Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP) - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP)

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP)
Чтобы контролировать доступ к конфиденциальным данным, необходимо понимать, где и какая информация хранится. Оперативный поиск и непрерывный контроль мест хранения данных позволит не только точно определить наиболее важные информационные активы, обнаружить несанкционированные копии конфиденциальных документов, но избежать возможных утечек. Подсистема поиска конфиденциальной информации (Discovery DLP), которая входит в состав зрелых DLP как иностранных, так и отечественных производителей, помогает решить такую задачу.   ВведениеРынок Discovery DLPФункции Discovery DLPКраткий обзор продуктов Discovery DLP4.1. DeviceLock DLP4.2. Falcongaze SecureTower4.3. Forcepoint DLP4.4. InfoWatch Traffic Monitor4.5. McAfee DLP4.6. Solar Dozor4.7. Symantec DLP4.8. Zecurion DLP4.9. Гарда Предприятие4.10. КИБ СёрчИнформВыводы ВведениеВ настоящее время государственные и коммерческие организации уделяют особое внимание защите конфиденциальной информации от утечки по различным каналам связи. Возможность утечки информации за пределы внутренней сети является опасной угрозой, так как помимо снижения репутации компания может понести существенные убытки. Если персональные данные, клиентская база, научные разработки или другая критичная информация попадет в руки злоумышленников или конкурентов, это грозит организации серьезными проблемами.Для решения проблем утечки данных внедряются DLP-системы, способные обеспечивать активную защиту и блокировать отправку сообщений с недопустимыми вложениями. Однако злоумышленником-инсайдером может оказаться не только человек, который работает непосредственно с критичными данными. Может случиться так, что конфиденциальные данные попали на компьютер сотрудника по ошибке или стали распространяться по компании вследствие халатности, например, неправильно выставленных прав доступа. Для решения подобных проблем в системы DLP зачастую входит дополнительный модуль — Crawler (поисковый робот), или Discovery DLP, который позволяет сканировать рабочие станции сотрудников, файловые сервера и сетевые хранилища данных на присутствие в них определенных документов и файлов различных форматов. Рынок Discovery DLPПредшественниками Discovery DLP в современном понимании этого термина стали поисковые роботы, или программы, которые являлись составной частью поисковых систем. Их функцией являлся перебор веб-страниц, занесение их в специальную базу поиска и предоставление результата при запросе. Появление DLP-систем позволило организациям решать проблему утечки конфиденциальных данных сотрудниками. Кроме этого, для сотрудников информационной безопасности был разработан отдельный компонент, позволяющий производить поиск файлов необходимого формата на файловых серверах и компьютерах пользователей. В настоящий момент возможности Discovery DLP расширились. Кроме обычного поиска появились функции автоматического удаления документов или их замены болванками с информацией о нарушении политики безопасности.Первой компанией, которая включила в состав своей DLP-системы модуль Discovery DLP, была Symantec, которая на протяжении многих лет занимает лидирующую позицию, по версии аналитического агентства Gartner в исследовании Content-Aware Data Loss Prevention. Следующей системой, которая обладала возможностями сканирования серверов и рабочих станций на наличие конфиденциальной информации, стала DLP-система от компании Forcepoint (ранее Websense). И только через несколько лет в составе российских DLP появился модуль Discovery DLP.Discovery DLP обычно не поставляется как отдельный продукт, а идет в составе комплексной DLP-системы. Однако есть исключения, например Zecurion Discovery, который будет рассмотрен далее. Кроме того, Discovery DLP все еще не относится к компоненту, по умолчанию входящему в состав DLP-систем российских производителей. Одной из причин может быть то, что архив, который собирает Discovery DLP, хранит в себе множество конфиденциальных данных, и в случае атак злоумышленников он может быть скомпрометирован. С другой стороны, специфика использования DLP-систем некоторых вендоров не предусматривает расследования инцидентов как наиболее частый сценарий использования системы, а нацелена решать другие задачи. Функции Discovery DLPВозможности Discovery DLP позволяют сотрудникам службы безопасности всегда быть в курсе того, на каких рабочих местах хранятся файлы с конфиденциальными данными. Такие сведения необходимы, чтобы оценить риски информационной безопасности и выстроить адекватный уровень защиты определенных рабочих станций или файловых серверов. Знания о расположении критичной информации позволят правильно настроить систему защиты от утечки, которая может заключаться в постановке на контроль узкого круга лиц (сотрудников, которые имеют доступ к компьютерам и серверам с данными), а также добавления более жестких политик информационной безопасности.Возможности Discovery DLP также могут использоваться при расследовании инцидентов информационной безопасности. В случае уже произошедшей утечки данных сотрудники службы безопасности смогут определить все места хранения утекших данных, выявить сотрудников, которые имели возможность работать с этими данными, тем самым сузив круг подозреваемых. Полученная таким образом информация может значительно помочь в расследовании инцидентов с утечками.Во время поиска Discovery DLP используют стандартные для DLP технологии поиска информации (контентный анализ, OCR, цифровые отпечатки и т. п.) и учитывают при этом существующие политики защиты данных. Например, подсистема не будет сигнализировать об ошибке хранения файла, если он размещается на рабочей станции доверенного сотрудника и диск зашифрован.Другими словами, к функциям Discovery DLP можно отнести:Сканирование рабочих станций и файловых хранилищ.Поиск конфиденциальной информации путем заранее настроенного списка критериев конфиденциальных документов.Поиск и классификация данных, хранящихся во внутренней сети организации.Обнаружение несанкционированно хранящихся файлов в сети.Мониторинг движения конфиденциальных данных и критичных документов.Чтобы получить представление о работе Discovery DLP, рассмотрим существующие решения, которые входят в состав зарубежных и отечественных DLP-решений. Краткий обзор продуктов Discovery DLPDeviceLock DLPКомпания Смарт Лайн Инк (г. Москва) основана в 1996 году. Занимается разработкой программных средств контроля доступа к периферийным и мобильным устройствам и защитой от утечек данных с корпоративных компьютеров.Модуль DeviceLock Discovery является автономным продуктом в составе DLP-системы DeviceLock DLP от компании Смарт Лайн Инк. Подсистема способна устранять выявленные нарушения информационной безопасности путем обычного или гарантированного удаления документов, удаления контейнеров (если файл находится в архиве или внутри контейнера), установки прав разграничения доступа к файлу и шифрования.Подсистема может работать как с применением агентов, устанавливаемых на рабочие станции сотрудников и файловые сервера, так и без них, выполняя удаленное серверное сканирование, а также используя оба способа развертывания продукта. Рисунок 1. Компонент DeviceLock Discovery можно настроить в удобной mmc-консоли Особенности DeviceLock Discovery:Возможность выполнения различных действий с найденными файлами с конфиденциальной информацией, в том числе находящимися в архиве.Использование метода цифровых отпечатков, который позволяет классифицировать файлы с учетом заданного уровня конфиденциальности.Использование метаданных и расширений свойств файлов и документов, меток классификатора Boldon James при поиске файлов.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Falcongaze SecureTowerКомпания Falcongaze (г. Москва) основана в 2007 году. Занимается разработкой программного обеспечения в сфере информационной безопасности. Флагманским продуктом компании является SecureTower — решение для предотвращения утечек конфиденциальной информации и мониторинга деятельности сотрудников.В состав DLP-системы Falcongaze SecureTower от компании Falcongaze также входит модуль, отвечающий за индексирование рабочих станций сотрудников, — Сервис обработки данных. Он позволяет производить быстрый поиск по всем компьютерам в локальной сети организации в автоматическом и ручном режиме. Контроль файловых систем основан на сопоставлении контрольных сумм заданных файлов с файлами, хранящимися на контролируемом компьютере. Сервис обработки данных позволяет производить поиск по имени файлов, их размерам и другим атрибутам. Рисунок 2. Настройка правил индексирования в Falcongaze SecureTower Особенности Сервиса обработки данных Falcongaze SecureTower:Возможности обработки и поиска данных по планировщику.Минимальная нагрузка на контролируемые рабочие станции (учитывается текущая активность пользователя и периоды простоя).Обработка непосредственно на контролируемой станции исключает нагрузку на локальную сеть.Возможность интеграции с файловыми серверами.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Forcepoint DLP Компания Forcepoint (г. Остин, штат Техас, США) основана в 1994 году, ранее известная как Websense. Занимается разработкой программного обеспечения для кибербезопасности, в том числе средств защиты от утечки конфиденциальной информации, межсетевых экранов, брокеров безопасного облачного доступа (CASB).  Модуль Data Discovery, являющийся частью DLP-системы Forcepoint DLP (ранее известной как Websense DLP) от группы компаний Forcepoint LLC, устанавливается отдельным компонентом. При этом возможна установка нескольких агентских модулей, что позволяет сократить время сканирования. Такая возможность достигается за счет того, что система самостоятельно запускает агентский модуль, который находится ближе к исследуемому компьютеру. Рисунок 3. Схема сканирования модулем Data Discovery в Forcepoint DLP   Особенности Forcepoint DLP Data Discovery:Возможность поиска файлов на серверах IBM Notes, Domino, Microsoft SharePoint, Microsoft Exchange.Использование стандартных методов поиска наравне с поиском по цифровым отпечаткам.Возможность сканирования данных в облачных приложениях, например Office 365.Возможность удаления данных из несанкционированных мест хранения.Подробнее с продуктом можно ознакомиться на сайте разработчика. InfoWatch Traffic MonitorГруппа компаний InfoWatch (г. Москва) основана в 2003 году. В группу компаний входят компании InfoWatch, Attack Killer, Cezurity, Kribrum и Taiga. Эти компании разрабатывают решения для защиты от внутренних и внешних угроз, информационных атак, атак на бизнес-приложения, а также для обеспечения промышленной безопасности предприятий.В состав DLP-системы InfoWatch Traffic Monitor входит модуль Crawler («Краулер»), который позволяет применять настроенные политики безопасности к файлам, хранящимся в корпоративной сети. Такими файлами могут быть сканы договоров с печатями, фотографии паспортов, выгрузки баз данных, чертежи и многие другие типы данных, поддерживаемые аналитическими инструментами Traffic Monitor.Расписание задач Crawler настраивается в веб-консоли DLP Traffic Monitor, где в качестве параметров поиска можно выбрать сетевые узлы, маски обрабатываемых файлов, ограничения по размеру файлов, а также конкретные папки. В соответствии с настроенными политиками система формирует подробные отчеты, а также выполняет действия по выявленным инцидентам (отправляет уведомление администратору безопасности, выделяет цветом проблемный объект).InfoWatch Traffic Monitor может проактивно обнаруживать копирование конфиденциальных данных в общую сетевую папку. Это позволяет зафиксировать действие злоумышленника вне зависимости от того, успел ли отработать поиск Crawler до того, как файлы переданы сообщнику и удалены из сетевой папки.  Рисунок 4. Задачи на запуск «Краулера» InfoWatch Traffic Monitor создаются в веб-консоли  Особенности «Краулера» InfoWatch Traffic Monitor:Сканирование локальных дисков рабочих станций под управлением операционных систем Microsoft Windows Vista/7/8; Server 2008/2012.Сканирование файлов по протоколу SMB.Сканирование файлового хранилища SharePoint 2007/2010/2013.Сохранение теневых копий файлов на сервере, если это нарушает политики безопасности.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. McAfee DLPКомпания McAfee, Inc (г. Санта-Клара, штат Калифорния, США) основана в 1987 году. Является подразделением американской компании Intel Security и занимается разработкой средств защиты от утечек конфиденциальной информации, которые обеспечивают защиту данных на конечных устройствах, анализируют сетевой трафик, а также способны находить критичные данные, в случае, когда их местоположение неизвестно администратору безопасности.Модуль Endpoint Discovery, входящий в состав McAfee DLP от компании McAfee, Incorporated, представляет собой решение, которое устанавливается на компьютеры пользователей и серверы. Компонент позволяет сканировать локальные файлы системы и хранилища электронных писем (в формате PST, OST), анализируя найденные файлы в соответствии с установленными правилами. В зависимости от политики безопасности, несанкционированные файлы могут быть скопированы, перемещены, зашифрованы, перемещены на карантин, отмечены тегами, а также система может изменить права доступа к файлу.В то же время у McAfee есть отдельный продукт для поиска конфиденциальных данных — McAfee DLP Discover. В качестве источников данных могут также выступать серверы, сетевые ресурсы, базы данных и облачные хранилища. При этом система способна производить классификацию данных по критериям важности для конкретной организации. А в случае обнаружения нарушений политик безопасности система отправит уведомления администраторам. Рисунок 5. Модуль McAfee Endpoint Discovery доступен и на агенте Особенности McAfee Endpoint Discovery:Возможность настройки действий, которые необходимо выполнить с найденными файлами.Возможность запуска модуля от имени пользователя на своей рабочей станции, включая настройку прав для восстановления случайно удаленных документов.Гибкая настройка расписания проверок, позволяющая задать даты не только начала сканирования, но и его окончания.Возможность приостановки сканирования в случае превышения требуемых ресурсов (процессор и ОЗУ) для выполнения задачи.Подробнее с продуктом можно ознакомиться на сайте разработчика.  Solar DozorКомпания Ростелеком-Solar (г. Москва) возникла в результате приобретения компанией Ростелеком в 2018 году компании Solar Security. Компания работает в нескольких направлениях, которые включают в себя центр по защите от киберугроз (Solar JSOC), разработку средств защиты от утечек конфиденциальной информации, средств автоматизации контроля и управления правами доступа, а также средств проверки защищенности исходного кода.Модуль Dozor File Crawler, входящий в состав Solar Dozor от компании Ростелеком-Solar, предназначен для мониторинга файловых ресурсов в локальной сети организации с возможностью активного противодействия нарушениям, для мониторинга облачных хранилищ, сканирования корпоративного почтового сервера, а также построения карты сети ресурсов организации. Модуль Dozor File Crawler Solar Dozor входит в состав DLP-системы Solar Dozor и не требует отдельной установки. Рисунок 6. Карта сети, построенная модулем Dozor File Crawler в Solar Dozor Особенности Dozor File Crawler:Сканирование узлов локальной сети, файловых хранилищ, расположенных в локальной сети организации, а также сканирование на облачных хранилищах OneDrive.Ретроспективное сканирование почтового сервера по протоколу IMAP в целях анализа архива электронных писем, а также сканирование архивов теневого копирования, в том числе многотомных архивов.Активное противодействие нарушениям правил хранения защищаемых данных. В случае обнаружения нарушения политики безопасности краулер может выполнить одно из заданных действий: заменить файлом-уведомлением, копировать, переместить в специальное или карантинное хранилище.Гибкая настройка задач сканирования: расписание, периодичность запуска задач сканирования, поиск по различным атрибутам.Оповещение по электронной почте пользователя или администратора безопасности о результатах выполнения задачи, в том числе о действиях, произведенных с файлами.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Symantec DLPКомпания Symantec Corp. (г. Купертино, штат Калифорния, США) основана в 1982 году.  Занимается разработкой программного обеспечения в области информационной безопасности, включая антивирусные решения, средства защиты от целенаправленных угроз на уровне конечных рабочих станций и средства защиты от утечек конфиденциальной информации.Модуль Network Discover из состава Symantec DLP от компании Symantec позволяет выявлять конфиденциальные данные, хранящиеся на файловых серверах, веб-сайтах, базах данных, локальных компьютерах и платформах совместной работы. Рисунок 7. Перечень инцидентов, сформированных модулем Symantec DLP Network Discover после поиска конфиденциальных данных Особенности Symantec DLP Network Discover:Широкий охват хранилищ информации для поиска (базы данных SQL, почтовые сервера Microsoft Exchange, корпоративные порталы Microsoft SharePoint, системы документооборота Lotus Notes, Documentum, Livelink).Возможность сканирования рабочих станций как под управлением операционной системы Windows, так и Linux, Solaris, AIX.Возможность проверки политик контроля доступа и шифрования файлов.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Zecurion DLPКомпания Zecurion (г. Москва) основана в 2001 году (ранее известна как SECURIT).  Занимается разработкой средств защиты от утечек конфиденциальной информации, консалтингом и проведением исследований в области информационной безопасности.Система Zecurion Discovery (Zdiscovery) позволяет в режиме реального времени выявлять места хранения конфиденциальной информации в корпоративной сети с помощью специальных агентов. Принцип работы Zecurion Discovery основан на гибридном анализе, который состоит из более чем 10 современных технологий детектирования. Все настройки модуля Zecurion Discovery производятся в единой веб-консоли Zecurion DLP.Система выполняет анализ данных со всех устройств, которые операционная система считает логическими дисками, поиск производится в том числе и со «скрытых дисков». При этом в процессе работы определяется информация, которая должна защищаться в рамках политик безопасности организации. Рисунок 8. Отчет Zecurion Discovery в веб-интерфейсе  Особенности Zecurion Zdiscovery:Поддержка операционных систем Microsoft Windows 7/8/10; Server 2008 R2/2012/2012 R2/2016.Выполнение различных действий с найденными файлами, например удаление или перемещение в специальные хранилища.Оповещение сотрудника о том, что на его компьютере располагается критичная информация.Использование обучаемой технологии поиска SmartID, метода опорных векторов SVM и других технологий контентного анализа.Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. Гарда ПредприятиеКомпания Гарда Технологии (г. Нижний Новгород) основана в 2017 году на базе компании МФИ Софт. Занимается разработкой решений для защиты от внутренних и внешних угроз информационной безопасности, включая средства защиты от утечек конфиденциальной информации, системы защиты баз данных и веб-приложений, системы расследования сетевых инцидентов и мониторинга сетевого трафика, антифрод-системы и средства защиты от DDoS-атак.Модуль поиска конфиденциальных документов («Краулер») в DLP-системе Гарда Предприятие от компании Гарда Технологии позволяет обнаружить файлы на компьютерах и серверах, размещенных в инфраструктуре организации. Гарда Предприятие имеет единый центр управления, с помощью которого можно настроить параметры для поиска документов. Управление поиском осуществляется с помощью специальных политик сканирования, в которых можно определить различные параметры и критерии поиска документов: поиск похожих документов, поиск по ключевым фразам и т. д. Рисунок 9. Интерфейс системы Гарда Предприятие Особенности «Краулера» Гарда Предприятие:Осуществление поиска в автоматическом режиме.Формирование инцидента при обнаружении подходящих документов и последующая отправка уведомления по email администратору безопасности.Глубокая интеграция с возможностями операционной системы, что позволяет исключить нежелательную нагрузку на рабочие места сотрудников. Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика. КИБ СёрчИнформКомпания «СёрчИнформ» (г. Москва) основана в 1995 году. Занимается разработкой программного обеспечения в сфере информационной безопасности, а именно DLP-систем, программ контроля работы сотрудников, а также средств управления событиями информационной безопасности (SIEM).Набор технологий, входящий в состав КИБ СёрчИнформ, позволяет сканировать ИТ-инфраструктуру и детектировать заданные типы критичных данных. В качестве поддерживаемых источников данных выступают рабочие станции, локальные, корпоративные и облачные хранилища, корпоративные NAS, системы документооборота и аккаунты веб-почты. Система способна выявлять нарушения доступа и хранения файлов, предоставлять отчет о хранении информации в местах для этого не предназначенных. Кроме того, КИБ СёрчИнформ показывает жизненный цикл данных, отчеты о перемещениях внутри корпоративной инфраструктуры, а также историю действий с информацией.КИБ СёрчИнформ поддерживает анализ данных по атрибутам, ключевым словам и фразам, цифровым отпечаткам, регулярным выражениям. При этом могут использоваться технологии распознавания изображений (OCR). При поиске документов может использоваться технология «Поиск похожих», которая позволяет оценивать степень смысловой похожести искомого текста с эталоном, используя при этом только смысловую часть документа. Рисунок 10. Контроль контентного маршрута файла в КИБ СёрчИнформ Особенности Search Server КИБ СёрчИнформ:Модуль является собственной разработкой компании «СёрчИнформ» и не использует другие технологии индексации, такие как elasticsearch или sphinx.Модуль имеет поддержку широкого списка устройств корпоративной ИТ-инфраструктуры.Поиск возможен по содержимому удаленных файлов.Контроль операций с файлами на локальных компьютерах, серверах и сетевых папках.Визуализация информационных потоков при подключении DLP-функций.Поддерживаются не только локальные источники, но и облачные системы хранения.Доступно распределение вычислительной нагрузки между сервером и клиентской станцией.Подробнее с продуктом можно ознакомиться в нашем обзоре на сайте разработчика. ВыводыКак видно из текущего обзора, подсистемы Discovery для поиска конфиденциальных данных в корпоративной сети являются частью большинства известных на рынке DLP-систем. Это можно объяснить тем, что для внедрения системы защиты от утечек конфиденциальной информации в первую очередь необходимо определиться, что именно потребуется защищать, провести категоризацию имеющихся данных, правильно оценить риски и применить политики безопасности. В этой цепочке Discovery DLP могут применятся для поиска мест хранения данных, а также в качестве мощного инструмента проведения расследования инцидента утечки. Когда нужно выяснить, где хранятся или хранились определенные файлы и кто именно имел к ним доступ.Функции различных подсистем поиска конфиденциальной информации, как отечественных, так и зарубежных, не сильно отличаются друг от друга. Их общий принцип заключается в возможности сканирования рабочих станций, сетевых или облачных хранилищ в соответствии с правилами и политиками контентной фильтрации, настроенными в DLP-системе. Системы могут различаться по качеству анализа и индексации файлов, количеству поддерживаемых платформ хранения и политикам, применяемым в отношении несанкционированных копий файлов.  Тем не менее перед администраторами безопасности не стоит прямая цель — выбрать лучшую подсистему поиска данных. Как правило, изучаются комплексные возможности DLP-системы в целом.Тем не менее разработчики DLP-систем развивают подсистемы Discovery DLP, добавляя интересные функции для администраторов безопасности, например составление контентных маршрутов файлов с конфиденциальной информацией, а также построение «карты рисков» на базе собранной информации, которая отражает критичность защищаемых ресурсов и необходимость организовать дополнительную защиту важных файлов.

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки https://www.comss.ru/page.php?id=18618
    • AM_Bot
      Обзор CrossTech Container Security 3.0: решение для защиты контейнерной инфраструктуры

      От AM_Bot · Опубликовано

      Вендор Crosstech Solutions Group выпустил решение для защиты контейнерной инфраструктуры Crosstech Container Security (CTCS). Оно обеспечивает безопасность контейнерных сред: от сканирования образов до контроля запуска рабочих нагрузок и реагирования на инциденты в средах выполнения.      ВведениеФункциональные возможности Crosstech Container Security2.1. Анализ и контроль безопасности образов2.2. Контроль запуска контейнеров2.3. Безопасность в средах выполнения (Runtime Security)2.4. Безопасность окружения2.5. Внешние интеграцииАрхитектура Crosstech Container Security3.1. Основные компоненты Crosstech Container SecurityСистемные требования и лицензирование Crosstech Container Security4.1. Лицензирование4.2. Требования к аппаратной части4.3. Требования к программной части4.4. Процесс установкиСценарии использования5.1. Сценарий №1. Сканирование образов5.2. Сценарий №2. Политики безопасности образов контейнеров5.3. Сценарий №3. Контроль запуска контейнеров5.4. Сценарий №4. Мониторинг безопасности сред выполненияВыводыВведениеРоссийский рынок контейнерных разработок постоянно растёт. В 2024 году затраты на ПО для контейнеризации достигли 3 млрд рублей — это на 66 % больше, чем в 2023. Контейнерные технологии ускоряют процессы разработки, экономят ресурсы компаний, поэтому их всё чаще внедряют в свою работу ИТ-департаменты.Вместе с ростом масштабов контейнеризации увеличивается и поверхность атак: уязвимости в образах, ошибки конфигураций, несанкционированные действия внутри контейнеров. Crosstech Container Security помогает компаниям выстраивать комплексную систему защиты контейнерной инфраструктуры.Функциональные возможности Crosstech Container SecurityCrosstech Container Security объединяет функции анализа, мониторинга и управления безопасностью контейнерных сред. Решение охватывает весь жизненный цикл контейнера — от момента его создания до удаления. Продукт помогает DevSecOps-командам выявлять уязвимости, проверять конфигурации, контролировать сетевую активность и реагировать на инциденты в режиме реального времени.Анализ и контроль безопасности образовCrosstech Container Security интегрируется с реестрами хранения образов и позволяет проводить их сканирование как в ручном режиме, так и по расписанию. В результате анализа система обнаруживает дефекты в образах: уязвимости, неправильные конфигурации, секреты, а также фиксирует используемые в образах OSS-лицензии для пакетов и библиотек. По каждому найденному дефекту предоставляется детальная информация.CTCS поддерживает экспорт SBOM в форматах SPDX и CycloneDx, что упрощает аудит и обмен данными с другими решениями. Интерфейс продукта предоставляет визуализацию образов с маппингом (сопоставлением данных) на дефекты безопасности. CTCS также осуществляет дискаверинг (обнаружение) образов, располагающихся в защищаемых кластерах и на standalone-хостах.Для автоматизации контроля доступны настраиваемые политики безопасности образов, разделяемые по критериям:наличие уязвимостей в образах контейнеров выше заданной оценки критичности;наличие уязвимостей в образах контейнеров согласно заданным идентификаторам;обнаружение root в Dockerfile;возможность указания перечня образов, на которые будет распространяться созданная политика безопасности образов.При нарушении хотя бы одного из критериев политики администратор получает уведомление в интерфейсе CTCS и может оперативно принять меры: заблокировать образ, исключить его из деплоя или добавить в список исключений с указанием причины. Такой подход обеспечивает прозрачность процессов и повышает уровень доверия к среде разработки и эксплуатации.Контроль запуска контейнеровРешение обеспечивает контроль запуска контейнеров как в средах Kubernetes, так и на отдельных standalone-хостах в соответствии с заданными политиками безопасности. Это позволяет предотвращать запуск рабочих нагрузок, не соответствующих требованиям безопасности компании, ещё на этапе их инициализации.В зависимости от настроек администратор может выбрать режим реагирования: блокирование или оповещение о нарушении политики безопасности. Информация обо всех срабатываниях отображается в интерфейсе системы, обеспечивая прозрачность и возможность оперативного реагирования.Политики безопасности включают следующие критерии:попытка запуска контейнеров на базе образов, не соответствующих политикам безопасности;попытка запуска контейнеров из-под пользователя root;попытка запуска контейнеров с повышенными привилегиями ядра Linux;контроль запуска контейнеров на базе образов, не прошедших сканирование CTCS.Дополнительно решение поддерживает интеграцию с OPA Gatekeeper и имеет возможность создания и импорта политик через интерфейс CTCS.Безопасность в средах выполнения (Runtime Security)CTCS использует возможности инструмента Tetragon для создания и применения кастомных политик безопасности, позволяющих контролировать сетевые взаимодействия внутри контейнеров. Администраторы могут выбрать набор кластеров для распространения политик, что обеспечивает гибкость при внедрении требований безопасности.Вся информация о срабатываниях политик фиксируется в интерфейсе CTCS, предоставляя специалистам по информационной безопасности прозрачную картину активности в средах выполнения и возможность оперативного реагирования на инциденты.Безопасность окруженияРешение выполняет сканирование кластеров на соответствие стандартам конфигурирования CIS Kubernetes Benchmarks. Аналогично система проводит проверку standalone-хостов на соответствие CIS Docker Benchmarks. Дополнительно CTCS поддерживает сканирование конфигурационных файлов, расположенных в директориях нод кластеров, выполняя роль сканера на основе IaC (Infrastructure as Code, управление инфраструктурой через использование кода).Внешние интеграцииРешение поддерживает интеграцию с реестрами хранения образов, что обеспечивает доступ к актуальным данным для анализа и контроля безопасности контейнеров. Также CTCS поддерживает передачу журналов событий в системы сбора по протоколу Syslog для их централизованного хранения и обработки.Доступна интеграция с системой идентификации, управления доступом Keycloak с поддержкой OAuth и доменными службами каталогов. Это позволяет пользователям авторизовываться в интерфейсе системы через доменные учётные записи. Рисунок 1. Планы по развитию Crosstech Container Security Архитектура Crosstech Container SecurityАрхитектура CTCS реализована в формате однонаправленных соединений со стороны ядра системы в сторону агентов защиты (протокол TCP/IP), располагающихся в защищаемых кластерах. Такой подход позволяет использовать инстанс ядра в единственном экземпляре для инфраструктур, сегментированных по уровням доверия. Рисунок 2. Логическая архитектура Crosstech Container Security Основные компоненты Crosstech Container SecurityCTCS состоит из 3 основных компонентов:CTCS Core — группа микросервисов, отвечающая за управление системой: хранение данных, настроек, создание политик безопасности, бизнес-логика продукта, а также взаимодействие со смежными системами.CTCS Agent-Manager: модуль агент-менеджера реализован в формате оператора Kubernetes с целью контроля за установкой и изменениями кастомных ресурсов (custom resource definition, CRD), а также управления и передачи информации агент-воркерам, устанавливаемым на каждую защищаемую ноду в формате DaemonSet.CTCS Scanner — модуль, сканирующий образы контейнеров на уязвимости, неправильные конфигурации, конфиденциальные данные, информацию по OSS-лицензиям для пакетов и библиотек из состава образа, а также сканирующий кластеры на соответствие стандартам конфигурирования.Системные требования и лицензирование Crosstech Container SecurityПеред выбором модели лицензирования заказчикам рекомендуется оценить масштаб защищаемой инфраструктуры и нагрузку на кластеры. Crosstech Container Security предусматривает гибкий подход: ядро и агенты могут разворачиваться в разных сегментах сети, включая тестовые и продуктивные среды. Такой принцип позволяет оптимально распределять ресурсы и лицензии, избегая избыточных затрат.ЛицензированиеCTCS лицензируется по количеству защищаемых нод, на которые распространяются агенты защиты.В продукте реализовано гибкое лицензирование, которое позволяет заказчикам самостоятельно выбирать перечень защищаемых объектов. При достижении лимита по количеству лицензий, предусмотренных договором, администратор может отключить часть текущих объектов защиты и переназначить лицензии на новые кластеры и ноды. Рисунок 3. Включение/выключение агентов защиты Рисунок 4. Лицензии CTCS На странице лицензирования доступна подробная информация о параметрах действующей лицензии. Пользователь видит:количество оставшихся дней действия лицензии;количество нод, предусмотренных лицензией;актуальные данные о числе используемых нод в рамках лицензии;сведения о типе лицензии;информация о поставщике;информация о владельце лицензии.Рисунок 5. Страница «Лицензирование» Требования к аппаратной частиКластер, на котором производится установка CTCS, должен соответствовать минимальным характеристикам, приведённым ниже. Для определения значений millicpu (единицы времени процессора, эквивалентной тысячной части работы, которую может выполнить одно ядро CPU) рекомендуется воспользоваться документацией Kubernetes.Кластер, на который будет установлен helm-чарт ядра (без учёта сканера) должен иметь характеристики не ниже 8190 millicpu, 7410 MiB RAM.Для каждого экземпляра сканера: 3 CPU, 6 GB RAM, при добавлении дополнительных экземпляров значения увеличиваются пропорционально.В случае использования большего количества реплик значения пропорционально умножаются на их число. По умолчанию в чарте допускается до 6 реплик, что требует 18 CPU, 36 GB RAM.Каждый кластер для развёртывания чарт-агента должен иметь 2 CPU, 8 GB RAM.Необходимый минимум для каждой используемой СУБД PostgreSQL: 4 CPU, 8 GB RAM, 100 GB.Приведённые требования указаны для усреднённой конфигурации и могут быть изменены в зависимости от количества одновременных сканирований образов, генерируемых событий, деплоев, пространств имён (namespaces) и подов.Требования к программной частиДля корректной интеграции и работы приложение CTCS должно быть развёрнуто в кластере Kubernetes. При настройке системы в конфигурационном файле helm-чарта должны быть настроены необходимые параметры.Поддерживаемые контейнерные среды CRI (container runtime interface): containerd и docker.В момент выполнения инструкции на хосте администратора должны быть установлены следующие утилиты для выполнения установки:tar;helm;kubectl.Необходимые сервисы в инфраструктуре:PostgreSQL: рекомендуется размещать базу данных для хранения логов на отдельном инстансе от основной БД, чтобы избежать падения производительности основных операций при большом объёме логируемых событий;Keycloak (опционально, имеется возможность поставки в составе дистрибутива);Vault (опционально, имеется возможность использования стандартного объекта Kubernetes Secret).Требования к операционной системе и ядру:рекомендуется использовать ОС с версией ядра 5.4 или выше для обеспечения поддержки Tetragon;в ядре должна быть включена функция BTF;должны быть активированы модули eBPF и cgroup, а также корректным образом настроены или отключены модули безопасности Linux (LSM), контролирующие запуск eBPF-программ (в соответствии с официальной документацией Tetragon).Требования к версиям Kubernetes:центральная управляющая часть кластера – не ниже версии 1.23;дочерние кластеры – версия 1.23 или выше.Дополнительные требования:В кластере Kubernetes должен быть установлен, подключён и настроен storage class, в котором будет минимум 10 GB свободного места.В master-кластер должен быть установлен External Secrets (опционально).В дочерние кластеры должен быть установлен External Secrets (опционально).Во всех кластерах, где развёртывается ядро и агенты CTCS, должен быть установлен ingress-контроллер.Совокупность этих требований обеспечивает стабильную работу системы и корректное взаимодействие всех модулей CTCS. При соблюдении указанных параметров производительность решения остаётся предсказуемой даже при высокой интенсивности сканирований и большом количестве событий безопасности. Такой подход гарантирует надёжность, масштабируемость и устойчивость контейнерной инфраструктуры.Процесс установкиДля развёртывания CTCS вендор предоставляет архив, содержащий helm-чарты и образы системных контейнеров. При необходимости может быть предоставлена учётная запись для выгрузки дистрибутивов из репозиториев вендора напрямую.Сценарии использованияCrosstech Container Security закрывает ключевые задачи обеспечения безопасности контейнерных платформ — от анализа уязвимостей до защиты на уровне среды выполнения. Решение органично интегрируется в процессы DevSecOps и помогает компаниям повысить устойчивость инфраструктуры к современным киберугрозам без потери скорости разработки.Сценарий №1. Сканирование образовCTCS позволяет выполнять сканирование образов контейнеров, хранящихся как в интегрированных реестрах образов, так и локально в защищаемых кластерах. Рисунок 6. Подключённые реестры После интеграции с реестрами образов на вкладке «Образы» – «Реестры» отображается подключённый реестр и информация о хранящихся в нём образах. Реализовано в формате иерархии:Реестры.Название образа и количество его версий (тегов).Название образа и его версии.Карточка конкретного образа.Рисунок 7. Образ и список его версий Рисунок 8. Карточка образа На каждом уровне иерархии есть возможность запуска сканирования по требованию с выбором типа дефектов, которые будут учитываться в процессе сканирования. Дополнительно предоставляется общая информация об образе, данные о его соответствии установленным политикам, сведения о слоях образов с маппингом на обнаруженные дефекты. Рисунок 9. Слои образа На странице интеграций с реестрами в настройках доступно выставление расписания для проведения автоматизированного сканирования. Рисунок 10. Сканирование по расписанию Для работы с образами, обнаруженными локально в защищаемых кластерах, доступна отдельная вкладка «Образы» – «Локальные образы». Рисунок 11. Таблица локальных образов При запуске процесса сканирования доступен выбор ноды, на которой он будет проводиться. Если обнаруженный образ находится в интегрированном реестре, сканирование будет приоритетно выполняться на стороне ядра системы в рамках интеграции с реестром. Рисунок 12. Выбор нода для проведения сканирования Сценарий №2. Политики безопасности образов контейнеровВ рамках Crosstech Container Security реализовано создание политик безопасности для образов контейнеров. После их настройки система автоматически проверяет все известные образы на соответствие заданным критериям. По результатам проверки на карточке каждого образа отображается информация о соответствии или несоответствии политикам безопасности (Рисунок 7). Если образ нарушает несколько политик безопасности одновременно, в карточке отображается, какие именно политики безопасности были нарушены. Рисунок 13. Создание политики безопасности образов Сценарий №3. Контроль запуска контейнеровВ CTCS доступна интеграция с OPA Gatekeeper, обеспечивающая валидацию контейнерных деплоев и реагирование в соответствии с заданными политиками безопасности.При настройке политик безопасности доступен выбор режима реагирования — оповещение либо блокировка — а также определение перечня критериев безопасности, по которым будет осуществляться контроль. Рисунок 14. Таблица политик валидации и контроля запусков Политики безопасности могут создаваться по выделенным критериям (Рисунок 13) или импортироваться в виде кастомных политик (Рисунок 14). Рисунок 15. Создание политики валидации и контроля запусков Рисунок 16. Импорт кастомных политик безопасности Результаты срабатывания политик доступны в интерфейсе системы, что позволяет оперативно анализировать инциденты и корректировать настройки безопасности. Рисунок 17. Срабатывание политик валидации и контроля запусков Сценарий №4. Мониторинг безопасности сред выполненияВ текущей версии реализован мониторинг безопасности сред выполнения на базе Tetragon, что позволяет контролировать эксплуатацию рабочих нагрузок.В CTCS доступна форма для создания или импорта готовых политик безопасности с возможностью выбора области применения. Рисунок 18. Создание политики среды выполнения При срабатывании политик система отображает перечень событий в формате таблицы. Для каждого события можно перейти в режим детального просмотра, где отображается его идентификатор, дата и время создания, короткое описание и содержание в формате json. Рисунок 19. Событие срабатывания политики среды выполнения ВыводыАнализ решения Crosstech Container Security показал, что в версии 3.0.0 продукт предоставляет широкие функциональные возможности для защиты контейнерной инфраструктуры: от обеспечения безопасности образов контейнеров до контроля запуска и реагирования на нелегитимные процессы в средах выполнения в соответствии с политиками безопасности. CTCS также предоставляет инструменты для проведения сканирований защищаемых кластеров на соответствие стандартам конфигурирования, что повышает уровень безопасности контейнерной инфраструктуры.Достоинства:Архитектура. Благодаря однонаправленным соединениям со стороны ядра системы в сторону агентов защиты обеспечивается соответствие требованиям заказчиков, которые используют «Zero Trust»-модель на уровне сегментов инфраструктуры.Широкая площадь покрытия. CTCS обеспечивает контроль запуска контейнеров не только в рамках оркестратора Kubernetes, но и на отдельных хостах контейнеризации за счёт использования standalone-агентов.Гибкие возможности при работе с API. Весь функционал из веб-интерфейса CTCS также доступен для вызова через API, что позволяет специалистам заказчика решать нетривиальные задачи в рамках своей рабочей деятельности и интегрировать продукт в существующие процессы.Удобство при работе со сканированием образов. Иерархический подход обеспечивает гибкость при выборе области сканирования и повышает прозрачность анализа.Недостатки:Отсутствие возможности встраивания в процесс сборки (CI/CD) (планируется к реализации в первом квартале 2026 года).Отсутствие данных по ресурсам Kubernetes (Workloads, RBAC, Custom Resources, Feature Gates): планируется в 4-м квартале 2025 – 1-м квартале 2026).Отсутствие настройки гибкого разграничения прав доступа пользователей в интерфейс системы (реализация запланирована на первый квартал 2026).Отсутствие отчётности по результатам работы с системой (планируется в первом квартале 2026).Реклама, 18+. ООО «Кросстех Солюшнс Групп» ИНН 7722687219ERID: 2VfnxvVGwXfЧитать далее
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
×