Как усилить систему информационной безопасности при помощи российской DCAP/DAG-системы
Количество атак на российские компании за I квартал 2022 г. выросло в 8 раз, при этом более 60% из них нацелены на получение конфиденциальных и коммерческих данных. Напряженная обстановка привела к смещению фокуса внимания департаментов ИБ российских компаний на усиление своих систем безопасности отечественными продуктами. В частности, вырос интерес к DCAP/DAG-решениям, которые помогают обезопасить контроллеры домена и корпоративные файловые хранилища. Российский DCAP/DAG «Спектр» подошел к новому времени готовым, система позволяет закрывать все актуальные для своего класса решений риски в части прав доступа и хранилищ неструктурированных данных и даже больше. DCAP/DAG «Спектр» — решение, созданное российской компанией «Сайберпик» для российского рынка ИБ. Сегодня «Спектр«используется в десятках крупнейших отечественных компаний. Алексей Сухов, коммерческий директор, Сергей Добрушский, директор по развитию продуктов и Антон Шкарин, технический директор компании «Сайберпик» рассказали, как создавался российский DAG и куда сегодня он идёт.
CNews: Почему вы выбрали направление DCAP/DAG как флагманское для разработки?
Алексей Сухов: Идея создания российского продукта класса DCAP/DAG появилась в 2017 году. У нас было четкое понимание востребованности данного класса решений на рынке среди коллег, представляющих ИТ и ИБ-департаменты различных компаний. На тот момент задачи защиты хранилищ неструктурированных данных решались только зарубежными продуктами, российских DCAP/DAG-систем не существовало. Ранее, с 2014 года, на рынке информационной безопасности начал прослеживаться вектор импортозамещения, что также послужило стимулом к запуску разработки.
Работа над DCAP/DAG «Спектром» началась в 2019 году. К этому времени сформировался ключевой состав нашей команды. Разработка проходила с привлечением экспертов рынка, которые не первый год эксплуатировали системы данного класса. Нам удалось создать конкурентное зарубежным продуктам решение и сделать его максимально понятным и применимым для российского потребителя, учитывая специфику отечественных компаний.
Сегодня «Сайберпик» — это вендор с офисами в Москве и Нижнем Новгороде, где базируется центр разработки. За несколько лет мы выросли в компанию с выстроенной партнерской сетью. «Спектр», в свою очередь, внедрен и успешно используется в десятках крупнейших российских компаний. В прошлом году мы стали резидентами «Сколково».
CNews: В чем ценность класса решений DCAP/DAG в комплексной архитектуре ИБ?
Алексей Сухов: По оценке компании Gartner до 80% данных в компании находятся в неструктурированном виде. В современном мире именно данные являются одним из важнейших активов. Тому подтверждение мировые и российские новости о краже, сливе и заморозке (шифрованию) этих активов. Неструктурированные данные находятся под контролем двух классов решений DCAP/DAG и DLP. И здесь нельзя сказать, что одно может существовать без другого. DLP-система нацелена на предотвращение намеренной или случайной утечки конфиденциальной информации через сотрудников за пределы информационной системы, либо компании. DAG-система контролирует неструктурированные данные и права доступа к ним. Правильное разграничение прав может стать отправной точкой к минимизации рисков связанных с утечкой. Все действия с огромным массивом этих активов находятся под пристальным контролем DAG-систем.
В корпоративной инфраструктуре информационной безопасности решения DCAP/DAG также работают совместно с решениями для бэкапа, IDM и другими системами. Некоторые компании используют DCAP/DAG как альтернативу IDM, подход неканонический, но рабочий.
DCAP/DAG «Спектр» эффективен в борьбе с вирусами-шифровальщиками в тандеме с антивирусом. «Спектр» закрывает угрозы 0-day, которые антивирусы могут пропустить. Система отслеживает действия вирусов-шифровальщиков и блокирует их.
CNews: Насколько система DCAP/DAG «Спектр» конкурентна по сравнению с зарубежными решениями?
Алексей Сухов: Меня удивляет некое стеснение наших коллег по цеху, которые утверждают, что они изобрели свой «велосипед», якобы не пользуясь экспертизой зарубежных систем. Мы смотрели на мировой опыт коллег, который к тому моменту насчитывал более 15 лет, и внедряли лучшие практики, дополняя их российской экспертизой.
Сегодня «Спектр» имеет полный функциональный паритет с зарубежными аналогами. Ещё до ухода западных конкурентов с рынка наше решение имело успешные истории внедрения в заказчиках, которые делали выбор в пользу «Спектра», путем сравнения с Varonis, Netwrix и другими зарубежными решениями.
При этом «Спектр» самостоятельная, независимая система, разработанная для решения задач российского рынка информационной безопасности. Система входит в реестр отечественного ПО. «Спектр» создан для работы с принятыми в РФ стандартами хранения данных, поддерживает специфические системы хранения, операционные системы, преднастроенные категории классификации информации и правила, соответствующие требованиям отечественных регуляторов и законов. Их в данном случае достаточно много, упомяну лишь известный 152 ФЗ «О персональных данных», приказ ФСТЭК №17 с требованиями по защите информации в ГИС, ГОСТ Р 57580.1–2017, регулирующий безопасность финансовых операций и т.д.
CNews: Какие компании включают в свою систему безопасности DCAP/DAG «Спектр»?
Алексей Сухов: Нашими клиентами являются компании из финансового сектора, телеком рынка, промышленности, крупные торговые организации, логистические компании, медиа-бизнес и многие другие.
Задачи, решаемые «Спектром», встречаются у совершенно разных категорий заказчиков. Контроль неструктурированных данных актуален практически для всех, кто работает с корпоративными файловыми серверами и корпоративными файлами.
Мы наблюдаем рост интереса к решениям DCAP/DAG в связи с ростом числа угроз и уязвимостей, всё больше к нам обращаются компании, которые ранее не использовали данный класс решений и нацелены на укрепление своих систем ИБ.
CNews: До DCAP/DAG «Спектра» в России практически не разрабатывались решения данного класса. Сложно ли было сформировать команду разработки?
Антон Шкарин: Костяк продуктовой команды был создан достаточно быстро — многие специалисты загорелись возможностью создать что-то радикально новое. Все разработчики с высоким уровнем экспертизы. Например, у нас работают эксперты из разных областей: «низкоуровневой» разработки драйверов для операционных систем, обработки «больших данных», специалисты в области современных пользовательских интерфейсов и др. Мы также имеем лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации.
Замечу, что энтузиазм в сочетании с масштабностью и редкостью задач позволяет сохранять команду даже в те времена, когда многие ИТ-компании жалуются на отток кадров.
CNews: С учетом того, что «Спектр» работает с большим объемом данных, много ли ресурсов необходимо для развертывания решения и его работы? Увеличивает ли «Спектр» нагрузку на ИТ-инфраструктуру клиента?
Антон Шкарин: Конечно, система требует ресурсы для работы, сказать иное было бы лукавством, но ресурсы относительно небольшие.
Начнем с минимальных требований. Для разворачивания «Спектра» достаточно системы скромной конфигурации — процессора с 8 ядрами, оперативной памяти 16 Гб и 200 Гб на жестком диске. Программный агент «Спектра», работающий на стороне хранилища файлов, требует не более 2% ресурса CPU и не более 60 Мб «оперативки».
Подчеркну, что на такой системе будет работать полнофункциональное решение, которое, в том числе, может обрабатывать задачи, требующие «тяжелых» алгоритмов, например, распознавания текстов из изображений, детектирования сканов документов, полнотекстовой индексации и других. Такой вариант позволит ознакомиться с базовыми функциями «Спектра». Внедрение пилотного проекта с такими требованиями займет у нашей команды 1–3 дня с учетом сложности и размера инфраструктуры клиента.
В зависимости от объемов данных, количества хранилищ и требований заказчику может понадобиться увеличение вычислительной мощности, выделенной на работу «Спектра». Возможности масштабирования широкие. При необходимости мы можем подключить «рой» из слабых, но многочисленных виртуальных машин, и тем самым решить задачи практически неограниченного масштабирования «Спектра». Есть решения, где наша система работает на кластерах из десятков виртуальных машин.
Важно, что клиенты могут регулировать нагрузку, создаваемую работой функциональных модулей «Спектра» на ИТ-инфраструктуру компании. Например, можно задавать временные промежутки, когда «Спектр» активно работает с данными, предположим, перенося эти периоды на ночное время.
CNews: Насколько оперативно решение реагирует и предотвращает инциденты ИБ?
Антон Шкарин: Работа «Спектра» изначально идет в режиме real-time. Такой подход логичен, узнавать об инциденте только на следующий день было бы довольно странно, но это все еще вызывает приятное удивление у некоторых заказчиков. Так будет и в дальнейшем — у заложенной архитектуры есть хороший запас по производительности для выполнения своих функций.
CNews: Мировой рынок DCAP/DAG-решений сформирован достаточно давно, как выделяется «Спектр» на этом рынке?
Сергей Добрушский: Действительно, на зарубежных ранках решения подобного класса начали появляться в середине 2000-х годов. Спрос на продукты DCAP/DAG в России быстро растет — за последние 5 лет он вырос в 18 раз по закупкам, как отмечали аналитики на конференциях в прошлом году.
При разработке мы делали упор на два важных момента. Первый — это технологии и производительность. DCAP/DAG «Спектр«защищает данные крупнейших компаний с численностью более 10 000 сотрудников, обладающими массивами неструктурированных данных, счёт которых ведется на сотни террабайт.
Второй момент — это адаптированный под российского заказчика функционал продукта. Мы прекрасно понимаем, что подходы и процессы в российских организациях в части информационной безопасности отличаются от зарубежных, и наша задача, как разработчика, была сделать продукт, который будет этим подходам соответствовать. К таким отличиям можно отнести желание российских компаний длительное время хранить информацию о всех действиях сотрудников по отношению к данным файловых хранилищ, чтобы всегда можно было провести ретроспективный анализ расследуя инцидент. Архитектура «Спектра» позволяет решать эту задачу не задумываясь о производительности и о скорости последующих поисков, даже через 2–3 года после внедрения продукта.
Таким образом, сегодня, «Спектр» решает сразу несколько задач. С одной стороны, это наличие функционала на уровне мировых лидеров данного класса, с другой — большой запас по производительности и глубокая адаптация под требования российского рынка, включая дополнительные функциональные модули, которых нет у конкурентов.
CNews: На каком этапе развития сейчас находится «Спектр»?
Сергей Добрушский: Любая компания может рассматривать DCAP/DAG «Спектр», как продукт российского рынка ИБ, который комплексно закроет все риски в части защиты хранилищ неструктурированных данных и контроллеров домена.
Многие клиенты видят в «Спектре» систему, которая заменяет зарубежные DCAP/DAG-решения, потому что мы достигли функционального паритета с мировыми лидерами, как сказал Алексей ранее.
«Спектр» устойчив к любым санкциям, функциональность продукта от них никак не зависит. Весь код продуктов является или нашей разработкой, или СПО, мы не используем проприетарных коммерческих библиотек, фреймворков, зарубежных операционных систем или СУБД, уделяя особое внимание процессам безопасной разработки.
При этом, особенностью «Спектра», крайне важной для рынка, стала его кастомизируемость: продукт обладает широкими возможностями настройки в зависимости от особенностей инфраструктуры заказчика и специальных пожеланий. Одним заказчикам нужны были дополнительные форматы отчетов, другим — подключение специфических файловых хранилищ или корпоративных систем, третьим — адаптация web-интерфейса для более оперативного решения повседневных задач. Наша команда практикует гибкий подход к каждому внедрению, при этом имея «коробочный» продукт для решения базовых задач.
CNews: Какие требования предъявляет рынок к решениям DCAP/DAG и как это отразиться на направлении в ближайшем будущем?
Сергей Добрушский: Представления российского потребителя о классе DCAP меняется достаточно быстро, добавляются новые требования, меняется инфраструктура. С этими требованиями меняется и наш продукт, и расширяется продуктовая линейка нашей компании. В развитии продукта мы и сейчас ориентируемся на запросы команд в сфере информационной безопасности, которые работают в крупнейших российских компаниях.
Требования очень разные: от функционального паритета с зарубежными аналогами, до решения задачи, за которые традиционно отвечают DLP и IDM-системы.
Если говорить про IDM, то именно от таких требований на файловых хранилищах был реализован «Портал выдачи прав доступа и разрешений». Это система, которая позволяет выстроить комплексный процесс создания заявок, назначения ответственных за ресурсы и указания цепочки согласования на одобрение или отзыв прав доступа. Решение помогает наладить целый бизнес-процесс, цель которого — соответствие требованиям минимальной достаточности в части прав доступа с первого дня их выдачи. Портал является самостоятельным продуктом, также он может функционировать как модуль «Спектра».
Под запрос рынка мы реализовали в «Спектре» возможность анализировать содержимое репозиториев исходного кода с целью выявления хранения различной авторизационной информации. Добавлена поддержка систем Atlassian (Confluence, Jira), которые ни один другой представитель класса DCAP/DAG не защищает.
Сегодня мы наблюдаем планомерный уход компаний от привычного стека, основанного на продуктах Microsoft, причем речь идет и о файловых серверах, порталах, почтовых серверах, и даже о контроллерах домена. Конечно, для крупной компании этот процесс совсем не быстрый, но мы уже подстраиваемся под реалии и добавляем в систему «Спектр» поддержку и интеграцию с вышеуказанными системами российских производителей. Дорожная карта развития продукта «Спектр» на 2022 год включает задачи в части защиты почтовых серверов, контроллеров домена, файловых хранилищ и облачных платформ хранения данных российских вендоров.
При этом, для нашей компании DCAP/DAG направление — это хоть и основное на текущий момент, но не единственное. Мы идем в стороны комплексной защиты данных организаций и обеспечения связанных с ними процессами. Создание таких продуктов требует не только высококлассных инженеров-программистов, но и экспертизу в своих отраслях. Нам удалось эту экспертизу собрать, и мы с каждым днем продолжаем ее наращивать, поэтому выход каждого нового релиза, нового продукта будет, в первую очередь, направлен на решение практических задач рынка.
Полный текст статьи читайте на CNews