Обзор Системы управления безопасностью файлов от NGR Softlab

1. Введение
2. Описание Системы управления безопасностью файлов NGR Softlab
3. Функции и возможности Системы управления безопасностью файлов NGR Softlab
   1. 3.1. Настройка процесса и управление политикой проверки файлов
   2. 3.2. Управление нагрузкой и контроль состояния СЗИ
   3. 3.3. Упрощённая очистка файлов без применения СЗИ
   4. 3.4. Хранение журналов проверки файлов
   5. 3.5. Формирование консолидированных отчётов
4. Системные требования Системы управления безопасностью файлов NGR Softlab
5. Возможности интеграции Системы управления безопасностью файлов NGR Softlab
6. Архитектура Системы управления безопасностью файлов NGR Softlab
7. Компоненты Системы управления безопасностью файлов NGR Softlab
   1. 7.1. Страница отчётов
   2. 7.2. Журнал проверок
   3. 7.3. Проверка файлов
   4. 7.4. Администрирование
   5. 7.5. Настройки
8. Работа с Системой управления безопасностью файлов NGR Softlab
   1. 8.1. Проверка документа
   2. 8.2. Подключение нового СЗИ к системе
9. Выводы

Введение

Компании, активно взаимодействующие с внешними подрядчиками и клиентами, ежедневно получают десятки, а то и сотни файлов из внешней среды — договоры, акты, презентации, фотографии, техническая документация и многое другое. За каждым таким письмом потенциально может скрываться вредоносный код, способный нарушить работу внутренних систем, стать причиной утечки данных или даже остановить бизнес-процессы.

Чтобы защититься от подобных угроз, организации выстраивают сложную экосистему средств защиты информации (СЗИ): антивирусы, песочницы, DLP-системы и другие компоненты. Однако со временем такая система сталкивается с рядом проблем:

• неравномерная нагрузка на СЗИ,
• сложности с отслеживанием результатов проверок,
• снижение скорости реагирования,
• сложности выполнения требований политик ИБ для многоканальных/омниканальных коммуникаций с партнерами/клиентами,
• сложности реализации требований ИБ в динамично развивающихся инфраструктурах,
• сложности в построении эшелонированной защиты,
• организация экономически эффективной системы проверки файлов для распределённых и сложных инфраструктур,
• рост стоимости масштабирования,
• перегрузка ИБ-специалистов рутиной.

Решением становится внедрение единой платформы, объединяющей ключевые этапы анализа и позволяющей централизованно контролировать весь процесс работы с файлами.

Российский вендор NGR Softlab выпустил на рынок новый продукт ― Систему управления безопасностью файлов (СУБФ). Этот инструмент позволяет проводить централизованную обработку и анализ информационных объектов, что позволяет выполнять соответствующие требования внутренних политик ИБ организаций и регуляторов по информационной безопасности. Решение входит в реестр отечественного ПО (номер записи 26186 от 27.01.2025).

Продукт позволяет автоматизировать анализ и проверку информационных объектов, исключить проникновение вредоносных документов в периметр, централизовать взаимодействие с СЗИ и распределить нагрузку, упростить аудит, снизить совокупную стоимость владения СЗИ, предназначенными для проверки файлов. Рассмотрим подробнее Систему управления безопасностью файлов от NGR Softlab, её функции и возможности. Разберёмся в особенностях архитектуры и системных требованиях для развёртывания, а также на практике протестируем работу продукта. 

Описание Системы управления безопасностью файлов NGR Softlab 

Омниканальная система управления безопасностью файлов от ООО «ЭнДжиАр Софтлаб» ― решение, предназначенное для централизованной проверки файлов на безопасность с помощью интеграции со сторонними СЗИ. Она поддерживает интеграцию с решениями разных классов и вендоров: антивирусами, песочницами, DLP, Proxy AV и другими средствами защиты информации. При этом система может эффективно функционировать как в связке с СЗИ, так и самостоятельно, очищая документы от вредоносного содержимого.

Эффект от внедрения Системы управления безопасностью файлов от NGR Softlab будет выражаться в:

• снижении нагрузки на специалистов по ИБ за счёт автоматизации и унификации процессов;
• повышении скорости реагирования на инциденты благодаря централизованному управлению и отчетности;
• максимальном использовании потенциала подключённых СЗИ за счёт координации их работы и устранения узких мест.

Система позволяет анализировать входящий и исходящий трафик. Она способна обрабатывать документы в песочницах, DLP-системах, Proxy AV и других СЗИ. Решение поддерживает API, протоколы ICAP, FTP, SFTP, S3, NFS/SMB, а также может отправлять журналы проверки по Syslog. Общая схема работы представлена на рисунке 1.

Рисунок 1. Схема работы Системы управления безопасностью файлов

Примеры кейсов применения Системы управления безопасностью файлов представлены в таблице 1.

Таблица 1. Кейсы применения Системы управления безопасностью файлов

При типовой инсталляции производительность системы составляет 100 000 файлов в сутки (при среднем суточном объёме поступающих данных до 2 ГБ). Продукт легко интегрируется в существующую инфраструктуру компании, не требует значительных затрат на внедрение и обучение сотрудников, отвечающих за кибербезопасность. Он подойдёт как для небольших, так и для крупных компаний. Наличие API и универсальных коннекторов предоставляет широкие возможности для доработки Системы управления безопасностью файлов под задачи клиента и подключения к ней новых СЗИ.

Функции и возможности Системы управления безопасностью файлов NGR Softlab

Продукт представляет собой единый центр проверки, выполняющий помимо обработки файлов ряд других полезных функций. Рассмотрим подробнее ключевые возможности созданной NGR Softlab системы.

Настройка процесса и управление политикой проверки файлов

В интерфейсе системы управления безопасностью файлов можно настраивать гибкую политику и запускать сразу несколько цепочек обработки данных, в т.ч. на разных СЗИ. При помощи продукта можно комбинировать:

• входящие и исходящие источники;
• пулы СЗИ (объединённые однотипные СЗИ);
• вердикты СЗИ;
• получателей вердиктов. 

Рисунок 2. Настройка политики проверки в Системе управления безопасностью файлов от NGR Softlab

После задания настройки система будет автоматически направлять файл на проверку (если он соответствует заданным параметрам) и в зависимости от результатов обработки выполнять с ним необходимые действия ― направление получателю, помещение в карантин, удаление. В консоли управления можно определять очерёдность проверки файлов разных СЗИ. Кроме того, администратор может задавать порядок получения системных уведомлений. В продукте предусмотрена отправка отчётности по Email и Syslog.

Однократное задание правил политики обработки данных сразу автоматизирует процесс проверки файлов. Это позволяет сэкономить ресурсы на администрирование и существенно снизить влияние человеческого фактора. 

Управление нагрузкой и контроль состояния СЗИ

Система способна в реальном времени распределять нагрузку между применяемыми в инфраструктуре средствами защиты информации. При этом формируется и удерживается очередь задач, благодаря буферизации обеспечивается контроль загрузки и состояния СЗИ.

Рисунок 3. Управление нагрузкой на СЗИ в Системе управления безопасностью файлов от NGR Softlab

Подключенные к системе СЗИ отображаются в настройках программы. Администратор может добавлять в изначальный перечень новые средства (совместимые с решением) и удалять из него утратившие актуальность инструменты.

Упрощённая очистка файлов без применения СЗИ

Предлагаемое решение способно выявлять потенциально опасные файлы без обращения к СЗИ. В продукте реализована функция конвертации документов в безопасный PDF-формат. Это предотвращает активацию вредоносных скриптов, содержащихся в офисных документах. Переформатированные документы можно сохранить в папке назначения для последующего использования.

Хранение журналов проверки файлов

В журналы проверки помещаются сведения о результатах и вердиктах выполненных проверок. Журналы можно просматривать в реальном времени. В них можно узнать о вердикте системы по безопасности файла, а также его имя, размер, статус проверки, проводящий её пул СЗИ, время запуска и завершения обработки, код угрозы и итоговый отчёт по конкретному документу.

Каждый обрабатываемый системой файл маркируется цветом в соответствии со степенью его безопасности. Зелёным отмечаются документы, в которых не обнаружено угроз. Синим маркируется файлы, обрабатываемые в текущий момент, серым ― техническая ошибка. Опасные документы маркируются красным, а подозрительные ― жёлтым цветом. 

Формирование консолидированных отчётов

Администратор системы может осуществлять настройку событий, по которым требуется формировать отчёты. Функциональность решения позволяет это делать в разрезах пулов СЗИ. Сгенерированные отчёты и вердикты можно просматривать в едином окне, без необходимости переключения между системами.

Рисунок 4. Пример отчёта о результатах проверки в Системе управления безопасностью файлов от NGR Softlab

Благодаря сведениям из отчётов можно получать данные о самых нагруженных источниках, знакомиться с динамикой передачи файлов на проверку и распределением её вердиктов.

Системные требования Системы управления безопасностью файлов NGR Softlab

Решение может развёртываться на виртуальном и аппаратном сервере. Оно инсталлируется в операционной системе Astra Linux SE не ниже версии 1.8. Все необходимые программные модули (PostgreSQL, NATS, Redis, Nginx) устанавливаются автоматически при развёртывании продукта. Для обеспечения доступа к веб-интерфейсу потребуются браузеры Google Chrome (версия 49+) или Mozilla Firefox (версия 45+).

Аппаратные требования:

• CPU ― от 16 ядер, частота от 2 ГГц;
• RAM ― от 32 ГБ;
• RAID ― 5,6,10, объём дискового пространства от 2 ТБ;
• NIC ― 1 Гбит/с;
• монитор ― диагональ от 24 дюймов.

Стоит учесть, что система проверки безопасности файлов NGR Softlab имеет ограничения на размер обрабатываемых данных. Она не сможет протестировать объект, если его размер превышает 2 ГБ или меньше 1 байта. 

Возможности интеграции Системы управления безопасностью файлов NGR Softlab

По умолчанию Система управления безопасностью файлов поддерживает определенный набор СЗИ. В него входят песочницы, DPL и потоковые антивирусы, использующие протоколы API, ICAP и Syslog.

Список поддерживаемых СЗИ:

• Athena Sandbox;
• PT Sandbox;
• Kaspersky Sandbox (в составе Kaspersky Anti Targeted Attack);
• Trend Micro Deep Discovery Analyzer;
• Гарда DPL;
• Zecurion DLP;
• Forcepoint DLP;
• Solar Dozor;
• Dr. Web Gateway Security Suite.

Данный список не является исчерпывающим, вендор периодически дополняет его. Кроме того, уже на этапе внедрения возможно подключение других решений, использующих поддерживаемые протоколы. 

Архитектура Системы управления безопасностью файлов NGR Softlab 

Все элементы системы управления безопасностью файлов NGR Softlab взаимосвязаны между собой и имеют структуру, объединённую общим графическим интерфейсом. Её схема представлена на рисунке.

Рисунок 5. Архитектура Системы управления безопасностью файлов NGR Softlab

В архитектуру решения входит 6 компонентов:

1. Веб-интерфейс Front. Это графическая оболочка, через которую администратор и пользователь могут обращаться к функциям продукта и задавать необходимые настройки.
2. Administration. Компонент, осуществляющий управление системой, в т.ч. контролем доступа на основе ролей, запуском и мониторингом статусов отдельных сервисов системы. Также отслеживает соблюдение правил лицензирования.
3. Collectors. Обеспечивает получение системой файлов по API и ICAP, а также данных из общих сетевых устройств.
4. LBSG (Load Balancing Scan Gateway). Компонент, управляющий алгоритмами балансировки нагрузки между подключенными СЗИ.
5. Scanners. Отвечает за отправку файлов на проверку в СЗИ и отслеживание завершения их обработки.
6. Solutions. Задача компонента состоит в обобщении вердиктов СЗИ и конечной оценки степени безопасности проверенного файла.

Компоненты Системы управления безопасностью файлов NGR Softlab

Все ключевые программные компоненты представлены в навигационной панели консоли управления продукта. Под ней располагается рабочая область, где, в зависимости от выбранного раздела, отображаются статистика работы системы, результаты проверок или меню настройки параметров обработки данных.

Рисунок 6. Консоль управления Системы управления безопасностью файлов

Основными компонентами программы являются Страница отчётов, «Журнал проверок», «Проверка файлов», «Администрирование» и «Настройки». Рассмотрим подробнее функции и возможности каждого из них.

Страница отчётов

В компоненте отображаются сведения о работе системы. Настройки в данном разделе отсутствуют. Он выполняет информационную функцию и даёт общую статистику. Внешний вид компонента представлен на рисунке 7. 

Рисунок 7. Компонент отчётов Системы управления безопасностью файлов от NGR Softlab

В компоненте можно посмотреть: 

• суммарное количество поступивших на проверку файлов;
• количество настроенных цепочек проверок (с указанием активных на текущий момент);
• количество настроенных источников поступления файлов (как входящих, так и исходящих);
• количество подключенных к системе СЗИ (в т.ч. число активных на текущий момент средств).

Также в данном разделе в виде таблицы отображается информация по последним 10 файлам, поступившим на проверку в систему. Тут можно посмотреть его имя, размер, источник поступления, а также статус, время начала и завершения обработки.

Журнал проверок

Компонент «Журнал проверок» служит для представления информации о проверенных системой файлах. Данные выгружаются в табличной форме. пользователь может задавать временной интервал, за который требуется получить сведения о произведённых обработках. Есть возможность поиска и сортировки записей по заголовкам столбцов. 

Рисунок 8. Компонент «Журнал проверок» в Системе управления безопасностью файлов NGR Softlab

Таблица «Журнала проверок» состоит из следующих столбцов:

1. Угроза. Представляет собой цветовой индикатор вердикта проверки. 
2. Имя файла.
3. Размер файла.
4. Источник файла. Могут быть следующих типов: SFTP, FTP, NFS/SMB, S3.
5. Состояние. Отмечает статус обработки документа. 
6. Начало проверки ― дата и время принятия файла в обработку.
7. Окончание проверки ― дата и время завершения обработки файла.
8. Пулы СЗИ. Отображает название средства защиты информации или пула таких инструментов, осуществляющих проверку файла на безопасность.
9. Код угрозы ― внутренний код вердикта проверки. Например, безопасным документам соответствует код 2, содержащим угрозу ― 4.

Последний столбец ― «Текст угрозы» представляет аналитические данные о файлах, поступивших на проверку. Содержит две пиктограммы. Первая представляет собой эквивалент кнопки «Экспортировать». Служит для генерации и выгрузки отчёта о проверенных файлах за требуемый промежуток времени. Вторая пиктограмма представляет детализированную информацию о поступившем документе.

Проверка файлов

Компонент «Проверка файлов» служит для загрузки документов, которые требуется протестировать на безопасность через веб-интерфейс программы (Front). То, как он выглядит, представлено на рисунке 9.

Рисунок 9. Загрузка файлов на проверку в Системе управления безопасностью файлов NGR Softlab

Для запуска требуется выбрать цепочку проверки, через которую файлы будут обработаны, и загрузить их в систему. После этого их перечень отобразится в правой части консоли. Процесс начнётся после нажатия кнопки «Отправить на проверку».

Администрирование

Через компонент «Администрирование» осуществляется управление пользовательскими настройками. В него входят три подраздела «Пользователи», «Группы» и «Лицензия». Компонент доступен только тем, кто имеет права администратора.

В подразделе «Пользователи» создаются, редактируются и удаляются учётные записи. Для каждого нового пользователя указывается его имя, номер телефона, адрес электронной почты, логин и пароль. Здесь же задаются роли, которые будут определять права доступа, и группы, в которые будет входить новый участник системы.

Рисунок 10. Таблица пользователей компонента «Администрирование»

В подразделе «Группы» происходит объединение пользователей и назначение ролей. Администратор может их создавать, редактировать и удалять. Для каждой группы указывается имя и описание. Также необходимо задать одну или несколько ролей, а также добавить имена пользователей, которые должны в неё входить.

Рисунок 11. Таблица групп пользователей компонента «Администрирование»

В подразделе «Лицензия» происходит активация, продление и просмотр сведений о текущей лицензии продукта. Если в компании имеется уже установленная система, в нём прописывается значение ID, наименование компании, даты инсталляции и окончания её срока действия.

Рисунок 12. Менеджер лицензий Системы управления безопасностью файлов от NGR Softlab

Когда срок лицензии истекает, сервисы работы с файлами блокируются, а система формирует сообщение о необходимости продления. Администратору при нажатии соответствующей кнопки открывается форма загрузки. Лицензионный файл предоставляется в форматах .txt, .lic, .log. 

Настройки

В компоненте «Настройки» осуществляется управление алгоритмами работы системы. Набор входящих в него подразделов зависит от того, какими правами доступа обладает пользователь (у администраторов их на 3 больше ― «ICAP сервер», «Syslog сервер» и «Уведомления»). 

Рисунок 13. Меню настроек в Системе управления безопасностью файлов NGR Softlab

Минимальный комплекс настроек включает:

1. «Входящие». Содержит информацию об источниках, отправляющих файлы на проверку.
2. «Исходящие». Содержит информацию об источниках, в которые направляются файлы после прохождения проверки и отчёты по ней.
3. «СЗИ». Представляет сведения о подключенных к системе СЗИ, которые будут проверять файлы. 
4. «Пулы СЗИ». Позволяет просматривать информацию об объединении различных однотипных СЗИ.
5. «Цепочки проверок». Подраздел позволяет запускать, перезапускать и останавливать процесс проверки. Такие цепочки представляют собой объединения входящих / исходящих источников, пулов СЗИ. Пользователи с правами администратора могут создавать новые цепочки проверок, а также редактировать их и останавливать. 

Административные подразделы «ICAP сервер», «Syslog сервер» и «Уведомления» служат для настройки соответствующих серверов и правил отправки системных сообщений. Здесь можно добавлять новых и удалять из списка старых получателей такой рассылки. 

Работа с Системой управления безопасностью файлов NGR Softlab

В качестве примера разберём несколько сценариев использования Системы управления безопасностью файлов. Начнём с наиболее простого ― проверки документа на наличие в нём вредоносного содержимого. Затем перейдём к тому, как к системе подключаются новые СЗИ.

Проверка документа

Для начала необходимо определить входящий и исходящий источники. В первом случае задаются параметры отправной точки, из которой файлы будут поступать на проверку (host, port, username, password, pool size и target path).

Рисунок 14. Пример создания входящего источника типа SFTP в Системе управления безопасностью файлов NGR Softlab

Следующий этап ― определение источника, в который будет выгружен проверенный документ. Файл будет направлен в него в том случае, если после его обработки не обнаружатся угрозы. После этого необходимо выбрать подходящую цепочку проверок, в которой будут содержаться входящий и исходящий источники. Если она окажется в неактивном состоянии, её нужно запустить.

Рисунок 15. Пример создания исходящего источника типа SFTP в Системе управления безопасностью файлов NGR Softlab

Далее в директорию входящего источника добавляется проверяемый файл. 

Рисунок 16. Пример добавления файла в директорию входящего источника

После этого программа направит файл в обработку, а сам он отобразится в Журнале проверок. 

Рисунок 17. Запись о файле в Журнале проверок Системы управления безопасностью файлов NGR Softlab

После окончания проверки безопасный файл передаётся в исходящий источник. При этом параллельно происходит его удаление из входящего. В системе сохраняется информация о произведённой проверке документа. Если файл приходит из внешнего источника повторно, то система выявляет это и не отправляет его на проверку, тем самым экономя ресурсы СЗИ.

Если при обработке была обнаружена угроза, документ помечается как опасный и помещается в карантин. Вердикты, касающиеся вредоносных файлов, можно настраивать. Подозрительные документы можно размещать в отдельные папки или удалять.

Подключение нового СЗИ к системе

Подключение нового средства защиты информации осуществляется в разделе «Настройки» (подраздел СЗИ). Добавлять в систему можно только совместимые с решением средства защиты. Вендор постепенно наращивает количество поддерживаемых решений. 

Рассмотрим, как подключить новое СЗИ на примере песочницы ATHENA с API-интерфейсом. Для начала из основного меню настроек нужно перейти в подраздел СЗИ и нажать кнопку «Добавить». 

Рисунок 18. Меню создания СЗИ в Системе управления безопасностью файлов NGR Softlab

В отобразившемся поле задаются параметры нового источника:

• тип СЗИ (в нашем случае это «Athena Sandbox API»);
• имя ресурса;
• адрес сервера;
• порт;
• ID сценария проверки;
• ключ API (ключ доступа к СЗИ);
• лимит подключений (максимальное количество одновременных подключений к СЗИ);
• таймаут (максимальное время ожидания вердикта проверки файла);
• единица измерения таймаута.

Рисунок 19. Список подключенных СЗИ в Системе управления безопасностью файлов NGR Softlab

После заполнения всех полей необходимо нажать кнопку «Сохранить». Новый источник добавлен в систему. Чтобы удостовериться в этом, можно посмотреть список СЗИ в настройках. По каждому ресурсу доступна детализированная информация. При необходимости администратор может редактировать и удалять подключенные СЗИ, а также объединять их в пулы.

Выводы

Система управления безопасностью файлов – новый продукт от NGR Softlab, внесённый в реестр отечественного ПО. Внедрение Системы управления безопасностью файлов позволяет компаниям организовать непрерывную проверку поступающих файлов на безопасность. Решение объединяет в единый комплекс различные СЗИ (песочницы, потоковые антивирусы, DLP-системы и пр.) и таким образом позволяет эффективно использовать их ресурсы, а также снижает нагрузку на специалистов по ИБ за счёт автоматизации и унификации процессов.

Достоинства:

• Непрерывность процесса проверки файлов в разных СЗИ.
• Встроенная функция файловой реконструкции.
• Удобная настройка кастомных цепочек и политик проверки данных.
• Возможность балансировки нагрузки на СЗИ.
• Интерфейс не предполагает длительного обучения.
• Предусмотрена возможность подключения новых источников файлов.
• Возможность безопасной передачи файлов между сегментами с разным уровнем требований по безопасности (открытый/закрытые контуры).
• Возможность подключения дополнительных СЗИ, использующих поддерживаемые протоколы.
• Поддерживается генерация консолидированных отчётов.
• Возможность просмотра результатов проверок в едином окне.

Недостатки:

• Отсутствует возможность проверки заархивированных файлов, что может создавать сложности при массовой обработке данных (по словам вендора, данная опция будет добавлена в ближайшее время).
• Невозможность настройки шаблонов почтовых уведомлений (но уже внесена в план доработок).
• Ограниченное количество поддерживаемых систем, источников и хранилищ (по запросу вендор создаёт необходимые коннекторы).