Иван Чернов, менеджер по развитию UserGate

— Иван, в чем, на ваш взгляд, особенности обеспечения ИБ в финансовом секторе в настоящее время?

— Финансовые организации должны соблюдать международные стандарты (например, PCI DSS или SWIFT Customer Security Controls Framework) и соответствовать требованиям отечественного законодательства.  К тому же они помимо чисто банковских требований должны обеспечивать безопасность платежных операций, персональных данных и (для крупнейших банков) работоспособность критичес­кой информационной инфраструктуры.

К вызовам сегодняшнего дня можно отнести санкционные ограничения на поставку ПО и IT-оборудования, ограничения на использование ряда глобальных сервисов, а также уход иностранных компаний с отечественного рынка.

Для многих финансовых организаций остро стоит воп­рос миграции на отечественные решения. Однако построить систему обеспечения ИБ, нейтрализующую актуальные угрозы, и выполнить требования комплаенса, на отечественных продуктах оказывается непросто. На рынке не так много зрелых комплексных решений, способных выполнить требования российского законодательства и обеспечить реальную защиту клиентских данных, платежных операций информации безопасного доступа.

— В чем, на ваш взгляд, опасность незрелых решений? 

— Многие разработчики в начале своего развития в качестве основы решений имеют системы с открытым кодом вроде *nix, IPTables, Squid, Pfsense, Snort, Suricata, nDPI и других. Такой подход оправдан на начальных этапах, мы как компания-разработчик тоже начинали с этого много лет назад. Но быстро поняли, что продукты, разработанные с использованием такого подхода, могут содержать серьезные ограничения, неприемлемые для зрелых решений. Среди этих ограничений — проблемы, связанные со стабильностью и непредсказуемостью работы при масштабировании системы или росте инфраструктуры, ограничения в производительности. 
Главная же проблема связана с наличием уязвимостей в открытом исходном коде. В проектах используются целые цепочки сторонних зависимостей и библиотек, для которых крайне сложно провести аудит безо­пасности.

— Какие вопросы должен задать заказчик производителю, чтобы оценить степень зрелости предлагаемого решения?

— Кто является владельцем и архитектором разрабатываемого ПО, понимает ли разработчик логику взаимодействия элементов системы или хотя бы драйвера, что влияет на формирование значений в логе и как можно простым способом распарсить значения, кто создает правила для системы обнаружения вторжений или подобного функционала, что произойдет со стабильностью при масштабировании системы в 2-3 раза, какие сторонние инструменты акселерации используются при виртуализации и насколько легитимно их использовать в текущей ситуации?

— Может ли ваша компания предложить комплексное решение по защите информационной инфраструктуры финансовых организаций?  

— Мы разработали экосистему продуктов кибербезопасности UserGate SUMMA, которая содержит необходимые инструменты для комплексной защиты современной банковской IT-инфраструктуры. Мы помогаем как обеспечить реальную безопасность информационных систем, так и выполнить требования законодательства.

— Можно ли уточнить, какие именно требования ГОСТ Р 57580.1-2017 может «закрыть» UserGate SUMMA в банках? Что можно реализовать в рамках выполнения требований PCI DSS?

— Я бы в ответе на этот вопрос сфокусировался на четырех требованиях этого ГОСТа, а именно: 

• процесс 2 — «Обеспечение защиты вычислительных сетей» (подпроцессы «Сегментация и межсетевое экранирование вычислительных сетей», «Выявление вторжений и сетевых атак», «Защита информации, передаваемой по вычислительным сетям», «Защита беспроводных сетей»);
• процесс 4 — «Защита от вредоносного кода»;
• процесс 6 — «Управление инцидентами защиты информации» (подпроцессы «Мониторинг и анализ событий защиты информации», «Обнаружение инцидентов защиты информации и реагирование на них»);
• процесс 7 — «Защита среды виртуализации».

Что касается PCI DSS, UserGate SUMMA может помочь выполнить меры в семи из 12 требований:

• требование 1. «Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК»;
• требование 2. «Не использовать пароли к системам и другие параметры безопасности, по умолчанию заданные производителем»;
• требование 4. «Шифровать ДДК при передаче через сети общего пользования»;
• требование 5. «Защищать все системы от вредоносного программного обеспечения и регулярно обновлять антивирусные ПО или программы»;
• требование 7. «Ограничивать доступ к ДДК в соответствии со служебной необходимостью»;
• требование 8. «Идентифицировать и аутентифицировать доступ к системным компонентам»;
• требование 10. «Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК».

Кроме того, банки должны передавать информацию об инцидентах ИБ в ФинЦЕРТ в НКЦКИ. При этом значительное внимание должно быть уделено именно регистрации событий безопасности и передаче их в эти центры. Если в сети финансовой организации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой.

UserGate SUMMA предоставляет пользователям простой и защищенный удаленный доступ к корпоративным сетям и ресурсам для удаленной работы по модели «нулевого доверия» (ZTNA).  С помощью UserGate NGFW проводится микросегментация сети, в том числе и на уровне L7. Обязательное шифрование реализуется с помощью встроенных инструментов по построению VPN-туннелей, а также публикациями reverse-прокси и созданием SSL-VPN порталов для доступа к веб-приложениям.

— До какого уровня стоит «мельчить» микросегменты на уровне L7?

— На мой взгляд, здесь ключевой аспект заключается в том, что микросегментация проводится на уровне абстрактных объектов, таких как «пользователи», «устройства» и «приложения». Это значит, что мы пишем политики безо­пасности относительно этих самых пользователей (или групп пользователей), их устройств и их политик доступа к приложениям.

Данный подход позволяет проводить микросегментацию без вмешательства в существующую топологию сети банка. Финансовым организациям важно отталкиваться от принципа доступности к чувствительной информации. Если приложение взаимодействует с такой информацией, то его надо контролировать.

Экосистемный подход, положенный в основу решения UserGate SUMMA, облегчает работу сетевикам и специалистам по информационной безопасности. Если раньше в классических средствах защиты им приходилось блокировать трафик только по портам и IP-адресам, что часто вызывало путаницу и сложно контролировалось, то с UserGate они смогут оперировать более понятными сущностями: «пользователь», «устройство», «приложение». Плюс к этому наши инструменты централизованной аналитики (UserGate LogAn) и управления (UserGate MC) позволяют в едином окне отслеживать события безопасности и регулировать политики доступа.

— Насколько сложна для персонала работа с вашими решениями? 

— Нисколько не сложна. Прочтение документации и просмотр ознакомительных видео позволят приступить к работе буквально в первый же день. Также подготовлены специализированные курсы для персонала. Процесс импортозамещения, безусловно, требует подготовки — во время пилотирования желательно отработать основные моменты и изучить особенности реализации. Консалтинг предоставляется интеграторами и партнерами.

— Чтобы UserGate NGFW сам не стал объектом атаки или единой точкой отказа, какие меры предприняты разработчиками?

— Мы предоставляем технологии кластеризации, т.е. построение отказоустойчивых систем. Также у нас есть встроенные механизмы защиты от DoS-атак. Как я говорил ранее, мы не применяем Open Source библиотеки, что нивелирует риск использования злоумышленниками известных уязвимостей этих библиотек.