В настоящее время на российском рынке представлено множество решений, выполняющих функции MDM, однако большая часть из них в данный момент являются достаточно молодыми. Их сертифицированных средств защиты можно выделить решения Kaspersky и Secret MDM.

Актуализация процесса защиты мобильных устройств удаленного доступа дала начало развитию данных систем на отечественном рынке. Однако, стоит отметить, MDM система не может обеспечить нужный уровень защиты в изоляции от иных решений, а лишь нейтрализует угрозы безопасности, возникающие при удаленном доступе.

8. Средства управления средой виртуализации. Основной потерей рынка стал уход компании VMware из России: в начале марта она объявила о приостановке поддержки и реализации своих продуктов здесь, а осенью ликвидировала свое юрлицо. На данный момент на отечественном рынке остаются следующие решения: ROSA Virtualization, система Тионикс и система Скала-Р.

Сегодня востребованы сертифицированные средства управления средой виртуализации, содержащие функции по защите виртуальных машин от вредоносного кода, а также межсетевое экранирование виртуальных сегментов, разграничение доступа к виртуальным машинам, логирование действий пользователей и другие. Компаниям приходится пересматривать структуру системы защиты, поскольку у них теперь нет централизированного многофункционального инструмента.

Рассмотрев основные категории средств защиты, попробуем ответить на вопрос: возможно ли построить систему защиты на отечественных решениях? Все типы средств защиты есть, однако появляется несколько дополнительных нюансов. По опыту наших клиентов из финансовой сферы, основная проблема – это замена элементов уже функционирующей структуры, включая сетевое оборудование и другие инструменты. При выборе нового поставщика и продукта стоит основываться, как минимум, на следующих критериях:

Проблема системного подхода к обеспечению безопасности данных была всегда, но сегодня она особенно актуальна. Возникающие угрозы ИБ требуют постоянного мониторинга и контроля, что влечет за собой огромные расходы.

Рассматривая предложения российских производителей, можно констатировать, что построить систему защиты на их основе возможно, но в отдельных случаях может потребоваться индивидуальный подход к решению задач. Немаловажно, чтобы у отечественных вендоров была поддержка от государства и возможность продолжать развитие своих продуктов.