Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Иван Чернов, менеджер по развитию UserGate, рассказал о преимуществах экосистемного и платформенно подхода при обеспечении ИБ в финансовых учреждениях
Иван Чернов, менеджер по развитию UserGate
— Иван, в чем, на ваш взгляд, особенности обеспечения ИБ в финансовом секторе в настоящее время?
— Финансовые организации должны соблюдать международные стандарты (например, PCI DSS или SWIFT Customer Security Controls Framework) и соответствовать требованиям отечественного законодательства. К тому же они помимо чисто банковских требований должны обеспечивать безопасность платежных операций, персональных данных и (для крупнейших банков) работоспособность критической информационной инфраструктуры.
К вызовам сегодняшнего дня можно отнести санкционные ограничения на поставку ПО и IT-оборудования, ограничения на использование ряда глобальных сервисов, а также уход иностранных компаний с отечественного рынка.
Для многих финансовых организаций остро стоит вопрос миграции на отечественные решения. Однако построить систему обеспечения ИБ, нейтрализующую актуальные угрозы, и выполнить требования комплаенса, на отечественных продуктах оказывается непросто. На рынке не так много зрелых комплексных решений, способных выполнить требования российского законодательства и обеспечить реальную защиту клиентских данных, платежных операций информации безопасного доступа.
— В чем, на ваш взгляд, опасность незрелых решений?
— Многие разработчики в начале своего развития в качестве основы решений имеют системы с открытым кодом вроде *nix, IPTables, Squid, Pfsense, Snort, Suricata, nDPI и других. Такой подход оправдан на начальных этапах, мы как компания-разработчик тоже начинали с этого много лет назад. Но быстро поняли, что продукты, разработанные с использованием такого подхода, могут содержать серьезные ограничения, неприемлемые для зрелых решений. Среди этих ограничений — проблемы, связанные со стабильностью и непредсказуемостью работы при масштабировании системы или росте инфраструктуры, ограничения в производительности.
Главная же проблема связана с наличием уязвимостей в открытом исходном коде. В проектах используются целые цепочки сторонних зависимостей и библиотек, для которых крайне сложно провести аудит безопасности.
— Какие вопросы должен задать заказчик производителю, чтобы оценить степень зрелости предлагаемого решения?
— Кто является владельцем и архитектором разрабатываемого ПО, понимает ли разработчик логику взаимодействия элементов системы или хотя бы драйвера, что влияет на формирование значений в логе и как можно простым способом распарсить значения, кто создает правила для системы обнаружения вторжений или подобного функционала, что произойдет со стабильностью при масштабировании системы в 2-3 раза, какие сторонние инструменты акселерации используются при виртуализации и насколько легитимно их использовать в текущей ситуации?
— Может ли ваша компания предложить комплексное решение по защите информационной инфраструктуры финансовых организаций?
— Мы разработали экосистему продуктов кибербезопасности UserGate SUMMA, которая содержит необходимые инструменты для комплексной защиты современной банковской IT-инфраструктуры. Мы помогаем как обеспечить реальную безопасность информационных систем, так и выполнить требования законодательства.
— Можно ли уточнить, какие именно требования ГОСТ Р 57580.1-2017 может «закрыть» UserGate SUMMA в банках? Что можно реализовать в рамках выполнения требований PCI DSS?
— Я бы в ответе на этот вопрос сфокусировался на четырех требованиях этого ГОСТа, а именно:
Что касается PCI DSS, UserGate SUMMA может помочь выполнить меры в семи из 12 требований:
Кроме того, банки должны передавать информацию об инцидентах ИБ в ФинЦЕРТ в НКЦКИ. При этом значительное внимание должно быть уделено именно регистрации событий безопасности и передаче их в эти центры. Если в сети финансовой организации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой.
UserGate SUMMA предоставляет пользователям простой и защищенный удаленный доступ к корпоративным сетям и ресурсам для удаленной работы по модели «нулевого доверия» (ZTNA). С помощью UserGate NGFW проводится микросегментация сети, в том числе и на уровне L7. Обязательное шифрование реализуется с помощью встроенных инструментов по построению VPN-туннелей, а также публикациями reverse-прокси и созданием SSL-VPN порталов для доступа к веб-приложениям.
— До какого уровня стоит «мельчить» микросегменты на уровне L7?
— На мой взгляд, здесь ключевой аспект заключается в том, что микросегментация проводится на уровне абстрактных объектов, таких как «пользователи», «устройства» и «приложения». Это значит, что мы пишем политики безопасности относительно этих самых пользователей (или групп пользователей), их устройств и их политик доступа к приложениям.
Данный подход позволяет проводить микросегментацию без вмешательства в существующую топологию сети банка. Финансовым организациям важно отталкиваться от принципа доступности к чувствительной информации. Если приложение взаимодействует с такой информацией, то его надо контролировать.
Экосистемный подход, положенный в основу решения UserGate SUMMA, облегчает работу сетевикам и специалистам по информационной безопасности. Если раньше в классических средствах защиты им приходилось блокировать трафик только по портам и IP-адресам, что часто вызывало путаницу и сложно контролировалось, то с UserGate они смогут оперировать более понятными сущностями: «пользователь», «устройство», «приложение». Плюс к этому наши инструменты централизованной аналитики (UserGate LogAn) и управления (UserGate MC) позволяют в едином окне отслеживать события безопасности и регулировать политики доступа.
— Насколько сложна для персонала работа с вашими решениями?
— Нисколько не сложна. Прочтение документации и просмотр ознакомительных видео позволят приступить к работе буквально в первый же день. Также подготовлены специализированные курсы для персонала. Процесс импортозамещения, безусловно, требует подготовки — во время пилотирования желательно отработать основные моменты и изучить особенности реализации. Консалтинг предоставляется интеграторами и партнерами.
— Чтобы UserGate NGFW сам не стал объектом атаки или единой точкой отказа, какие меры предприняты разработчиками?
— Мы предоставляем технологии кластеризации, т.е. построение отказоустойчивых систем. Также у нас есть встроенные механизмы защиты от DoS-атак. Как я говорил ранее, мы не применяем Open Source библиотеки, что нивелирует риск использования злоумышленниками известных уязвимостей этих библиотек.