EDR, STAP или EVC: проблема терминологии и сертификации

Законодательство
Заметка, к которой я подбирался достаточно давно и вот случилось два события, которые подхлестнули мою активность в завершении материала. Во-первых, в пятницу я выступал на семинаре с темой про системы предотвращения вторжений нового поколения (NGIPS) и когда готовился, подумал, что само понятие IDS/IPS уже устарело. Это в 90-х годах прошлого века в этот термин вкладывался вполне определенный смысл — типов средств защиты было немного и поэтому никто не ставил под сомнение терминологию. А сейчас? Типов средств защиты несколько десятков. DLP — это система предотвращения атак, связанных с утечками. Антивирус — это система предотвращения вирусных атак. NTA/NBAD — это системы обнаружения аномалий (IDS или СОВ/СОА по отечественной терминологии это тоже делают.) Так что же такое тогда IPS в ее нынешнем понимании?

Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: «...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации«. Средства — это средства, в которых реализованы средства… Эта «рекурсивная» фраза взята из закона «О государственной тайне», где она звучит таким образом: «средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации«. Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.

Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин «кибербезопасность», насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин 🙂 или иногда подменять его термином «киберзащищенность». Регуляторы опять же вынуждены пользоваться устаревшим «защита информации».

Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner’ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner — компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC — Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается — продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.

Проблема терминологии с типами средств защиты выводит нас на другую проблему — выработку требований для их сертификации. Ведь многие заказчики ориентируются только на применение сертифицированных решений (а некоторым это явно предписано и запрещено применять несертифицированное). Регулятор же выпускает РД с требованиями для, скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ, IDS/IPS, антивирус, ОС… И не очень оперативно. И что делать заказчикам в такой ситуации? Шашечки или ехать?

Вот допустим есть близкий мне Cisco AMP for Endpoints, который отнесен Gartner’ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа «В». А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?

На самом деле EDR/STAP/EVC — не единственный пример — их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP… Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.

И надо признать, что выходов из этой ситуации я вижу не так уж и много (если не рассматривать вариант с ослаблением требований к сертификации, что в текущей геополитической ситуации маловероятно):

  • Увеличение числа выпускаемых РД для разных типов средств защиты информации врядли сильно поможет, так как мы упираемся в «пропускную способность» регулятора и расширения спектра разных типов средств защиты.
  • Переход на модульную структуру требований по сертификации. Разделы по «доверию» вынести в отдельный документ (может быть путем модификации того же РД на НДВ или созданием нового РД на его основе), а требования к средствами защиты выносить в отдельные модули, которые будет разрабатывать попроще и побыстрее. Правда и тут возникает проблема с пропускной способностью ФСТЭК, которую можно было бы решить привлечением тех же производителей средств защиты, которые могли бы писать проекты РД (профилей) для своих решений и потом отдавать в ФСТЭК или Воронежский институт для финальной доработки, которая займет гораздо меньше времени, чем разработка РД с нуля регулятором.
  • Изменение подходов к аттестации систем, в рамках которой допускать применение несертифицированных решений при условии более глубокой их проверки с помощью пентестов, анализа защищенности или иных методов проверки. К слову сказать, все мы знаем, что сертифицированные решения не означают более защищенные. Сегодня бумага с голограммой является не более чем наследием 608-го Постановления Правительства по сертификации средств защиты гостайны 95-го года.

Что-то скатился я вновь к регуляторике, хотя начинал писать заметку про решения EDR/STAP. Ну ничего, в следующий раз напишу.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Евгений

    А что мешает вендору написать собственный профиль защиты под свое решение?

    Ответить
  2. Алексей Лукацкий

    Ничего. Главное согласовать его с регулятором. Проще (при единичной сертификации и отсутствии аналогичных решений на рынке) по ТУ

    Ответить