Топ-10 малоизвестных, но перспективных продуктов по информационной безопасности

Пожалуй, каждый специалист по кибербезопасности может назвать несколько решений в сфере ИБ, даже не относящихся к его предметной области. Как правило, это будут наиболее распространенные и хорошо известные на рынке продукты. Однако существует ряд менее именитых, но не менее функциональных решений. В этом обзоре мы хотели бы обратить внимание профессионалов на некоторые из них — они этого достойны.

 

 

 

1. Введение
2. Краткий обзор малоизвестных, но перспективных решений в сфере ИБ
1. 2.1. Зарубежные решения
1. 2.1.1. SilentDefenсe (Security Matters)
2. 2.1.2. mGuard (Phoenix Contact)
3. 2.1.3. TrapX Deception Grid (TrapX)
4. 2.1.4. Safetica DLP (Safetica)
5. 2.1.5. Thycotic Secret Server (Thycotic)
6. 2.1.6. Virtual Data Room, Digital Rights Management (Vaultize)
7. 2.1.7. Skybox Security Suite (SkyBox Security)
8. 2.1.8. Securonix SNYPR (Securonix)
2. 2.2. Российские решения
1. 2.2.1. SolidWall WAF (SolidSoft)
2. 2.2.2. Active Bot Protection (Variti)
3. Выводы

 

 

 

Введение

Информационная безопасность — динамично развивающаяся сфера, чуть ли не каждый день на рынке появляются продукты и решения, о которых вы можете даже не подозревать. Без лишних предисловий расскажем вам о десяти решениях в сфере ИБ, не имеющих пока широкого распространения. Однако в перспективе они могут стать популярными и востребованными на российском и мировом рынке.

 

Краткий обзор малоизвестных, но перспективных решений в сфере ИБ

Зарубежные решения

 

SilentDefenсe (Security Matters)

Страна: Нидерланды

Класс: Система обнаружения вторжений для сетей ICS/SCADA

Программная платформа для мониторинга сетей SCADA и промышленных систем управления (ICS) в целях обеспечения устойчивой работы. Система работает в режиме IDS. Рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.

Возможности и особенности:

• Поддержка 13 открытых промышленных протоколов (Modbus TCP, Ethernet/IP, OPC- DA/OPC-AE, IEC 104, IEC 61850 (MMS, GOOSE, SV), ICCP, Synchrophasor, DNP3, BACnet, ProfiNet) и проприетарных протоколов: ABB (800xA, AC 800M, AC 800F), Siemens (Step7, Step 7+), Emerson (Ovation, DeltaV), Honeywell, Yokogawa (VNet/IP), Rockwell.
• Возможность передачи данных в различные SIM/SIEM-системы.
• Обнаружение недекларированных протоколов или команд.
• Обнаружение инсайдерских угроз.
• Автоматическая «инвентаризация» сети и построение карты сети.

 

mGuard (Phoenix Contact)

Страна: Германия

Класс: Промышленный маршрутизатор с функцией межсетевого экрана

Устройство безопасности для децентрализованной защиты периметра сети, контроля сетевого трафика и создания безопасного удаленного подключения. Как и в вышеописанном примере, рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.

Возможности и особенности:

• Возможность работы в режиме stealth.
• DPI промышленных протоколов (OPC, Modbus TCP).
• Промышленное исполнение с установкой на DIN-рейку и расширенным диапазоном рабочих температур, а также в морском исполнении.
• Возможность использования в 3G/4G-сетях.
• Поддержка GPS/GLONASS.

 

TrapX Deception Grid (TrapX)

Страна: Израиль

Класс: Защита от таргетированных атак

Платформа для построения многоуровневой системы защиты, в которую входят средства размещения и управления сетевыми сенсорами, decoy-токенами, песочница, анализатор трафика, средства защиты от вирусов-шифровальщиков, система корреляции событий и групповой обработки инцидентов. Мы рекомендуем это решение для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности.

Возможности и особенности:

• Технология «сигнальной сети» для защиты инфраструктуры от эксплойтов нулевого дня и направленных атак (APT) без использования агентов и сигнатур. Суть: размещение скрытых ловушек и приманок в рабочей среде, срабатывание предупреждений и автоматическое изолирование скомпрометированного устройства при обнаружении атаки.
• Ловушки, имитирующие различные ИТ-объекты (сервера, рабочие станции, SCADA-устройства, сетевое оборудование, SWIFT-инфраструктура) для создания виртуального «минного поля» для кибератак.
• Разработка и развертывание в составе комплексной системы обеспечения безопасности данных организации в качестве упреждающей защиты от направленных атак, защита ядра банковской и финансовой систем, защита слепых зон на стыке различных систем обеспечения ИБ, защита АСУ ТП с имитацией специфических сервисов: Modbus, DNP3, Telnet и др.

 

Safetica DLP (Safetica)

Страна: Чехия

Класс: Endpoint DLP

Safetica DLP для защиты компании от утечки данных, злонамеренных действий сотрудников и рисков BYOD. Продукт является агентным — устанавливается на конечные точки, применяя способ контекстной фильтрации, что делает решение простым в установке, а также позволяет осуществить полное внедрение всего за восемь недель.

Решение модульное, то есть при необходимости можно приобрести только необходимый модуль (например, офисный контроль) и далее делать апгрейд на более высокий уровень, если это необходимо. Мы рекомендуем данное решение для защиты конфиденциальной информации и мониторинга эффективности работы сотрудников.

Имеющиеся модули: Auditor (регистрация активности сотрудников), Supervisor (повышение эффективности бизнес-процессов компании), DLP (предотвращение утечки конфиденциальных данных).

Возможности и особенности:

• Выявляет атаки, обусловленные методами социальной инженерии. 
• Отслеживает изменения в производительности сотрудников и опасные тенденции.
• Контролирует личные устройства сотрудников в корпоративной среде.

 

Thycotic Secret Server (Thycotic)

Страна: США

Класс: PUM

Решение по управлению привилегированными учетными записями. Позволяет безопасно хранить в зашифрованном виде «секреты» — сочетание логина, пароля и параметров подключения к сессии, а также выдавать «секреты» пользователям.

Возможности и особенности:

• Автоматическое обнаружение привилегированных учетных записей в системах, доступных по сети.
• Автоматическая смена паролей приложений и ротация SHH-ключей по расписанию или событию.
• Возможность организации доступа пользователей к «секретам» по запросу.
• Бесплатная версия для малого бизнеса (до 25 пользователей и до 100 «секретов»).
• Техническая поддержка на русском языке.

Хочется отметить простоту внедрения и использования решения, а также относительно низкую стоимость — возможно, это связано с относительной новизной Thycotic Secret Server на российском и мировом рынках и с желанием вендора закрепить свою разработку в этом классе решений. Thycotic Secret Server часто обновляется, вместе с обновлениями в продукт добавляется новая функциональность — это происходит чаще, чем у конкурентов. На наш взгляд, это обстоятельство делает покупку продукта одним из лучших вложений в кибербезопасность предприятия. Из последних существенных обновлений — модуль поведенческого анализа, который позволяет строить графические взаимосвязи между пользователями и «секретами», а также своевременно детектировать потенциально опасные аномалии в поведении пользователей, чья работа связана с необходимостью предоставлять им наивысшие привилегии в ИТ системах и сервисах.

Подробнее с Thycotic Secret Server вы можете ознакомиться в нашем обзоре.

 

Virtual Data Room, Digital Rights Management (Vaultize)

Страна: Индия

Класс: VDR/IRM

Решение объединяет в себе виртуальную комнату данных и встроенный модуль DRM-защиты документов, что позволяет защищать документы не только до момента их доставки получателю, как это обычно происходит в виртуальных комнатах данных, но и после загрузки на компьютер, ноутбук либо смартфон внешнего пользователя. Присутствует интеграция с проводником Windows, что создает максимальное удобство для конечного пользователя и дает возможность взаимодействовать с системой привычным образом.

Мы рекомендуем это решение для организаций из сфер промышленности, финансового сектора, консалтинга, строительства и др. А также компаниям, которым требуется сохранять контроль над правами доступа к документам на протяжении всего срока их жизни.

Возможности и особенности:

• Позволяет открывать защищенные документы в приложениях Adobe Reader и Microsoft Office с сохранением оригинальной верстки и поддержкой макросов и формул.
• Присутствует интеграция с Windows Explorer, что создает максимальное удобство для конечного пользователя.

 

Skybox Security Suite (SkyBox Security)

Страна: Израиль/США

Класс: Security Policy Management (Firewall Management) & Vulnerability and Threat Management

Skybox Security является аналитической платформой, которая, с одной стороны, позволяет визуализировать и оптимизировать процесс управления сетевой безопасностью, а с другой — дает инструмент управления уязвимостями ИТ-инфраструктуры. Поскольку решение сертифицировано ФСТЭК России, мы рекомендуем его самому широкому кругу заказчиков, в том числе государственным.

Для ИТ:

• построение карты сети с возможностью моделирования изменений настроек и конфигураций;
• автоматизация изменения настроек и конфигураций сети (workflow);
• оптимизация загрузки межсетевых экранов и их настроек;
• автоматический контроль корректности сегментации сети;
• анализ влияния планируемых изменений на доступность и безопасность ИТ-сервисов.

Для ИБ:

• видимость того, что происходит с сетью, с точки зрения безопасности;
• контроль изменений всех настроек сетевой безопасности;
• инструменты для выявления и приоритизации уязвимостей:
  • обнаружение уязвимостей;
  • наложение уязвимостей и модели нарушителя на реальную карту сети;
  • моделирование и визуализация векторов атак;
  • выделение реальных уязвимостей, которые могут эксплуатироваться в инфраструктуре заказчика в данный момент.

Возможности и особенности:

• Наибольшее в классе Policy Management (Firewall Management) поддерживаемое количество сетевых устройств (100+), включая IPS.
• Более 25 источников данных об уязвимостях, включая собственный исследовательский центр в Израиле.
• Техническая поддержка на русском языке.
• Единственное на сегодняшний день сертифицированное ФСТЭК России (НДВ 4) решение класса Security Policy Management (Firewall Management).

 

Securonix SNYPR (Securonix)

Страна: США

Класс: Аналитика событий безопасности на базе ИИ и поведенческого анализа (UEBA)

Интеллектуальная платформа сбора и анализа данных на основе профилирования поведения пользователей и систем и последующего выявления аномалий. Является лидером в сегменте UEBA (по данным Gartner), но так как тема в России развита еще слабо — про данное решение мало кто знает. Сам продукт позволяет решать широкий спектр задач в области ИБ — от детектирования направленных атак до определения нелояльных сотрудников и случаев корпоративного мошенничества.

Возможности и особенности

• Архитектура на базе big data позволяет экономически эффективно собирать, хранить и обрабатывать огромные объемы информации — до 2 000 000 EPS.
• Securonix интегрируется и использует для принятия решений данные из более чем 400 других продуктов сторонних вендоров: ИТ-продукты, ИБ-решения, облачные среды, бизнес-решения (SAP, Oracle и пр.), социальные сети, неструктурированная информация и т. п.
• Специальные механизмы и алгоритмы анализа данных позволяют выявлять любые нарушения, даже ранее не известные угрозы, в режиме реального времени на самых ранних стадиях без использования правил корреляции.  

Решение будет эффективно для:

1. Проведения эффективных расследований ИБ-инцидентов (и не только) в крупных организациях.
2. Выявления случаев некорректного использования привилегированных учетных записей, передачи паролей третьим лицам, несанкционированного доступа.
3. Обнаружения попыток утечек данных еще на стадии их подготовки.
4. Эффективного детектирования внешних и внутренних атакующих, направленных атак, 0-day-атак.
5. Обнаружения инцидентов безопасности в облачных средах и внутри корпоративных приложений.
6. Выявления мошенничества, сговора и прочих злоупотреблений.

Мы рекомендуем Securonix SNYPR как агрегирующую платформу для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности.

 

Российские решения

 

SolidWall WAF (SolidSoft)

Страна: Россия

Класс: WAF

Решение для защиты веб-приложений. Осуществляет мониторинг работы веб-ресурсов, выявляет и блокирует попытки атак в режиме реального времени, контролирует действия пользователей.

Возможности и особенности:

• Высокий уровень защиты. Использование максимально подробных моделей работы защищаемого приложения наряду с сигнатурными и семантическими методами обнаружения аномалий обеспечивают высокую степень защиты как от широко распространенных простых видов атак, так и от сложных направленных воздействий.
• Эффективная защита от ложных срабатываний. Механизм раннего подавления ложных срабатываний дает возможность минимизировать их влияние на принятие решений и сфокусировать внимание оператора WAF на действительно важных событиях.
• Специальные функции по анализу бизнес-логики. Определение пользователей, их действий в приложении и параметров действий. Эта информация может быть использована для подавления ложных срабатываний, создания позитивной модели работы приложения или экспортирована в другие системы для дальнейшего анализа.
• Особые алгоритмы машинного обучения дают возможность оптимизировать производительность WAF, выявлять ложные срабатывания, автоматически строить модели работы приложений, эффективно использовать решение в активном цикле разработки (SDLC).

Мы рекомендуем SolidWall WAF для защиты критичных веб-ресурсов от внешних атак, а также для контроля над использованием приложений в разрешенных сценариях. При внедрении архитектура системы дает возможность выбора различных способов установки, а также обеспечивает высокую степень масштабируемости и отказоустойчивости. Возможны следующие режимы работы: «в разрыв», «на зеркальном трафике», а также анализ логов веб-сервера и дампов трафика PCAP.

Поддерживаются режимы отказоустойчивости Active-Active, Active-Passive. Режим «программный байпасс» обеспечивает доступность сервисов даже в случае сбоев модулей WAF либо существенного превышения нагрузки. Кроме того, возможно терминирование SSL и балансировка нагрузки.

В случае необходимости возможна интеграция с внешними системами с использованием механизмов Syslog, SQL, SNMP, REST API. Есть готовые схемы для интеграции с HPE ArcSight, IBM Qradar, Splunk, Zabbix.

 

Active Bot Protection (Variti)

Страна: Россия

Класс: AntiDDoS (SaaS)

Интеллектуальная технология защиты от кибер-, DDoS-, хакерских атак, клик-фрода («скликивание» роботами рекламы и онлайн-ресурсов) и парсинга/сканнинга (копирование роботами информации на сайтах). Анализ трафика и фильтрация ботов в режиме реального времени, эффективное противодействие DDoS-атакам на уровнях L3, L4 и L7 без потери конечных пользователей.

Возможности и особенности:

• Фильтрация нелегитимных бот-запросов на уровне сессий без блокировки по IP-адресам.
• Распознавание ботов с первого запроса в режиме реального времени без каких-либо задержек для наработки статистики.
• Защита интернет-ресурсов от низкочастотных, трудно распознаваемых атак и даже от одиночных бот-запросов.
• Анализ как HTTP-трафика, так и HTTPS без раскрытия сертификатов с сохранением указанных выше особенностей: без блокировки IP-адресов и с первого запроса.

Мы рекомендуем это решение для защиты:

• от потерь выручки для компаний, работающих в сфере е-cоmmerce;
• от воровства интеллектуальной собственности и онлайн-ресурсов;
• от воровства и манипуляций с данными клиентов;
• репутации компаний.

 

Выводы

Лидирующие решения «первого эшелона» считаются таковыми заслуженно. Вместе с тем, существуют продукты, которые могут обогатить выбор заказчиков, притом ничуть не уступая в функциональности лидерам рынка — просто о них мало кто знает. Этот обзор — первая попытка помочь коллегам посмотреть на интересные, но малоизвестные решения на рынке ИТ для кибербезопасности, а также дать элементарные вводные для первого знакомства с ними. Поверьте, они того стоят.