Руслан Рахметов, Security Vision
Средства обеспечения информационной безопасности - это средства технической защиты информации (сокращенно СТЗИ, СрЗИ или СЗИ) и средства обеспечения безопасности информационных технологий (сокращенно СОБИТ), которые обеспечивают безопасность активов и бизнес-процессов компании путем снижения уровня киберрисков за счет реализации технических мер и соответствующих процессов ИБ. В соответствии со стандартом ГОСТ Р 50922-2006, средство защиты информации определяется как техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Средства защиты выполняют действия по выявлению, анализу, устранению киберугроз, а также мониторингу состояния систем, сетей и сущностей. На практике принято деление СЗИ на различные категории, которые обладают определенными объединяющими их признаками. В данной статье мы перечислим данные категории и типы СЗИ, которые в них входят, с указанием российских и зарубежных (если применимо) названий категорий и кратким описанием функционала для упрощения понимания. Сразу оговоримся, что такое деление - весьма условное, и один и тот же продукт может попадать в различные категории в зависимости от используемого функционала. Кроме того, данный перечень будет неисчерпывающим, поскольку едва ли не каждый квартал на рынке ИБ появляются новые технологии, формируются новые классы СЗИ, которые со временем эволюционируют, меняют фокус своего защитного функционала, перемещаются из одной категории в другую.
1. Защита инфраструктуры, включая локальную (on-prem) и облачную:
· Анализаторы сетевого трафика (NTA, Network Traffic Analyser) - решения для мониторинга потока сетевого трафика в целях выявления признаков ВПО, аномалий трафика или нарушений политик ИБ;
· Шлюзы для построения виртуальных частных сетей (VPN, Virtual Private Network) - программные или аппаратные решения для обеспечения защищенного сетевого взаимодействия между корпоративными сетями, офисами, дата-центрами, а также для защищенного удаленного доступа сотрудников;
· Межсетевые экраны нового поколения (NGFW, Next-Generation Firewall) - программные или аппаратные решения для обеспечения сетевой безопасности, фильтрации трафика, защиты от ВПО, которые также зачастую оснащаются встроенными модулями обнаружения вторжений (IDS/IPS);
· Шлюз безопасности (UTM, Unified Threat Management) - программные или аппаратные решения для обеспечения сетевой безопасности, сходные по функционалу с NGFW, но предоставляющие больше настроек "из коробки" и меньшие возможности по глубокой кастомизации;
· Шлюзы сетевой безопасности (SWG, Secure Web Gateway) - программные или аппаратные решения для обеспечения сетевой безопасности, сфокусированные на фильтрации веб-трафика, защите от ВПО, предотвращении сетевых угроз, контроле приложений, SSL-инспекции, защите DNS-трафика, защите от утечек данных;
· Системы контроля доступа к сети (NAC, Network Access Control) - решения для обеспечения сетевой безопасности за счет управления сетевым доступом устройств и его уровнем в зависимости от различных условий (наличие корректно работающих СЗИ на устройстве, версия установленной ОС, наличие нерешенных инцидентов ИБ на устройстве и т.д.);
· Системы контентной фильтрации (Content Filtering) - решения для контроля и ограничения доступа пользователей к определенным категориям веб-сайтов (мошеннические и вредоносные сайты, социальные сети, реклама и т.д.);
· Системы обнаружения вторжений (IDS, Intrusion Detection System), системы предотвращения вторжений (IPS, Intrusion Prevention System) - программные или аппаратные решения для обеспечения сетевой безопасности, производящие анализ сетевого трафика и оперативной памяти устройств, устанавливаемые на сетевом уровне или на конечных устройствах для выявления попыток запуска эксплойтов, функционирования ВПО, несанкционированного доступа к ресурсам, при этом IDS только выявляют такие факты, а IPS позволяют блокировать вредоносный трафик и ВПО;
· Межсетевые экраны уровня приложений (WAF, Web Application Firewall) - программные или аппаратные решения для обеспечения сетевой безопасности, предназначенные для глубокого анализа сетевого трафика на уровне L7 и поведенческого анализа работы клиентов с веб-приложением с блокировкой подозрительных действий и установкой виртуальных патчей;
· Системы защиты от DDoS-атак (Anti-DDoS) - высокопроизводительные решения для обеспечения защиты от DDoS-атак путем фильтрации и очистки мусорного трафика, блокирования вредоносных или нежелательных веб-запросов;
· Системы защиты конечных точек (EDR, Endpoint Detection and Response) - решения для защиты конечных точек (серверов, рабочих станций, ноутбуков) с расширенным относительно классических антивирусов функционалом, который включает в себя не только защиту от ВПО, но и мониторинг состояния и поведения устройства, сохранение журналов событий, возможность выполнить действия по активному реагированию и восстановлению на устройстве.
· Системы расширенного обнаружения и реагирования (XDR, Extended Detection and Response) - решения для комплексной защиты информационной инфраструктуры, включающие в себя компоненты, устанавливаемые на устройствах, серверах (почтовых, прокси-серверах, веб-серверах), элементах сетевой и облачной инфраструктур, с единой консолью управления, общей политикой обнаружения и реагирования на угрозы, со встроенным корреляционным ядром и средствами анализа событий ИБ;
· Системы изолированного выполнения программ («песочница», sandbox) - решения для создания изолированной, контролируемой среды тестирования подозрительных файлов и их проверки на наличие признаков ВПО;
· Средства обеспечения безопасности мобильных устройств (MDM, Mobile Device Management или EMM, Enterprise Mobility Management) - решения для контроля портативных устройств (смартфонов, планшетов, портативных компьютеров) с возможностью проверки устройства на наличие угроз безопасности и соответствия политикам безопасности, с поддержкой функционала установки корпоративного ПО и ограничения доступа пользователей к критичным настройкам устройства;
· Средства обеспечения безопасности устройств промышленного интернета вещей и сегментов АСУТП - специализированные решения для защиты систем, сетей и устройств, используемых в промышленности, с поддержкой проприетарных и промышленных протоколов передачи данных, учитывающие особенности функционирования промышленных устройств, сценарии использования, актуальные для промышленности киберугроз;
· Брокеры безопасного доступа в облако (CASB, Cloud Access Security Broker) - решения для контроля работы пользователей с облачными сервисами, управления политиками обработки данных и доступа к приложениям в облаке, выявления вредоносной или нежелательной активности;
· Платформы защиты облачных рабочих нагрузок (CWPP, Cloud Workload Protection Platform) - инструмент для контроля работы облачных приложений, сред, серверов, контейнеров, функций, с поддержкой управления уязвимостями в них, выявления ВПО и эксплойтов, сетевого микросегментирования, управления перечнем разрешенных облачных приложений, контроля целостности, выявления аномалий, реагирования на киберугрозы;
· Платформы управления состоянием безопасности облака (CSPM, Cloud Security Posture Management) - инструмент для выявления киберрисков в облачной инфраструктуре, обнаружения уязвимостей в конфигурации облаков, выполнения проверок компонентов облачной инфраструктуры на соответствие законодательству (например, контроль и ограничение доступа пользователей и приложений к персональным данным в облаке);
· Средства предоставления сетевого доступа с нулевым доверием (ZTNA, Zero Trust Network Access) - решения для предоставления сетевого доступа (удаленного и локального) на основании непрерывной проверки прав доступа субъекта (пользователя, сервиса, сущности, устройства) к объекту (информационному ресурсу, активу) с проверкой состояния киберзащищенности субъекта и гранулированным правилам сетевого доступа (только к определенному приложению, сервису, IP-адресу, порту);
· Платформы безопасного пограничного доступа (SASE, Secure Access Service Edge) - решение для обеспечения сетевой безопасности облачного и удаленного доступа за счет применения защитных решений SWG и CASB, сетевых технологий ZTNA и SD-WAN (программно-определяемая сеть);
· Системы управления уязвимостями, сканеры уязвимостей (Vulnerability Management, Vulnerability Scanner) - инструменты для поиска уязвимостей в инфраструктуре, их учета, приоритизации, контроля задач по устранению, а также для управления активами и конфигурациями;
· Системы управления поверхностью атак (ASM, Attack Surfare Management) - решения для непрерывного поиска, анализа, приоритизации, управления уязвимостями и потенциальными векторами кибератак;
· Анализаторы кода, включая решения для статического анализа кода (SAST, Static Application Security Testing), динамического анализа кода (DAST, Dynamic Application Security Testing), интерактивного анализа кода (IAST, Interactive Application Security Testing), поведенческого анализа кода (BAST, Behavioral Application Security Testing), защиты программ во время выполнения (RASP, Runtime Application Security Protection), анализа состава ПО (SCA, Software Composition Analysis), анализа компонентов с открытым исходным кодом (OSA, Open Source Analysis), тестирования безопасности API (API Security Testing) - продукты для обеспечения безопасности программ за счет анализа исходного кода на наличие ошибок и уязвимостей, анализа поведения программ во время выполнения и использования, анализа зависимостей программ от сторонних компонентов, контроля API-взаимодействий.
2. Управление киберинцидентами:
· Системы управления событиями информационной безопасности (SIEM, Security Information and Event Management) - решения для сбора событий ИБ, их хранения, анализа, обогащения, корреляции, формировании отчетности по инцидентам ИБ;
· Платформы реагирования на инциденты ИБ (IRP, Incident Response Platform и SOAR, Security Orchestration, Automation and Response) - системы для автоматизации управления инцидентами ИБ (подготовки, выявления, анализа, сдерживания, устранения киберинцидентов и восстановления после киберинцидентов);
· Платформы управления данными киберразведки (TIP, Threat Intelligence Platform) - системы для получения, анализа, обогащения, применения данных аналитики киберугроз (например, индикаторов компрометации, индикаторов атак, описаний тактик и техник киберпреступных групп);
· Системы поведенческого анализа (UEBA, User and Entity Behavior Analytics) - решения для выявления аномалий в поведении учетных записей пользователей и сущностей (устройств, приложений, сервисов и т.д.) в целях обнаружения киберинцидентов;
· Платформы автоматизации построения комплексной системы управления информационной безопасностью (SGRC, Security Governance, Risk Management and Compliance) - системы управления и автоматизации процессов ИБ, включая высокоуровневое управление ИБ, управление киберрисками, обеспечение соответствия законодательству с функционалом управления активами, уязвимостями, конфигурациями, киберрисками, аудитами, внутренними документами по ИБ, непрерывностью деятельности, визуализации данных и построения отчетности;
· Системы создания ложных целей и сетей / ресурсов-приманок (DDP, Distributed Deception Platform и Honeynet / Honeypot) - решения для создания контролируемой, изолированной инфраструктуры, сходной по свойствам с реальной информационной инфраструктурой компании, но используемой для введения в заблуждение атакующих и изучения их действий, обнаружения вредоносных действий и конечных целей кибератак;
· Платформы проведения компьютерных криминалистических исследований (форензик-исследований) - программные и аппаратные решения для проведения глубокого анализа устройств, затронутых киберинцидентом или использовавшихся для совершения киберпреступлений;
· Системы противодействия мошенничеству (антифрод-системы) - решения для выявления и предотвращения мошенничества (компьютерного, телефонного, банковского и т.д.), позволяющие по ряду признаков и свойств событий сделать предположение о вероятных незаконных или несанкционированных действиях и заблокировать их выполнение;
· Платформы повышения осведомленности и обучения кибербезопасности (Awareness-платформы) - решения для обучения работников правилам корпоративной кибербезопасности и выявления угроз (фишинга, ВПО, мошенничества) с использованием веб-порталов, геймификации, иммерсивного обучения.
3. Защита данных:
· Платформы управления учетными данными (IAM, Identity and Access Management и IGA, Identity Governance and Administration) - решения для аутентификации и авторизации учетных записей пользователей и сущностей с контролем, анализом и возможностью отзыва прав доступа;
· Средства контроля привилегированных учетных записей (PAM, Privileged Access Management) - системы для контроля и анализа действий, выполняемых привилегированными пользователями (например, администраторами), путем учета предоставленных привилегий, выполненных действий с информационными ресурсами, аутентификации с прохождением дополнительных проверок, записи выполняемых действий;
· Средства обеспечения технологии "единого входа" (SSO, Single Sign-On), мультифакторной аутентификации, биометрической аутентификации - системы для обеспечения защиты учетных записей, упрощения и дополнительного контроля процесса аутентификации пользователей;
· Средства криптографической защиты информации - системы, использующие криптографические преобразования для обеспечения целостности, конфиденциальности, подлинности, неотказуемости информации, включая продукты для шифрования информации (при хранении, передаче, использовании) и электронной подписи;
· Средства контроля приложений - решения для контроля работы ПО (установка, удаление, запуск, исполнение), функционирующие за счет построения перечня разрешенных и неразрешенных к использованию приложений, и контроля их действий после установки и запуска;
· Средства обеспечения безопасности электронной почты (SEG, Secure Email Gateway) - решения для фильтрации спама, фишинговых сообщений, ВПО, утечек данных, выполнения дополнительных проверок подлинности email-сообщений (SPF, DKIM, DMARC);
· Диоды данных (Data Diodes) - аппаратные устройства для изоляции сетевых сегментов или устройств за счет физического контроля интерфейсных контактов, использующихся для получения или отправки информации;
· Системы защиты от утечек данных (DLP, Data Loss Prevention) - решения для контроля обработки конфиденциальной информации в информационных системах, включая использование и передачу по различным каналам, с применением политик блокирования или разрешения обработки информации в зависимости от уровня её конфиденциальности;
· Системы мониторинга эффективности сотрудников (Employee Productivity Monitoring) - решения для контроля, учета, анализа действий, выполняемых работниками на корпоративных устройствах, с целью оценки эффективности использования рабочего времени и защиты от утечек данных;
· Платформы контроля и анализа неструктурированных данных (DCAP, Data-Centric Audit and Protection и DAG, Data Access Governance) - решения для контроля обработки неструктурированных данных, обладающие функционалом классификации данных, обнаружения мест хранения, контроля и ограничения прав доступа к ним, журналирования обработки данных;
· Платформы защиты базы данных (Database Security) - решения для защиты контроля обработки структурированных данных, обрабатывающихся в базах данных, обладающие функционалом настройки и применения политик обработки данных, контроля и ограничения прав доступа к ним, журналирования обработки данных;
· Аппаратные модули доверенной загрузки (АМДЗ), доверенные платформенные модули (TPM, Trusted Platform Module) - аппаратные решения для защиты устройств (серверы, рабочие станции, ноутбуки) от несанкционированной загрузки ОС с внешних носителей, контроля целостности файлов ОС, хранения ключевой информации, выполнения криптографических операций;
· Средства защиты информации от несанкционированного доступа (СЗИ от НСД) - решения для технической реализации комплекса мер по защите от несанкционированного доступа, включающие в себя модули аутентификации пользователей, контроля доступа и маркирования документов, создания замкнутой программной среды, журналирования событий ИБ, контроля целостности, контроля доступа к периферийному оборудованию, гарантированного уничтожения данных.
