Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
EDR, STAP или EVC: проблема терминологии и сертификации
09 июня 2017 |
Заметка, к которой я подбирался достаточно давно и вот случилось два
события, которые подхлестнули мою активность в завершении материала.
Во-первых, в пятницу я выступал на
семинаре с темой про системы предотвращения вторжений нового поколения
(NGIPS) и когда готовился, подумал, что само понятие IDS/IPS уже
устарело. Это в 90-х годах прошлого века в этот термин вкладывался
вполне определенный смысл - типов средств защиты было немного и поэтому
никто не ставил под сомнение терминологию. А сейчас? Типов средств
защиты несколько десятков. DLP - это система предотвращения атак,
связанных с утечками. Антивирус - это система предотвращения вирусных
атак. NTA/NBAD - это системы обнаружения аномалий (IDS или СОВ/СОА по
отечественной терминологии это тоже делают.) Так что же такое тогда IPS в
ее нынешнем понимании?
Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: "...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации". Средства - это средства, в которых реализованы средства... Эта "рекурсивная" фраза взята из закона "О государственной тайне", где она звучит таким образом: "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.
Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин "кибербезопасность", насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин :-) или иногда подменять его термином "киберзащищенность". Регуляторы опять же вынуждены пользоваться устаревшим "защита информации".
Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner'ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner - компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC - Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается - продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.
Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: "...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации". Средства - это средства, в которых реализованы средства... Эта "рекурсивная" фраза взята из закона "О государственной тайне", где она звучит таким образом: "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.
Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин "кибербезопасность", насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин :-) или иногда подменять его термином "киберзащищенность". Регуляторы опять же вынуждены пользоваться устаревшим "защита информации".
Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner'ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner - компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC - Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается - продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.
Проблема терминологии с типами средств защиты выводит нас на другую
проблему - выработку требований для их сертификации. Ведь многие
заказчики ориентируются только на применение сертифицированных решений
(а некоторым это явно предписано и запрещено применять
несертифицированное). Регулятор же выпускает РД с требованиями для,
скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ,
IDS/IPS, антивирус, ОС... И не очень оперативно. И что делать заказчикам
в такой ситуации? Шашечки или ехать?
Вот допустим есть близкий мне Cisco AMP for Endpoints, который отнесен Gartner'ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа "В". А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?
На самом деле EDR/STAP/EVC - не единственный пример - их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP... Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.
Вот допустим есть близкий мне Cisco AMP for Endpoints, который отнесен Gartner'ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа "В". А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?
На самом деле EDR/STAP/EVC - не единственный пример - их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP... Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.
И надо признать, что выходов из этой ситуации я вижу не так уж и много
(если не рассматривать вариант с ослаблением требований к сертификации,
что в текущей геополитической ситуации маловероятно):
- Увеличение числа выпускаемых РД для разных типов средств защиты информации врядли сильно поможет, так как мы упираемся в "пропускную способность" регулятора и расширения спектра разных типов средств защиты.
- Переход на модульную структуру требований по сертификации. Разделы по "доверию" вынести в отдельный документ (может быть путем модификации того же РД на НДВ или созданием нового РД на его основе), а требования к средствами защиты выносить в отдельные модули, которые будет разрабатывать попроще и побыстрее. Правда и тут возникает проблема с пропускной способностью ФСТЭК, которую можно было бы решить привлечением тех же производителей средств защиты, которые могли бы писать проекты РД (профилей) для своих решений и потом отдавать в ФСТЭК или Воронежский институт для финальной доработки, которая займет гораздо меньше времени, чем разработка РД с нуля регулятором.
- Изменение подходов к аттестации систем, в рамках которой допускать применение несертифицированных решений при условии более глубокой их проверки с помощью пентестов, анализа защищенности или иных методов проверки. К слову сказать, все мы знаем, что сертифицированные решения не означают более защищенные. Сегодня бумага с голограммой является не более чем наследием 608-го Постановления Правительства по сертификации средств защиты гостайны 95-го года.
Что-то скатился я вновь к регуляторике, хотя начинал писать заметку про решения EDR/STAP. Ну ничего, в следующий раз напишу.
Источник
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.