2022/12/30 16:55:54

Импортозамещение систем информационной безопасности в условиях санкций. Обзор продуктов Ankey от «Газинформсервис»

Мы продолжаем цикл публикаций, посвященный импортозамещению. В данной статье рассмотрим функциональные возможности продуктов компании «Газинформсервис» класса User (and Entity) Behavioral Analytics (UEBA/UBA) и Identity and Access Manager.

Содержание

В этом материале мы разберемся – в каких сегментах продукты «Газинформсервис» могут быть достойной заменой иностранных решений и более детально рассмотрим функциональность продуктов линейки Ankey.

Сопоставление продуктов линейки Ankey

В таблице ниже приведены популярные иностранные решения, для которых найдено сопоставление близких по функциям и возможностям продуктов линейки Ankey, разработанной для управления рисками информационной безопасности: Ankey ASAP и Ankey IDM.

Класс средств защиты Продукты зарубежных вендоров Продукт «Газинформсервис»
Поведенческая аналитика (ASAP, UEBA) Exabeam Advanced Analytics
Forcepoint Insider Threat
Microsoft Advanced Threat Analytics
MicroFocus UEBA
Securonix UEBA
Ankey ASAP
Управление учётными записями и правами доступа (IGA & IDM) One Identity: Identity Manager
Oracle Identity&Access Manager
Micro Focus: IAM
Microsoft Forefront Identity Manager
SailPoint IdentityIQ
IBM Tivoli
SAP Identity Management
Ankey IDM

Ankey ASAP

Ankey ASAP – программный комплекс, представляющий аналитическую платформу кибербезопасности с функциями поведенческого анализа. Основываясь на данных, поставляемых в систему в нормализованном виде от SIEM и других средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, а также систем корпоративной сети выявляя признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров.

Основные функции Ankey ASAP

  1. Проведение профилирования поведения пользователей в режиме реального времени
    На основе поставляемых в платформу данных Ankey ASAP определяет устойчивые поведенческие паттерны, которые суммарно позволяют сформировать полноценную математическую модель поведения конкретного пользователя в корпоративной сети.
  2. Использование построенных профилей для более глубокого анализа
    Ankey ASAP использует построенные им профили для определения отклонения поведения сотрудника от нормального, выделяя временные отрезки с потенциально аномальной пользовательской активностью. Данная информация помогает в своевременном определении признаков киберугроз и целевых атак.
  3. Выявление злонамеренных инсайдеров или компрометации на ранних стадиях
    Базируясь на уже описанных моделях и сценариях, Ankey ASAP способен детектировать подозрительную пользовательскую активность на самых ранних этапах осуществления неправомерного доступа к защищаемой информации.
  4. Агрегация событий и инцидентов безопасности для формирования полной картины
    Поддержка разных источников получения данных, а также расширенные средства визуализации, в т.ч. использование единого тайм-лайна, позволяет в любой удобный момент времени восстановить полную хронологию событий, например, для проведения подробного расследования.
  5. Детектирование нарушений политик безопасности
    Ankey ASAP позволяет выявлять существующие нарушения политик безопасности, а также своевременно реагировать на возможные утечки данных, использование в рабочем процессе запрещённого программного обеспечения и др.

Особенности

Программный комплекс обладает рядом ключевых особенностей, которые значительно выделяют его на фоне других отечественных решений:

  • Ankey ASAP включен в реестр отечественного программного обеспечения, а также имеет сертификат ФСТЭК России по УД5 №4315.
  • Программный комплекс поддерживает работу под управлением отечественных сертифицированных ОС, таких как Red OS или Astra Linux.
  • Функциональные возможности платформы позволяют выявлять не детектируемые ранее инциденты безопасности на основе событий, определяемых классическими средствами защиты информации в качестве легитимных.
  • Поддержка формата событий CEF (Common Event Format), а также работа с популярными отечественными SIEM-решениями обеспечивает определённую степень гибкости при интеграции платформы в существующую ИБ-инфраструктуру.
  • Предоставление дополнительных инструментов визуализации и систематизации имеющихся сведений об объектах анализа для упрощения процессов расследования и выяснения причин возникновения инцидентов.
  • Поиск поведенческих аномалий относительно собственного типичного поведения сущности, а также поведения группы сущностей. Платформа сравнивает реализуемые поведенческие паттерны с уже описанными «шаблонными» профилями поведения, как, например, профилем поведения администратора, внешнего нарушителя, вредоносной программы и т.д.
  • В Ankey ASAP существует возможность создания собственного контента поведенческого анализа. Пользователь платформы может сам выделять и описывать конкретные индикаторы, формировать при помощи описанных индикаторов полноценные модели поведения пользователей.

Ankey IDM

Ankey IDM – программный комплекс, представляет IGA-решение (Identity Governance and Administration), предназначенное для централизованного управления жизненным циклом учётных записей пользователей и их полномочиями в информационных системах компании.

Основные функции Ankey IDM

Комплекс разработан для контроля учётных записей, их полномочий и парольных политик, как в популярных ранее западных информационных системах, так и в программных решениях отечественной разработки.

  1. Ankey IDM обеспечивает полный цикл управления учётными записями и их полномочиями (назначения, удаления, блокировки, делегирования прав доступа, и доступом к полной истории действий по пользователю).
  2. Предназначен для электронного формата управления доступом в том числе внешних пользователей.
  3. Сквозная интеграция комплекса Ankey IDM с кадровыми службами, информационными системами, известными службами каталогов и решениями класса PAM, SSO, SIEM обеспечивает полный контроль как рядовых, так и привилегированных пользователей.

Особенности

Комплекс имеет ряд ключевых возможностей, выгодно выделяющих его на фоне других отечественных решений:

  • Отечественное сертифицированное IDM-решение (сертификат ФСТЭК России № 4107).
  • Сопровождение и расширенная техническая поддержка в 20 регионах России в режиме 24×7;
  • Поддерживает популярные в РФ решения сертифицированных информационных и операционных систем;
  • Имеет комплементарную СУБД Jatoba;
  • Совместим с операционными системами российских разработчиков (Astra Linux, Alt Linux, РЕД ОС);
  • Совместим с отечественными почтовыми комплексами (CommuniGate Pro);
  • Совместим со службами каталогов как условно-бесплатными (OpenLDAP, FreeIPA, Samba DC), так и сертифицированными в России (ALD Pro);
  • Есть возможность настраивать разграничения полномочий (SoD) в системных ролях комплекса;
  • Есть возможность одновременной работы с несколькими кадровыми источниками;
  • Многоуровневые парольные политики;
  • Работает в сертифицированной программной среде российской разработки;
  • Благодаря совместимости с различными информационными системами обеспечивает возможность перехода с западных программных решений на отечественное ПО;
  • Производителями и интеграторами проведено более 40 успешных проектов, в том числе по миграции с западных IDM-решений, таких как Oracle, IBM, SAP, One Identity.

Выводы

Мы продолжаем на примере продуктов компании «Газинформсервис» показывать, что находить замену иностранным решениям, обеспечивающим информационную безопасность среди предложений российских разработчиков возможно. Все продукты компании «Газинформсервис» можно использовать в качестве замены ряда иностранных продуктов, так как они входят в реестр отечественного ПО, сертифицированы ФСТЭК России, обладают схожим набором функций, совместимы с большим количеством ПО российских и зарубежных производителей. Компания оказывает круглосуточную техподдержку своих решений как на базе центрального офисе в Санкт-Петербурге, так и в регионах через собственную сеть филиалов.