Топ-10 интересных, но малоизвестных решений на рынке ИТ для кибербезопасности

Anti-Malware.ru от 30 октября 2017 г.

Пожалуй, каждый специалист по кибербезопасности может назвать несколько решений в сфере ИБ, даже не относящихся к его предметной области. Как правило, это будут наиболее распространенные и хорошо известные на рынке продукты. Однако существует ряд менее именитых, но не менее функциональных решений. В этом обзоре Дмитрий Васильев, руководитель отдела поддержки продаж департамента информационной безопасности Softline, хотел бы обратить внимание профессионалов на некоторые из них – они этого достойны.

Информационная безопасность – динамично развивающаяся сфера, чуть ли не каждый день на рынке появляются продукты и решения, о которых вы можете даже не подозревать. Без лишних предисловий расскажем вам о десяти решениях в сфере ИБ, не имеющих пока широкого распространения. Однако в перспективе они могут стать популярными и востребованными на российском и мировом рынке.

Зарубежные решения

SilentDefenсe (Security Matters)

Страна: Нидерланды

Класс: Система обнаружения вторжений для сетей ICS/SCADA

Программная платформа для мониторинга сетей SCADA и промышленных систем управления (ICS) в целях обеспечения устойчивой работы. Система работает в режиме IDS. Рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.

Возможности и особенности:

• Поддержка 13 открытых промышленных протоколов (Modbus TCP, Ethernet/IP, OPC- DA/OPC-AE, IEC 104, IEC 61850 (MMS, GOOSE, SV), ICCP, Synchrophasor, DNP3, BACnet, ProfiNet) и проприетарных протоколов: ABB (800xA, AC 800M, AC 800F), Siemens (Step7, Step 7+), Emerson (Ovation, DeltaV), Honeywell, Yokogawa (VNet/IP), Rockwell.
• Возможность передачи данных в различные SIM/SIEM-системы.
• Обнаружение недекларированных протоколов или команд.
• Обнаружение инсайдерских угроз.
• Автоматическая «инвентаризация» сети и построение карты сети.

mGuard (Phoenix Contact)

Страна: Германия

Класс: Промышленный маршрутизатор с функцией межсетевого экрана

Устройство безопасности для децентрализованной защиты периметра сети, контроля сетевого трафика и создания безопасного удаленного подключения. Как и в вышеописанном примере, рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.

Возможности и особенности:

• Возможность работы в режиме stealth.
• DPI промышленных протоколов (OPC, Modbus TCP).
• Промышленное исполнение с установкой на DIN-рейку и расширенным диапазоном рабочих температур, а также в морском исполнении.
• Возможность использования в 3G/4G-сетях.
• Поддержка GPS/GLONASS.

TrapX Deception Grid (TrapX)

Страна: Израиль

Класс: Защита от таргетированных атак

Платформа для построения многоуровневой системы защиты, в которую входят средства размещения и управления сетевыми сенсорами, decoy-токенами, песочница, анализатор трафика, средства защиты от вирусов-шифровальщиков, система корреляции событий и групповой обработки инцидентов. Мы рекомендуем это решение для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности.

Возможности и особенности:

• Технология «сигнальной сети» для защиты инфраструктуры от эксплойтов нулевого дня и направленных атак (APT) без использования агентов и сигнатур. Суть: размещение скрытых ловушек и приманок в рабочей среде, срабатывание предупреждений и автоматическое изолирование скомпрометированного устройства при обнаружении атаки.
• Ловушки, имитирующие различные ИТ-объекты (сервера, рабочие станции, SCADA-устройства, сетевое оборудование, SWIFT-инфраструктура) для создания виртуального «минного поля» для кибератак.
• Разработка и развертывание в составе комплексной системы обеспечения безопасности данных организации в качестве упреждающей защиты от направленных атак, защита ядра банковской и финансовой систем, защита слепых зон на стыке различных систем обеспечения ИБ, защита АСУ ТП с имитацией специфических сервисов: Modbus, DNP3, Telnet и др.

Safetica DLP (Safetica)

Страна: Чехия

Класс: Endpoint DLP

Safetica DLP для защиты компании от утечки данных, злонамеренных действий сотрудников и рисков BYOD. Продукт является агентным – устанавливается на конечные точки, применяя способ контекстной фильтрации, что делает решение простым в установке, а также позволяет осуществить полное внедрение всего за восемь недель.

Решение модульное, то есть при необходимости можно приобрести только необходимый модуль (например, офисный контроль) и далее делать апгрейд на более высокий уровень, если это необходимо. Мы рекомендуем данное решение для защиты конфиденциальной информации и мониторинга эффективности работы сотрудников.

Имеющиеся модули: Auditor (регистрация активности сотрудников), Supervisor (повышение эффективности бизнес-процессов компании), DLP (предотвращение утечки конфиденциальных данных).

Возможности и особенности:

• Выявляет атаки, обусловленные методами социальной инженерии.
• Отслеживает изменения в производительности сотрудников и опасные тенденции.
• Контролирует личные устройства сотрудников в корпоративной среде.

Thycotic Secret Server (Thycotic)

Страна: США

Класс: PUM

Решение по управлению привилегированными учетными записями. Позволяет безопасно хранить в зашифрованном виде «секреты» — сочетание логина, пароля и параметров подключения к сессии, а также выдавать «секреты» пользователям.

Возможности и особенности:

• Автоматическое обнаружение привилегированных учетных записей в системах, доступных по сети.
• Автоматическая смена паролей приложений и ротация SHH-ключей по расписанию или событию.
• Возможность организации доступа пользователей к «секретам» по запросу.
• Бесплатная версия для малого бизнеса (до 25 пользователей и до 100 «секретов»).
• Техническая поддержка на русском языке.

Хочется отметить простоту внедрения и использования решения, а также относительно низкую стоимость – возможно, это связано с относительной новизной Thycotic Secret Server на российском и мировом рынках и с желанием вендора закрепить свою разработку в этом классе решений. Thycotic Secret Server часто обновляется, вместе с обновлениями в продукт добавляется новая функциональность – это происходит чаще, чем у конкурентов. На наш взгляд, это обстоятельство делает покупку продукта одним из лучших вложений в кибербезопасность предприятия. Из последних существенных обновлений – модуль поведенческого анализа, который позволяет строить графические взаимосвязи между пользователями и «секретами», а также своевременно детектировать потенциально опасные аномалии в поведении пользователей, чья работа связана с необходимостью предоставлять им наивысшие привилегии в ИТ-системах и сервисах.

Virtual Data Room, Digital Rights Management (Vaultize)

Страна: Индия

Класс: VDR/IRM

Решение объединяет в себе виртуальную комнату данных и встроенный модуль DRM-защиты документов, что позволяет защищать документы не только до момента их доставки получателю, как это обычно происходит в виртуальных комнатах данных, но и после загрузки на компьютер, ноутбук либо смартфон внешнего пользователя. Присутствует интеграция с проводником Windows, что создает максимальное удобство для конечного пользователя и дает возможность взаимодействовать с системой привычным образом.

Мы рекомендуем это решение для организаций из сфер промышленности, финансового сектора, консалтинга, строительства и др. А также компаниям, которым требуется сохранять контроль над правами доступа к документам на протяжении всего срока их жизни.

Возможности и особенности:

• Позволяет открывать защищенные документы в приложениях Adobe Reader и Microsoft Office с сохранением оригинальной верстки и поддержкой макросов и формул.
• Присутствует интеграция с Windows Explorer, что создает максимальное удобство для конечного пользователя.

Skybox Security Suite (SkyBox Security)

Страна: Израиль/США

Класс: Security Policy Management (Firewall Management) & Vulnerability and Threat Management

Skybox Security является аналитической платформой, которая, с одной стороны, позволяет визуализировать и оптимизировать процесс управления сетевой безопасностью, а с другой – дает инструмент управления уязвимостями ИТ-инфраструктуры. Поскольку решение сертифицировано ФСТЭК России, мы рекомендуем его самому широкому кругу заказчиков, в том числе государственным.

Для ИТ:

• построение карты сети с возможностью моделирования изменений настроек и конфигураций;
• автоматизация изменения настроек и конфигураций сети (workflow);
• оптимизация загрузки межсетевых экранов и их настроек;
• автоматический контроль корректности сегментации сети;
• анализ влияния планируемых изменений на доступность и безопасность ИТ-сервисов.

Для ИБ:

• видимость того, что происходит с сетью, с точки зрения безопасности;
• контроль изменений всех настроек сетевой безопасности;
• инструменты для выявления и приоритизации уязвимостей: обнаружение уязвимостей; наложение уязвимостей и модели нарушителя на реальную карту сети; моделирование и визуализация векторов атак; выделение реальных уязвимостей, которые могут эксплуатироваться в инфраструктуре заказчика в данный момент.

Возможности и особенности:

• Наибольшее в классе Policy Management (Firewall Management) поддерживаемое количество сетевых устройств (100+), включая IPS.
• Более 25 источников данных об уязвимостях, включая собственный исследовательский центр в Израиле.
• Техническая поддержка на русском языке.
• Единственное на сегодняшний день сертифицированное ФСТЭК России (НДВ 4) решение класса Security Policy Management (Firewall Management).

Securonix SNYPR (Securonix)

Страна: США

Класс: Аналитика событий безопасности на базе ИИ и поведенческого анализа (UEBA)

Интеллектуальная платформа сбора и анализа данных на основе профилирования поведения пользователей и систем и последующего выявления аномалий. Является лидером в сегменте UEBA (по данным Gartner), но так как тема в России развита еще слабо – про данное решение мало кто знает. Сам продукт позволяет решать широкий спектр задач в области ИБ – от детектирования направленных атак до определения нелояльных сотрудников и случаев корпоративного мошенничества.

Возможности и особенности:

• Архитектура на базе big data позволяет экономически эффективно собирать, хранить и обрабатывать огромные объемы информации — до 2 000 000 EPS.
• Securonix интегрируется и использует для принятия решений данные из более чем 400 других продуктов сторонних вендоров: ИТ-продукты, ИБ-решения, облачные среды, бизнес-решения (SAP, Oracle и пр.), социальные сети, неструктурированная информация и т. п.
• Специальные механизмы и алгоритмы анализа данных позволяют выявлять любые нарушения, даже ранее не известные угрозы, в режиме реального времени на самых ранних стадиях без использования правил корреляции.

Решение будет эффективно для:

• Проведения эффективных расследований ИБ-инцидентов (и не только) в крупных организациях.
• Выявления случаев некорректного использования привилегированных учетных записей, передачи паролей третьим лицам, несанкционированного доступа.
• Обнаружения попыток утечек данных еще на стадии их подготовки.
• Эффективного детектирования внешних и внутренних атакующих, направленных атак, 0-day-атак.
• Обнаружения инцидентов безопасности в облачных средах и внутри корпоративных приложений.
• Выявления мошенничества, сговора и прочих злоупотреблений.

Мы рекомендуем Securonix SNYPR как агрегирующую платформу для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности.

Российские решения

SolidWall WAF (SolidSoft)

Страна: Россия

Класс: WAF

Решение для защиты веб-приложений. Осуществляет мониторинг работы веб-ресурсов, выявляет и блокирует попытки атак в режиме реального времени, контролирует действия пользователей.

Возможности и особенности:

• Высокий уровень защиты. Использование максимально подробных моделей работы защищаемого приложения наряду с сигнатурными и семантическими методами обнаружения аномалий обеспечивают высокую степень защиты как от широко распространенных простых видов атак, так и от сложных направленных воздействий.
• Эффективная защита от ложных срабатываний. Механизм раннего подавления ложных срабатываний дает возможность минимизировать их влияние на принятие решений и сфокусировать внимание оператора WAF на действительно важных событиях.
• Специальные функции по анализу бизнес-логики. Определение пользователей, их действий в приложении и параметров действий. Эта информация может быть использована для подавления ложных срабатываний, создания позитивной модели работы приложения или экспортирована в другие системы для дальнейшего анализа.
• Особые алгоритмы машинного обучения дают возможность оптимизировать производительность WAF, выявлять ложные срабатывания, автоматически строить модели работы приложений, эффективно использовать решение в активном цикле разработки (SDLC).

Мы рекомендуем SolidWall WAF для защиты критичных веб-ресурсов от внешних атак, а также для контроля над использованием приложений в разрешенных сценариях. При внедрении архитектура системы дает возможность выбора различных способов установки, а также обеспечивает высокую степень масштабируемости и отказоустойчивости. Возможны следующие режимы работы: «в разрыв», «на зеркальном трафике», а также анализ логов веб-сервера и дампов трафика PCAP.

Поддерживаются режимы отказоустойчивости Active-Active, Active-Passive. Режим «программный байпасс» обеспечивает доступность сервисов даже в случае сбоев модулей WAF либо существенного превышения нагрузки. Кроме того, возможно терминирование SSL и балансировка нагрузки.

В случае необходимости возможна интеграция с внешними системами с использованием механизмов Syslog, SQL, SNMP, REST API. Есть готовые схемы для интеграции с HPE ArcSight, IBM Qradar, Splunk, Zabbix.

Variti Active Bot Protection (Variti)

Страна: Россия

Класс: AntiDDoS (SaaS)

Интеллектуальная технология защиты от кибер-, DDoS-, хакерских атак, клик-фрода («скликивание» роботами рекламы и онлайн-ресурсов) и парсинга/сканнинга (копирование роботами информации на сайтах). Анализ трафика и фильтрация ботов в режиме реального времени, эффективное противодействие DDoS-атакам на уровнях L3, L4 и L7 без потери конечных пользователей.

Возможности и особенности:

• Фильтрация нелегитимных бот-запросов на уровне сессий без блокировки по IP-адресам.
• Распознавание ботов с первого запроса в режиме реального времени без каких-либо задержек для наработки статистики.
• Защита интернет-ресурсов от низкочастотных, трудно распознаваемых атак и даже от одиночных бот-запросов.
• Анализ как HTTP-трафика, так и HTTPS без раскрытия сертификатов с сохранением указанных выше особенностей: без блокировки IP-адресов и с первого запроса.

Мы рекомендуем это решение для защиты:

• от потерь выручки для компаний, работающих в сфере е-cоmmerce;
• от воровства интеллектуальной собственности и онлайн-ресурсов;
• от воровства и манипуляций с данными клиентов;
• репутации компаний.

Выводы

Лидирующие решения «первого эшелона» считаются таковыми заслуженно. Вместе с тем, существуют продукты, которые могут обогатить выбор заказчиков, притом ничуть не уступая в функциональности лидерам рынка – просто о них мало кто знает. Этот обзор – первая попытка помочь коллегам посмотреть на интересные, но малоизвестные решения на рынке ИТ для кибербезопасности, а также дать элементарные вводные для первого знакомства с ними. Поверьте, они того стоят.