BIS Journal №4(55)2024

28 ноября, 2024

PAM, NGFW и SOC. Стратегическая триада для успешного импортозамещения

Импортозамещение в условиях санкций и ограничений в доступе к иностранным технологиям заставляет менять отношение к подходам в обеспечении информационной безопасности. Защитить базовые критические системы и применить возможности ИБ-решений по максимуму — вот первоочередные вопросы большинства российских компаний сегодня.

Работоспособные центры управления безопасностью (SOC) и функциональные межсетевые экраны нового поколения (NGFW) стали самыми востребованными системами, на основе которых организации выстраивают свою защиту. Вместе с экспертами российской компании «АйТи Бастион» обсудим значимость защиты привилегированных доступов в контексте NGFW и SOC.

 

ПРО SOC

Финансовый сектор и финтех-компании активно включились в процесс импортозамещения. С одной стороны, они особенно уязвимы перед киберугрозами, с другой — находятся под строгим контролем в части соблюдения законодательных норм, с третьей — всегда должны сохранять операционную устойчивость. Важно, чтобы новые решения могли интегрироваться в существующую инфраструктуру, поддерживая высокий уровень защиты данных и минимизируя риски, связанные с санкциями и повышенным вниманием со стороны киберпреступников.

SOCкак центр мониторинга ИБ по определению занимает центральное место в защите всей области ИТ-инфраструктуры компании, включая, помимо прочего, сети, программное обеспечение и существующие данные. Но SOC, собранный даже из изученных группой безопасности систем, сам нуждается в защите.

Ввиду критичности систем, содержащихся в SOC, доступ к нему должен быть организован с учётом всех необходимых мер безопасности. Даже если основная часть сотрудников располагается непосредственно в инфраструктуре, удалённый доступ в современных реалиях полностью исключать нельзя. А соответственно, он должен быть под контролем. Кроме того, невозможно исключать и необходимость контроля доступа к критически важным объектам инфраструктуры внутри контура.

Применение российской PAM-платформы СКДПУ НТ позволяет обеспечить контролируемый доступ, управление парольной политикой и её жизненным циклом. Также её можно активно использовать в системах автоматизации процессов и расследовании инцидентов. К примеру, контроль конфигурации системы сбора данных, контроль доступа к данным объектов и т. п.

Любой внешний пользователь, получающий доступ к инфраструктуре, проходит дополнительный контроль и аутентификацию с помощью СКДПУ НТ и автоматически получает собственный профиль в подсистеме мониторинга и аналитики. Тем самым любое отклонение в стандартном поведении пользователя, начиная с его геолокации и заканчивая пулом команд, подлежит анализу и детектированию. Факт действий пользователей, работающих с объектами системы, логируется и проверяется. В случае возникновения подозрений на нелегитимный доступ платформа позволяет оперативно локализовать источник проблемы в разрезе «внешний пользователь/внутренний пользователь/объект инфраструктуры». 

Помимо стандартных функций записи действий и видеозаписи работы в инфраструктуре, СКДПУ НТ позволяет реагировать на определяемые инциденты в автоматическом режиме. Так пресекаются возможности по развитию и закреплению атаки. Несмотря на то что современные SOC обладают полнофункциональными инструментами классов IRP/SOAR, применение реагирования на стороне профильной системы контроля удалённого доступа оправдано с точки зрения эшелонированной защиты контура.

 

Владимир Алтухов, руководитель технического центра «АйТи Бастион»: Когда мы говорим о доступе к объектам в рамках серьёзной инфраструктуры, важно учитывать, что он может быть как удалённым, так и внутренним. На этапе подключения, который часто называют «последней милей», эти виды доступа практически неразличимы с точки зрения рисков и уязвимостей. Именно поэтому контроль корректной конфигурации систем, отвечающих за сбор, анализ и реагирование на потенциальные инциденты, становится критически важным. Малейшая ошибка на этом уровне может привести к недопустимым событиям, способным поставить под сомнение целесообразность существования SOC и оправданность вложенных в него ресурсов.

Особую роль в этом процессе играет управление доступом к критически важным системам, таким как SIEM, например, которые являются ядром SOC. Использование РАМ-решений помогает контролировать пользователей на пути к этим системам, предотвращая несанкционированный доступ. Однако нельзя забывать и о собственных системах безопасности: изменения их конфигураций могут стать одним из возможных векторов атаки. Игнорирование этого аспекта может привести к серьёзным последствиям, включая компрометацию всей инфраструктуры. Таким образом, комплексный подход к защите и управлению конфигурацией, включая мониторинг и контроль всех этапов доступа, должен быть в приоритете для поддержания надёжной и устойчивой к атакам сети.

 

ПРО NGFW

Межсетевые экраны предоставляют расширенные возможности фильтрации трафика, обнаружения и предотвращения вторжений, глубокий анализ данных. Они эффективно обеспечивают защиту корпоративных сетей от внешних угроз (атак «нулевого дня», фишинга и других видов вредоносного воздействия). Многие отечественные разработки способны заменить зарубежные аналоги, при этом надо быть готовым к тому, что их интеграция потребует тщательного планирования и настройки. 

Совместное использование NGFW и РАМ-систем представляет собой мощный инструмент для оптимизации кибербезопасности — так пользователь не только получает внешнюю фильтрацию, но и минимизирует риски внутренних угроз благодаря контролю привилегий администраторов.

 

Алексей Ширикалов, руководитель группы поддержки продаж «АйТи Бастион»: Интеграция систем двух классов позволяет бизнесу создать многослойную защиту, где NGFW обеспечивает контроль на уровне сети, а РАМ-платформы — на уровне привилегированных пользователей и их прав. Такое сочетание позволяет не только улучшить общую безопасность, но и оптимизировать процессы реагирования на инциденты за счёт единого мониторинга и управления.

 

Преимущества внедрения отечественных РАМ-систем сегодня:

  1. Технологическая независимость и гарантия работоспособности продуктов вне контекста внешних условий или новых санкций.
  2. Соблюдение требований законодательства и стандартов регуляторов в области защиты информации.
  3. Гибкость и кастомизация под задачи заказчика благодаря плотному взаимодействию с разработчиками.

 

ПРО СОВЕТЫ

Финансовым компаниям, чтобы успеть завершить процесс импортозамещения к 1 января 2025 года, необходимо действовать по чётко структурированному плану. По мнению экспертов «АйТи Бастион», важно провести аудит текущей ИТ-инфраструктуры, выявить все критически важные компоненты, которые зависят от зарубежных технологий. На основе этого анализа нужно разработать дорожную карту по замене этих решений на отечественные аналоги или на те, которые уже адаптированы к российским условиям.

Далее необходимо ускорить процессы закупки и внедрения новых решений, уделяя особое внимание критическим системам, таким как управление доступом, защита периметра и мониторинг безопасности. Важно также заранее обеспечить квалифицированную поддержку и обучение персонала для работы с новыми системами, чтобы минимизировать риски, связанные с переходом на новые технологии.

Кроме того, взаимодействие с регуляторами и соблюдение всех требований законодательства, включая стандарты безопасности, должно стать приоритетом на всех этапах импортозамещения. В условиях сжатых сроков критически важно поддерживать гибкость в планировании и готовность к быстрым корректировкам стратегии в ответ на возможные изменения в технологической и экономической среде.

 

Реклама. ООО «АЙТИ БАСТИОН», ИНН: 7717789462, Erid: 2VfnxxCYnLx

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных