Защита данных от несанкционированного доступа (НСД) – одна из главных забот любой компании. Ведь НСД может привести к самым разным последствиям, в том числе к утечке конфиденциальной информации, репутационным и финансовым потерям. Для этого в России часто применяются так называемые средства защиты информации (СЗИ) от НСД. Чем живет сегодня этот рынок и почему он до сих пор перспективен, читайте в нашем материале.
В России решения для защиты рабочих мест и серверов от НСД появились еще в конце 80-х – начале 90-х годов прошлого столетия. Они стали ответом на требования Гостехкомиссии, которая сегодня называется ФСТЭК России. Это логично, поскольку и тогда, и сегодня угрозы несанкционированного доступа на конечных станциях составляют большой процент от общего числа кибератак.
Однако в последние годы популярностью стали пользоваться решения класса Endpoint Protection Platforms (EPP). Первые EPP были простыми антивирусами и работали по примерно одной технологии, отслеживая файлы в системе на предмет вредного контента. Правда, существенным недостатком было то, что работать можно было в основном с известными угрозами, но когда фантазия киберпреступников начала расширяться, то антивирусы переставали справляться. К тому же само понятие конечных станций сильно изменилось и теперь включает не только персональные компьютеры сотрудников, но также мобильные устройства и устройства интернета вещей (IoT, Internet of things). Поэтому решения класса EPP эволюционировали в глобальный щит и стали включать в себя привычные сегодня вещи: системы контроля портов, межсетевые экраны, шифрование дисков и так далее. В дальнейшем появились решения класса Next Generation Endpoint Protection Platforms, которые обладают еще более мощными системами защиты.
Многие специалисты задаются вопросом: почему СЗИ от НСД до сих пор не растворились в EPP, ведь их функционал во многом похож. Это действительно так, и, например, за границей никто не выделяет СЗИ от НСД в отдельный сегмент, считаясь частью EPP. Но в России СЗИ – это самостоятельная боевая единица, которая вполне успешно конкурирует с EPP. В первую очередь, за счет федеральных нормативов.
Есть определенные требования, которые предполагают, что мы не можем доверять ядру операционной системы (ОС), – поясняет руководитель отдела продвижения продуктов «Код Безопасности» Павел Коростелев. – Поэтому в первую очередь СЗИ от НСД нужны людям, которые по технологическим, политическим или иным причинам не считают возможным доверять ядру ОС. А если нельзя доверять, то нужны дополнительные механизмы, которые обеспечат аутентификацию пользователей, контроль целостности и доступа, то есть, те самые СЗИ. Во-вторых, существуют еще прикладные механизмы безопасности: защита данных, разграничение доступа к сети и так далее – они разрабатываются с очень высокими требованиями по надежности, поэтому даже в первом релизе получаются устойчивыми, что особенно важно в регулируемых отраслях, тем более тех, что работают с гостайной.
Однако, по словам экспертов, было бы странно, если российские компании использовали СЗИ от НСД только по регуляторным причинам. Как и весь мир технологий, кибербезопасность также активно развивается, и это касается в том числе средств защиты информации от несанкционированного доступа. Если раньше, до 2010-х, СЗИ имели базовый набор в виде аутентификации пользователей, контроля целостности и журналирования, то сегодня решения этого класса вышли за рамки обычной защиты от НСД. Это и персональные файерволы, и средства обнаружения вторжения, и бэкапирование и много другое. Поэтому теперь, выбирая СЗИ от НСД, можно не только выполнить требования законодательства, но и обеспечить комплексную защиту внутренних систем.
В целом, если пытаться классифицировать защитные механизмы, то их можно разделить на два кластера: тот, который отвечает за доверие к системе, и те, что нужны для защиты данных. Главная идея СЗИ от НСД в том, что они позволяют разграничивать доступ к информации и софту разным группам пользователей. Так, администраторы безопасности смогут отвечать за свой уровень, не имея доступа к IT-администрированию, а IT-администраторы не будут иметь возможности менять политики безопасности.
Есть еще один пример, почему нужны навесные средства безопасности и нельзя обойтись только групповыми политиками ОС, в усиленной аутентификации, – говорит Павел Коростелев. – Скажем, у вас есть некий софт, который должен работать постоянно, но при этом управляющие им пользователи регулярно сменяются. Чтобы контролировать, кто в данный момент находится за рабочим местом, нужны дополнительные механизмы аутентификации.
Конечно, конкуренцию в плане предотвращения утечек составляют DLP-системы (Data Leak Prevention), однако их проблема в том, что они хорошо работают, когда подробно описаны данные, которые нужно защищать. Но набор этих данных регулярно меняется, из-за чего нужно либо все время их перенастраивать, либо содержать команду экспертов, которая будет отслеживать каждый инцидент и выяснять, действительно ли это угроза или так называемый false positive – то есть, система обнаружила утечку, но на самом деле ее нет. СЗИ же позволяет избежать лишних телодвижений, и файлы, с которыми имеет дело пользователь, будут классифицироваться автоматически, поскольку работа идет в защищенном режиме с разграничением потоков и доступов.