Хакеров ловит IRP

На PHDays 2021 был представлен новый подход к защите ИТ-инфраструктуры, названный "Информационная безопасность 2.0". Ставка делается на максимальную автоматизацию и самообучение защитных систем, что позволяет управлять ими при минимуме операторов. Первые две такие системы представила Positive Technologies (см. новость ComNews от 21 мая 2021 г.), и за ней анонсировало свое решение казанское ООО "ОМС Солюшн" (Innostage) - Innostage IRP. Данное решение ориентировано также на защиту не только ИТ, но и технологической инфраструктуры, включая АСУ ТП и технологические сети.

Платформа Innostage IRP существует и развивается с 2011 г. Изначально она относилась к классу систем реагирования на инциденты информационной безопасности, или IRP (Incident Response Platform). Однако Inostage IRP изначально имела заметные отличия от классических систем. К примеру, как отметил директор департамента продвижения собственных продуктов Innostage Илья Петров, система от казанских разработчиков включала модуль управления активами. Это было связано с тем, что для российских компаний наличие базы данных об ИТ-активах было (и остается), скажем так, нетипичным. Да и для тех, у кого такая база есть, не всегда вовремя отслеживаются внесенные изменения. При этом удалось обойти целый ряд проблем, связанных с доверием между разными службами потенциальных заказчиков. Другой отличительной особенностью стала интеграция с системами кадрового учета, что позволило купировать потенциально очень опасные ситуации - например, когда хакеры вторглись в инфраструктуру с использованием учетной записи реального сотрудника, находившегося в тот момент в отпуске, причем очень точно имитируя особенности его поведения.

Более серьезные изменения внесены в Innostage IRP после вступления в силу законодательства по защите объектов критической информационной инфраструктуры (КИИ). Так, появились средства, позволяющие вести мониторинг не только ИТ-, но и технологических систем, а также средства связи с внешними системами, включая ГосСОПКА. При этом The Standoff, одно из главных мероприятий в ходе PHDays, выступал в качестве испытательного полигона для Innostage IRP. Тем более, как напомнил руководитель центра мониторинга безопасности и реагирования на компьютерные инциденты CyberArt ГК Innostage Антон Кузьмин, отличие инфраструктуры, построенной в рамках The Standoff, от реального объекта - лишь в масштабе инфраструктуры. При этом проблема инвентаризации активов в технологическом сегменте, как отметил Антон Кузьмин, стоит даже более остро, чем в ИТ.

Дальнейшее совершенствование продукта также будет заключаться в том, чтобы расширять аналитические возможности, в частности отсеивание ложных срабатываний, и автоматическое реагирование на наиболее распространенные инциденты.