|
Прошел год с момента анонса САКУРА редакции 3, и за это время продукт эволюционировал из программного комплекса в полноценную платформу для принятия решений на основе контекста. В интервью Максим Ефремов рассказывает, как решение помогает ИБ-специалистам не «воевать с собой», а эффективно выстраивать концепцию «нулевого доверия» (Zero Trust). |
Вы узнаете, как САКУРА-3 справляется с импортозамещением, поддерживая ключевые отечественные ОС (Astra Linux, РЕД ОС и другие) и службы каталогов, и почему она становится «мостом» для разрозненного «зоопарка» ИТ-систем, а не очередной нагрузкой. В центре внимания — реальная экономия времени за счет автоматических сценариев реагирования, умная приоритезация инцидентов по балльной системе и возможности масштабирования свыше одновременно работающих 100 000 рабочих мест. Узнайте, как превратить информационную безопасность из рутины в прозрачный и управляемый процесс, соблюдая требования регуляторов.
Мы поговорили с Максимом Ефремовым, заместителем генерального директора по ИБ компании ИТ-Экспертиза и владельцем программного комплекса САКУРА. Поводом стала круглая дата - год с момента анонса САКУРА версии 3. Нам стало интересно какой путь прошел релиз за это время, а также как он вписывается в контекст событий в сфере информационной безопасности сегодня.
В интервью обсудили:
- Реально ли автоматизация экономит время
- Как справиться с импортозамещением и подружить «зоопарк» решений
- Что делать с перегрузкой ИБ-отдела
- Как закрыть нестандартные требования к безопасности и требования регуляторов
Вопрос
Максим, вы анонсировали выход САКУРА-3 около года назад. Не как продолжение САКУРА редакции 2, а как совершенно новый продукт. Также состоялось несколько вебинаров, посвящённых новой версии САКУРА, где вы рассказывали о новых возможностях и подходах к информационной безопасности. Вы выпускали обновления - продукт обрастал функционалом. Что изменилось за это время? Чем САКУРА-3 сегодня отличается от той, что вы презентовали в день выхода?
Ответ
Действительно, год назад мы заложили фундамент и задали определенный вектор развития. Но по-настоящему глубоко САКУРА-3 раскрылась, когда попала в руки к нашим заказчикам и стала активно использоваться. За это время мы серьезно её прокачали. Все наши релизы, как и 3.2.1, родились из реальных потребностей и пожеланий наших пользователей. Поэтому САКУРА сегодня про еще большую глубину погружения в контроль безопасности, гибкость настроек, надежность и это всё для реальной экономии: как вложенных средств, так и ресурсов команды ИБ заказчиков. Пожалуй, самое главное изменение, что продукт превратился в платформу для принятия решений на основе контекста – не мешает работе пользователей, но срабатывает мгновенно там, где это критично. Тут под контекстом понимаем не только набор различных (любых) метрик с рабочего места, но и обогащение знаниями о пользователе и его рабочем месте из других источников. Мы растем вместе с пользователями и это только начало пути.
* * *
Вопрос
Есть мнение, что автоматизация в ИБ - палка о двух концах. Либо ты даёшь пользователям слишком много прав и ловишь инциденты, либо слишком закручиваешь гайки и администраторы тратят время на ручные правки. Как САКУРЕ 3 удаётся автоматизировать процессы, но при этом не превращать жизнь ИБ-отдела в бесконечную подстройку?
Ответ
Автоматизация ради автоматизации часто приводит к тому, что ИБ-отдел начинает воевать сам с собой.
Во-первых, мы пересмотрели подход к тому, что из себя представляет подконтрольное рабочее место. Ему присваивается такая сущность как Профиль. Профиль содержит в себе все параметры, необходимые для работы определенных групп пользователей на конкретном типе устройств. Вы создаете профили, например, «удалённый сотрудник», «бухгалтер», «подрядчик» и для каждого из них настраиваете свою логику сбора данных, различную логику проверок и сценариев реагирования. В итоге администратор один раз собирает профиль и присваивает его всем сотрудникам, имеющим отношение к определённой группе. Это экономит часы работы.
Профиль рабочего места категории «Разработчик»
Во-вторых, добавили в САКУРА такую сущность как Мониторы.
Она позволяет собирать и отправлять важные для администратора данные с рабочего места с установленным Агентом на Сервер точечно, и только когда это действительно требуется, не перегружая канал связи. Причем САКУРА делает это автоматически по заданному расписанию.
Монитор антивирусного обеспечения
И в-третьих, в Профиль можно добавить настройки для контроля решений класса NAC (Network Access Control). Далее задаём «правила игры», то есть доступа к контролируемым ресурсам в интеграции с NAC и САКУРА, которая в автоматизированном режиме отслеживает подключение к решениям NAC, состояние защищенности, управляет правами доступа рабочего места к сети. Важно, что контроль происходит постоянно, а не только при инициализации подключения. Таков Путь Нулевого Доверия. Таким образом, образуется замкнутый цикл автоматизации: от качественного сбора входных данных до точной реакции на инцидент. Ну и отмечу, что в Реакциях на инциденты мы тоже не ограничиваем — можно не только воздействовать на само рабочее место пользователя, но и настроить любые интеграции с другими средствами защиты и инфраструктуры (например, с межсетевыми экранами или каталогами пользователей или даже с сетевым оборудованием).
Параметры настройки NAC-интеграции для профиля рабочего места категории «Разработчик»
* * *
Вопрос
Иногда вендоры делают акцент на том, что один продукт может закрыть все боли заказчика, а остальные системы станут не нужными. А какой стратегии придерживаетесь вы? САКУРА-3 это замена всему или что-то другое?
Ответ
Мы принципиально против идеи, что одно решение может выступать в качестве швейцарского ножа на все случаи жизни. У заказчика уже построены гетерогенные информационные системы, выстроены процессы, вложены ресурсы во всех смыслах, поэтому предлагать одно решение как замену всему, способствует не закрытию болей, а добавлению новых.
Наша стратегия - не создавать ещё одно нагромождение из софта, а быть связующим звеном. САКУРА органично встраивается в существующий ландшафт. Например, возвращаясь к вопросу об автоматизации процессов, я упомянул, что САКУРА собирает множество параметров с контролируемых рабочих мест. Но это далеко не единственный источник информации для нас. САКУРА может обогащать информацию о рабочем месте и пользователе из внешних систем (каталоги пользователей, SCCM, MDM, внутренние информационные системы), которые уже есть в компании и благодаря этому однозначно идентифицировать подключающееся рабочее место и пользователя, а также строить сложные логические сценарии. Мы ранее делились примером такого сценария одного из наших пользователей.
Так что ответ на ваш вопрос: САКУРА-3 это не замена всему. Это мост, который связывает разрозненные системы в единый контур контроля и автоматизированного принятия решений. Вы не теряете прежние инвестиции, не переписываете процессы и не получаете очередной «зоопарк» решений. Вы просто закрываете пробелы в безопасности быстро и безболезненно.
* * *
Вопрос
Вы сказали про органичное встраивание в ландшафт. Но сегодня многие заказчики все еще находятся в процессе импортозамещения. Например, уходят с Active Directory на отечественные службы каталогов. Не получится ли так, что САКУРА перестанет понимать кто есть кто, и автоматизация рухнет? Или вы как-то к этому готовы?
Ответ
Вы верно подчеркнули про «не заменять, а встраиваться». Так вот, со службами каталогов мы делаем ровно то же самое.
САКУРА-3 изначально проектировалась как независимая от конкретной службы каталогов. Помимо до сих пор широко распространённого каталога Active Directory, мы добавили поддержку ALDPro, FreeIPA, РЕД АДМ и OpenLDAP. Причём это не просто "галочка совместимости". В рамках сценариев можно обращаться к любой из этих служб: проверять, заблокирован ли пользователь, вычитать оттуда группы пользователей или даже изменить членство конкретного пользователя в группе, как реакцию на инцидент.
Так что переход на импортозамещённые решения не только не ломает безопасность, но и позволяет её усиливать, не переписывая политики. Это прямое продолжение нашей стратегии: мы работаем с тем, что вы уже выбрали.
* * *
Вопрос
Понятно. А что на счет отечественных операционных систем? Работает ли САКУРА-3 с этим программным обеспечением?
Ответ
Да, мы понимаем, что для многих заказчиков переход на отечественные операционные системы это реальная задача. Поэтому САКУРА-3 работает с ними полноценно, без потери функциональности. САКУРА поддерживает Astra Linux, РЕД ОС, ОС Альт. На этих ОС доступны те же механизмы контроля, что и на Windows, macOS. Так что, если вы планируете миграцию, то САКУРА-3 вас в этом поддержит.
* * *
Вопрос
Контроль доступа часто завязан на межсетевые экраны, NAC-решения. Многие заказчики переходят также на отечественных производителей в этой области. Обособлены в этом вопросе госструктуры, финансовые организации, объекты КИИ и операторы персональных данных, для которых жизненно необходимо использование сертифицированных СКЗИ – ГОСТ-VPN. САКУРА-3 с ними дружит?
Ответ
И не просто дружит, а обеспечивает ту самую возможность реализации концепции нулевого доверия через контроль доступа к корпоративным ресурсам в интеграции с VPN-решениями. У нас есть конкурентное преимущество: мы не привязаны к какому-то одному вендору. САКУРА-3 работает с основными игроками рынка, такими как ЗАСТАВА (ЭЛВИС-ПЛЮС), С-Терра (С-Терра СиЭсПи), ViPNet (ИнфоТеКС), WNAM (NETAMS), NGate (КриптоПро), Континент ZTN Клиент (Код Безопасности), Check Point, ФПСУ-IP (Амикон). В паре с VPN при обнаружении нарушения мы можем изолировать устройство, разорвать соединение, сменить политику доступа. Вы вольны выбирать как различные сценарии работы с этими продуктами (мониторинг нарушений или активное реагирование), так и решение NAC.
* * *
Вопрос
Столько данных из разных систем, действительно, впечатляет! Но как вы отсеиваете информационный шум и помогаете ИБ-отделу видеть действительно важное?
Ответ
В САКУРА-3 мы сделали ставку не на количество проверок, а на их умную приоритезацию. Мы отказались от 4 фиксированных уровней нарушения и перешли к настраиваемой балльной системе оценки.
В1ы сами назначаете «вес» каждому нарушению. Например:
- Отсутствие обновлений антивируса – 50 баллов (критично)
- Отсутствие обновлений ОС - 5 баллов (не критично)
Критический уровень нарушения рабочего места
САКУРА учитывает наибольший балл нарушений и повышает их приоритет. Администратор в первую очередь видит рабочие места в наиболее критичном состоянии, которые действительно требуют внимания здесь и сейчас.
Уровни нарушений
* * *
Вопрос
Но инциденты бывают разные: одни требуют немедленной изоляции устройства, другие - просто уведомления. А когда угроза устранена, доступ должен вернуться. Как САКУРА-3 справляется с этим спектром реакций? И может ли автоматически возвращать доступ, снимая нагрузку с администраторов?
Ответ
Да, ранее я уже упомянул о механизмах реакций, давайте расскажу подробнее. САКУРА выступает не просто в роли «светофора», а как активный оркестратор безопасности. И делает это с помощью матрицы реагирования - механизма, который позволяет определить реакцию на смену уровня нарушений. Не нужно отслеживать изменения вручную. Например, уровень нарушений на АРМ изменился (был «зеленый» – стал «желтый»): можно отправить уведомление пользователю с инструкцией на устранение, сделать запись в журнал событий. А когда устройство снова стало «зелёным» - возврат доступа. Всё это работает в автоматизированном режиме, без участия администратора.
Пример матрицы реагирования
* * *
Вопрос
А как быть с ситуациями, когда требования безопасности у заказчика нестандартные и требуются, например, проверки, не заложенные в продукте? Заказчику приходится либо ждать доработок от вендора и идти на риск, либо самостоятельно искать обходные пути.
Ответ
Мы понимаем, что у каждого заказчика могут быть свои нюансы, поэтому набор правил не ограничивается «коробкой». Для нестандартных задач мы дали возможность создавать собственные сценарии действий на PowerShell, Bash, CMD или Python. Всё. Не нужно ждать следующего релиза. Ваш ИБ-специалист справится за 10–15 минут. Главное, что ваши кастомные проверки работают ровно в той же логике, что и встроенные.
* * *
Вопрос
Вы в начале интервью сказали, что все ваши релизы рождаются из реальных потребностей и пожеланий пользователей. Можете привести примеры?
Ответ
Один из ярких примеров — расширение набора проверок, которые Агент САКУРА выполняет на рабочем месте. Заказчики просили больше контроля над тем, что происходит внутри АРМ: проверка валидности сертификатов, наличия и целостности файлов и ключей реестра, работа в среде виртуализации, а для Linux ещё и проверка на руткиты. Все эти правила контроля уже доступны из «коробки». Они позволяют сделать уровень проверки глубже, что в целом повышает защищенность компании. И да, все эти проверки родились из реальных запросов, которые мы получили от заказчиков.
* * *
Вопрос
Хорошо, понятно, что САКУРА фиксирует нарушения. А давайте представим ситуацию: бухгалтер в разгар аврала, когда горят сроки сдачи квартальной отчётности, получает уведомление о нарушении безопасности. А дальше он либо лихорадочно пытается найти решение, либо бежит в ИБ-отдел за помощью. А иногда вообще случается путаница и не ясно к кому обращаться. Все это тратит драгоценное время. Закрывает ли как-то САКУРА этот разрыв?
Ответ
Да. Мы добавили возможность встраивать гиперссылки прямо в текст уведомления о нарушении, которое получает пользователь. Кроме того, кликнув по гиперссылке пользователь может выполнить предварительно заданный сценарий действий.
Вот наш бухгалтер видит сообщение о нарушении, а в нем ссылку. Он кликает и попадает на готовую инструкцию на внешних ресурсах или, например, во внутренней базе знаний. Не нужно угадывать, к кому бежать, не нужно с нуля искать решение. Он быстро исправляет нарушение и возвращается к своей отчётности. В результате сроки не срываются, ИБ-отдел не захлёбывается в однотипных вопросах, а компания не теряет деньги.
Пример уведомления о нарушении с гиперссылкой на запуск скрипта
* * *
Вопрос
Действительно, продукт очень гибкий. Не получится так, что САКУРА-3, со всеми профилями, сценариями, баллами и кастомными скриптами, начнёт тормозить на реальных масштабных внедрениях? Не придется ли расплачиваться производительностью?
Ответ
Совершенно справедливый вопрос. Гибкость не должна идти в ущерб производительности. Поэтому мы уделили особое внимание тому, что находится «под капотом». Мы оптимизировали работу нашего комплекса на всех слоях, что позволяет справляться с усложнённой логикой и большим количеством пользователей.
Подтвердили это проведением реального нагрузочного тестирования при конфигурации более 100 000 рабочих мест. Результаты нас порадовали: система продолжала работать стабильно и непрерывно. Пиковые нагрузки на сервер уложились в 15% CPU. Так что за масштаб можно не переживать - мы уже всё проверили за вас.
* * *
Вопрос
Мы обсудили производительность и масштабируемость. Но для значительной доли рынка (госсектор, компании, работающие с персональными данными, организации, владеющие объектами КИИ и др.) есть не менее важный аспект – требования регуляторов. Им нужно, чтобы система обеспечивала соответствие этим требованиям. Закрывает ли САКУРА-3 эту потребность?
Ответ
САКУРА-3 помогает закрывать потребность в соответствии ключевым требованиям регуляторов: обязательная регистрация всех событий безопасности, разграничение доступа на уровне профилей, разделение административных ролей, защита каналов связи и целостность агентов. Комплекс помогает обеспечивать соответствие таким приказам ФСТЭК России, как №117, №21, №239.
Безусловно, один продукт не заменит всю систему обеспечения информационной безопасности, но поможет закрыть большую часть требований, а также сможет ответить на вопрос «А действительно ли моя система работает?».
* * *
Вопрос
Мы поговорили о многом. А что дальше? Какой путь развития вы видите для САКУРЫ-3 на ближайшие год-два?
Ответ
Мы видим для себя несколько ключевых направлений.
Во-первых, это поддержка проверок комплаенса мобильных устройств. Сегодня бизнес работает не только с ноутбуков и ПК, но и с телефонов, планшетов на Android и iOS. Заказчики хотят контролировать доступ и с этих устройств, обеспечивать выполнение политик безопасности. Поэтому мы активно работаем над тем, чтобы Агент САКУРА появился на мобильных платформах с возможностью сбора параметров, проверок и реакций.
Во-вторых, мы планируем активно развивать модуль многофакторной аутентификации (МFА). Это нужно, чтобы закрыть требования к усиленной аутентификации для всех сотрудников и для доступа к критическим системам. Важно понимать, что в настоящее время «многослойная» проверка не только рабочего места, но и пользователя — это must have для спокойствия отдела безопасности.
В-третьих, модуль Threat Intelligence. Мы хотим, чтобы САКУРА-3 не только реагировала на уже известные нарушения, но и предсказывала угрозы на основе внешних потоков данных. Это позволит блокировать подключения ещё до того, как устройство успело навредить.
Это лишь часть нашей дорожной карты. Мы не стоим на месте и стараемся заглядывать на шаг вперёд, чтобы САКУРА-3 оставалась современным, востребованным инструментом для безопасности.
* * *
Вопрос
Максим, спасибо, интервью получилось очень содержательным! И напоследок, как принято в подобных беседах, спрошу: если бы я был вашим потенциальным заказчиком и думал приобретать ли САКУРА-3, что бы вы мне сказали?
Ответ
Я бы сказал так: если вы чувствуете, что ваши сотрудники тратят слишком много времени на однотипные ручные действия - правят политики, разбирают ложные срабатывания, восстанавливают доступ после сбоев, то САКУРУ 3 хотя бы стоит посмотреть. Она не сделает всё за вас, но может подарить вашему ИБ-отделу вечер пятницы. Приходите на демонстрацию, покажем, как мы это делаем. А попробовать продукт вживую можно на пилотном проекте. Оставляйте заявку на info@it-expertise.ru
Подписывайтесь на наши каналы в Telegram и MAX