Заметка, к которой я подбирался достаточно давно и вот случилось два события, которые подхлестнули мою активность в завершении материала. Во-первых, в пятницу я выступал на семинаре с темой про системы предотвращения вторжений нового поколения (NGIPS) и когда готовился, подумал, что само понятие IDS/IPS уже устарело. Это в 90-х годах прошлого века в этот термин вкладывался вполне определенный смысл - типов средств защиты было немного и поэтому никто не ставил под сомнение терминологию. А сейчас? Типов средств защиты несколько десятков. DLP - это система предотвращения атак, связанных с утечками. Антивирус - это система предотвращения вирусных атак. NTA/NBAD - это системы обнаружения аномалий (IDS или СОВ/СОА по отечественной терминологии это тоже делают.) Так что же такое тогда IPS в ее нынешнем понимании?
Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: "...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации". Средства - это средства, в которых реализованы средства... Эта "рекурсивная" фраза взята из закона "О государственной тайне", где она звучит таким образом: "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.
Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин "кибербезопасность", насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин :-) или иногда подменять его термином "киберзащищенность". Регуляторы опять же вынуждены пользоваться устаревшим "защита информации".
Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner'ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner - компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC - Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается - продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.
Проблема терминологии с типами средств защиты выводит нас на другую проблему - выработку требований для их сертификации. Ведь многие заказчики ориентируются только на применение сертифицированных решений (а некоторым это явно предписано и запрещено применять несертифицированное). Регулятор же выпускает РД с требованиями для, скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ, IDS/IPS, антивирус, ОС... И не очень оперативно. И что делать заказчикам в такой ситуации? Шашечки или ехать?
Вот допустим есть близкий мне Cisco AMP for Endpoints , который отнесен Gartner'ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа "В". А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?
На самом деле EDR/STAP/EVC - не единственный пример - их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP... Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.
И надо признать, что выходов из этой ситуации я вижу не так уж и много (если не рассматривать вариант с ослаблением требований к сертификации, что в текущей геополитической ситуации маловероятно):
Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: "...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации". Средства - это средства, в которых реализованы средства... Эта "рекурсивная" фраза взята из закона "О государственной тайне", где она звучит таким образом: "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.
Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин "кибербезопасность", насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин :-) или иногда подменять его термином "киберзащищенность". Регуляторы опять же вынуждены пользоваться устаревшим "защита информации".
Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner'ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner - компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC - Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается - продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.
Проблема терминологии с типами средств защиты выводит нас на другую проблему - выработку требований для их сертификации. Ведь многие заказчики ориентируются только на применение сертифицированных решений (а некоторым это явно предписано и запрещено применять несертифицированное). Регулятор же выпускает РД с требованиями для, скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ, IDS/IPS, антивирус, ОС... И не очень оперативно. И что делать заказчикам в такой ситуации? Шашечки или ехать?
Вот допустим есть близкий мне Cisco AMP for Endpoints , который отнесен Gartner'ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа "В". А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?
На самом деле EDR/STAP/EVC - не единственный пример - их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP... Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.
И надо признать, что выходов из этой ситуации я вижу не так уж и много (если не рассматривать вариант с ослаблением требований к сертификации, что в текущей геополитической ситуации маловероятно):
- Увеличение числа выпускаемых РД для разных типов средств защиты информации врядли сильно поможет, так как мы упираемся в "пропускную способность" регулятора и расширения спектра разных типов средств защиты.
- Переход на модульную структуру требований по сертификации. Разделы по "доверию" вынести в отдельный документ (может быть путем модификации того же РД на НДВ или созданием нового РД на его основе), а требования к средствами защиты выносить в отдельные модули, которые будет разрабатывать попроще и побыстрее. Правда и тут возникает проблема с пропускной способностью ФСТЭК, которую можно было бы решить привлечением тех же производителей средств защиты, которые могли бы писать проекты РД (профилей) для своих решений и потом отдавать в ФСТЭК или Воронежский институт для финальной доработки, которая займет гораздо меньше времени, чем разработка РД с нуля регулятором.
- Изменение подходов к аттестации систем, в рамках которой допускать применение несертифицированных решений при условии более глубокой их проверки с помощью пентестов, анализа защищенности или иных методов проверки. К слову сказать, все мы знаем, что сертифицированные решения не означают более защищенные. Сегодня бумага с голограммой является не более чем наследием 608-го Постановления Правительства по сертификации средств защиты гостайны 95-го года.