СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
24.02.2025
#Статьи #Dev#ИБ#ИИ#Инфра#Облака

Платформы защиты данных

Платформы защиты данных

Концепция единой платформы защиты информации начала развиваться в 2021 году, когда аналитики Gartner представили модель Data Security Platform (DSP). В 2024 году были опубликованы первые детализированные спецификации, уточняющие функциональные возможности платформы.

Основу DSP составляют два важных элемента.

  1. Информационный каталог. Этот компонент обеспечивает систематизированный учёт и классификацию данных по категориям, что позволяет организации получить полное представление о своих информационных активах. Для поддержания точности и актуальности каталога необходимо тесное сотрудничество специалистов ИТ и кибербезопасности, что способствует своевременному обнаружению критически важных данных и выявлению потенциальных уязвимостей.
  2. Механизм контроля доступа. Основанный на заранее определённых политических рамках и реализуемый посредством алгоритмов, этот компонент обеспечивает гибкое управление правами доступа. Система динамически адаптируется к изменениям в угрозовой обстановке, позволяя оперативно корректировать привилегии пользователей и минимизировать риск несанкционированного доступа.

Такой интегрированный подход, сочетающий всестороннее управление информационными ресурсами и динамическое регулирование доступа, соответствует современным требованиям кибербезопасности и способствует повышению устойчивости организации к киберугрозам.

Редакция CISOCLUB обсудила с экспертами важные особенности платформ защиты данных, затронув их влияние на предотвращение инцидентов, интеграцию с ИТ-инфраструктурой, методы минимизации рисков, использование инновационных технологий для выявления угроз, автоматизацию реагирования, соответствие требованиям регуляторов, управление шифрованием, баланс между безопасностью и бизнес-задачами, а также перспективные тренды в этой сфере. На наши вопросы ответили:

  • Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда».
  • Александр Скакунов, генеральный директор VolgaBlob, разработчика платформы для анализа и обработки машинных данных Smart Monitor.
  • Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома».

Какие функциональные возможности платформы защиты данных оказывают наибольшее влияние на оперативное обнаружение и предотвращение инцидентов?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», заявил, что основным элементом платформ защиты данных является функция data-каталога, позволяющая точно определить местонахождение, обработку и перемещение данных, а также контролировать доступ к ним.

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда»

«Платформа защиты данных реализует функции data-каталога или интегрируется с уже имеющимся. В задачи data-каталога входит интеграция со всевозможными системами хранения данных, обнаружение информационных активов, их классификация, отслеживание связей̆ и происхождения, а также интерфейс дополнения метаданных пользователями.

То есть платформа защиты данных на основе знания того, где какие данные хранятся, где и как обрабатываются, куда и как перемещаются, контролирует кто с какими правами имеет к этим данным доступ. Отклонение от заданных параметров доступа и операций с данными фиксируется как недопустимая аномалия с возможностью гибкого реагирования: можно не допустить запрошенную операцию, можно выдать на запрос замаскированные или зашифрованные данные, можно заблокировать учётную запись, с которой ведётся доступ, можно сигнализировать о нарушении в SOC и т. п.»

Александр Скакунов, генеральный директор VolgaBlob, подчеркнул, что термин «платформа защиты данных» неоднозначен и его смысл часто определяется через призму средств защиты, при этом основным фактором оперативного реагирования является принцип минимально необходимых полномочий.

Александр Скакунов, генеральный директор VolgaBlob

«Для начала важно уточнить, что имеется в виду под понятием «платформа защиты данных». Термин устоявшимся назвать нельзя. Он не «коронован» крупными исследовательскими агентствами, по нему нет «магических квадрантов» — и в целом его понимают по-разному.
Логичнее говорить о средствах защиты данных. В России, по оценкам Центра стратегических разработок, это самый быстрорастущий сегмент рынка кибербезопасности. В 2023 году он увеличился на 93% от показателя годом ранее и достиг отметки в 23 млрд рублей — это 12% от рынка ИБ в целом.

В первую очередь рынок драйвит DLP, а также DCAP — хотя эффективность последнего подхода вызывает вопросы, связанные с тем, что он ориентирован на сознательность пользователей, вовлеченных в маркирование конфиденциальной информации. В будущем эту сферу полностью заберут на себя интеллектуальные технологии.

На мой взгляд, в перечнях не хватает ряда решений, например, из сегментов управления доступом (IDM, PAM), zero trust решений и др.

Наибольшее влияние на оперативное обнаружение и предотвращение инцидентов оказывает внедрение принципа «минимально необходимых полномочий» сотрудников. Не соответствующие ему настройки информационных систем регистрируются как инциденты и устраняются. В дальнейшем, при формировании правильной контрольной среды, подобные инциденты могут быть превентивно заблокированы. Например, классика применения систем подобного класса — предотвращение утечек конфиденциальной информации, наследие DLP».

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», отметил, что оптимальный набор функций платформы зависит от особенностей компании и данных, при этом он выделил важность мониторинга, управления доступом и аналитики.

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома»

«В первую очередь, всё зависит от компании, в которой эти данные размещены, и от самих данных, но выделю следующие функции:

— мониторинг и реагирование на инциденты ИБ;
— управление доступом;
— возможность проведения разного рода анализов и проверок на соответствие;
— киберразведка;
— аналитические инструменты и отчетность».

Эксперты сходятся в том, что эффективное обнаружение и предотвращение инцидентов базируется на контроле доступа, мониторинге и использовании аналитических инструментов, что позволяет оперативно реагировать на любые отклонения в работе систем безопасности.

Каким образом обеспечивается интеграция платформ защиты данных с существующими ИТ-инфраструктурами и системами управления рисками?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», заявил, что интеграция платформы защиты данных осуществляется не напрямую с ИТ-инфраструктурами, а через функцию «фабрики данных», где системы управления рисками играют роль источника информации о доступах и ограничениях.

Александр Скакунов, генеральный директор VolgaBlob, отметил, что must-have функциональность таких систем — это интеграция с решениями класса SIEM/SOAR/IRP для автоматизации управления инцидентами, а интеграция с ИТ-инфраструктурой требует постоянного технического сопряжения из-за её динамичности и требований импортозамещения.

«В свою очередь, ИТ-инфраструктура для платформ защиты данных — информационный источник, необходимый в том числе для составления каталогов пользователей и инвентаризации ИТ-активов. Но интеграция с ней одновременно является ахиллесовой пятой технологии: ИТ-инфраструктура динамично меняется, в том числе из-за требований импортозамещения. Требуется постоянное техническое сопряжение с новыми ИТ-продуктами: порталами, СХД, облачными хранилищами, информационными системами, контроллерами доменов и другими».

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», подчеркнул, что обычно для интеграции платформ защиты данных используются системы класса SOAR/IRP, а современные отечественные решения легко интегрируются посредством API даже при отсутствии таких систем в арсенале компании.

Какие методы защиты информации применяются для снижения влияния компрометации данных на бизнес-процессы?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», считает, что основная задача платформы защиты данных заключается в том, чтобы обеспечить защиту информации таким образом, чтобы нелегитимные операции не происходили, а легитимные бизнес-процессы не замедлялись.

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», делит методы защиты информации на несколько уровней. Он выделяет:

  • на сетевом уровне: сегментацию и применение решений IPS/IDS/NTA;
  • на уровне хоста: использование антивирусного программного обеспечения или EDR-систем;
  • на уровне приложений: реализацию SSDLC (при собственной разработке), проведение аудитов и киберучений для восстановления инфраструктуры в нештатных ситуациях.

Какие инновационные технологии используются в платформах защиты данных для выявления аномалий и угроз?

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», уверен, что основную роль играют системы анализа сетевого трафика (NTA), способные в реальном времени обнаруживать подозрительные паттерны, нестандартное поведение и признаки атак, а также всё активнее внедряются технологии искусственного интеллекта и машинного обучения.

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», отмечает, что современные платформы защиты данных применяют весь спектр доступных методов – от жестко установленных правил до современных технологий искусственного интеллекта, что позволяет эффективно выявлять аномалии и угрозы.

Каким образом автоматизация процессов обнаружения и реагирования на инциденты способствует повышению прозрачности и управляемости защиты информации?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», отметил, что автоматизация позволяет добиться прозрачности каждого срабатывания защиты, поскольку оно мотивировано конкретной угрозой – от простой попытки нарушения прав доступа до детектирования с виду легитимной операции как части действий в рамках цепочки атаки (kill chain).

Александр Скакунов, генеральный директор VolgaBlob, разработчика платформы для анализа и обработки машинных данных Smart Monitor, подчеркнул, что управление инцидентами является заходом технологии защиты данных в смежное поле SIEM/SOAR, характеризующимся автономностью получаемых решений.

«В свете этого правильная стратегия развития технологии, на мой взгляд, — не обособление обработки инцидентов, а плотная интеграция с SIEM/SOAR. Именно в них собраны общие сведения об инцидентах кибербезопасности, в том числе при обращении с неструктурированными данными.

Внутри крупных клиентов возможен и другой сценарий: сами SIEM при условии правильной настройки и наличия соответствующих техник могут выполнять функции анализа ролевой модели доступа к данным, а также блокировать нежелательную активность, включая предотвращение утечек информации. Для этого у последних уже есть большой пул подключенных источников, доказательная база и механизмы управления инцидентами «на борту».

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», заявил, что полностью автоматизировать процессы не получится – за всем этим должен следить человек.

«Однако для конкретной компании, при возможности автоматизации всего процесса или его составляющих компонентов (например, для ряда сценариев выявления инцидентов ИБ нет необходимости в разборе первой линией SOC – можно пропустить стадию первичного анализа и сразу отправлять на реагирование), это может быть реализовано. В подобных системах можно в любой момент поднять историю по инциденту или подозрению на инцидент и разобрать его детально. Необходимо обязательно иметь свой штат аналитиков или привлекать сторонние организации для работы над процессами, плейбуками работы в SOAR и реагированием – только тогда будет повышаться прозрачность и управляемость».

Эксперты сходятся во мнении, что автоматизация процессов обнаружения и реагирования на инциденты способствует повышению прозрачности и управляемости защиты информации благодаря интеграции с SIEM/SOAR и наличию квалифицированного аналитического контроля.

Какие подходы реализуются в современных платформах защиты данных для соблюдения требования регуляторов в части защиты персональных данных и не только?

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома»: «На базе регуляторных требований формируются внутренние нормативные документы (ВНД) организации, а также требования, которые затем детализируются в каждой отдельной организации. Требования ИБ внутри компании должны быть понятны, проверяемы и четко описаны. В организации должна быть система управления требованиями, представляющая собой набор требований, мер защиты, учет соответствия требованиям регуляторов, а также способов проверки данных требований. Система управления требованиями должна быть интегрирована с другими системами по анализу и проверке соответствия».

Как обеспечивается эффективное управление криптографическими ключами и шифрование данных для поддержания непрерывного уровня безопасности?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда»: «Платформа защиты данных не управляет напрямую криптографическими ключами, она действует на уровне метаданных, то есть данных о данных».

Какие стратегии позволяют платформам защиты данных балансировать между оперативной безопасностью и бизнес-эффективностью?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда»: «Подавление ложных срабатываний первого и второго рода на основе понятных бизнес-правил и самообучающихся систем позволяет одновременно обеспечивать бизнес-эффективность и блокировать опасные транзакции с данными».

Александр Скакунов, генеральный директор VolgaBlob: «Единственно действенной стратегией в этом случае видится интеграция платформ защиты данных с действующим в компании режимом защиты коммерческой тайны, а также стандартами работы с корпоративной конфиденциальной информацией. А это требует наличия квалифицированных кадров на стороне клиентов, вовлеченных бизнес-пользователей и сознательных рядовых сотрудников. Весьма редко встречающийся набор, к сожалению. В отсутствие проработанной и актуальной методологической базы подобные технические инструменты могут превратиться в дорогостоящую бесполезную игрушку».

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома»: «Основная стратегия – это внедрение оценки рисков, которое дает объективную оценку, понятную бизнесу, по тому, зачем нужно защищать данные и почему именно этими средствами. Кроме того, следует внедрять системы автоматизации реагирования на инциденты ИБ».

Какие перспективные тренды в развитии платформ защиты данных могут кардинально изменить подходы к защите информации в ближайшие годы?

Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», отметил, что современные платформы защиты данных не обладают самостоятельным потенциалом для кардинальных изменений. Он объяснил, что эффективность таких платформ напрямую зависит от развития так называемых «фабрик данных».

По его мнению, чем больше компаний внедряют эти системы для управления данными, тем успешнее работает интегрированная защита, основанная на соединении реестра пользователей (например, через LDAP-каталог), централизованного сервера политик и специализированных средств защиты (DBF, DCAP, DLP, технологии маскирования). Кроме того, он подчеркнул, что применение подхода Policy-as-a-Code позволяет реализовывать динамичные политики безопасности, что существенно повышает качество контроля.

Александр Скакунов, генеральный директор VolgaBlob, обратил внимание на существующую зависимость от человеческого фактора. Он рассказал, что нынешние платформы в значительной степени полагаются на ручную разметку и классификацию конфиденциальной информации, что делает систему уязвимой из-за возможных ошибок со стороны пользователей и администраторов. По его мнению, широкомасштабное внедрение искусственного интеллекта способно автоматизировать эти процессы, минимизируя человеческое участие и повышая точность классификации данных.

Александр Сухомлин, директор департамента архитектуры информационной безопасности «Ростелекома», отметил, что значительная часть компаний до сих пор не достигла базового уровня внедрения платформ защиты данных. Он пояснил, что технологии искусственного интеллекта и машинного обучения, становящиеся все более доступными и даже условно бесплатными, уже сегодня начинают менять подходы к защите информации, предлагая кардинально новые решения для обеспечения безопасности.

Эксперты сходятся, в том, что эффективность платформ защиты данных напрямую определяется их интеграцией с фабриками данных, объединяющими реестры пользователей, централизованные серверы политик и специализированные средства с динамичным управлением. Кроме того, зависимость от ручной разметки и недостаточная базовая реализация платформ делают системы уязвимыми, а широкомасштабное внедрение искусственного интеллекта и машинного обучения способно автоматизировать процессы и радикально изменить подходы к защите информации.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: