Все строят экосистемы: почему это важно для ИБ?
Инфобезопасность является технической составляющей, необходимой для обеспечения стабильной работы ИТ в современных корпорациях, подчеркивает Иван Чернов, менеджер по развитию UserGate. Это сегодня стал хорошо понимать бизнес, что существенно повлияло на изменение отношения корпоративных заказчиков к «инфобезу». Теперь вложения в защиту ИТ рассматривают как одно из ключевых инвестиционных направлений, способное снизить ряд серьезнейших бизнес-рисков для компании в целом.
Что происходит в российском сегменте
Импортозамещение в сегменте инфобезопасности — причем быстрое! — стало остро необходимым с момента введения санкций. Инструменты для обеспечения ИБ, поставленные глобальными компаниями, утратили актуальность из-за невозможности продлевать подписки, получать оперативные обновления и т.д. Учитывая скорость появления новых угроз, это практически моментально сделало российские компании и госструктуры уязвимыми перед атаками, в которых хакеры применяют новые инструменты.
Возникла острая необходимость перехода на российские решения. Миграция была реализована довольно быстро и достаточно успешно — ни об одном значимом инциденте инфобезопасности, связанном с переходом на российское, в настоящее время все еще неизвестно. С одной стороны, произошедшее стало бустером для всех российских компаний, работающих в области инфобезопасности, в том числе, и вендоров. С другой стороны, быстрый рост создавал серьезнейшие проблемы для канала, техподдержки, логистики (если речь шла, например, о реализации программно-аппаратных комплексов) и другим направлениям деятельности вендоров.
Особенности момента в российском «инфобезе» и возможные перспективы развития рассмотрим на примере компании UserGate, объявившей о расширении собственной экосистемы безопасности, представив релиз кандидат обновленной операционной системы UGOS версии 7.1 и два доступных для тестирования продукта классов SIEM и EDR/NAC.
Почему выбрали UserGate?
Ответ прост: потому, что это один из российских вендоров решений ИБ, обладающий наибольшим опытом работы в сегменте. «Мы занимаемся разработкой комплексных решений для защиты цифровой инфраструктуры более 13 лет», — напоминает Иван Чернов.
Но есть еще одна причина: UserGate в настоящее время производит мощное обновление линейки продукции. Компания трансформируется из «вендора одного продукта» — напомним, что это Next-Generation Firewall (UserGate NGFW), развиваемый с 2009 года — в поставщика набора решений, позволяющих создавать экосистему информационной безопасности любому корпоративному заказчику. За экосистемами, как считают в компании, будущее современного ИБ.
Экосистема с центром в новом продукте
Осеннее обновления линейки UserGate помимо операционной системы NGFW включает два новых продукта. Это UserGate Client и UserGate SIEM Light, относящиеся к решениям класса EDR/NAC и SIEM, соответственно. Важно, что все три решения хотя могут быть использованы в составе ИТ-архитектуры заказчика независимо, но наиболее эффективны при работе в составе единой экосистемы UserGate SUMMA, когда каждый элемент усиливает функциональные возможности двух других и обеспечивает синергетический эффект. «Мы создали экосистему, состоящую из продуктов, решений и услуг, которые обеспечивают главное условие защищенности — максимальную видимость событий безопасности», — говорит Иван Чернов.
Что добавлено
Для обеспечения безопасного доступа в сеть корпоративного заказчика сотрудниками — не только из офиса, но и удаленными или мобильными — со своих устройств, создан UserGate Client. Это многофункциональное решение, объединившее всебе сразу Virtual Private Network, Network Access Control и Endpoint Detection and Response. Идея объединения в едином продукте инструментария защищенного соединения (VPN), детектирования вредоносной активности (NAC) и реагирования на угрозы (EDR) настолько логична, что просто удивительно, почему никто не додумался до нее ранее.
Аналогия со швейцарским многофункциональным армейским ножом в случае с UserGate Client очевидна, но она тут неполна. Этот продукт радикально отличается от швейцарского ножа тем, что в данном продукте все три инструмента работают вместе, отмечает Виталий Даровских, менеджер по развитию продукта UserGate Client. В результате решение обеспечивает контроль и расширенную защиту устройства, возможность его безопасного подключения к корпоративной сети посредством, фильтрацию вредоносных и запрещенных сайтов, защищает сетевые соединения — то есть выполняет практически все, что нужно для машины конечного пользователя.
Система управления событиями информационной безопасности (Security Information and Event Management), обеспечивающая сбор информации из различных источников с приведением всего этого к единому формату для удобства последующего разбора и анализа. В современных условиях SIEM уже выполняет не только функцию логирования, но и аналитики, а также — в этом особенность подхода UserGate — получает возможности автоматического реагирования на инциденты. Именно поэтому компания рассматривает SIEM как центр системы обеспечения инфобезопасности предприятия. Это вполне логично, так как данные из UserGate Client и UserGate NGFW тоже приходят в SIEM.
UserGate SIEM Light создана в соответствии с новой концепцией. Это решение объединяет возможности, характерные для распознавания инцидентов (Incident Response Platform) и дальнейшей оркестровки действий систем безопасности (Security Orchestration, Automation and Response). В результате SIEM от UserGate может анализировать поведение различных процессов, выявлять риски и обеспечивать на основе этого реакцию как в автоматическом, так и ручном режиме. В результате вся инфраструктура компании-заказчика получает мощную — и быструю! — защиту от угрозы или просто от аномального поведения, которые выявляют на ранней стадии.
Одна «операционка» для всех компонентов экосистемы
Для экосистемы вендор создал и развивает собственную операционную систему UGOS, которая раньше работала только на NGFW, а теперь также обеспечивает функционирование EDR/NAC и SIEM. Обновление поддерживает новый протокол VPN IKEv2, актуальный для современных версий Android, а также технологию UpStream Proxy. Последняя разработка позволяет обеспечить безопасный интернет-доступ в там, где он в силу разных причин не предусмотрен или блокирован — например, закрытых сегментах локальной сети —, но работающим там системным и прикладным решениям тоже требуется обновления, загрузка сигнатур, библиотек и прочие действия, которые как раз и требуют данного доступа.
В новой версии UGOS 7.1 в статусе релиз кандидат доступна для тестирования возможность создания пользовательских сигнатур IDPS&L7, что позволяет «безопасникам» компании-заказчика самостоятельно создавать или изменять сигнатурный набор. Такая быстрая и простая кастомизация системы обнаружения вторжений и определения корректности работы приложений в настоящее время особенно актуальна для компаний финансового сектора. Банки и предприятия других типов, работающие с финансами, традиционно наиболее активны в плане внедрения новейших инструментов для обеспечения инфобезопасности, но постепенно к ним подтягиваются и другие сегменты: как целые вертикальные рынки, так и отдельные направления, например, АСУ, ЦОДы и др. Также возможность создания сигнатур оказывается полезна организациям с собственной разработкой: при обнаружении новой уязвимости специалисты на стороне заказчика могут самостоятельно прописать и быстро применить дополнительные правила безопасности. При этом правила корреляции легко и просто создаются и в UserGate SIEM, говорит Дмитрий Чеботарев, менеджер по развитию продукта UserGate SIEM, отмечая, что таковых поставляется уже более 300 «из коробки».
Есть в обновлении UGOS и другие технологии. Например, добавлена UserID, расширяющая возможности идентификации пользователей или процессов, что позволяет получать более точную информацию об их сетевой активности. Можно на ранних стадиях выявлять нелегитимное поведение, применять безопасные политики к работе конфиденциальных приложений в сети и т.д. Изменений, как видно, в фирменной «операционке» реализовано довольно много.
Вместо заключения
На примере компонентов UserGate SUMMA видны несколько важных моментов.
Во-первых, мы видим процесс качественного развития российских решений. Это уже не «заглушки» на место инструментов ушедших компаний, а продукты нового типа, переосмысливающие и развивающие концепции современной инфобезопасности.
Во-вторых, российские компании проектируют экосистемы, что позволяет добиться синергетического эффекта в сочетании с уменьшением ТСО. Причина проста: управлять всем парком инструментов из «одного окна» будет существенно проще, а потому дешевле.
В-третьих, перед российскими вендорами стоит сложная задача: обеспечить выход новых продуктов и их последующее развитие на рынке, объем которого составляет 2–3% от мирового, при этом качество данных решений должно соответствовать высоким стандартам вендоров, имеющих доступ к полному объему международных рынков отмечает Михаил Пеньковский, вице-президент UserGate по продажам и маркетингу. Как будет решена эта задача, которая имеет отношение не столько к классическому ИБ, сколько к финансовым политикам и стратегическому менеджменту — время покажет.
Полный текст статьи читайте на CNews