Бесплатный сыр в мышеловке, или сказка о потерянном времени
Как я выбирал SGRC систему сегмента МСП
Автор: Даниил Камбулов, директор по развитию Smart-Trade
Начиная с 2022 года государственный и коммерческий сектора нашей страны находятся под шквалом кибератак. Защита критических айти-процессов превратилась из вчерашней роскоши в сегодняшнюю необходимость. Информационная безопасность -тренд номер один в развитии ИТ страны. И это касается не только крупных компаний, но и малого и среднего бизнеса (МСП). Несмотря на то, что МСП не имеет больших бюджетов, мы также вынуждены искать эффективные средства киберзащиты, чтобы было оптимальное соотношение в балансе цена-качество.
Я руководитель быстро растущей компании, занимающейся торговлей электроникой через маркет-плейсы и b2b системы. В 2022-м году мы выросли в объемах сделок в четыре раза и так же в 2023. Кратный рост обеспечивает внедрение новых IT-решений для автоматизации работы с поставщиками и покупателями. Для нас работоспособность наших систем взаимодействия с API поставщиков и трансляция фидов — жизненная потребность. В случае DDos атаки или адресного воздействия на узлы нашей оболочки мы сразу начинаем нести серьезные убытки. И чем больше времени требуется на устранение внешней агрессии, тем потери становятся чувствительнее. Было принято рациональное решение — инвестировать в защиту нашей IT-службы.
Хочу поделиться своим практическим опытом при выборе решения и набором критериев, на которые стоит обратить внимание, возможно, это будет полезно коллегам по цеху. Мы в Smart-Trade понимаем, насколько сейчас важно обеспечить информационную безопасность, и плотно занимаемся решением этой задачи. В частности, недавно мы задумались о приобретении системы SGRC (Security Governance, Risk, Compliance). SGRC интересует нас в первую очередь с целью автоматизации рутинных операций (сотрудников больше не становится), управления рисками кибербезопасности, обеспечения соответствия законодательству, стандартам и лучшим практикам (комплаенс), обеспечения непрерывности основных процессов бизнеса.
Исходили из аксиом, что на рынке есть серьезные, зарекомендовавшие себя продукты таких вендоров, как R‑Vision, Security Vision, УЦСБ, и стоят они немало. Так что надо «затянуть пояса» и рассматривать их или искать более бюджетный вариант, который в то же время будет решать нужные нам задачи. Мы пошли по второму пути и после недолгих поисков наткнулись на SGRC компании SECURITM (СЕКЪЮРИТМ). Стоимость этого ПО заявлена в разы ниже, чем продукты вендоров, упомянутых выше. Прайс лист у коллег открытый, поэтому большого открытия не сделаю:
Онпремис установка, 1 455 000 руб.
Облачная версия от 375 000 руб./год до 575 000 руб.
Движимые сильным экономическим интересом и исследовательским азартом, мы приступили к изучению этого решения, надеясь, что чудеса возможны и перед нами — простая, эффективная и крайне дешевая SGRC, которая вот-вот взорвет рынок. Ниже расскажу о результатах нашего исследования.
Смутило, конечно, на старте то, что:
— Компания не имеет лицензий ФСТЭК и ФСБ для выполнения работ, связанных с информационной безопасностью. Нет никаких лицензий в целом.
— При этом в облако (самый бюджетный вариант внедрения и декларируемый как приоритетный производителем) передаются данные, связанные с деятельностью компаний — Заказчиков. Но поскольку мы рассматривали только установку в периметр, не сильно задумывались о SaaS подходе.
— Среднесписочная численность сотрудников в компании за 2020, 2021, 2022 год — 1 человек. Количество людей не растет за годы компании. Но все же, цена очень привлекла.
— Продукт де-юре не продукт информационной безопасности (ни по классификации Минцифры, ни по ФСТЭК или ФСБ), зарегистрирован за № 11924 в Реестре отечественного ПО как:
12.20 Информационные системы для решения специфических отраслевых задач
05.11 Интеллектуальные средства управления экспертной деятельностью
63.11 Услуги по обработке данных, размещению и взаимосвязанные услуги
На сайте коллег очень много информации про информационную, экономическую и физическую безопасность, но само решение де-юре не является средством защиты информации, не имеет сертификации ФСТЭК по уровню доверия и не содержит функций безопасности. Это смутило, но как понял это маркетинг коллег, и возможно когда-то они станут продуктом ИБ. К примеру, встретили на сайте Сколково (https://navigator.sk.ru/orn/1125052) информацию об IRP в продукте, но таких функций в продукте нет. Опять же мы не госструктуры и для нас это не жесткое требование, главное функции. И тут цена затуманила глаза).
К делу
Скажу сразу, что в свое время работал с продуктами класса SGRC, больше международными, поэтому есть понимание важности разных критериев и глубина технических знаний. При тестировании решения подготовили критерии по тем модулям, которые рассматривались всерьез.
Модуль управления активами (ITAM)
Критерий | SECURITM Assets |
Типы активов | Заявлено большое количество типов активов, но все они представляют собой одинаковые объекты с базовыми свойствами. По факту один тип активов. |
Настройки карточек | Настроек карточек не предусмотрено. Нет возможности добавить новые свойства и изменить их расположение на карточке. Нет возможности вносить стилевые изменения (шрифт, размеры, цвета). |
Граф связей | Есть базовый граф связей с возможностью переходить в карточку объектов напрямую с графа. Доступен только в отдельном окне. Отсутствует возможность добавлять на него действия, нельзя добавлять направление связей и других визуальных эффектов. |
Ролевая модель | Отсутствует. |
Интеграция | Ограниченная интеграция без возможности создавать новую, в «коробке» есть интеграция с Active Directory и возможность импорта из MS Excel. Процесс инвентаризации отсутствует. |
Автоматизация процессов | Отсутствует автоматизация. Ручное заполнение и выполнение других действий. |
Жизненный цикл активов | Отсутствие жизненного цикла активов, нет возможности управлять состоянием оборудования (поломка, ремонт, вывод из эксплуатации) или ПО (установка, обновление, удаление). |
Модуль представляет собой возможность ведения реестра активов с ручным выстраиванием взаимосвязей между ними, что делает его бесполезным. Внутренняя экспертиза не заложена. Модель данных для каждого конкретного типа актива не предусмотрена. Отсутствует автоматизация, только ручной ввод. В наличии интеграция с Active Directory, а также импорт активов через Excel. Других интеграций не предусмотрено.
Модуль управления рисками
Критерий | SECURITM Risks |
Модель угроз | Отсутствует. |
Опросные листы | Отсутствует полноценный механизм рассылки опросных листов экспертам для оценки. Нет возможности отправить опросный лист на заполнение информации определенному сотруднику. Функционал Опросы не работает. |
Методика расчета оценка рисков | Встроено несколько упрощенных формул расчета оценки риска. Нет возможности использования своей методики. |
Автоматический запуск оценки | Отсутствует возможность регулярной оценки. |
Ключевые индикаторы риска | Отсутствуют. |
Меры защиты | Отсутствует моделирование, позволяющее оценить изменение оценки рисков при реализации защитных мер. |
Задачи на реализацию мер защиты | Только общий функционал задач c с фиксированным набором статусов. Нет возможности устанавливать SLA, принимать/отправлять на доработку задачу, отправлять уведомление при нарушении сроков итд. Отсутствует возможность просмотра «таймлайна». |
В продукте отсутствует встроенная модель угроз. Доступно ведение реестра угроз с возможностью оценки рисков, но без привязки рисков к конкретному активу. Оценка риска проводится по формулам с отсутствием валидаций, что может приводить к противоречащим логике результатам. Отсутствует автоматизация и возможность кастомизации для внедрения пользовательских методик расчета.
Модуль управления соответствием (Compliance)
Критерий | SECURITM Compliance |
Наличие коробочных стандартов | В продукт входит набор стандартов. Добавление новых внешних стандартов производится через запрос в техническую поддержку. В КП помимо лицензии входят часы разработки, поэтому понимаем, что это доработка и разработка, а не настройка через интерфейс уже установленного решения. Подход понятен, вопрос скорости и будут ли нужные мне стандарты и требования в роадмапе компании. |
Создание внутренних стандартов | Имеется возможность создавать внутренние стандарты, но нельзя это сделать на основе существующих требований, необходимо их перенабивать вручную еще раз. |
Процесс оценки | Оценка производится по выбранным стандартам без привязки к конкретным объектам. Работает как ручной опросный лист. |
Ролевая модель | Отсутствует. |
Опросные листы | Опросные листы есть. Пользоваться сложно: нет возможности отправить опросный лист на заполнение информации определенному сотруднику или кастомизировать форму и жизненный цикл опросника. Функционал Опросы не работает. |
Общий вид рабочего документа | Требования выводятся единым списком, нет возможности сгруппировать стандарт на уровне домена или по другому каталогу. Для обработки каждого требования необходимо раскрывать его либо «проваливаться» в карточку требования, что кратно увеличивает количество кликов. «Скученный» UX-дизайн затрудняет визуальное восприятие информации и вызывает необходимость постоянно скроллить. Отсутствует возможность корректировки визуального вида документа, добавления новых атрибутов и дополнительной информации по объекту оценки, форма жестко задана. |
Ручное закрытие требований | Доступно закрытие требований вручную, через фиксированный набор вариантов ответов, без возможности добавления/удаления ответов. |
Веса ответов | Отсутствует. Весовая ценность к ответам неприменима. |
Закрытие требований через меры | Доступно закрытие требований через меры. Одна мера может закрывать несколько требований, и при заполнении соответствующего документа все такие требования будут автоматически заполнены. Меры доступны из поставляемой базы мер, есть возможность создавать пользовательские меры. |
Жизненный цикл мер | Доступен жизненный цикл мер, все переходы по статусам осуществляются вручную. Статусы мер жестко заданы и не могут быть кастомизированы. |
Валидация ответов | Отсутствует валидация ответов. |
Задачи на корректировку | Есть функционал задач на корректировку с фиксированным жизненным циклом. Отсутствует возможность выставления SLA, эскалации, контроля выполнения и т. д. Система на одного сотрудника, сам поставил задачу и сам выполнил. |
Интеграция с SD | Односторонняя интеграция с JIRA, отправка заявок без «обратной связи» по статусам. |
Система уведомлений | Нет системы нотификаций. Что в текущих реалиях удаленки и невозможности постоянного нахождения перед монитором невозможно к использованию. |
Автоматический аудит | Отсутствует возможность автоматизации процесса в разрезе автоматического запуска регулярного аудита по расписанию. |
Auto-compliance | Нет. Что заполнили, то и будет в системе. |
Визуализация | Включено несколько преднастроенных виджетов. Кастомизировать или создавать виджеты нельзя. Полноценные кликабельные дашборды отсутствуют и нет возможности создания своих. |
Отчеты | Доступно два отчета для выгрузки. Нет регуляторных отчетов, отчетов по требуемым формам. Создание пользовательских отчетов не предусмотрено. |
Модуль представляет собой жестко фиксированный функционал, позволяющий заполнить информацию по стандартам и оценить процент соответствия требованиям с точки зрения заполняющего. Оценивать можно только одну организацию и по факту одним человеком. Одностороняя интеграция с Jira не позволяет автоматически обновлять статусы, поэтому работать придется полноценно в двух интерфейсах. Невозможно расширить или модифицировать функционал. Нет возможности апробировать собственную методологию работы. Функционал навязывает свой подход без возможности адаптации под требования Заказчика.
Модуль управления техническими уязвимостями
Критерий | SECURITM VM |
Управление уязвимостями | Основная задача модуля Управление техническими уязвимостями — обработка отчетов от сканеров уязвимостей для последующего: · связывания активов и выявленных уязвимостей; · создания задач на их устранение; Дополнительно есть возможность расчета интегральной оценки уязвимости на основании информации об уязвимости и сведений о хосте (таких как наличие доступа из интернет, количества уязвимых хостов, информация о группе хоста). |
Карточка уязвимости | Ограниченный набор полей без возможности кастомизации. |
Обогащение уязвимостей | Не предусмотрен механизм автоматического обогащения как уязвимости, так и хоста. Нет интеграции с внешними базами уязвимостей. Таким образом, уязвимость в системе будет точно такой же, как в отчете сканера уязвимостей, и, если аналитику нужно дополнительная информация, ему придется все искать самому в сторонних системах. |
Проверка уязвимости | Нет механизмов верификации наличия уязвимости. Нет инструментария, который мог бы обратиться к уязвимому хосту и подтвердить факт наличия уязвимого ПО конкретной версии. |
Автоматический запуск регулярного сканирования | Нет возможности. |
Обновление ПО | Нет способов запуска обновления программного обеспечения из самой системы. |
Интеграция с бюллетенями | Отсутствует. |
Политика управления уязвимостями | Отсутствует. |
Сканер уязвимостей (свой) | Отсутствует. |
Задачи на устранения уязвимостей | Только общий функционал задач c фиксированным набором статусов. Нет возможности устанавливать SLA, возможности делегировать группе ответственных и т.д. |
Продукт представляет собой возможность ведения реестра уязвимостей, полученных от внешних сканеров уязвимостей. Обогащение уязвимостей не предусмотрено. Нет возможности регулярного запуска сканирований внутреннего или внешних сканеров и автоматической обработки результатов. Нет своего сканера.
Общие модули (управление задачами, опросы, автоматизации RPA)
Критерий | SECURITM |
Настройка разделов меню | Нельзя настроить меню решения «под себя», изменить вложенность вкладок или переименовать отдельные разделы. |
Ролевая модель | Ролевая модель представляет собой 4 фиксированные роли без возможности настраивать их «под себя». Нельзя добавлять новые роли. |
Отображение объектов | Объекты отображаются в представлениях без возможности их кастомизации. Нельзя сохранять фильтры, отсутствует иерархичное отображение, нет быстрых переходов между связанными наборами объектов. |
Изменения в объектах | Изменения вносятся вручную, отсутствуют массовые действия. |
Работа с данными | Отсутствуют валидация значений, автозаполнение полей и удаление дубликатов карточек. |
Общий вид объектов | Карточки объектов представляют собой ограниченный набор базовых свойств. Настроек карточек не предусмотрено. Нет возможности добавить новые свойства и изменить их расположение на карточке. Нет возможности вносить стилевые изменения. |
Граф связей | Есть базовый граф связей (в модуле активов), но без возможности добавлять на него действия, нельзя добавлять направление связей и других визуальных эффектов. Можно переходить в карточку объектов напрямую с графа. Доступен только в отдельном окне. Ручной граф, что делает его бесполезным. |
Рабочие процессы | Нет функционала рабочих процессов. Преднастроенные переходы между встроенными состояниями без возможности внесения изменений. |
Опросные листы | Опросные листы есть. Пользоваться сложно. Нет возможность отправить опросный лист на заполнение информации определенному сотруднику. Функционал Опросы не работает. |
Интеграции | Несколько интеграций «из коробки» (Active Directory, Kaspersky, Excel, сканеры уязвимостей, JIRA). Нет возможности самостоятельно кастомизировать существующие интеграции или добавить новые. |
Уведомления и напоминания | Нет встроенных уведомлений или интеграций с почтовым сервером. |
Виджеты и дашборды | Встроено некоторое количество виджетов (в каждом модуле), но библиотеки виджетов для формирования пользовательских дашбордов нет. Отсутствуют возможности создавать собственные виджеты и группировать их в дашборды (для общей фильтрации и анализа). |
Отчеты | Есть небольшое количество встроенных отчетов. Нет библиотеки отчетов, также нет возможности создавать свои отчеты. Нет автоматической генерации отчетов. Нет регуляторных отчетов, отсутствуют отчеты по требуемым формам. |
Внешний вид | Нет «темной» или другой темы. |
Мультиязычность | Не поддерживается английский интерфейс, или другие языки. |
Продукт заявлен как сервис автоматизации процессов управления информационной безопасностью. Поставляется как коробочное решение с модулями управления активами, уязвимостями, рисками, контролем соответствия требованиям и стандартам и другими. Обеспечивается возможность ручного создания объектов. Не предоставляется возможность кастомной настройки и расширения функционала. Внутренняя экспертиза не поставляется (за исключением некоторого количества защитных мер в модуле Compliance). Ни один из модулей не является полностью проработанным и завершенным. Вопрос автоматизации без наличия функционала рабочих процессов ставит под вопрос целесообразность внедрения решения.
Выводы
Вывод прост: чуда не произошло, как бы мы этого ни хотели. Было потрачено время на исследования и тестирования. В итоге мы вернулись в исходную точку выбора.
Это оказался больше инструмент, похожий на CRM или Сервис деск, но без рабочих процессов и на ручном управлении. Нам не хватило в продукте экспертизы ИБ в виде контента «из коробки» и гибкости для автоматизации ИБ. Возможно, кому-то хватит, судить сложно.
Теперь для нас демпинговые цены — скорее повод насторожиться. На этом наша эпопея с поисками бюджетных вариантов закончена, следующий этап — изыскание бюджета на зрелое качественное решение, которое повысит уровень информационной безопасности нашей компании до приемлемого. Возможно, у зарекомендовавших себя вендоров появится и бюджетное решение высокого качества. Считаю ценным и важным поделиться нашим опытом исследования актуального рынка ИБ РФ, что будет полезно коллегам по цеху в выборе решений SGRC.
