Отечественные СЗИ: танцы с ФСТЭК и чашка кофе
Изображение: Sam Oxyak (Unsplash)
Кибербезопасность в России — это как прогулка по минному полю в домашних тапочках. После 2022 года, когда западные вендоры собрали чемоданы и уехали в закат, оставив нас с пустыми серверами и кучей вопросов, бизнесу пришлось учиться жить заново. И не просто жить, а выживать: под прицелом хакеров, ФСТЭК, Роскомнадзора и собственных админов, которые порой сами не знают, что творят. Один неверный шаг — и вот ты уже с штрафом, без допуска к закупкам или с репутацией, которая трещит, как старый стул.
Но мы, как всегда, не сдаёмся. Появились отечественные СЗИ — NGFW, SIEM, антивирусы, PAM, DLP. Это не просто программы, это как оркестр: каждый играет свою партию, а вместе — почти симфония. Но чтобы музыка зазвучала, нужно не только технику настроить, но и с юристами договориться. Давайте разберём, как это работает, где подвохи и почему без кофе тут не обойтись.
NGFW: стена, которая думает, но не всегда понимает
Межсетевой экран нового поколения, или NGFW, — это как швейцар в дорогом ресторане: пропустит только тех, кто в списке, и проверит, нет ли у них чего лишнего в карманах. В России такие швейцары — Континент 4 от «Кода Безопасности», Контур Z от Ростелекома, «С-Терра Шлюз» и Рубикон NGFW от НПО «Эшелон». Они фильтруют трафик на уровнях L3-L7, ловят DoS-атаки, шифруют каналы и делают вид, что всё под контролем.
Но вот история: в одной московской страховой компании, которая гордо носит статус субъекта КИИ, поставили NGFW. Казалось бы, всё просто: ставь и защищай. Но нет, архитектуру сети пришлось перекраивать, как старый пиджак. Западные политики на русском NGFW не заиграли, а L7-фильтрация и LDAP потребовали от айтишников пары бессонных ночей. Итог? Система заработала, аудит ФСТЭК пройден, но сколько кофе было выпито — история умалчивает.
Что закрывает:
- Внешние атаки через открытые порты
- Попытки обхода VPN или прокси
- Перехват трафика
- Недоверенные соединения
Что пропускает:
- Инсайдеров, которые уже внутри
- Фишинг, который бьёт по сотрудникам
- Уязвимости на рабочих станциях
Юридический момент: Без документации на русском и сертификатов по 152-ФЗ или приказам ФСТЭК ваш NGFW — это просто дорогая коробка. Особенно если работаете с персональными данными или гостайной.
SIEM: детектив с лупой, но без револьвера
SIEM-системы — это как Шерлок Холмс, только без трубки и револьвера. MaxPatrol SIEM от Positive Technologies, Контур.Инспект от Ростелекома, СёрчИнформ SIEM собирают логи со всех устройств, анализируют, находят аномалии. Без них расследовать инцидент — всё равно что искать чёрную кошку в тёмной комнате.
В одной энергетической компании в 2022 году внедрили MaxPatrol SIEM, чтобы угодить Постановлению №239. Полгода ушло на аудит, настройку логов и интеграцию с NGFW и АСУ ТП. Когда кто-то начал слать данные на внешний сервер, SIEM поднял тревогу, PAM заблокировал доступ, NGFW перекрыл канал. Без корреляции логов инцидент бы растворился, как сахар в чае.
Что ловит:
- Аномалии в поведении пользователей и систем
- Массовые попытки подбора паролей
- Вредоносное ПО с подозрительным поведением
Где слаб:
- Не предотвращает атаки напрямую
- Зависит от качества и полноты логов
Юридический нюанс: ГОСТ Р 57580 требует хранить логи долго и в целости. Не справитесь — ФСТЭК напомнит, что такое дисциплина.
Антивирусы: старый пёс, который всё ещё лает
Антивирусы — это как старый пёс: лает на знакомых врагов, но новых не всегда замечает. Security Code AV, Dr.Web, Протей-АВ ловят вирусы, трояны, руткиты, особенно в закрытых сетях. В одной федеральной структуре выбрали Security Code AV за сертификацию ФСТЭК и отсутствие «фоновых» подключений к внешним серверам. Работает, как швейцарские часы, в изолированной среде.
Но против zero-day угроз или флешки в кармане сотрудника антивирус бессилен. Это как пытаться поймать ветер руками.
Что блокирует:
- Известные вирусы, трояны, руткиты
- Подозрительные файлы
- Изменения системных компонентов
Что пропускает:
- Новые, неизвестные угрозы
- Утечки через физические носители
- Сетевые атаки
Юридический момент: Без реестра Минцифры и сертификатов ФСТЭК/ФСБ антивирус в КИИ или ПДн-средах — это билет на вчерашний поезд.
PAM: кто главный по ключам?
PAM, или Privileged Access Management, — это как суровый завхоз, который выдаёт ключи и записывает, кто куда ходил. Solar inRights, Bastion Secure, STAFFCOP следят за админами, записывают сессии, требуют многофакторную аутентификацию. В энергетической компании PAM поймал подрядчика, который полез выполнять запрещённые команды. Итог: контракт расторгнут, инцидент задокументирован.
Но PAM не видит, если кто-то тихо делает скриншот. И без культуры администрирования это просто дорогая видеокамера.
Что закрывает:
- Злоупотребление правами доступа
- Случайные или преднамеренные изменения настроек
- Неразрешённые действия подрядчиков
Что пропускает:
- Утечки через скриншоты
- Хаос в управлении
DLP: держи данные в узде
DLP (Data Loss Prevention) анализирует действия пользователей: копирование, печать, отправку по почте и т.д. Продукты от SearchInform, InfoWatch умеют распознавать содержимое документов и предотвращать несанкционированную передачу.
Закрываемые вектора:
- Утечки через email, мессенджеры, веб
- Копирование файлов на USB
- Распечатка конфиденциальных материалов
Недостатки:
- Не блокирует атаки «снаружи»
- Возможно превышение уровня контроля, вызывающее конфликт с трудовым правом
Пример: В финансовой компании с DLP система заблокировала загрузку клиентской базы в Telegram. Был проведён служебный аудит, инцидент квалифицирован как угроза ПДн. Сотрудник отправился на просторы трудового рынка.
| Категория | Продукт | Вендор | Сертификация | Применение в КИИ | Основные характеристики | Особенности |
| NGFW | Континент 4 | Код Безопасности | ФСТЭК, ФСБ | Да | DPI, VPN, NAT, L7 фильтрация | Поддержка централизованного управления |
| NGFW | Контур Z | Ростелеком-Солар | ФСТЭК | Да | DPI, контроль приложений, логирование | Удобный GUI, масштабируемость |
| NGFW | С-Терра Шлюз | С-Терра | ФСТЭК, ФСБ | Да | VPN, фильтрация, IPSEC, NAT-T | Широкое применение в изолированных сетях |
| NGFW | Рубикон NGFW | НПО Эшелон | ФСТЭК | Да | Stateful и DPI, защита от DoS | Интеграция с другими СЗИ Эшелон |
| SIEM | MaxPatrol SIEM | Positive Technologies | ФСТЭК | Да | Корреляция, хранение логов, модели угроз | Сложная настройка, высокий уровень детализации |
| SIEM | Контур.Инспект | Ростелеком-Солар | ФСТЭК | Да | Агрегация, отчётность, контроль аномалий | Подходит для КИИ и крупных сетей |
| SIEM | СёрчИнформ SIEM | СёрчИнформ | ФСТЭК | Частично | Мониторинг инцидентов, визуализация | Простота внедрения в SMB |
| SIEM | Fort SIEM RU | Fortis Platform | Подана заявка | Нет | Модульная структура, машинное обучение | Пока не сертифицирован, но активно тестируется |
| Антивирус | Security Code AV | Код Безопасности | ФСТЭК | Да | Защита air-gap, сигнатуры, управление | Лаконичный интерфейс, надёжность |
| Антивирус | Dr.Web ESS | Доктор Веб | ФСТЭК | Да | Антивирус, антиспам, эвристика | Гибкая архитектура и SLA |
| Антивирус | Протей-АВ | Протей | ФСТЭК | Да | Поведенческий анализ, централизованный контроль | Подходит для госструктур |
| Антивирус | Kaspersky Endpoint | Лаб. Касперского | ФСТЭК (ограничения) | Частично | Расширенные политики, управление устройствами | Есть ограничения при госзакупках |
| PAM | Solar inRights | Ростелеком-Солар | ФСТЭК | Да | Контроль сессий, учёт привилегий, аудит, RBAC | Поддержка масштабируемых инфраструктур, отчётность |
| PAM | STAFFCOP Enterprise PAM | Atom Security | ФСТЭК (в процессе) | Частично | Контроль действий, мониторинг и записи, аудит доступа | Гибкая интеграция с SIEM и DLP |
| PAM | СёрчИнформ PAM | СёрчИнформ | — | Нет | Учет действий пользователей, видеозапись, отчёты | Быстро внедряется в SMB, дружелюбный интерфейс |
| PAM | Киберпротектор PAM | Киберпротектор | Заявка на ФСТЭК | Нет | RBAC, журналирование команд, SSH-прокси | Оптимален для изолированных сред |
| PAM | Bastion Secure | Бастион | ФСТЭК, ФСБ | Да | Управление доступом, контроль команд, запись сессий, MFA | Развитая рольвая модель, применяется в банках и КИИ |
Слабые места: где мы всё ещё уязвимы
Даже если вы поставили все эти СЗИ, спать спокойно не получится. Фишинг, особенно таргетированный, бьёт по сотрудникам, как молния. Shadow IT — это как тёмный лес, где никто не знает, что установлено. Социальная инженерия — вообще вне зоны техники, тут только учить и воспитывать. А старые серверы, про которые все забыли? Это как мина замедленного действия. Без регулярных аудитов и сканирований вы рискуете проснуться от звонка ФСТЭК.
Вывод: кибербезопасность — это не только техника
Российские СЗИ — это уже не компромисс, а полноценный арсенал. Но работает он только в связке: NGFW держит границу, SIEM следит за порядком, антивирус ловит вирусы, PAM пасёт админов, а DLP не даёт данным уйти налево. И всё это под строгим взглядом юристов, которые проверяют сертификаты, ГОСТы и 152-ФЗ. Так что, господа, настраивайте системы, пейте кофе и не забывайте: кибербезопасность — это когда техника, люди и законы играют в одной команде.
