Что умеет российская платформа защиты данных и кому она может быть полезна?

03 Июля 2024 10:0003 Июл 2024 10:00 |
Поделиться

Защита данных в периметре организации сегодня требует особого внимания со стороны бизнеса. Потребность рынка в защите самого ценного ресурса подтверждается растущим спросом на DCAP-системы, что отмечают в компании «Сайберпик» — российском разработчике «Спектр | DCAP/DAG». В этом году команда «Сайберпик» вывела на рынок платформу защиты данных «Спектр» и предложила более глубокий экспертный подход к процессу защиты. О том, что представляет собой платформа, в интервью расскажут Алексей Сухов, коммерческий директор, Сергей Добрушский, директор по развитию продуктов и Антон Шкарин, технический директор компании «Сайберпик».

»DCAP для многих компаний вошёл в первый эшелон средств информационной безопасности»

CNews: В начале года вы презентовали платформу защиты данных «Спектр». Расскажите, какие продукты в неё входят, и какие у них задачи в инфраструктуре ИБ организации? Работают ли решения отдельно?

Алексей Сухов; Наш флагманский продукт «Спектр | DCAP/DAG» можно называть классическим инструментом для ИТ и ИБ служб. Многие его используют для расследования уже случившихся инцидентов, наведения порядка в части расположения данных и прав доступа к ним и оперативного реагирования на вновь происходящие инциденты. Логичным развитием подобной системы стало формирование платформы защиты данных «Спектр». Ключевой ее подход в том, что, используя несколько из наших решений, ряда рисков можно не допускать, и, что важно, вовлекать в этот процесс бизнес-пользователей.

Так «Спектр | Портал» позволяет, запрашивая и предоставляя права доступа сотрудникам, изначально формировать их в соответствии с принципом «наименьших привилегий», за счет того, что каждая заявка на согласование прав доступа проходит оптимальную цепочку людей, ответственных за этот процесс.

Если же говорить про «Спектр | Маркер» — тут непосредственно сами сотрудники как проставляют метки конфиденциальности в документах, так и понимают степень критичности документа при последующей работе с ним.

Четвертая составляющая нашей платформы — «Спектр | Поиск» — это быстрый корпоративный поиск по всем хранилищам данных, он, как и «Спектр | Маркер», решает задачи не только ИБ, IT, но и может использоваться рядовыми сотрудниками для поиска нужной информации.

Все продукты сейчас внедряются в российских компаниях как совместно, так и по отдельности. Каждый из них решает точечные задачи информационной безопасности, вместе они составляют платформу защиты данных от угроз.

CNews: Каким компаниям необходимо внедрять платформу защиты данных «Спектр»?

Алексей Сухов; Ежегодно наша компания собирает аналитику по количествам внедрений, пилотных проектов, конверсии, выручке, задачам, для решения которых используются продукты, и портрету заказчика. Наши продукты используют совершенно разные компании. Среди наших клиентов есть компании с государственным участием, логистические компании, компании из нефтегазового, банковского, страхового сектора, оборонно-промышленного комплекса, ритейла и других отраслей. Мы наблюдаем, что ранее «Спектр | DCAP/DAG» выбирали компании со зрелой системой информационной безопасности, на текущий момент запрос на защиту неструктурированных данных появился и у среднего бизнеса. DCAP для многих компаний вошёл в первый эшелон средств информационной безопасности.

Внутренний периметр компании является самым непредсказуемым в плане защиты. Диверсии, утечки информации, загрузка вредоносного ПО, неоптимальные конфигурации информационных систем и некорректная их работа, нарушение требований регуляторов — это то, от чего сегодня всё чаще страдают организации. И если на внешнем периметре выработаны сценарии защиты, хорошо известны решения и игроки, то внутренний периметр в этом плане более сложный.

CNews: Расскажите об интересных для рынка кейсах использования решений платформы «Спектр».

Алексей Сухов; В рамках пилотных проектов и внедрений мы часто сталкиваемся с базовыми сценариями: массовая выгрузка конфиденциальной информации, наличие критичных данных в общем доступе, или же просто не оптимальные права сотрудников, которые могут стать причиной утечки, но иногда встречаемся с нетривиальными примерами использования решений.

Так, в рамках одного из проектов заказчик, после плотной работы с системой и понимания возможностей механизма распознавания изображений на основе нейронных сетей, обратился к нам с целью адаптации этого механизма под свою бизнес-задачу. Необходимо было реализовать распознавание фотоотчетов, предоставляемых для контроля качества выполнения работ. В целом это были просто фотографии площадей, но критичным было расположение и присутствие определенных объектов на них. Совместно с заказчиком мы провели переобучение наших моделей и их адаптацию, а рабочий прототип показал очень высокую точность анализа, часто недосягаемую для анализа таких фотографий человеком. Сейчас этот функционал используется в режиме 24/7, причем основным заказчиком тут является отдел контроля качества, а не ИТ или ИБ департамент. «Спектр» помог автоматизировать трудоемкие корпоративные процессы, повысить качество, и что важно, существенно снизить трудозатраты на выполнение этих операций.

Второй пример более привычный и связан с деятельностью финансовых организаций.

Часто платежные операции проходят несколько этапов, и при их обработке задействуются несколько информационных систем. Первый этап — это где непосредственно создается платежное поручение. Далее оно перекладывается на промежуточный ресурс — в нашем случае у заказчика это был определенный каталог файлового сервера, и, наконец, третий этап — это их периодическое чтение автоматизированной системой и непосредственно исполнение платежа, перевода. Проблема в том, что между вторым и третьим этапом может быть временной промежуток, хоть и небольшой, но в случае нашего заказчика достаточный для того, чтобы можно было внести изменения в платежное поручение и перевод был бы выполнен некорректно. Контроль целостности таких операций совсем не задача DCAP, но совместно с заказчиком было принято решение разработать правило, которое будет не только уведомлять, но и блокировать все факты изменения файлов, поручений, падающих в каталог обмена на файловом сервере. Таким образом получилось гарантировать целостность файлов при обмене между двумя информационными системами, обеспечивающими критичные бизнес-процессы компании.

CNews: Каким вы видите будущее «Сайберпик»?

Алексей Сухов; Мы каждый год показываем серьезный рост в выручке, портфеле заказчиков, количестве сотрудников. Мы стали заметным игроком рынка, видим положительный отклик от пользователей наших продуктов.

С каждым годом заказчики становятся всё компетентнее и требовательнее, растёт уровень информационной безопасности, при этом мы отмечаем у себя высокую конверсию внедрений, большой процент пилотных проектов доходит до реализации. По нашим данным, 8 из 10 заказчиков, приходящие к нам на пилотные тестирования, после завершения пилота выбирают наши продукты для интеграции в свою инфраструктуру.

Мы растём вместе с нашими заказчиками и российским рынком ИБ, и часто слышим, что «Спектр | DCAP/DAG» занимает одну из ведущих позиций в технологическом плане. В будущем планируем сохранить темпы роста и наши высокие позиции.

«Мы являемся одними из родоначальников российского DCAP»

CNews: Как удалось добиться такой высокой оценки «Спектра | DCAP/DAG» от рынка?

Сергей Добрушский: Действительно, мы часто слышим от рынка, причем как со стороны клиентов, так и стороны наших партнеров системных интеграторов, что среди решений класса DAG/DCAP «Спектр» сейчас занимает одну из ведущих позиций в технологическом плане. Причем со стороны последних данная оценка более ценная, по той причине, что интеграторский бизнес предполагает взаимодействие со всеми вендорами без исключений.

Для себя мы видим ряд факторов. Мы являемся одними из родоначальников российского DCAP. У нас есть очевидное превосходство в несколько лет разработки, по сравнению с теми компаниями, которые только выходят на рынок. Еще более важный фактор — это технологическая база и четко выверенная архитектура наших решений с самого начала разработки. Мы часто открыто рассказываем, какие технологии используются под капотом продуктов, для чего это сделано и какие преимущества дает. Именно эта масштабируемая база позволяет до сих пор показывать одни из самых высоких показателей в данном классе решений как по производительности, так и по масштабируемости. Ну и, наконец, третий фактор — это наши клиенты. Именно этот драйвер еще в самом начале задал самую высокую планку как по функциональному наполнению продуктов, так и по требованиям к производительности и отказоустойчивости решений. Учитывая, что сейчас в портфеле наших заказчиков находятся крупнейшие российские компании, этот драйвер продолжает помогать нам развиваться.

CNews: Как сегодня проходит интеграция «Спектра | DCAP/DAG» в инфраструктуру информационной безопасности компании? Расскажите подробнее об аудите рисков, что он включает?

Сергей Добрушский: По мере развития нашей экспертизы и параллельно с растущими потребностями со стороны заказчиков мы серьезно подошли к вопросу усовершенствования подхода к реализации проектов, независимо от того, идет речь о пилотах или о промышленных внедрениях. Первое, что отмечу, это наш подход к пилотным тестированиям. На текущий момент любой подобный проект для наших сотрудников — это полноценный аудит рисков ИБ. Конечно он не охватывает все аспекты безопасности, а в первую очередь включает риски прикладного для нас характера, такие, как: неоптимальные права доступа, проблемы с расположением критичной информации, конфигурация AD, парольной политики и многое другое. Основным инструментом для выявления таких рисков является, с одной стороны, наш продукт «Спектр | DCAP/DAG», с другой стороны, наши инженеры, обладающие уникальной экспертизой в этой области. Проводя пилот продукта, мы выявляем проблемы в инфраструктуре, правах доступа, месторасположении данных и даем четкие рекомендации по их устранению, которые можно закрыть при помощи наших решений.

Если же говорить о внедрениях, то подход очень схожий, единственное отличие — тут мы максимально плотно работаем с заказчиком: проводим периодические срезы по рискам, делимся накопленной экспертизой, формируем под клиентов готовые правила, отчеты, строго адаптированные именно под определенные сценарии использования.

Такой подход — это реализация реальных запросов рынка. Сейчас большое количество новых продуктов, возникают новые классы решений, новые угрозы, а штаты отделов ИБ растут не так быстро, поэтому этот обмен экспертизой позволяет в максимально короткие сроки получить максимум пользы от внедренного решения.

CNews: Вы активно развиваете направление технической поддержки, недавно оно дополнилось направлением экспертной поддержки. Расскажите, что такой формат поддержки даёт клиентам.

Сергей Добрушский: Развитием направления экспертной поддержки мы начали заниматься в 2023 году и вывели его на рынок в начале 2024 года. Основная задача технической поддержки — поддержка в части корректной и бесперебойной работы продуктов, всех их функций. Экспертная поддержка — это сервис по точечной донастройке различных правил, например, классификации, отчетов, выявление рисков и адаптация рисковой модели, чтобы минимизировать ложные срабатывания, учитывая специфику процессов каждого конкретного клиента. Конечно же, такой подход предполагает минимальные сроки реакции на запрос клиента и выделенный инженер со стороны нашей компании.

Наша экспертная поддержка способствует более эффективному использованию продуктов, выявлению инцидентов, которые заказчик без должной экспертизы мог не заметить. Сейчас мы уже оказываем экспертную поддержку для ряда заказчиков, параллельно наращивая внутренний штат направления.

CNews: Как платформа защиты данных «Спектр» взаимодействует с другими решениями информационной безопасности в инфраструктуре организации?

Сергей Добрушский: Грамотное выстраивание процессов информационной безопасности в любой компании, конечно же, не ограничивается каким-то одним продуктом. Как правило, это комплекс организационных и технических мер, способных закрыть общепринятые и точечные риски, учитываемые в конкретной компании.

Именно поэтому большинство наших заказчиков, выбирая решения, стараются их интегрировать между собой, если конечно это даст практический результат и повысит эффективность их использования.

Если говорить про ту практику, которую наши эксперты набрали за годы внедрения и поддержки наших продуктов, то стоит отметить ряд как ИТ, так и ИБ систем, с которыми нам наиболее часто приходится интегрироваться.

Начнем с ИТ-систем, в первую очередь это то, что непосредственно защищают и контролируют наши продукты: файловые и почтовые сервера, контроллеры домена, корпоративные порталы, системы NAS, различные облачные сервисы. Отдельно отмечу ITSM-системы, системы управления заявками. Именно с этими системами чаще всего интегрируется «Спектр | Портал». Важность такой интеграции — это отсутствие необходимости адаптации бизнес-процессов компании при внедрении «Спектр | Портал». По факту пользователи продолжают создавать заявки на предоставление прав доступа в привычной для них системе, а наш продукт уже автоматизирует само предоставление прав.

Если говорить про ИБ-системы, с которыми мы интегрируемся чаще всего, выделю следующие: SIEM, IDM, IRP, DLP, системы оркестрации ИБ. В зависимости от классов решений цель интеграции отличается, в случае DLP — это обогащение данных результатами классификации DCAP-систем. Для SIEM — это передача всех или только критичных событий доступов сотрудников для их корреляции с событиями с других ИБ-систем. Для IRP — это передача выявленных инцидентов для последующего управления ими, распределения между сотрудниками и контроля выполнения работы с ними. При интеграции с IDM — это опять же задача обогащения как контентной составляющей данных, к которым предоставляются права, так и контроль за корректностью выдачи этих прав.

В большинстве случае подобные интеграции реализуются уже на этапе внедрения без доработок продукта с нашей стороны. Достигается это за счет широких коробочных возможностей по передаче событий во внешние системы, а также за счет полностью описанного API на стороне продуктов платформы «Спектр».

«Все направления нашей работы сейчас нацелены на прирост функционала продуктов платформы защиты данных «Спектр»

CNews: Как технологически изменился «Спектр | DCAP/DAG» в прошлом году?

Антон Шкарин: «Спектр | DCAP/DAG» как продукт в прошлом году развивался по нескольким основным направлениям. Первое — это расширение перечня поддерживаемых систем хранения данных, т.е. файловых хранилищ и различных информационных систем. Здесь важно отметить, что большой шаг был сделан в сторону облачных систем хранения, так, сейчас «Спектр | DCAP/DAG» поддерживает работу с VK WorkDisk, «Яндекс.Диск», а также множеством систем, предоставляющих доступ к данным по протоколу S3.

Второе большое направление — это анализ доменов. Помимо «стандартного» функционала для продуктов данного класса, например, аудита действий и анализа прав доступа к элементам домена, мы разработали и сделали доступными более экспертные инструменты анализа, а именно анализ рисков в конфигурации доменов, который позволяет выявлять некорректные настройки, учетные записи, подверженные компрометации и пр. Другой важный инструмент — анализ связей внутри домена, позволяющий взглянуть на домен «глазами злоумышленника». Речь об инструменте, похожем по функционалу на популярное в хакерской среде программное обеспечение BloodHoundAD. «Спектр | DCAP/DAG», используя алгоритмы собственной разработки, позволяет выявлять неочевидные и часто непреднамеренные связи внутри домена, находить потенциальные пути атаки, а также визуализирует важные взаимоотношения элементов для более глубокого понимания привилегий внутри домена.

Также система помогает выявлять специализированные атаки на домены с помощью встроенных механизмов для обнаружения во всем потоке фиксируемых событий таких последовательностей, которые характерны для атак типа LSASS, Silver Ticket, Golden Ticket.

Важным развитием направления работы с доменами стала поддержка продуктов отечественных производителей. Благодаря технологическому партнерству с крупнейшими российскими производителями инфраструктурного ПО, функционал «Спектр | DCAP/DAG» стал применим для доменов на базе ALD.PRO и РЕД АДМ.

CNews: Новый продукт, входящий в платформу защиты данных «Спектр», — «Спектр | Маркер». Решение предназначено для маркирования данных. Какие основные задачи маркирования в масштабах компании?

Антон Шкарин: Для организаций важно производить маркирование данных по нескольким причинам. Во-первых, это информирует сотрудников организации о степени критичности информации, с которой в текущий момент они работают.

Во-вторых, правильное маркирование данных позволяет оптимизировать управление информацией и обеспечить ее соответствие законодательству о защите данных, например, 98 ФЗ «О коммерческой тайне».

В-третьих, за счет применения правил и политик ограничения по работе с промаркированными данными, как средствами «Спектр | Маркер» или инструментами, например, DLP-системами, обеспечивается защита информации от несанкционированного доступа и утечек.

Наконец, маркирование способствует повышению доверия со стороны клиентов и партнеров, демонстрируя ответственное отношение к обработке конфиденциальной информации.

CNews: «Спектр | Портал» — ещё один продукт платформы, он обеспечивает процесс выдачи прав и разрешений в компании. За два года существования на рынке функционал «Спектра | Портала» серьезно вырос. Расскажите, что сегодня представляет собой данное решение.

Антон Шкарин: С 2022 года «Спектр | Портал» претерпел существенные изменения. С момента первого релиза этого продукта мы продолжали его разработку в тесном взаимодействии с нашими клиентами, чтобы учесть особенности внутренних процессов различных организаций.

Сегодня «Спектр | Портал» — это программное обеспечение, предназначенное для построения и автоматизации процесса формирования запросов на доступ или отзыв доступа к ресурсам, службам, согласования этих запросов всеми заинтересованными лицами, включая владельцев ресурсов, сотрудников службы ИБ и других участников, и их исполнения. «Спектр | Портал» поддерживает работу в средних и крупных организациях, в том числе, мультифилиальных и холдинговых структурах.

Несмотря на масштабность решаемых задач, продукт довольно быстро и просто внедряется и предоставляет сотрудникам организаций современный, удобный и понятный интерфейс для работы.

CNews: Над каким направлениями «Сайберпик» работает в 2024 году? Что интересно вашим заказчикам?

Антон Шкарин: В текущем году наша компания продолжает развивать направление разработки в части совершенствования инструментов, способствующих выстраиванию в организациях датацентричной модели безопасности. В ее основе лежит фундаментальное понимание, что данные не просто информация, а истинные активы. Поэтому мы стремимся к реализации концепции встраивания безопасности в каждое из звеньев жизненного цикла данных, начиная от их создания и завершая уничтожением.

Так, подход «Спектр | Маркер» предлагает сразу назначать важным документам соответствующие метки, обеспечивая тем самым информативность и контроль над их обработкой и передачей. В этом направлении мы планируем реализовать поддержку более широкого списка поддерживаемых форматов и сред работы, а также более широкого списка операционных систем, которые используют организации.

Запросы на доступ к данным автоматизируются, проходят по цепочкам согласования и делаются понятными благодаря инструменту «Спектр | Портал», что позволяет эффективно управлять правами доступа и обеспечивать их соответствие политикам безопасности. Данный продукт будем продолжать делать более гибким и кастомизируемым, т.к. каждой организации присущи свои уникальные бизнес-процессы.

Одновременно с этим наша система аудита и журналирования, мониторинга и обнаружения угроз «Спектр | DCAP/DAG» классифицирует данные, обеспечивает постоянное наблюдение за активностью с данными, выявляя и предотвращая различные потенциальные угрозы безопасности. Это наше основное направление работы, в рамках которого мы планируем расширять функционал списком поддерживаемых систем хранения данных и более сложными и интеллектуальными инструментами анализа, сохраняя при этом простоту использования системы.

В контексте поиска информации инструмент «Спектр | Поиск» становится серьезным помощником, позволяющим быстро обращаться к необходимым данным среди больших объемов множества хранилищ и информационных систем, учитывая при этом актуальные права доступа сотрудников и обеспечивая конфиденциальность и надежность информации. В данном продукте в этом году появятся более широкие возможности для пользователей в работе с уже найденными результатами, такие как готовые экспорты, пометки и др.

Мы также работаем над расширением возможностей «внутренних» интеграций, интеграций продуктов внутри платформы, для увеличения качества результата от их совместного использования.

Все направления нашей работы сейчас нацелены на прирост функционала продуктов платформы защиты данных «Спектр», а также повышение гибкости решений для упрощения и ускорения процессов внедрения в реальных инфраструктурах.

erid: LjN8KHqZGРекламодатель: ООО «Сайберпик»ИНН/ОГРН: 9725025175/1197746692538Сайт: https://cyberpeak.ru/

Полный текст статьи читайте на CNews