Задача по разработке систем защиты информационной безопасности ставится перед компаниями всего мира, ведь объем и серьезность информационных угроз растет постоянно. Им подвергаются в большей степени государственные информационные системы (ГИС), АСУ ТП промышленных предприятий, банковские системы, базы операторов персональных данных. Это порождает системный спрос на услуги компаний, способных предложить рынку качественный и эффективный программный продукт в области защиты информации.

Рынок услуг по разработке систем ИБ

На российском рынке услуг по разработке систем информационной безопасности представлены зарубежные и национальные решения, достаточно часто разработка таких систем обеспечения защиты информации начинается с нуля, под потребности заказчика. По данным на конец 2018 года, объем рынка разработки систем ИБ в России составил 79,5 миллиардов рублей, и он будет расти на 10 % ежегодно.

Основными заказчиками на рынке разработки систем ИБ становятся:

• государственные организации, заинтересованные во внедрении комплексных систем ИБ, интегрирующихся в общегосударственную информационную систему;
• банки и финансовые организации;
• учреждения образования и здравоохранения;
• организации среднего и крупного бизнеса, нуждающиеся в защите конфиденциальной информации.

Глобальные компании, такие как Газпром или НОВАТЭК, предпочитают создавать собственные команды разработчиков, привлекая аутсорсеров только для решения частных задач по построению системы защиты информации.

Основой для роста рынка разработки становятся:

• увеличение числа киберугроз;
• уточнение и конкретизация требований регуляторов;
• направление на цифровизацию общества, в рамках проекта «Цифровая Россия» и его подпрограмм по борьбе с киберугрозами, в рамках которого предусмотрено развитие рынка средств информационной безопасности и создание нескольких крупных компаний-игроков мирового уровня.

Наибольший рост выручки показали компании:

• «Лаборатория Касперского», но данные по ней не вполне корректны: компания не выделяет в глобальной отчетности выручку на российском и зарубежном рынке, за 2018 год она заработала 45,5 миллиардов рублей;
• Softline получила 15,8 млрд руб., увеличив выручку на 7,5 %;
• компания «Информзащита» 8 млрд руб.;
• «ИнфоТеКс» – 4,6 млрд руб.;
• ГК ICL – 4,2 млрд руб.;
• «Крок» – 3,6 млрд руб.;
• «Аквариус» –2,5 млрд;
• «Ланит» – 2,5 млрд руб.

Основной особенностью рынка разработки средств защиты информации становится дефицит кадров у компаний – создателей программного обеспечения, сотрудники вымываются иностранным бизнесом и крупнейшими российскими корпорациями. Вторым серьезным вопросом становится недоработанность информационной базы в сфере разработки систем информационной безопасности и частая смена позиций и требований регуляторов. На рынок в результате выводятся недоработанные и лоскутные продукты, не представляющие целостных систем защиты информации. Компании устанавливают не единое и готовое к отражению угроз решение, а несколько продуктов разного плана, сложно управляемых и конфликтующих между собой. Это создает проблемы в части найма квалифицированного персонала и в части удорожания технической поддержки. Целостные решения по защите информации разрабатываются для государственных информационных систем по специальному техзаданию. 

Тренд на импортозамещение оказывается основным фактором, регулирующим рынок, иностранные производители постепенно уходят, государственным компаниям проще нанять отечественного разработчика, услуги которого примерно на 10-15 % дешевле. 
На этом фоне «Ростелеком» предложил отдать под полный контроль государства разработку защитных технологий в сфере безопасности информации в Интернете. В рамках проекта стоимостью 260 млрд рублей предлагается развивать:

• платформу по сбору «цифрового следа» пользователя в Интернете; 
• системы рекомендаций контента; 
• отечественные мессенджер, браузер и мобильную операционную систему (ОС).

В рамках создания системы безопасности информации решаются задачи защиты населения от воздействия на него зарубежных средств манипуляции общественным сознанием. Задачей реализации программы становится не попытка ограничить распространение общественного мнения в стране, а подготовка к системному созданию проблем извне.

Государственное регулирование деятельности по разработке систем ИБ

Большое значение защиты конфиденциальной информации побуждает государство регулировать ее разработку. В рамках федерального закона «Об информации, информатизации и средствах защиты информации» определены основные форматы государственного регулирования:

• контроль общественных отношений, связанных с поиском, передачей, распространением информации;
• развитие ИС различного назначения;
• обеспечение безопасности Интернета, защиты информации от проникновения извне;
• обеспечение информационной безопасности детей.

В рамках решения задачи по контролю разработки систем информационной безопасности и защиты конфиденциальной информации государство лицензирует деятельность по созданию систем защиты информации и организовывает их сертификацию. Эта функция обеспечивает бизнесу и гражданину понимание, какие средства защиты информации не имеют незадекларированных возможностей и обеспечивают наибольший уровень безопасности. 

Технические требования к разработке систем защиты информации отражаются в ГОСТах, основой для создания которых становятся международные стандарты. Перечень лицензированных организаций и сертифицированных средств защиты можно найти на сайте ФСТЭК РФ, которому переданы полномочия по государственному регулированию в этой сфере. 

Среди растущих запросов в сфере разработки систем безопасности информации:

• отечественные DLP- и SIEM-системы, обеспечивающие мониторинг инцидентов и защиту информационного периметра компании от утечек конфиденциальной информации;
• системы защиты автоматизированных систем управления (АСУ) от внешнего проникновения в сеть и хищения содержащейся в них информации и вирусного заражения;
• комплексные системы защиты ГИС;
• средства мониторинга работоспособности сети.

Комплексная государственная политика в сфере защиты безопасности информации позволяет сертифицировать лучшие иностранные решения и содействовать разработке отечественных.

Новые идеи и технологии

Каждый год на рынке появляются новые предложения от молодых и растущих компаний в сфере ИБ. Среди интересных вариантов двух последних лет эксперты называют следующие.

SilentDefenсe (Security Matters)

Программный продукт компании из Нидерландов считается одним из лучших в сфере защиты систем ICS и SCADA, отвечающих за качественную работу АСУ ТП. Он способен обнаружить внешние вторжения. Продукт интегрируется с АСУ, а также используется на стыке между АСУ и офисными сетями для создания выделенных секторов безопасного обмена информацией. 

Если АСУ создана на основе открытых современных решений, ПО готово выполнить следующие функции:

• работать с АСУ, основанной на 13 открытых промышленных протоколах (Modbus TCP, Ethernet/IP, OPC DA/OPC AE, IEC 104, IEC 61850 (MMS, GOOSE, SV), ICCP, Synchrophasor, DNP3, BACnet, ProfiNet) и проприетарных протоколов: ABB (800xA, AC 800M, AC 800F), Siemens (Step7, Step 7+), Emerson (Ovation, DeltaV), Honeywell, Yokogawa (VNet/IP), Rockwell;
• передавать информацию в офисные SIEM-системы;
• выявлять незадекларированные протоколы передачи и получения информации, изменения в ПО или команды, переданные из неизвестного источника;
• выявлять инциденты информационной безопасности, инициированные инсайдерами;
• инвентаризировать сеть, выявлять фактическое местонахождение подключенных к ней устройств, строить карту сети.

Решение подойдет для промышленных предприятий, где АСУ ТП находится в зоне угроз.

mGuard (Phoenix Contact)

Еще один продукт, актуальный для производственных предприятий. Создан в Германии, чья промышленность уже несколько лет страдает от постоянных атак хакеров и утечек информации. Это промышленный маршрутизатор с внедренной функцией межсетевого экрана. Он помогает обезопасить удаленные подключения, контролирует сетевой трафик и осуществляет защиту периметра сети в децентрализованном режиме. 

Для российских промышленных предприятий, озабоченных защитой информации, преимуществом продукта окажутся:

• возможность работы в режиме stealth;
• DPI промышленных протоколов (OPC, Modbus TCP);
• промышленное исполнение с установкой на DIN-рейку и расширенным диапазоном рабочих температур, а также морское исполнение;
• поддержка GPS/GLONASS, что актуально для движимых объектов в российском пространстве.
• Отдача от решения вырастет если применять его в комплексе с другими продуктами, обеспечивающими безопасность информации.

TrapX Deception Grid (TrapX)

ПО создано в Израиле и обеспечивает защиту от целевых (таргетированных) атак на информационную сеть компании. 

Многофункциональное решение, в состав которого входят:

• средства размещения и управления сканерами работоспособности сети и decoy-токенами;
• средства индивидуального запуска процессов («песочница»);
• анализатор входящего и исходящего трафика информации;
• антивирус, наиболее эффективно работающий с шифровальщиками;
• система корреляции событий и групповой обработки инцидентов.

Решение полезно для организации мониторинга возникающих внутренних и внешних угроз и поможет выстроить комплексную модель безопасности. 

Оно позволяет реализовывать следующие стратегии защиты:

• технология «сигнальной сети» для защиты ИС от эксплойтов нулевого дня и таргетированных атак (APT) без использования установленных на узлах сети программных агентов и сигнатур. Работает механизм путем размещения скрытых ловушек и приманок в системе, при атаке происходит оповещение службы безопасности и изоляция скомпрометированного устройства;
• ловушки, имитирующие различные ИТ-объекты (серверы, АРМ, SCADA-устройства, сетевое оборудование), при атаке злоумышленник оказывается в ситуации виртуального «минного поля».

Эффективным решение окажется в структуре комплексной системы информационной безопасности компании, банка или финансовой организации как защита от направленных атак, слепых зон на стыке различных систем обеспечения ИБ. Оно может применяться для защиты АСУ ТП промышленных предприятий.

Safetica DLP (Safetica)

Продукт из Чехии за счет возможности внедрения всего за 8 недель и продвинутого механизма контекстной фильтрации информации. Продукт модульный, можно приобрести только один из модулей и, если потребуется, дальше усиливать защиту. 
Предлагаются модули:

• Auditor, регистрирует все действия персонала в отношении конфиденциальной информации;
• Supervisor, настроенный на повышение эффективности бизнес-процессов организации;
• DLP.

Продукт способен:

• выявлять атаки, построенные на основе способов социальной инженерии;
• отслеживать изменения в поведении и активности сотрудников и опасные тенденции в использовании конфиденциальной информации;
• контролировать мобильные устройства сотрудников, задействованные в корпоративной среде.

Thycotic Secret Server (Thycotic)

Американский продукт позволяет управлять учетными записями и хранить в зашифрованном виде «секреты» – сочетание логина, пароля и параметров подключения к сессии. 
Функционал:

• автоматически находит привилегированные учетные записи;
• по заданному графику меняет пароли и SHH-ключи (используются для идентификации клиента при подключении к серверу по SSH-протоколу).

Есть модуль поведенческого анализа, дающий возможность строить графические взаимосвязи между пользователями и данными об учетных записях и выявлять отклонения в поведении пользователей, обладающих максимальным уровнем привилегий при использовании конфиденциальной информации.

Для небольших компаний выпущена бесплатная версия с возможностью подключения до 25 пользователей. В программном продукте реализована русскоязычная версия, техподдержка также осуществляется на русском языке. Программа легко инсталлируется и проста в использовании, это связано с желанием производителя продвинуть свой продукт на российском рынке. ПО часто выпускает обновления, подстраиваясь под потребности пользователей в области защиты информации. 

Virtual Data Room, Digital Rights Management (Vaultize)

Созданный индийскими разработчиками продукт помогает защитить документооборот. VDR/IRM-решение содержит модуль защиты документо и информациив, который работает не только в локальной сети предприятия, но и после загрузки документа на ноутбук или мобильное устройство пользователя. Контролирует использование прав доступа к документам вне зависимости от формы их представления.

Skybox Security Suite (SkyBox Security)

Совместный продукт программистов из США и Израиля. Это аналитическое решение, позволяющее выявлять погрешности в управлении сетевой безопасностью и оптимизировать его. С его помощью можно настроить процесс управления уязвимостями ИТ-инфраструктуры. Сертификация ФСТЭК РФ позволяет использовать продукт для защиты персональных данных и другой информации высокой степени конфиденциальности.

Среди наиболее интересных функций:

• построение карты сети со всеми объектами и подключениями, возможность моделирования изменения конфигурации;
• автоматическое изменения настроек;
• выявление загруженности файрволов, изменение их настроек.

Преимущество продукта – возможность видеть в режиме реального времени все, что происходит с узлами сети, контролировать все настройки, визуализировать карту сети. Программа способна поддерживать до 100 устройств одновременно. Информация о сетевых уязвимостях приходит из 25 источников, один из них – исследовательский центр разработчика в Израиле. В классе Security Policy Management (Firewall Management) это одно из немногих сертифицированных ФСТЭК России иностранных программных решений по обеспечению безопасности информации. 

Securonix SNYPR (Securonix)

Американское решение обеспечивает мониторинг работоспособности сети и инцидентов информационной безопасности. Система анализирует поведение пользователей и на основе отклонений делает выводы о наличии аномалий. Программа не только найдет пользователя с поведением, похожим на намеренное посягательство на целостность и конфиденциальность информации, но и выявит направленные внешние атаки, определив их источник.

Модель работы системы защиты информации основывается на технологии анализа big data, при этом для анализа используются более 400 продуктов других разработчиков, социальные сети, неструктурированные данные. 

Наиболее эффективным продукт будет для крупных компаний, он выявит инцидент информационной безопасности, предоставит данные, необходимые для его расследования и привлечения виновника к ответственности. Он сможет детектировать несанкционированное использование учетных записей администраторов, факт передачи паролей другим сотрудникам, иные варианты несанкционированного доступа в сеть и к защищенным данным.

SolidWall WAF (SolidSoft)

Одно из успешных российских решений, направленное на одновременный:

• мониторинг работоспособности сети;
• выявление и блокировку сетевых атак;
• контроль активности пользователей.

Преимущества решения:

• защита сети, реализованная на высоком уровне, эффективная при стандартных атаках и целенаправленных, сложно сконструированных воздействиях;
• мониторинг работоспособности узлов сети;
• контроль активности пользователей.

Экономию ресурсов обеспечивает система защиты от ложных срабатываний на раннем этапе диагностирования. В программу встроен механизм по анализу логики поведения пользователей. Программа позволит защитить критически важные ресурсы от сетевых атак, легко интегрируется с сетевыми сканерами Syslog, SQL, SNMP, REST API. Есть готовые схемы для интеграции с HPE ArcSight, IBM Qradar, Splunk, Zabbix.

Active Bot Protection (Variti)

Еще один национальный продукт, гарантирующий защиту от внешних атак любого типа. Специализируется на выявлении атак с использованием ботнетов, имеет инструментарий по выявлению ботов по IP. Станет успешным решением для защиты ресурсов, специализирующихся на электронной коммерции.

Бутиковые и частные решения по безопасности информации часто оказываются не менее эффективными, чем глобальные, если модель угроз, разработанная для организации, позволяет решать не общие задачи, а защищаться от специфических рисков. В случае, когда разработка систем информационной безопасности ведется с нуля, степень защиты будет выше.

06.02.2020