22 Февраля 2024 10:00 | 22 Фев 2024 10:00 | |

Поделиться

Дмитрий Михеев, «АйТи Бастион» — Как обеспечить безопасность обмена данными

CNews: Дмитрий, вы приняли решение обновить «Синоникс». Скажите, чем была вызвана такая необходимость?

Дмитрий Михеев: Работая над проектами заказчиков по контролю действий привилегированных пользователей, мы регулярно сталкивались с непростыми ситуациями, связанными с разной подотчетностью инфраструктур. Так, они могут принадлежать одной компании, обслуживаться — другой, а сервисами в них может заниматься третья компания. В таких условиях зачастую возникают непростые отношения ответственности и связанные с этим проблемы. Например, одновременная независимая проверка политик передачи файлов с двух автономных узлов сети; разделение и управление зонами ответственности; контроль передачи данных через границы зон ответственности с дополнительными проверками по заданным процедурам.

Поэтому при разной подчиненности сетей, узлов и объектов в ИТ-структуре появляются стандартные проблемы: внесение несогласованных изменений в систему, обнаружение и устранение последствий таких действий. Причем такие ситуации имеют тенденцию к постоянному появлению между ответственными лицами.

Кроме того, весьма серьезная проблема в разрезе ИБ — распространение информации об архитектуре связанных структур. При такой ежедневной работе желательно передавать другой стороне как можно меньше данных «о себе» (включая сведения об учетных записях, используемом ПО и др.) Сама возможность непосредственного взаимодействия ИТ-систем друг с другом грозит потенциальным «пробелом» в безопасности. Полностью отказаться от него не получится, но можно сделать это взаимодействие более-менее опосредованным.

После реализации нескольких подобных проектов мы стали задумываться о том, как с технической точки зрения максимально конструктивно решать такие проблемы. Поэтому обновить «Синоникс» нас фактически побудила потребность заказчиков. Мы хотели упростить практику внедрения совместных проектов, предоставив реально работающий ИБ-инструмент.

CNews: Уточните, что именно вы доработали в продукте?

Дмитрий Михеев: Изначально шла речь о том, чтобы взять готовое решение и адаптировать его под имеющиеся требования и сценарии. Мы достаточно серьезно продвинулись по этому пути, но в определенный момент пришлось начать все сначала: возникли некоторые ограничения на допустимые аппаратные платформы и программное обеспечение. Это было нелегко, но мы переписали все с нуля под новое окружение: сохранили подход, но в рамках собственной реализации. За это время проблемы у заказчиков усилились, и потребность в подобных решениях стала больше.

Иными словами, идеология продукта, принцип его работы, общая концепция безопасности остались прежними. Поменялась технология реализации: мы переделали ее целиком. Добавились новые «фишки» для разных сценариев использования. «Железо» тоже полностью изменилось: вместе с разработчиками оборудования мы смогли реализовать необходимую нам платформу локально.

CNews: Опишите, пожалуйста, базовую схему работы решения.

Дмитрий Михеев: «Синоникс» решает несколько конкретных ключевых задач: это встречный контроль правил обмена данными (об этом я говорил выше), результат которого основывается на согласованном решении двух живых людей. Дает возможность быстро отключить и подключить доступ к защищаемой инфраструктуре на физическом и логическом уровнях. А также — автоматизировать задачи по передаче крупных объемов данных, не раскрывая при этом особенности стыкуемых сетей друг другу, и снизить риски полной компрометации узла стыка.

Для этого в рамках «Синоникса» мы организовали цепочку из нескольких физических узлов разного подчинения. Каждая сторона может вносить свои изменения в настройки, но только согласованные элементы политики приведут к результату — возможности передать данные с одной стороны на другую. Это касается как сетевых подключений, так и транспортировки файлов.

CNews: Дмитрий, каковы основные сценарии использования решения?

Дмитрий Михеев: Их несколько, среди которых: усиление безопасности межсетевых экранов (МЭ) за счет перестроения транспортной составляющей пакета при передаче данных от одного узла к другому; точечная настройка движения трафика между узлами и встроенные политики его ограничения; контролируемая передача файлов между сегментами сети без раскрытия особенностей инфраструктуры друг другу; организация сетевых соединений в определенном направлении со встречным контролем политики обмена данными (с возможностью отозвать разрешение соединения с любой стороны); проверка передаваемых файлов на средствах безопасности, в том числе в больших объемах; интеграция с DLP, AV, Sandbox и подобными решениями по ICAP.

После переработки решения основные сценарии его использования, в частности, — передача событий безопасности, телеметрии от источников данных, обновлений систем и оборудования из доверенных источников или файлов с проверкой электронной цифровой подписи (ЭЦП) — не изменились. Возникли дополнительные форматы взаимодействия «Синоникса» с внешними системами для передачи файлов, появилось больше возможностей для его интеграции с другими решениями, за счет чего продукт может быть реализован как единый ИБ-комплекс.

В этом ключе, к примеру, очень востребован сценарий работы, когда создается непрерывный безопасный канал связи для обновления антивирусных баз с центрального сервера обновлений в сеть АСУ ТП или организуется автоматическая доставка файлов с гарантией прохождения через согласованный канал связи с проверкой ЭЦП. И все это без «человека с флешкой» или компьютера с двумя «сетевыми картами».

CNews: Как именно работает «Синоникс» с технической точки зрения: как происходит организация безопасного объединения изолированных сетей?

Дмитрий Михеев: Есть несколько основных способов использования этого инструмента для стыковки между ИТ-периметрами. Первый — это возможность с согласия двух сторон организовать временное или постоянное подключение для обмена данными между сегментами сети. Любая сторона всегда может прервать подключение: как изменением настроек со своей стороны, так и физически — буквально поворотом ключа.

Такие задачи регулярно возникают при обслуживании оборудования и технологических сегментов. Так, чтобы допустить сотрудника из головного офиса или подрядчика в сеть компании в удаленном режиме. Это решение должно быть согласовано, принято со стороны «офисной» сети бизнеса и со стороны ответственных лиц на «технологической» сети. А по завершению работ благодаря «Синониксу» соединение будет закрыто на физическом уровне вне зависимости от того, какие разрешающие правила есть на МЭ и на самом шлюзе. Это значительно повышает уровень защищенности технологической сети и снимает вопрос «не оставил ли себе резервный канал сотрудник, производящий работы».

Далее — это организация передачи обновлений ПО и данных между сегментами сети разного подчинения. Обе стороны могут определить направление взаимодействия и согласовать его. Каждая сторона имеет возможность реализовать свой набор средств для дополнительной проверки данных независимо от противоположной. Обновления ПО, баз антивирусов, передачи файлов заданий числового программного управления (ЧПУ) на производство, кода от разработчиков на продуктив — это характерные примеры работы через границы подчинения. Одна сторона должна обеспечить корректную отправку и зафиксировать факт передачи. Другая сторона — зафиксировать факт приема и провести проверки по списку: что приняли именно то, что надо, от тех, от кого надо, и все необходимые условия по безопасности соблюдены. Сейчас такие задачи стандартно решаются живым человеком с секретной флешкой. Это очень неудобно и плохо масштабируется, и особенно при необходимости каждый раз выполнять расширенные проверки.

И, наконец, — это снижение рисков полной компрометации узла стыка. В нашем решении изменение правил передачи реализуются в результате совместной работы минимум двух живых людей. Эти действия должны выполняться согласованно, потому что изменения с одной стороны новых разрешений не добавят. Даже если условный злоумышленник скомпрометирует доступ к одной стороне решения, это не будет означать, что он сможет открыть себе все нужные доступы самостоятельно.

CNews: В каких сферах бизнеса возможно применение продута?

Дмитрий Михеев: Есть несколько ключевых областей, где подобные решения востребованы. При эксплуатации сложных инфраструктур, где нужна четкая граница ответственности, например, на производстве, в нефтегазовой сфере, энергетике, банковском секторе, госструктурах, телеком-компаниях, транспортных компаниях.

В обеспечении защиты ключевых элементов КИИ, например, диспетчерских узлов на разных предприятиях. А также для автоматизации процессов эксплуатации по задачам ГИС, например, процессов безопасной разработки.

CNews: Дмитрий, уточните, насколько «Синоникс» совместим с вашим комплексом «СКДПУ НТ»? И нужно ли заказчикам заранее иметь его в своем ИТ-контуре, чтобы внедрить новое решение?

Дмитрий Михеев: совместим с другими нашими решениями и прекрасно его дополняет и, в частности, позволяет совместно реализовать целый комплекс бизнес-сценариев удаленного доступа. Конечно, мы приложим усилия, чтобы их можно было удобно и эффективно внедрять, и совместно эксплуатировать.

«Синоникс» уже сейчас может быть настроен для нескольких сценариев использования. Применение его совместно со средствами семейства «СКДПУ НТ» возможно и предоставляет дополнительное удобство при реализации комплексных архитектур безопасности.

CNews: Как продукт интегрируется в существующую ИТ-структуру?

Дмитрий Михеев: С точки зрения использования, все достаточно стандартно. Мы не «изобретали велосипед», не придумывали новые протоколы или методы. Целились, скорее, в бесшовное внедрение рядом с уже существующими средствами, комфортно и органично их дополняя.

CNews: Реализовано ли сейчас это решение у какого-либо заказчика?

Дмитрий Михеев: Да, у нас уже есть несколько успешных проектов по инсталляции продукта в инфраструктуру заказчиков из разных сфер бизнеса. Также мы реализовали десятки «пилотов» на различных сценариях использования «Синоникса». Часть из них приведет к реальным, «боевым» внедрениям. Спрос на решение есть, и он растет.

CNews: На какой операционной системе работает продукт?

Дмитрий Михеев: Как и во всех наших решениях, в «Синониксе» в качестве технологической платформы мы используем операционную систему Astra Linux (сейчас это версия 1.7 Special Edition). Она обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности», полностью сертифицирована, включена в реестр российского ПО. Это очень важно для государственных компаний, в том числе и предприятий, относящихся к объектам критический инфраструктуры.

CNews: Дмитрий, поделитесь информацией: будете ли вы продолжать дорабатывать «Синоникс»?

Дмитрий Михеев: Разумеется, будем. Есть определенные функции, которые мы сами хотели бы реализовать, и есть пожелания заказчиков. Мы стараемся внедрять решения, которые применяются каждый день многими людьми. Будем учитывать пожелания и, конечно, развивать продукт.

CNews: «Синоникс» сложно отнести к какому-то существующему классу ИБ-систем. Значит ли это, что это уникальный продукт и отдельный класс решений?

Дмитрий Михеев: Сложно давать продукту подобные определения. Несмотря на то, что с точки зрения регулятора «Синоникс» будет отнесен к классу межсетевых экранов, в первую очередь, — это решение для автоматизации конкретных востребованных сценариев, связанных с эксплуатацией сложных ИТ-инфраструктур, в частности, — устранение проблем при взаимодействии на границах подчинения. У него есть свои очевидные достоинства. Мы будем стараться, чтобы их было как можно больше.

«Синоникс» — это продукт, который реализован как специализированная аппаратная платформа, и сам по себе достаточно четко сфокусирован по функциональности. Нам интересен сам выбранный подход, где есть большой ресурс для развития. Считаем, это еще один важный и востребованный инструмент в выстраивании эффективных комплексных систем информационной безопасности предприятий.

Поделиться

Короткая ссылка