2024: Время цветения Сакуры

Минула весенняя ночь
Белый рассвет обернулся
Морем вишен в цвету
(Мацуо Басе)

Наступивший 2024 год в сфере информационной безопасности (далее ИБ) принес нам новые вызовы, что, в дополнение к уже существующим, добавило головной боли руководителям и государственных, и коммерческих компаний. Даже отложив в сторону ситуацию в мире, и рассматривая только стремительное развитие технологий, видим – в ближайшее время нас ожидает экспоненциальный рост числа мошеннических схем получения конфиденциальной информации и вариантов вторжения в инфраструктуру компаний.

Ключевую роль в этом глобальном процессе занимает так называемый «удаленный пользователь». И это не просто какой-то человек – это набор возможностей и технологий, обеспечивающий комфортную работу без необходимости присутствия в офисе. Если рассматривать это явление с точки зрения ИБ получаем следующее: с одной стороны, это удобный механизм, позволяющий работать из любой точки мира. С другой - этот же механизм может существенно подрывать ИБ компании.

Зачастую в компании не знают, откуда и с какого компьютера подключается пользователь, что он делает в процессе работы и, главное – не всегда есть вообще понимание, кто именно работает за этим компьютером в тот или иной момент времени. Риск возникает на каждом этапе – ведь даже корпоративные машины можно скомпрометировать.

Здесь и приходит на помощь программный комплекс ИБ САКУРА (Система Автоматизированного Контроля Удаленными РАбочими местами – далее САКУРА). Можно сказать, что САКУРА является важнейшим инструментом для создания архитектуры в концепции ZTNA (Zero Trust Network Access – технология «нулевого» доверия), которая включает в себя множество различных программных и аппаратных средств (VPN, антивирус, DLP, SIEM и т.п.).

Про концепцию Zero Trust мы регулярно рассказываем на встречах с коллегами ИБ и пишем статьи, проливающие свет на актуальность и своевременность использования такого подхода.

Общаясь с заказчиками, мы часто слышим от них различные «боли», в частности связанный с одной распространенной в ИБ дилеммой: с одной стороны, есть необходимость контролировать удаленные рабочие места своих сотрудников. А с другой – достаточно часто сотрудники работают на своих личных компьютерах и не очень довольны тем, что представители компании могут получить доступ к их личным данным и персональной информации.

Оставим за скобками организационные методы, такие как принудительная установка отслеживающих деятельность пользователя приложений, либо работа только на корпоративной технике, где отключено все, что так мило сердцу работников – например, пасьянс «косынка» ☺

Нужно решение, которое комфортно закрыло бы эти потребности. И в первую очередь необходимо закрыть такую важную задачу как проверка комплаенса.

Такой продукт должен не просто напоминать, что сотрудникам можно делать то-то и то-то, а что – нельзя. Приложение должно само реагировать на нарушения правил контроля, и принимать соответствующие меры – вплоть до запрета доступа в закрытые контуры компании.

Кроме этого, крайне важно обеспечить хорошую интегрируемость такого решения с другими системами, что, в целом, существенно повышает общую защищенность в реализации ZTNA на конкретном рабочем месте. Никому не нужно одинокое «сферическое приложение в вакууме», работающее само по себе.

Программный комплекс САКУРА специально создан для сбора информации о рабочем месте (АРМ) и реагирования на инциденты безопасности, зафиксированные на нем.

Комплекс представляет из себя программное обеспечение, которое состоит из двух частей:

• Сервер САКУРА – который полностью разворачивается в инфраструктуре компании и не требует полного, либо частичного онлайн доступа в какой-либо облачный сервис. С точки зрения ИБ – облачные сервисы не всегда полезны ☺

• Клиентская часть – Агент САКУРА. Агент устанавливается на устройстве сотрудника. Именно Агент собирает информацию о машине (ее программной и аппаратной частях, местоположении, запущенных процессах операционной системы и так далее), после чего передает информацию на Сервер САКУРА.  Таким образом регулярно формируется информация о состоянии этого каждого рабочего места, по которому необходимо соблюдать требования ИБ

В зависимости от собранной информации, Сервер САКУРА взаимодействует с шлюзом VPN с целью оперативного управления доступом каждого пользователя в различные сегменты инфраструктуры компании, в соответствии с их уровнем безопасности. 

Важной особенностью программного комплекса САКУРА является то, что при четкой и грамотной настройке правил контроля, САКУРА будет не только отправлять уведомление пользователю о нарушении того или иного правила, но и реагировать на нарушение в автоматическом режиме. Тем самым серьезно снижается нагрузка на офицера безопасности, отвечающего за удаленных сотрудников.

Ему уже не нужно будет постоянно мониторить состояние удаленных рабочих мест на предмет нарушения правил компании – достаточно по расписанию снимать отчет о состоянии вверенных ему рабочих мест. САКУРА предоставляет обширный набор отчетов, что существенно повышает прозрачность выполнения требований ИБ.

Эти отчеты можно экспортировать в популярные форматы и обрабатывать в стороннем ПО. А информацию о нарушениях и изменениях на рабочем месте можно выгружать в стороннюю SIEM систему. Список отчетов в ПК САКУРА может быть расширен. Для этого достаточно связаться с нами – проще всего по адресу info@it-expertise.ru, либо телефону +7 499 450 28 86

Еще одной важной особенностью комплекса САКУРА является возможность при работе с правилами контроля не ограничиваться предустановленным разработчиками набором типов и объектов проверки. Вы можете расширять и дополнять из благодаря поддержке произвольных скриптов, написанных на Power Shell или Bash. Это позволяет создавать и применять правила любой сложность, подходящие именно вашей модели угроз.

Иными словами – вы получаете «Конструктор», с помощью которого можно построить целую систему проверки и реагирования на инциденты информационной безопасности именно в вашей компании.

ПК САКУРА сложно отнести к какому-либо классу ПО ИБ. Поэтому, когда заказчики спрашивают нас, чем является САКУРА в построении той самой архитектуры ZTNA, мы с гордостью отвечаем: у нас нет определенного класса, но без нашего продукта очень сложно представить себе современную отечественную цифровую систему.

Важно отметить, что мы не стоим на месте и постоянно развиваем продукт: регулярно добавляем новые и актуализируем существующие модули. Поэтому САКУРА – это не только комплаенс.

Это еще и достаточно мощный инструмент для получения информации об АРМ. Это полезно системным администраторам – всегда в актуальном состоянии можно иметь информацию о:

• программном обеспечении
• его актуальности (например, свежесть баз для антивируса)
• аппаратной части
• местоположении
• загруженности рабочего устройства

Кроме этого, в ПК САКУРА есть еще один полезный раздел: Учет времени. Эта функция наверняка пригодится HR, начальникам отделов и подразделений.

В нем собирается и отображается информация об активности сотрудника на рабочем месте, работе в различных группах ПО и посещенных сайтах. Никакой личной информации не собирается – только активность. То есть САКУРА действительно собирает информацию о том, какие сайты посетил сотрудник в процессе работы, но что он там делал – не фиксируется.

Аналогичным образом САКУРА аккумулирует информацию о том, в каком ПО работал сотрудник, но что он там делал – нет.

* * *

Вызовы, которые стоят сейчас перед информационной безопасностью, так или иначе, вынуждают нас усиливать контроль за работой сотрудников, которые имеют доступ к критически важной информации. Особенно – в дистанционном режиме, когда риски компрометации максимальны.

Поэтому, мы объявляем этот год – «Годом цветения Сакуры». Мы желаем всем успехов и спокойной безопасной работы под сенью цветущих веток САКУРА.

Владимир Русин,
Технический пресейл направления информационной безопасности