Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Что должна уметь DLP, чтобы защитить импортозамещенную инфраструктуру?

C 1 января 2025 года в России наступила «эра импортозамещения». По указу №166 госсектору и субъектам КИИ больше нельзя использовать иностранный софт, включая ОС и СУБД, а по указу №250 – и импортные средства защиты информации. Так что теперь организациям нужны ИБ-решения, которые хорошо встроятся в импортозамещенную инфраструктуру – и смогут ее защитить.


Мы разрабатываем разные средства внутренней ИБ, в частности – DLP «СёрчИнформ КИБ». На ее примере рассмотрим, какие новые требования появились к системе и как сегодня выглядит «адаптированная» защита.

Особенности импортозамещенных инфраструктур

«СёрчИнформ КИБ» больше 20 лет на рынке DLP. С самого начала система развивалась от практических задач заказчиков. Когда поступил запрос на контроль отечественных инфраструктур, нам предстояло решить несколько задач – DLP должна:

  • Работать на независимых компонентах.
    Раньше всю инфраструктуру можно было построить на элементах от одного производителя: в линейке Microsoft были и десктопные, и серверные ОС, и своя СУБД, интегрированные между собой. Сегодня отечественные разработчики создают свои системообразующие платформы. Но универсального варианта нет. Поэтому любое корпоративное решение, в том числе DLP, должно уметь работать с системными компонентами от разных вендоров – и решать вопросы интеграции самостоятельно.
  • Поддерживать сразу много ОС.
    Семейство операционных систем Linux очень широко: это и свободно распространяемые, и коммерческие ОС. И у каждой есть линейка разных версий. Поэтому «контроль Linux» по факту означает, что DLP должна одновременно поддерживать огромный пул вариаций unix-систем. Или найти универсальный способ интеграции со всеми, несмотря на их различия.
  • Контролировать новый пакет сервисов.
    Импортозамещение предполагает, что компания заменит не только системный, но и прикладной софт – тот, что непосредственно обеспечивает бизнес-процессы. На отечественном рынке расцвет новых сервисов. И даже привычные ранее инструменты на Linux работают иначе. Многие сервисы меняют архитектуру: отрываются от локальных ПК и переезжают в «облака», в т.ч. чтобы функционал был доступен с любого устройства вне зависимости от ОС. Поддержать все эти варианты важно, чтобы защита была эффективной.

При этом разница инфраструктур не должна сказаться на привычных ИБ-специалистам возможностях контроля. Расскажу, как мы адаптировались и как изменилась система на разных уровнях.

1. Внедрение

Работа «СёрчИнформ КИБ» ведется на двух основных уровнях: в дата-центре на сервере и на агентах на ПК сотрудников.

Сервер управляет работой агентов и анализирует полученную от них информацию. Это важный элемент, так что ему требуется надежная платформа. Поэтому среди импортозамещенных вариантов серверных ОС мы выбрали наиболее востребованные у клиентов и стабильные, выдерживающие нагрузку: ОС Astra Linux 1.7. и Ubuntu 22.04 LTS. Также на сервере система хранит базы данных: с собственными настройками и с данными от ПК сотрудников. По тем же критериям мы выбрали для их размещения опенсорс-СУБД PostgreSQL и ее отечественные модификации – PostgreSQL Pro и др. Дополнительным преимуществом стало, что новые системные компоненты обеспечили КИБ большую «легкость»: они дешевле иностранных аналогов и менее ресурсоемкие.

Агенты КИБ отвечают за сбор информации об активности на ПК сотрудников: запуске ПО, посещении сайтов, работе с файлами и устройствами. Анализируя эти данные, система обнаруживает вредоносные или потенциально опасные действия – утечки, мошенничество, нарушения регламентов, – сообщает ИБ-специалисту и может остановить угрозу.

Агенты «СёрчИнформ КИБ» контролируют компьютеры с российскими ОС Alt Linux, Astra Linux (включая защищенные версии «Орел», «Воронеж», «Смоленск»), RedOS, а также опенсорсными CentOS и Ubuntu. На очереди – ОС от Сбера. Устанавливать агенты удобно, даже если в компании в ходу сразу несколько видов или версий таких ОС. КИБ автоматически собирает агент под версию ядра операционной системы, так что не придется заниматься настройкой вручную.

2. Контроль и интеграция

Вся работа ИБ-специалиста с КИБ происходит в единой веб-консоли. Она доступна с любого устройства в корпоративной сети, поэтому ИБ-специалисту удобно оперативно включиться в работу откуда угодно.

Так мы поддержали востребованный тренд на кроссплатформенность и независимость от ОС. Заодно облегчили работу с системой заказчикам, которые разворачивают КИБ на Linux-серверах без графического интерфейса. Установить там систему можно через командную строку, но для работы не потребуется писать скрипты и разбираться в коде: в браузере ИБ-специалист видит все данные в понятном формате.

GlobalCIO_рис1.jpg

В консоли решаются все прикладные задачи: начиная от настройки параметров контроля заканчивая просмотром событий и расследованием инцидентов. За администрирование и настройку в ней отвечают:

  • Data Center – для настройки хранения и обработки данных в DLP, управления лицензиями, доступом к системе и работой служебных компонентов.
  • SearchServer – для настройки инструментов обработки данных (OCR, распознавания речи, индексов событий по каналам контроля).
  • Endpoint Controller – для управления агентами и настройки работы контроллеров – «невидимых» компонентов КИБ, ответственных за сбор данных в том или ином канале.

Контроллеров в КИБ более 10. Они работают «внутри» агентов на ПК и контролируют все каналы передачи информации: почту, мессенджеры, веб-сервисы, облака, сетевые хранилища, съемные носители, средства печати и удаленного доступа. Также система отслеживает активность пользователей в ПО и фиксирует происходящее на экране их ПК, может подключаться к веб-камере и микрофону сотрудников. Вместе это обеспечивает полную прозрачность движения информации и активности пользователей.

Таким образом, функционально система на Linux не поменялась. Более того: в каждом канале «СёрчИнформ КИБ» хорошо интегрирована с отечественным стеком. Она контролирует широкий перечень российских мессенджеров, соцсетей и ВКС (Squadus, Dialog, eXpress и т.д.), систем документооборота, планирования и CRM (Контур.Диадок, Bitrix24, 1С и т.д.), бизнес-платформ (VK Workspace / ГК «Среда», Яндекс 360 и др.), а также облаков, почты и других средств коммуникации. Поддерживается и более 100 сервисов вне локальной инфраструктуры: КИБ интегрируется с сервером, откуда работает корпоративное решение. Это полезно, когда сотрудники имеют возможность пользоваться ПО вне офиса с личных или мобильных устройств – данные будут защищены уже «в командном центре» программы.

Также КИБ распознает форматы файлов, создаваемых в импортозамещенном прикладном ПО. Все эти возможности постоянно растут: мы реализуем десятки интеграций в год.

3. Мониторинг и расследования

«Оперативные» задачи в КИБ для Linux решаются в полном объеме – в той же консоли.

Alert Center автоматически обнаруживает инциденты ИБ по 250+ готовым политикам безопасности. Политики учитывают потребности разных отраслей бизнеса и все виды внутренних угроз. Можно создавать свои политики, настраивать расписание проверки и параметры уведомлений. Проверка по политикам работает даже в ретроспективе: по архиву данных за настраиваемый период.

WebAnalytic служит для поиска и углубленного анализа всей собранной информации. Позволяет изучать контекст инцидентов и смежные с ними события, а также контролировать активность пользователей в режиме онлайн.

GlobalCIO_рис2_ред.png

Карточки пользователей суммируют все данные по потенциальным виновникам инцидентов: должность, контакты, характеристики сотрудников, а также отчеты по их активности и нарушениям. Кроме того, можно проверить, где находятся их ПК на Карте местоположения.

Организовать работу над расследованием помогает Task Management – планировщик задач для ИБ-отдела, который позволяет распределять работу и удобно объединять всю «фактуру» по каждому инциденту. Отсюда же удобно отчитаться по результатам регулятору (работает прямая интеграция с НКЦКИ, отчет в ГосСОПКА создается по готовой форме) или руководителю бизнеса (со статистикой, деталями инцидентов и прикреплением доказательств).

Еще больше отчетов собрано в Report Center. Доступно много готовых шаблонов, которые можно адаптировать «под себя». Они делятся на несколько категорий:

  • Статистические отчеты показывают занятость, активность и продуктивность сотрудников.
  • Отчеты о связях пользователей дают представление о круге общения.
  • Контентный маршрут перемещения документа демонстрирует весь «путь» документа по периметру компании.
  • Отчеты по оборудованию и ПО упрощают инвентаризацию и облегчают мониторинг инфраструктуры.

4. Активная защита

Выявив инцидент, «СёрчИнформ КИБ» может действовать проактивно. По гибким условиям настраиваются блокировки, они распространяются на отдельные опасные действия сотрудников или целые каналы связи.

Для ПК на Linux можно ограничить:

  • Доступ к подключенным устройствам (сетевым адаптерам, флешкам и др.).
  • Запись данных на USB (по контенту и контексту).
  • Доступ к DVD и CD дисководам.
  • Доступ к модемам и сетевым адаптерам.
  • Посещение запрещенных сайтов (или целых категорий сайтов) и др.

Список доступных блокировок постоянно расширяется. Кроме того, в Linux-инфраструктурах доступен почтовый карантин. Он останавливает письма, которые нарушают политики безопасности: содержат подозрительный контент, запрещенные к пересылке вложения или направлены нежелательному адресату. В веб-консоли можно настроить политики карантина и принимать решения: заблокировать письмо или разблокировать и доставить адресату.

Итого

Чтобы быть эффективными при импортозамещении, DLP-системы должны уметь надежно встраиваться в новую инфраструктуру в любой конфигурации. Что еще важнее – обеспечивать контроль актуального прикладного ПО, которое заказчики используют в новых условиях.

В «СёрчИнформ КИБ» серверные компоненты совместимы с российскими ОС и СУБД, а контроль пользовательских ПК на Linux реализован в полном функционале с широкой поддержкой отечественных бизнес-сервисов. Система защитит компанию, даже если в ИТ-инфраструктуре замещены не все компоненты. Например, можно развернуть сервер КИБ на Linux и контролировать разнородный парк пользовательских машин: Windows, Linux и Mac одновременно. И наоборот: с Windows-сервера контролировать ПК на отечественных ОС. С системой удобно работать: весь функционал сведен в единую веб-консоль, доступную с любого устройства.

Таким образом, «СёрчИнформ КИБ» подходит любой компании, для которой актуально импортозамещение:

  • Поможет выполнить требования регуляторов.
  • Обеспечит реальную защиту бизнес-процессов в новой инфраструктуре.
  • Облегчит «переходный» период без потери контроля.

Проверить, как КИБ справляется с задачами в Linux-инфраструктуре, можно во время пробного периода. Закажите тест: это бесплатно на 30 дней.

2111

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.