Всем привет! Мы в IVA Technologies постоянно работаем над созданием устойчивой системы обеспечения защиты, которая позволяет надежно оградить наших пользователей от самых разных угроз.
В этой статье поделимся с вами тем, как мы обеспечиваем высокий уровень защищенности продуктов и сервисов нашей экосистемы корпоративных коммуникаций, расскажем, какие подходы и методы для этого мы используем, и почему, выбирая решения от IVA Technologies, и мы, и вы можем быть уверены в безопасности.
Угрозы безопасности корпоративных коммуникаций
Для начала расскажем о том, какие угрозы являются актуальными и от чего необходимо защищаться всем потребителям систем корпоративных коммуникаций. К основным угрозам относятся:
Фишинг и мошенничество. Злоумышленники отправляют поддельные электронные сообщения, чтобы получить доступ к конфиденциальной информации и/или системам компании.
Вредоносное ПО. Вирусы, трояны и другие виды вредоносного программного обеспечения могут быть использованы для кражи данных, шпионажа или нарушения работы систем.
DoS‑атаки и DDoS‑атаки. Атаки на отказ в обслуживании могут привести к временному или постоянному отключению систем, что может повлиять на работу компании и ее сотрудников.
Социальная инженерия. Методы социальной инженерии, такие как фишинг и др., могут использоваться для получения доступа к учетным данным или другим конфиденциальным данным.
Небезопасные протоколы и шифрование. Использование устаревших или небезопасных протоколов, неправильное использование и реализация методов шифрования может сделать корпоративные коммуникации уязвимыми для атак.
Утечки данных. Незащищенные данные, передаваемые через корпоративные коммуникации, могут стать объектом утечки или несанкционированного доступа. Сюда можно отнести и кражу открытых баз данных.
Атаки на веб-приложения. Веб-приложения, используемые для корпоративных коммуникаций, могут быть целью атак, направленных на кражу данных или нарушение работы систем.
Компрометация учётных данных. Утечка или кража учетных данных может позволить злоумышленникам получить несанкционированный доступ к корпоративным коммуникациям.
Несанкционированный доступ. Несанкционированный физический доступ к устройствам и сетям, используемым для корпоративных коммуникаций, может привести к утечке данных или нарушению работы систем.
Отсутствие обновлений и исправлений. Отсутствие своевременного обновления программного обеспечения и операционных систем может оставить корпоративные коммуникации без защиты от новых угроз или оставить для реализации известных уязвимостей.
Этот список постоянно пополняется - злоумышленники не сидят на месте и изобретают все новые и новые методы. Поэтому необходимо держать руку на пульсе и следить как за инцидентами как на российском, так и на мировом рынке. Мы относимся к компаниям, которые внедрили процессы управления уязвимостями.
Управление уязвимостями
Уязвимостями можно и нужно управлять. У нас в IVA Technologies такие процедуры внедрены и отработаны. Они включают в себя:
Обнаружение. На этом этапе используются различные инструменты и методы для поиска уязвимостей, включая сбор данных из различных источников, сканирование сети, анализ кода, тестирование на проникновение и другие методы включая пентесты и Bug Bounty.
Оценку. После обнаружения потенциальной уязвимости оценивается ее реализуемость, критичность и потенциальный ущерб от эксплуатации. Для этого используются системы оценки уязвимостей, такие как CVSS (Common Vulnerability Scoring System).
Приоритизацию. Уязвимости ранжируются по степени опасности и приоритетности устранения. Наиболее опасные уязвимости устраняются в первую очередь.
Устранение. Разрабатываются и внедряются меры по устранению уязвимостей или снижению их влияния. Это включает обновление ПО, настройку параметров безопасности, установку патчей и т.п.
Отслеживание. После устранения уязвимости отслеживается её статус и проверяется, что она действительно устранена.
Документирование. Все этапы процесса управления уязвимостями документируются для обеспечения прозрачности и контроля.
Обучение персонала. Сотрудники, ответственные за безопасность, обучаются методам обнаружения, оценки и устранения уязвимостей.
Регулярное тестирование. Тестирование на наличие уязвимостей проводится регулярно на нескольких площадках включая собственный киберполигон.
Взаимодействие с поставщиками и технологическими партнерами. В случае обнаружения уязвимостей у сторонних компонентов или сервисов информируются поставщики и координируются действия по устранению.
Пентесты
Проведение регулярных пентестов на собственном киберполигоне позволяет выявлять критические уязвимости в продуктах. Тестируем мы в режиме внедрения продуктов “Как у Заказчика”. Например, в 2023 году критических уязвимостей не выявлено, а летом 2024 года была обнаружена и устранена одна критичная уязвимость с очень сложной и маловероятной реализуемостью.
Bug Bounty
В скором времени IVA Technologies планирует выйти на одну из ведущих российских площадок Bug Bounty. Мы ожидаем, что этот шаг приведет к улучшению безопасности наших продуктов. Поиск уязвимостей по программе Bug Bounty поможет нам лучше выявлять и предотвращать кибератаки и защитить данные пользователей.
Но это не единственная цель. Также повышается доверие заказчиков к нашим решениям, ведь мы демонстрируем свою открытость и готовность улучшать качество продуктов. Мы работаем над позитивным имиджем - программа Bug Bounty показывает, что компания ценит безопасность и готова сотрудничать с сообществом в интересах наших потребителей и партнеров.
Кроме этого, важен процесс получения обратной связи. Багхантеры дополняют внутреннее тестирование и могут указать на проблемы, которые компания не заметила, и предложить улучшения.
А еще участие в программе Bug Bounty может привлечь внимание разработчиков и специалистов по безопасности, что способствует развитию экосистемы вокруг наших продуктов.
Собственный Киберполигон
Компания IVA Technologies создала и развивает собственный Киберполигон для отработки и распространения лучших практик безопасного внедрения и эксплуатации наших решений, а также для отработки интеграции с лучшими российскими средствами защиты информации (СрЗИ).
В отличие от тестовых стендов, Киберполигон по архитектуре и составу максимально соответствует типичным информационным системам наших заказчиков. По сути, Киберполигон и воспринимается разработчиками ПО как “Внешний заказчик”. На Киберполигон могут попасть только те версии ПО, которые мы потом передадим клиентам - никаких тестовых версий!
В состав Киберполигона входят типовые подсистемы (домен, почта, файловое хранилище, и т.п.) - все, что может быть использовано в функциональности продуктов нашей экосистемы.
Наших технологических партнеров мы тоже приглашаем на Киберполигон для проведения демонстрации работы продуктов, проведения собственных тестов и оценок, предоставляем им учетные записи и делимся опытом и результатами собственных тестов.
На нашем Киберполигоне:
Проверяются безопасные настройки наших продуктов
Проверяются безопасные маршруты и порты узлов
Проводятся нагрузочные тесты
Проводится сканирование на уязвимости в том числе по методологии OWASP. Сканируются не только узлы но и компоненты ОС и ППО,
Проводятся UNIT-тесты, фазинг-тестирование, автотесты и т.п. Применяются тестовые боты собственной разработки.
Отрабатывается интеграция с распространенными российскими СрЗИ
Отрабатываются интеграции с внешними системами
В результате киберполигон приносит массу пользы. Формируется комплекс “Best practice” по безопасному внедрению и эксплуатации продуктов нашей экосистемы во взаимодействии с другими комплексами, присутствующими в инфраструктуре потребителей. Этими результатами мы делимся со службами интеграции, техподдержки и пресейла для распространения в интересах наших Заказчиков.
И кстати - на сам Киберполигон непрерывно проводятся реальные кибератаки. По нашей политике он доступен из Internet (iva-cp.ru). Реальные кибератаки мы принимаем с радостью, так как мы наблюдаем за реальными методами, которые могут применять на наших потребителей.
Интеграция с средствами защиты информации
Мы интегрируем наши продукты с отечественными средствами защиты информации (СрЗИ) с целью обеспечения всесторонних целей обеспечения безопасности корпоративных коммуникаций в инфраструктуре наших потребителей.
К таким интеграциям мы относим :
Интеграцию с системами мониторинга (Zabbix и подобными), что позволяет осуществлять мониторинг наших продуктов в привычной инфраструктуре Заказчика
Интеграцию с распространенными DLP системами для обеспечения контроля за передаваемым контентом корпоративных коммуникаций
Интеграцию с Антивирусными средствами и “Песочницами” для выявления и предотвращения передачи в корпоративной среде вредоносного ПО
Интеграцию с SIEM системами для сбора событий безопасности
Интеграцию с сертифицированными СУБД
Интеграцию с WAF для реализации расширенной защиты приложений
Интеграцию с PAM/IDP/IDM/SBC системами
Интеграцию с NGFW UserGate
Все решения тестируются на собственном Киберполигоне, после чего внедряются в нашу корпоративную инфраструктуру. Да, мы сами пользуемся продуктами, которые разрабатываем, прежде чем выпустить их на рынок.
Отработаны и выпущены сертификаты совместимости с решениями наших технологических партнеров
Антивирусная защита
Куда же без нее. В нашей ВКС разработана и внедрена интеграция с российскими антивирусами, включая установку на серверы с IVA MCU антивируса Касперского для linux систем KESL v 11+ с управлением из KSC и проверку передаваемых в IVA MCU файлов по протоколу ICAP.
Безопасное хранение данных
Тут мы тоже подошли серьезно и предусмотрели возможность хранения данных на выделенном узле сети с установленной сертифицированной ФСТЭК операционной системой, а также с установленной сертифицированной ФСТЭК СУБД с зашифрованным разделом данных. То есть даже в случае утечки базы данных данные защищены от ознакомления.
Собственные механизмы защиты
К собственным встроенным механизмам защиты мы относим:
Расширенная парольная политика
Защита от брутфорса
Строгая ролевая модель
Ограничение и управление доступом к средствам управления и администрирования
Поддержка внешней аутентификации
Хранение данных в защищенном виде
Реализованы меры защиты в соответствии с требованиями Приказов ФСТЭК России:
№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
№ 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
№ 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
№ 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Безопасная разработка ПО
Процессы разработки ПО в IVA Technologies соответствуют требованиям ГОСТ Р 56939 “Защита информации. Разработка безопасного программного обеспечения”.
Что же мы делаем в рамках БР? Во-первых, используем современные инструменты моделирования, тестирования и разработки и не забываем своевременно и регулярно обновлять компоненты ПО и средств разработки. А еще мы применяем инструменты разработки с функциями безопасности - такие как статический анализ кода, обнаружение уязвимостей, управление версиями и др. Это помогает предотвратить ошибки и уязвимости в коде.
Во-вторых, мы регулярно тестируем безопасность кода для выявления уязвимостей до того, как они будут использованы злоумышленниками. Проведение аудита безопасности помогает выявить слабые места в ПО и разработать меры по их устранению.
В-третьих, мы применяем систему контроля версий и управления изменениями: она помогает отслеживать изменения в коде и быстро реагировать на потенциальные угрозы безопасности. Также безопасность на всех этапах жизненного цикла ПО помогают обеспечить такие методы как контроль доступа, шифрование данных и т.д.
Не забыли ввести режим коммерческой тайны и ограничить доступ к критическим ресурсам. А еще мы регулярно мониторим и анализируем события безопасности - это помогает выявить подозрительную активность, аномалии поведения и принять необходимые меры.
Киберучения
IVA Technologies на постоянной основе проводит киберучения по ИБ. Так мы тестируем все разработанные нами инструкции, протоколы, а также умение персонала действовать в критических ситуациях. Однако без четкой цели и наличия определенного процесса киберучения бессмысленны. Поэтому мы расписали все шаги:
Сценарий. Учения имеют сценарий с четко определенными целями и задачами для участников. Например, имитация фишинговой атаки, DDoS-атаки или другого типа киберугроз.
Участники. В учениях участвуют сотрудники разных отделов, включая IT, безопасность, управление и другие. Это позволяет создать более реалистичную ситуацию и проверить взаимодействие между подразделениями.
Инструктаж. Перед началом учений участники проходят инструктаж о целях, задачах и правилах проведения учений.
Имитация атак. Во время учений проводится имитация кибератак. Это может быть отправка фишинговых писем, попытки несанкционированного доступа к системам и т.д.
Реакция участников. Участники должны реагировать на атаку в соответствии со своими обязанностями и процедурами безопасности. Они должны предпринимать меры по обнаружению, сигнализированию, анализу и устранению угрозы.
Оценка действий. После окончания учений проводится оценка действий участников. Оценка учитывает скорость и эффективность реакции, а также соблюдение процедур безопасности.
Анализ результатов. По итогам учений проводится анализ результатов. Необходимо выявить слабые места в системе безопасности и устранить их.
Обучение и повышение осведомленности сотрудников
Естественно, мы обучаем своих сотрудников ИБ, а также правилам безопасной разработки. Кроме того, у нас есть программы обучения для заказчиков, интеграторов, пользователей и партнеров, которые включают в себя вопросы безопасного внедрения и эксплуатации наших продуктов.
Технологическое партнерство
Дружить с другими вендорами очень важно и полезно. Технологическое партнерство с разработчиками отрасли кибербезопасности позволяет сразу создавать продукты, которые гармонично интегрируются с отечественными средствами защиты. Обмен опытом и знаниями помогает лучше понимать потребности друг друга. Кроме того, сотрудничество со специалистами по безопасности улучшает качество нашего программного обеспечения благодаря свежим идеям, опыту и более тщательному анализу уязвимостей и угроз.
Также такое сотрудничество снижает риски, связанные с разработкой и внедрением новых технологий. Технологические партнеры совместно выявляют потенциальные проблемы и разрабатывают решения для их преодоления. Совместная работа также повышает эффективность разработки, ускоряя процесс и снижая затраты на создание новых продуктов и развитие уже существующих.
Технологическое партнерство с компаниями-экспертами в области защиты информации повышает нашу конкурентоспособность. Развитие технологических партнерств способствует созданию экосистемы вокруг наших программных продуктов, что приводит к появлению новых контактов, услуг и возможностей для пользователей. Наконец, сотрудничество со специалистами по информационной безопасности укрепляет нашу репутацию - над этим тоже надо работать.
Бюллетень с рекомендациями по безопасному применению наших решений
У нас есть документ «Рекомендации по ИБ» который включает так называемые «Бест практис» по безопасному внедрению и эксплуатации наших решений.
Что в итоге?
Как видите, мы в IVA Technologies используем комплексный подход к обеспечению безопасности наших продуктов. Да и в целом безопасность является основополагающим принципом наших разработок. Было бы интересно в комментах почитать, каким набором пользуетесь вы. Велком :-)
