2023/02/27 13:26:57

Три подхода к импортозамещению в сфере информационной безопасности. Опыт «Лаборатории Касперского»

Импортозамещение ПО в целом и в сфере информационной безопасности в частности — уже не прихоть регуляторов и не призрачный тренд, а насущная необходимость. Обусловлена она прежде всего массовым уходом с российского рынка западных поставщиков защитных решений, занимавших значительную долю рынка. О том, какими проблемами и рисками это обернулось для клиентов и какие импортозамещения проблемы есть у бизнеса, рассказывает Алексей Киселёв, руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского».

Содержание

Стимул к импортозамещению

Причина: на момент публикации так или иначе об уходе с российского рынка информационной безопасности заявили все иностранные вендоры. Среди них Cisco, Symantec, Trend Micro, PaloAlto, CrowdStrike — всего несколько десятков. Одно из немногих исключений — компания Check Point. Это означает, что десятки тысяч клиентов данных компаний остались без защиты информации и без возможности продления имеющихся лицензий. На практике отделы ИБ столкнулись со следующими вызовами:

  • прекращение технической поддержки;
  • запрет доступа к облачной консоли управления;
  • прекращение обновления данных об угрозах;
  • сокращение срока действия предоплаченной лицензии;
  • перевод оборудования в деморежим.

В совокупности это означает снижение эффективности работы закупленных решений и общего уровня защиты, что ставит под угрозу операционную стабильность ведения бизнеса. Ситуация усугубляется кратным ростом количества кибератак на российскую цифровую инфраструктуру в минувшем году, в том числе огромный прирост атак вымогателей (см. инфографику).

Очевидно, что при таком раскладе пустить на самотёк организацию информационной безопасности было бы неразумно. Также очевидно, что самый прямой путь латания дыр в ИБ — импортозамещение (благо в России есть не один и не два сильных вендора с собственными разработками). С другой стороны, «лишний» чемоданчик с деньгами на закупку альтернативных IT продуктов есть далеко не у всех, поэтому мы рассмотрим три реально существующих подхода к импортозамещению программного обеспечения, реализующих разные архитектурные и финансовые стратегии.

Подход первый, визионерский

Бизнесы, которые могут позволить себе смотреть чуть дальше текущего года, задумываются не о том, как закрыть имеющиеся дыры и просто совершить импортозамещение в безопасности, а как грамотно вложить деньги в развитие систем защиты информации. Один из глобальных трендов последних лет в индустрии кибербеза — построение комплексных систем защиты информации на основе решений одного вендора. С точки зрения противодействия киберугрозам это обуславливается тем, что для защиты от сложных атак недостаточно защиты только сетевого оборудования или только «антивируса» для рабочих станций — «закрывать» необходимо все возможные пути проникновения.

С точки зрения бизнеса выбор единого вендора для подобной защиты даёт несколько преимуществ:

  1. Оптимизация работы команды ИБ: за счёт централизованной системы управления и полной совместимости продуктов сотрудники могут эффективнее решать поставленные задачи.
  2. Оптимизация бюджета за счёт гибкого лицензирования: как правило, при комплексных закупках вендор делает более выгодное предложение за рамками стандартных пакетов.
  3. Возможность аутсорса вендору решений управления средствами защиты и реагирования на инциденты.
  4. Повышение общего уровня безопасности за счёт более эффективной интеграции решений.

В частности, «Лаборатория Касперского» предлагает комплекс решений Kaspersky Symphony в котором клиент может выбрать один из четырёх вариантов защиты в соответствии со своими ИБ-потребностями и бюджетными реалиями.

Первый называется Symphony Security. Он обеспечивает автоматизированную защиту рабочих станций (физических, мобильных и виртуальных) от массовых киберугроз.

Решение Kaspersky Symphony MDR (Managed Detection & Response) позволяет бизнесу отдать основную часть задач по поддержанию систем кибербезопасности на аутсорс. Используются компоненты защиты информации для эндпоинт и инструменты для обнаружения сложных атак и реагирования на них. Но главное, что настройкой политик, поиском подозрительных активностей в системе и принятием решений по митигации последствий атаки занимаются эксперты «Лаборатории Касперского». MDR — вдвойне удобное решение: во-первых, приобретаемые продукты получают максимально эффективное управление, а во-вторых, компании не надо расширять и дообучать собственных сотрудников ИБ даже при разрастании инфраструктуры или охвата СОИБ.

Symphony EDR (Endpoint Detection & Response) в дополнение к базовой защите предлагает все необходимые инструменты для обнаружения целенаправленных атак и реагирования на них. Это вариант для опытных команд в области ИБ, которые самостоятельно могут вести все процессы.

Комплексная платформа Kaspersky Symphony XDR (Extended Detection and Response) дополнительно включает инструменты мониторинга ИБ-событий, проактивного поиска угроз и реагирования на сложные инциденты в контуре всей инфраструктуры. Symphony XDR рассчитана на крупные компании, которые сильнее остальных подвержены рискам продвинутых и направленных атак.

Встроенный модуль ГосСОПКА поможет соответствовать требованиям госрегуляторов за счёт обмена данными с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

Подход второй, прагматичный

До 2022 года типовая защита информационных ресурсов российских компаний строилась на решениях нескольких вендоров (в том числе отечественных). Причины «сборной солянки» из продуктов были разные: кто-то выбирал инструменты под бюджет, кто-то старался усилить общий контур защиты, выбирая наиболее продвинутые продукты на рынке, а у кого-то зоопарк решений набрался исторически по мере роста инфраструктуры и требований.

Кое-что из закупленного всё-таки продолжило работать в 2022 году. Рациональный ответ на такую ситуацию — заместить именно те продукты, которые перестали обеспечивать должный уровень защиты. По нашему опыту чаще всего клиентам требуется закрыть потребность в трёх решениях: Next Generation Firewall (NGFW), почтовые серверы, защита рабочих станций.

Ключевой компонент популярных западных NGFW — обновляемый поток данных о новых угрозах. И именно его перестали предоставлять ушедшие из страны вендоры. «Лаборатория Касперского» нашла способ оживить превратившиеся в тыкву продукты с помощью альтернативных данных. Собственный сервис Kaspersky Threat Intelligence Feed был адаптирован таким образом, чтобы выходные данные можно было использовать для NGFW-решений других вендоров. Надёжно подтверждена совместимость с продуктами Cisco, Fortinet и PaloAlto. Правда, надо учитывать, что поток данных — это только часть проблемы. Помимо информации об угрозах файрволы должны получать своевременные обновления, решающие проблемы производительности и закрывающие уязвимости. А так как на благосклонность западных партнёров рассчитывать не приходится, то рано или поздно системы NGFW придётся заменить. В этом случае мы рекомендуем клиентам применить связку из отечественного файрвола и Kaspersky Security для интернет-шлюзов. Такая система сможет обеспечить многофункциональную защиту внешнего периметра, закрыв вектор атак, который раньше отсекали NGFW-продукты.

С импортозамещением защиты почты дела обстоят проще. Решения западных вендоров, которые часто шли «в нагрузку» к основному решению и перестали работать, можно просто заменить на российские IT-разработки. Вопрос крайне актуальный, потому что большинство таргетированных атак начинаются именно с компрометации корпоративной почты. Защита почтовых серверов поможет бороться не только с хакерами, но и со спамом. Повышенный интерес к подобному классу решений мы фиксировали в течение всего 2022 года: так, количество клиентов по акции «Доступная почта» от «Лаборатории Касперского» увеличилось за этот период в два раза.

Также в прошлом году существенно вырос спрос на стандартные решения для защиты рабочих мест. Если раньше компании могли закупать «антивирусы» и другие средства защиты информации только для наиболее уязвимой части инфраструктуры, то под шквалом атак многие пришли к пониманию, что защищать нужно каждое рабочее место, физическое или виртуальное. Как следствие, выросли закупки лицензий на защитные решения отечественных разработчиков.

Подход третий, экономичный

Любое программное обеспечение, в том числе киберзащитное, стоит денег. Типовой срок действия лицензий — один год, и расходы на обеспечение информационной безопасности закладываются также на год. Бюджет на защиту информационных систем закладывался год назад, и лишних денег на замещение решений ушедших вендоров ни у кого нет.

Те компании, которые не готовы расширять ИБ-бюджет, выбирают между тем, чтобы полагаться на удачу (ничего не докупать и надеяться на лучшее), и тем, чтобы отделаться малой кровью, пытаясь заставить работать приобретённые продукты с помощью левых патчей или лицензий, купленных в соседних странах. Как долго можно будет пользоваться подобными обходными путями, вопрос открытый, потому что в любой момент заграничный поставщик решения может найти способ заблокировать его полноценную работу.

Подход дополнительный, человеческий

Подавляющее большинство направленных кибератак (APT) сейчас начинаются с банального фишинга: сотрудник кликает на привлекательный заголовок в письме или на сайте, открывает вредоносный файл — и злоумышленники получают первый ключик к корпоративной системе. Поэтому думать нужно не только про цифровые и аппаратные инструменты, но и про людей. Сейчас самое время заняться обучением сотрудников базовым навыкам кибербезопасности, тем более что, по нашим данным, в 60% российских компаний подобные практики отсутствуют. На рынке присутствует достаточное количество игроков, предоставляющих различные типы обучения сотрудников важным правилам цифровой гигиены и кибербезопасности. Так, у «Лаборатории Касперского» существует собственная интерактивная платформа ASAP для онлайн-обучения сотрудников. В ней собраны уроки по всем основным темам, дополненные практическими упражнениями и возможностями проверки усвоенного материала – например, фишинговым симулятором.