Top.Mail.Ru
  • USD Бирж 1.06 +8239.37
  • EUR Бирж 13.78 +81.53
  • CNY Бирж 29.46 +-15.7
  • АЛРОСА ао 52.63 -0.02
  • СевСт-ао 1208 -1.4
  • ГАЗПРОМ ао 129.83 +-0.17
  • ГМКНорНик 114.28 +-0.24
  • ЛУКОЙЛ 6976 +-24
  • НЛМК ао 131.8 -0.6
  • Роснефть 472.9 +-4.1
  • Сбербанк 249.41 +-1.54
  • Сургнфгз 25.475 +-0.17
  • Татнфт 3ао 564.2 -0.8
  • USD ЦБ 100.03 99.94
  • EUR ЦБ 105.73 105.46
Конвергенция
разрозненных средств защиты в единую платформу защиты данных (Data Security Platform)
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Рустэм Хайретдинов
Заместитель генерального директора группы компаний «Гарда»
Андрей Вишняков
Директор по продуктам и техническому сопровождению продаж «Гарда»
Тренды могут не только и не столько описывать основные тенденции изменений, но зачастую и формировать будущее. Цифровизация теперь — термин, который касается и информационных технологий, и бизнеса, и жизни простых людей.
Так, новый национальный проект «Экономика данных» в одном из своих направлений предполагает совершенствование системы предоставления социально значимых государственных и муниципальных услуг гражданам. В нем предусмотрят меры по защите персональных данных и противодействию киберпреступлениям. Этот тренд точно будет основой для изменений не только в ближайший год, три, но и шесть, согласно официальным срокам. И поскольку информации / цифровых следов / данных — с точки зрения защиты разница невелика — становится с каждым днем все больше, построим свои прогнозы вокруг них.
В этой статье на основе ретроспективного анализа путей развития средств защиты данных Рустэм Хайретдинов, заместитель генерального директора, и Андрей Вишняков, директор по продуктам и техническому сопровождению продаж, попробовали заглянуть в будущее на несколько лет вперед, используя внешнюю аналитику и опыт работы с клиентами группы компаний «Гарда».
Сегодня защита данных с отставанием на пару десятков лет проходит путь, которым до нее шла защита инфраструктуры: от набора конкретных решений до появления единого центра управления и оркестрации
До конца 2010-х ассортимент средств защиты данных был уже довольно обширным: DLP, DCAP/DAG, DAM/ DBF, CASB, а также различные средства обезличивания и шифрования. Каждое решение было создано под конкретную модель угроз и довольно хорошо справлялось со своей задачей. Но только со своей: «на стыках» между разными решениями возникали возможности для атакующих.
DLP
Data Loss Prevention — предотвращение утечек данных.
DCAP/DAG
Data Centric Audit and Protection/Data Access Governance — аудит и защита неструктурированных данных / контроль доступа к неструктурированным данным.
DAM/DBF
Database Activity Monitoring/Database Firewall — мониторинг активности базы данных / межсетевой экран для защиты баз данных.
CASB
Cloud Access Security Broker — брокер безопасного доступа в облако.
СУБД
СУБД — система управления базами данных.
Например, DBF хорошо защищает данные в СУБД на основе ролевой модели, но если ролевая модель позволяет пользователю выгрузить какие-то данные в файл, то данные в файле выгрузки уже не контролируются DBF: они уже покинули СУБД, но при этом DCAP еще не проиндексировал этот файл, и система защиты, например DLP, не получила команду включить необходимые политики для защиты этого файла. В этот период данные беззащитны — сегодня такая проблема решается в основном через полные запреты выгрузок, что в свою очередь замедляет основанные на них бизнес-процессы. Таких стыков между хорошими решениями довольно много, данных становится все больше, а роли их пользователей становятся все разнообразнее — теперь это не только клиенты приложений и администраторы, но и разного рода аналитики, разработчики и даже тренеры нейросетей.
DSP
Data Security Platform — платформа защиты данных.
multi-cloud
Мультиоблако, одновременное использование нескольких не связанных друг с другом облачных сервисов.
В 2021 году в обиход вошел термин «платформа защиты данных» (DSP), означающий консолидацию различных средств обеспечения безопасности данных с точки зрения единого управления данными, их классификации и методов защиты. Действительно, к концу 2021 года к виртуализации серверной инфраструктуры и контейнеризации приложений стали прибегать практически во всех крупных компаниях, а, согласно исследованию аналитиков, уровень использования облачных провайдеров, да еще и не одного (multi-cloud), в повседневной работе превысил 50%.
Бизнес стал применять слишком много технологий и нишевых средств защиты, контроля и анализа курсирующих внутри организаций данных
К примеру, для защиты облаков появились системы для настройки облачной инфраструктуры и мониторинга действий пользователей без акцента на хранимых данных, контекст и обращения к ним. Другие системы сканировали данные в облаке, идентифицировали конфиденциальные данные, рисовали потоки передачи информации и подсвечивали риски. Отдельный класс систем мониторил журналы облачных провайдеров и использовался для поиска аномалий. Внутри периметра средства защиты тоже отличались разномастностью. Например, для обеспечения приватности данных использовалось три и более систем от разных вендоров.
Таким образом, платформы защиты данных должны были нивелировать риски обеспечения безопасности данных при хранении (at rest), при передаче (in motion), делая это как внутри периметра (on prem), так и в облаке (cloud). На платформу накладывались значительные функциональные требования: управление жизненным циклом защищаемых данных, анализ рисков, обнаружение и классификация данных, мониторинг баз данных, криптографическая защита, маскирование и токенизация, защита от утечек, аналитика и т. д.
Российские компании не следуют сегодня напрямую открытой «облачной» стратегии западных коллег, переносящих большую часть вычислительных мощностей и данных во внешние дата-центры в целях экономии на капитальных затратах и обслуживании. Однако трудности с закупкой и обслуживанием высокопроизводительного IT-оборудования также толкают российские компании в облака как в архитектуру, то есть скорее через централизацию собственной вычислительной инфраструктуры и использования «дружественных» или даже зависимых провайдеров.
В 2021 году впервые появилось понятие «фабрика данных» как архитектуры, которая объединяет сами данные и процессы их обработки, хранения и использования
Фабрика данных собирает информацию обо всех данных в компании, включая информацию об их использовании: кем, как часто, для каких целей, на какой платформе и т. д. (то есть метаданные или данные о данных), строит графы связей, обогащает данные бизнес-семантикой. Набор опций фабрики данных эволюционировал от простого аудита активов данных до применения технологий искусственного интеллекта для аналитики, когда система способна решать практические задачи на основе обрабатываемых данных, замещая функционал бизнес-аналитика или существенно облегчая ему работу.
В основе фабрики данных лежит data-каталог, система управления метаданными
В задачи data-каталога входит интеграция со всевозможными системами хранения данных, обнаружение информационных активов, их классификация, отслеживание связей и происхождения, а также удобный графический интерфейс дополнения метаданных пользователями.
В настоящий момент подобные data-каталоги уже используются в крупных компаниях, где есть отдел обработки больших данных либо в штате присутствуют несколько бизнес-аналитиков. Как правило, именно этим сотрудникам нужна витрина данных, понимание, где и какие данные они могут найти, чтобы ответить на практические вопросы. Общаясь с заказчиками из российских банков, розничных торговых сетей, контент-провайдерами и операторами связи, мы видим, что одни из них самостоятельно разрабатывают решения для использования в качестве data-каталога, другие — прибегают к системам на основе открытого исходного кода: Apache Atlas, Open MetaData и DataHub. Все пользователи data-каталогов размечают категории данных (приватные, персональные, открытые и т. д.), поэтому data-каталог из-за открытости и гибких интерфейсов становится универсальным и единственным местом, куда сведена информация о цифровых активах компании.
Упомянутая платформа защиты данных должна либо реализовывать функцию data-каталога, либо интегрироваться с ним для взаимного обогащения. К примеру, если платформа защиты данных определяет, что данные, помеченные как общедоступные, по синтаксису и контексту использования напоминают конфиденциальные, она должна уведомлять офицера безопасности и при необходимости блокировать передачу информации.
PaC
Policy-as-Code (политика как код) — это подход к управлению информационной безопасностью, при котором политики безопасности описываются и реализуются в виде кода.
GeoIP
GeoIP — база соответствия IP-адресов с географическими координатами.
Российский бизнес несколько десятилетий работает с классической ролевой моделью, в какой-то момент она стала дополняться контролем доступа на основе атрибутов или признаков объектов, а сейчас широкое распространение получает подход Policy-as-a-Code (PaC). Здесь на высокоуровневом языке программирования политика описывается как набор IF-условий, в которых сравниваются динамические объекты, например, учитывается дата, время, IP-адрес или GeoIP регион подключения, то есть в качестве значения может использоваться произвольный набор параметров. Политика PaC для своей работы использует как код (те самые IF-условия), так и внешние данные для сравнения, при этом они могут динамически подгружаться из сторонней системы, к примеру data-каталога.
IAM/IdM
Identity and Access Management/Identity Management — система управления учетными данными и ролями пользователей / система управления учетными или идентификационными данными.
Идея вынести учет того, что разрешено пользователям, в отдельную систему не нова, на рынке существует отдельная ниша систем управления учетными данными (Identity Management или IAM/IdM). В массе IAM/IdM системы используют ролевой доступ, который проецируется на модели авторизации отдельных информационных систем, управления учетными записями и их правами.
Проблемой такого подхода является то, что политики доступа разбиваются на две части: одна хранится в IAM/IdM и вторая в самой информационной системе. Усугубляется ситуация статичностью политик: пользователь находится в какой-то группе, за которой закреплена определенная роль. Намного эффективнее было бы агрегировать решения о доступах пользователей в единой системе, в том сервере политик, куда могут обращаться как информационные системы, так и средства информационной безопасности для уточнения и аудита полномочий пользователей.
LDAP
Lightweight Directory Access Protocol — легковесный протокол доступа к каталогам.
AD
Active Directory — активный каталог.
Целевой образ DSP-платформы защиты данных выглядит как интеграция реестра пользователей в виде LDAP или AD-каталога, централизованного сервера политик, а также средств защиты данных и расширений информационных систем, например, в виде агентов безопасности, которые ведут мониторинг, учет и контроль действий пользователей на основании централизованных динамических PaC-политик безопасности. Общаясь как с представителями IT-, так и ИБ-подразделений заказчиков, мы видим, что уже сейчас складывается понимание, что IT-актив, которым является data-каталог, представляет ценность для сотрудников, отвечающих за безопасность цифровых активов.
Целевой образ DSP-платформы защиты данных выглядит как интеграция реестра пользователей в виде LDAP или AD-каталога, централизованного сервера политик, а также средств защиты данных и расширений информационных систем, например, в виде агентов безопасности, которые ведут мониторинг, учет и контроль действий пользователей на основании централизованных динамических PaC-политик безопасности. Общаясь как с представителями IT-, так и ИБ-подразделений заказчиков, мы видим, что уже сейчас складывается понимание, что IT-актив, которым является data-каталог, представляет ценность для сотрудников, отвечающих за безопасность цифровых активов.
Теперь собственно прогнозы. В перспективе одного года ожидаем совместного IT- и ИБ-подхода к формализации задач каталогизирования данных и создания единого репозитория правил доступов. Сразу несколько компаний, специализирующихся на защите данных, объявят о создании решений в области защиты data-каталогов и интеграции с ними с целью защиты данных во всех их представлениях на уровне корпорации.
На горизонте трех лет произойдет реальная агрегация разрозненных средств защиты данных в единую платформу, что будет стимулироваться как инициативами внутри самих клиентов, так и появлением новых продуктов и унификацией API-интерфейсов от производителей.