Прошёл год с момента анонса САКУРА редакции 3. За это время продукт эволюционировал из программного комплекса в полноценную платформу для принятия решений на основе контекста. Решение помогает ИБ-специалистам не «воевать с собой», а эффективно выстраивать концепцию «нулевого доверия» (Zero Trust).
Введение
Компания «ИТ-Экспертиза» анонсировала выход САКУРА 3 около года назад, заложив фундамент и задав определённый вектор развития продукта. Изначально этот программный комплекс позиционировался не как продолжение САКУРА редакции 2, а как совершенно новый продукт. Также состоялось несколько вебинаров, посвящённых новой версии САКУРА, где мы рассказывали о новых возможностях и подходах к информационной безопасности.
Но по-настоящему САКУРА 3 «раскрылась», когда попала в руки к нашим заказчикам и стала активно эксплуатироваться. За это время мы серьёзно её «прокачали»: все наши релизы, как и 3.2.1, родились из реальных потребностей и пожеланий наших пользователей. С каждым обновлением продукт обрастал функциональными возможностями. Поэтому сегодня САКУРА — это про ещё большую глубину погружения в контроль безопасности, гибкость настроек, надёжность. И это всё используется для реальной экономии — как вложенных средств заказчиков, так и ресурсов команды ИБ.
Пожалуй, самое главное изменение состоит в том, что продукт превратился в платформу для принятия решений на основе контекста. Он не мешает работе пользователей, но срабатывает мгновенно там, где это критично. Под контекстом здесь понимается не только набор различных (любых) метрик с рабочего места, но и обогащение знаниями о пользователе и его рабочем месте из других источников. Мы растём вместе с пользователями, и это только начало пути.
Какие потребности закрывает САКУРА
Мы принципиально против идеи, что одно решение может выступать в качестве швейцарского ножа на все случаи жизни. Чаще всего у заказчика уже построены гетерогенные информационные системы, выстроены процессы, вложены ресурсы во всех смыслах, поэтому предлагать одно решение как замену всему — значит не способствовать закрытию болей, а добавлять новые.
Наша стратегия — не создавать ещё одно нагромождение из софта, а быть связующим звеном. САКУРА органично встраивается в существующий ландшафт. Например, она собирает множество параметров с контролируемых рабочих мест, но это далеко не единственный источник информации для нас. САКУРА может обогащать информацию о рабочем месте и пользователе из внешних систем (каталоги пользователей, SCCM, MDM, внутренние информационные системы), которые уже есть в компании и благодаря этому однозначно идентифицировать подключающееся рабочее место и пользователя, а также формировать сложные логические сценарии с ветвлением и дополнительными возможностями.
САКУРА 3 — это мост, который связывает разрозненные системы в единый контур контроля и автоматизированного принятия решений. С внедрением комплекса вы не теряете прежние инвестиции, не переписываете процессы и не получаете очередной «зоопарк» решений. Вы просто закрываете пробелы в безопасности быстро и безболезненно.
Автоматизация процессов
Автоматизация ради автоматизации часто приводит к тому, что ИБ-отдел начинает воевать сам с собой. Как САКУРЕ 3 удаётся автоматизировать процессы, но при этом не превращать жизнь ИБ-отдела в бесконечную подстройку?
Во-первых, мы пересмотрели подход к тому, что из себя представляет подконтрольное рабочее место. Ему присваивается такая сущность как «Профиль». Профиль содержит в себе все параметры, необходимые для работы определённых групп пользователей на конкретном типе устройств. Вы создаёте профили — например, «удалённый сотрудник», «бухгалтер», «подрядчик» — и для каждого из них настраиваете свою политику сбора данных, различную логику проверок и сценариев реагирования. В итоге администратор один раз собирает профиль и присваивает его всем сотрудникам, имеющим отношение к определённой группе. Это экономит часы работы.
Рисунок 1. Профиль рабочего места категории «Разработчик»
Во-вторых, мы добавили в САКУРУ такую сущность, как «Мониторы». Она позволяет собирать и отправлять важные для администратора данные с рабочего места с установленным агентом на сервер точечно и только тогда, когда это действительно требуется, не перегружая канал связи. Причём САКУРА делает это автоматически по заданному расписанию.
Рисунок 2. Монитор антивирусного обеспечения
В-третьих, в Профиль можно добавить настройки для контроля решений класса NAC (Network Access Control). Далее задаём «правила игры», то есть доступа к контролируемым ресурсам в интеграции с NAC и САКУРА, которая в автоматизированном режиме отслеживает подключение к решениям NAC, состояние защищённости, управляет правами доступа рабочего места к сети. Важно, что контроль осуществляется постоянно, а не только при инициализации подключения. Таков Путь Нулевого Доверия — Zero Trust.
Таким образом, образуется замкнутый цикл автоматизации: от качественного сбора входных данных до точной реакции на инцидент. Реакции на инциденты мы тоже не ограничиваем — можно не только воздействовать на само рабочее место пользователя, но и настроить любые интеграции с другими средствами защиты и инфраструктуры (например, с межсетевыми экранами или каталогами пользователей или даже с сетевым оборудованием).
Рисунок 3. Параметры настройки NAC-интеграции для профиля рабочего места категории «Разработчик»
Поддержка различных VPN-решений
Контроль доступа часто завязан на межсетевые экраны, NAC-решения. Многие заказчики переходят также на отечественных производителей в этой области. Обособлены в этом вопросе госструктуры, финансовые организации, объекты КИИ и операторы персональных данных, для которых жизненно необходимо использование сертифицированных СКЗИ – ГОСТ-VPN.
САКУРА 3 с ними обеспечивает ту самую возможность реализации концепции нулевого доверия через контроль доступа к корпоративным ресурсам в интеграции с VPN-решениями. Мы не привязаны к какому-то одному вендору — САКУРА 3 работает с основными игроками рынка, такими как ЗАСТАВА (ЭЛВИС-ПЛЮС), «С-Терра» («С-Терра СиЭсПи»), ViPNet («ИнфоТеКС»), WNAM (NETAMS), NGate («КриптоПро»), «Континент ZTN Клиент» («Код Безопасности»), Check Point, ФПСУ-IP («Амикон»).
В паре с VPN при обнаружении нарушения мы можем изолировать устройство, разорвать соединение, сменить политику доступа. Вы вольны выбирать как различные сценарии работы с этими продуктами (мониторинг нарушений или активное реагирование), так и решение NAC.
Органичное встраивание в ландшафт
Для многих заказчиков переход на отечественные операционные системы — это актуальная задача. САКУРА поддерживает Astra Linux, РЕД ОС, ОС «Альт». На этих ОС доступны те же механизмы контроля, что и на Windows, macOS. При этом САКУРА 3 работает с ними полноценно, без потери функциональности. Так что, если вы планируете миграцию, то САКУРА 3 вас в этом поддержит.
САКУРА 3 изначально проектировалась как независимая от конкретной службы каталогов система. Помимо до сих пор широко распространённого каталога Active Directory, мы добавили поддержку ALD Pro, FreeIPA, РЕД АДМ и OpenLDAP. Причём это не просто совместимость «для галочки». В рамках сценариев можно обращаться к любой из этих служб: проверять, заблокирован ли пользователь, вычитывать оттуда группы пользователей или даже изменять членство конкретного пользователя в группе как реакцию на инцидент.
Так что переход на импортозамещённые решения не только не ломает выстроенную систему безопасности, но и позволяет её усиливать, не переписывая политики. Это прямое продолжение стратегии нашей компании: мы работаем с тем, что вы уже выбрали для своей инфраструктуры.
Приоритизация нарушений
В САКУРА 3 сделана ставка не на количество проверок, а на их умную приоритизацию. Мы отказались от четырёх фиксированных уровней нарушения и перешли к настраиваемой балльной системе оценки.
Вы сами назначаете «вес» каждому нарушению. Пример:
- Отсутствие обновлений антивируса — 50 баллов (критично).
- Отсутствие обновлений ОС — 5 баллов (не критично).
Рисунок 4. Критический уровень нарушения рабочего места
САКУРА учитывает наибольший балл нарушений и повышает их приоритет. Администратор в первую очередь видит рабочие места в наиболее критичном состоянии, которые действительно требуют внимания здесь и сейчас.
Рисунок 5. Уровни нарушений
Инциденты бывают разные: одни требуют немедленной изоляции устройства, другие — просто уведомления. А когда угроза устранена, доступ должен вернуться.
САКУРА выступает не просто в роли «светофора», а как активный оркестратор безопасности. И делает это с помощью матрицы реагирования — механизма, который позволяет определить реакцию на смену уровня нарушений. Не нужно отслеживать изменения вручную. Например, уровень нарушений на АРМ изменился (был «зелёный» — стал «жёлтый»): можно отправить уведомление пользователю с инструкцией на устранение, сделать запись в журнал событий. А когда устройство снова стало «зелёным» — возврат доступа. Всё это работает в автоматизированном режиме, без участия администратора.
Рисунок 6. Пример матрицы реагирования
Кастомные проверки
Мы в компании понимаем, что у каждого заказчика могут быть свои нестандартные требования безопасности, поэтому набор правил не ограничивается заложенными в продукте. Для нестандартных задач мы предусмотрели возможность создавать собственные сценарии действий на PowerShell, Bash, CMD или Python. Заказчику не нужно ждать доработок от вендора или самостоятельно искать обходные пути, идя на риск — ваш штатный ИБ-специалист справится за 10–15 минут. Главное, что ваши кастомные проверки работают ровно в той же логике, что и встроенные.
Наши релизы рождаются из реальных потребностей и пожеланий пользователей. Один из ярких примеров — расширение набора проверок, которые Агент САКУРА выполняет на рабочем месте. Заказчики просили больше контроля над тем, что происходит внутри АРМ: проверка валидности сертификатов, наличия и целостности файлов и ключей реестра, работа в среде виртуализации, а для Linux ещё и проверка на руткиты. Эти правила контроля уже доступны «из коробки». Они позволяют сделать уровень проверки глубже, что в целом повышает защищённость компании. Все эти проверки родились из реальных запросов, которые мы получили от заказчиков.
Также мы добавили возможность встраивать гиперссылки прямо в текст уведомления о нарушении, которое получает пользователь. Кроме того, кликнув по гиперссылке, пользователь может выполнить предварительно заданный сценарий действий.
Представим ситуацию: бухгалтер в разгар аврала, когда горят сроки сдачи квартальной отчётности, получает уведомление о нарушении безопасности. А дальше он либо лихорадочно пытается найти решение, либо бежит в ИБ-отдел за помощью. А иногда вообще случается путаница, когда не ясно, к кому обращаться, а драгоценное время уходит.
Как САКУРА закрывает этот разрыв: бухгалтер видит сообщение о нарушении, а в нём — ссылку. Он кликает и попадает на готовую инструкцию на внешних ресурсах или, например, во внутренней базе знаний. Не нужно гадать, к кому бежать, не нужно с нуля искать решение проблемы. Сотрудник быстро исправляет нарушение и возвращается к своей отчётности. В результате сроки не срываются, ИБ-отдел не захлёбывается в однотипных вопросах, а компания не теряет деньги.
Рисунок 7. Пример уведомления о нарушении с гиперссылкой на запуск скрипта
Производительность и оптимизация работы в крупных инфраструктурах
Гибкость не должна идти в ущерб производительности. Поэтому мы уделили особое внимание тому, что находится «под капотом». Мы оптимизировали работу нашего комплекса на всех слоях, что позволяет справляться с усложнённой логикой и большим количеством пользователей.
В части производительности оптимизированы механизмы работы с СУБД. Это важно для инфраструктур с десятками тысяч рабочих станций, где стабильность и скорость обработки событий напрямую влияют на работу всей системы.
Подтвердили это проведением реального нагрузочного тестирования при конфигурации более 100 000 рабочих мест. Результаты нас порадовали: система продолжала работать стабильно и непрерывно. Пиковые нагрузки на сервер уложились в 15 % CPU. Так что за масштаб можно не переживать — мы уже всё проверили за вас.
Соответствие требованиям регуляторов
САКУРА 3 помогает закрывать потребность в соответствии ключевым требованиям регуляторов: обязательная регистрация всех событий по безопасности, разграничение доступа на уровне профилей, разделение административных ролей, защита каналов связи и целостность агентов. Комплекс помогает обеспечивать соответствие таким приказам ФСТЭК России, как №117, №21, №239.
Безусловно, один продукт не заменит всю систему обеспечения информационной безопасности, но поможет закрыть большую часть требований, а также позволит ответить на вопрос «А действительно ли моя система работает?».
Дорожная карта САКУРЫ
«ИТ-Экспертиза» видит для себя несколько ключевых направлений развития САКУРЫ.
Во-первых, это поддержка проверок комплаенса мобильных устройств. Сегодня бизнес работает не только на ноутбуках и ПК, но и на телефонах, планшетах на Android и iOS. Заказчики хотят контролировать доступ и с этих устройств, обеспечивать выполнение политик безопасности. Поэтому мы активно работаем над тем, чтобы Агент САКУРА появился на мобильных платформах с возможностью сбора параметров, проверок и реакций.
Во-вторых, мы планируем активно развивать модуль многофакторной аутентификации (МFА). Это нужно, чтобы закрыть требования к усиленной аутентификации для всех сотрудников и для доступа к критическим системам. Важно понимать, что в настоящее время «многослойная» проверка не только рабочего места, но и пользователя — это must have для спокойствия отдела безопасности.
В-третьих, модуль Threat Intelligence. Мы хотим, чтобы САКУРА 3 не только реагировала на уже известные нарушения, но и предсказывала угрозы на основе внешних потоков данных. Это позволит блокировать подключения ещё до того, как устройство успело навредить.
Это лишь часть нашей дорожной карты. Мы не стоим на месте и стараемся заглядывать на шаг вперёд, чтобы САКУРА 3 оставалась современным, востребованным инструментом для безопасности.
Выводы
Как понять, что САКУРА вам нужна или точно будет полезной? Если вы видите, что ваши сотрудники тратят слишком много времени на однотипные ручные действия (правят политики, разбирают ложные срабатывания, восстанавливают доступ после сбоев), то САКУРУ 3 стоит хотя бы рассмотреть для покупки. Она не сделает всё за вас, но может подарить вашему ИБ-отделу «вечер пятницы». Приходите на демонстрацию, покажем, как мы это делаем. А попробовать продукт вживую можно на пилотном проекте, оставив заявку на официальном сайте.
Реклама, 18+. ООО «ИТ-Экспертиза». ИНН 7725373193
ERID: 2VfnxyWbKPZ
