Обзор систем управления рисками. Антон Ленский, рассэ (гк АйТеко) Владислав Вайц, мгту им. Н. Э. Баумана Сравнение решений sgrc
Скачать 435.47 Kb.
|
1 Антон Ленский, РАССЭ (ГК «АйТеко») Владислав Вайц, МГТУ им. Н.Э. Баумана Сравнение решений SGRC Мы подготовили обзор и сравнение SGRC-решений, представленных на российском рынке информационной безопасности. В данном направлении работает не так много вендоров, поэтому в обзоре будут участвовать 5 игроков, из которых трое - отечественные. Напомним, что термин SGRC означает Security Governance, Risk Management and Compliance, т.е. буквально «Управление безопасностью, рисками и соответствием законодательству». Платформы SGRC, исходя из их названия, решают следующие задачи: • Governance - менеджмент информационной безопасности с процессами автоматизации управления активами, уязвимостями, документами, задачами, стандартами, а также с возможностью визуализации состояния ИБ и создания отчетности. • Risk Management - управление киберрисками с автоматизацией риск-ориентированного подхода к обеспечению информационной безопасности, нацеленное на экономически обоснованный выбор оптимальных мер защиты, минимизирующих выявленные и рассчитанные риски. • Compliance - обеспечение соответствия законодательству, отраслевым и внутренним стандартам и требованиям (комплаенс), с возможностью проведения аудитов и предоставления отчетности и результатов. Дополнительно системы SGRC могут выполнять следующие функции: • управление внутренними документами, базой знаний и решений, выполнение функции «внутренней Wiki» для департаментов ИБ; • управление разнообразными бизнес-процессами, связанными с защитой информации; • управление процессами взаимодействия с контрагентами по вопросам защиты информации; • построение отчетов и визуализация состояния ИБ в виде интерактивных графиков и диаграмм; • обеспечение интеграции с ОС, ПО, СЗИ для получения информации о состоянии компонент инфраструктуры; • поддержка обработки инцидентов ИБ; • поддержка управления процессами обеспечения непрерывности бизнеса и восстановления работоспособности; • обеспечение поддержки принятия управленческих решений для руководства (ситуационная осведомленность). 2 Классические бизнес-ориентированные GRC-системы сфокусированы на более широких категориях управленческих процессов и рисков, чем специализированные SGRC-решения. Однако, специализация SGRC-продуктов на кибербезопасности привносит в решения дополнительный функционал, такой как автоматизация реагирования на инциденты ИБ, взаимодействие со средствами защиты, формирование специализированной отчетности. В обзоре представлены основные игроки на рынке SGRC-систем: • ePlat4m (Россия) • Microsoft 365 Compliance Center (США) • RSA Archer (США) • R-Vision (Россия) • Security Vision (Россия) Сравнивать и анализировать данные решения мы будем по их общим, техническим и функциональным характеристикам и возможностям, делая после каждого раздела выводы. 3 Критерий сравнения ePlat4m Microsoft Compliance Center RSA Archer R-Vision Security Vision 1. Сравнение общих и технических характеристик 1.1. Требования к программному обеспечению Версия 1.8.6 June 2020 6.8 4.4 4.1.7 Вариант поставки Установка on-premise и SaaS Облачное решение (SaaS) в инфраструктуре Microsoft Azure Установка on-premise и в облачной инфраструктуре Amazon Web Services, Microsoft Azure Software appliance, есть возможность развернуть на физических серверах. При небольших расчетных нагрузках есть опция размещения всех компонент в режиме All-in-one (на одном сервере) Software appliance, есть возможность развернуть на физических серверах. При небольших расчетных нагрузках есть опция размещения всех компонент в режиме All-in-one (на одном сервере) Среды виртуализации Нет Облачное решение (SaaS) VMware VMware, VirtualBox, Hyper- V, Xen, Parallels VMware, VirtualBox, Hyper- V, Xen, Parallels, KVM Компоненты решения Сервер СУБД, веб- сервер Облачное решение (SaaS) Сервер СУБД, веб- сервер, сервер служб Сервер управления, сервер СУБД (может быть совмещен с сервером управления), центральный коллектор, коллектор инвентаризации Сервер управления, сервер СУБД, сервисы коннекторов (коннекторы к источникам данных и коннекторы реагирования), сервис мониторинга ОС Microsoft Windows Server 2012 и выше Облачное решение (SaaS) Microsoft Windows Server 2012R2/2016 Сервер управления, коллекторы: CentOS 7, RHEL 7, Astra Linux CE 2.12, AltLinux Альт 8 СП Сервер СУБД: Ubuntu 14/16, CentOS 7, RHEL 7, Windows Server 2012/2016, FreeBSD 11 Сервер управления, сервисы коннекторов, сервис мониторинга: Microsoft Windows Server 2012R2 и выше, CentOS 7 и выше, RHEL 7 и выше, Ubuntu 14 и выше, Astra Linux CE, AltLinux, Альт. Сервер СУБД: Microsoft Windows Server 2012R2 и выше, CentOS 7 и 4 выше, RHEL 7 и выше, Ubuntu 14 и выше, FreeBSD 11 и выше, Astra Linux CE, AltLinux, Альт СУБД MS SQL 2012 и выше, PostgreSQL Облачное решение (SaaS) MS SQL 2016 PostgreSQL v10 и выше PostgreSQL v9.5 и выше, MS SQL 2014/2016 и выше Клиентское ПО Веб-браузер Веб-браузер (Google Chrome, Mozilla Firefox, Internet Explorer, Edge) Веб-браузер (Google Chrome, Mozilla Firefox, Internet Explorer, Edge) Веб-браузер (Google Chrome, Mozilla Firefox, Internet Explorer) Веб-браузер (Google Chrome, Mozilla Firefox, Internet Explorer, Edge, Yandex) 1.2. Требования к аппаратному обеспечению и инфраструктуре заказчика Архитектура процессора Облачное решение (SaaS) Любая, поддерживающая ОС сервера x86 Любая, поддерживающая ОС сервера Аппаратное обеспечение 8 ЦПУ 8 Гб ОЗУ Облачное решение (SaaS) Нет данных В зависимости от количества активов, сценариев реагирования, пользователей системы: Сервер управления: 1– 22 ЦПУ 8 – 32 Гб ОЗУ Сервер СУБД: 1 – 16 ЦПУ 8 – 24 Гб ОЗУ Коллектор (рекомендуемые значения): 4 ЦПУ 8 Гб ОЗУ Сервер управления: 1-12 ЦПУ 4-16 Гб ОЗУ Сервер СУБД: MS SQL/PostgreSQL: 1-16 ЦПУ 4-32 Гб ОЗУ Сервисы коннекторов, сервис мониторинга: 1-2 ЦПУ 2-4 Гб ОЗУ Поддержка распределенно го размещения компонент (географическ и Нет данных Облачное решение (SaaS), серверы распределены по всему миру Нет данных Да Да 5 распределенны е площадки, изолированны е сегменты ЛВС) Оптимизация нагрузки (footprint) на ИТ- инфраструкту ру заказчика при работе компонент решения Нет данных Асинхронное выполнение заданий Нет данных Алгоритмы оптимизации сетевого сканирования и снижения нагрузки на ЛВС Алгоритмы оптимизации сетевого сканирования и снижения нагрузки на ЛВС, распараллеливание сканирования, разделение уровней глубины сканирования Возможность установки обновлений решения через Интернет Нет данных Есть Есть Есть Есть Возможность установки обновлений решения без доступа к Интернет Нет данных Нет Есть Возможность локального обновления присутствует Есть 1.3. Удобство эксплуатации, администрирования Документация Предоставляется в виде pdf-документов Предоставляется на веб- сайте Microsoft Предоставляется в виде pdf-документов Предоставляется в виде контекстной HTML-справки и в виде отдельного документа Предоставляется в виде HTML-справки и в виде pdf-документов Язык документации Русский Английский, русский (машинный перевод) Английский Русский Русский Язык интерфейса Русский Английский, русский (не все пункты меню Английский Русский, английский Русский, английский, поддержка мультиязычности 6 могут быть переведены с английского) (возможность добавлять другие языки) Темы оформления Не поддерживается Светлая, темная Не поддерживается Светлая, темная Светлая, темная Предоставляем ые права доступа к ОС, на которой разворачивают ся решения Администратор Ограниченные тенантом Администратор Root (полные) Администратор/root (полные) Методы аутентификац ии пользователей решения Доменная аутентификация Аутентификация через Azure AD Доменная аутентификация (NTLM, Kerberos), встроенная аутентификация Доменная аутентификация (NTLM, Kerberos), встроенная аутентификация. Примечание: доменная аутентификация требует предварительной настройки через Linux-консоль, поскольку сервер управления работает под управлением ОС Linux Доменная аутентификация (NTLM, Kerberos, включая SSO), аутентификация посредством протокола Radius, встроенная аутентификация. Примечание: поддержка назначения ролей пользователям системы на основе данных о членствах групп в Active Directory Настройка сетевого взаимодействи я-вия Конечный список требуемых протоколов и портов Конечный список требуемых интернет- адресов, протоколов и портов. Список интернет-адресов может обновляться Конечный список требуемых протоколов и портов. Как правило, везде используется порт TCP:443 Конечный список требуемых протоколов и портов, конфигурирование iptables осуществляется через Linux- консоль Конечный список требуемых протоколов и портов, конфигурирование брандмауэра Windows осуществляется через GUI или командную строку. Конфигурирование iptables осуществляется через Linux- консоль Настройка отображения информации В зависимости от прав и роли пользователя В зависимости от прав и роли пользователя В зависимости от прав и роли пользователя Возможность выбора пунктов из списка доступных элементов, сортировка данных, возможность Полностью настраиваемое рабочее место для роли, предустановленные фильтры и параметры отображения, возможность настройки 7 сохранять настроенные фильтры состава отображаемых элементов, фильтрация с сохранением настроек, сортировка по всем данным, дополнительный функционал для сложной сортировка по всем данным Поиск по всем объектам из единого интерфейса Поиск по всем элементам Поиск по всем элементам Поиск по всем элементам Поиск по всем элементам, в т.ч. связным Глобальный поиск по всем объектам Импорт, экспорт элементов решения Экспорт в формат docx, xlsx, pdf Некоторые элементы экспортируются в формат csv Импорт/экспорт данных в формате xml, xls Импорт данных об активах (типа Организации, Оборудование, Сети), результатов оценки Аудитов, требований для Аудитов, списка элементов из таблиц Excel (файл заданного шаблона). Экспорт данных об активах, списка элементов, задач, справочников (выборочно), отчетов, моделей угроз, журналов работы системы в форматах xlsx, docx, pdf. Экспорт элементов карт, схем в графический формат (png). Экспорт и импорт данных коннекторов в формат json Импорт/экспорт любых данных в машиночитаемом виде. Экспорт отчетов в форматах xlsx, csv, docx, pdf. Импорт/экспорт любых объектов в формат csv, docx, pdf. Импорт/экспорт настроенных объектов и процессов во внутреннем формате. Экспорт элементов схем «Рабочих процессов» в графический формат (png, jpeg) 8 Способы оповещения пользователей Отправка email Отправка email, всплывающие уведомления в веб- интерфейсе Отправка email Отправка email Отправка email, СМС, Telegram-уведомлений, звуковые оповещения и всплывающие уведомления в веб-интерфейсе Настройка оповещений Частичная настройка оповещений Частичная настройка оповещений Частичная настройка оповещений Автоматическая генерация отчетов по расписанию, отправка уведомления ответственным (пользователи, роли) за определенный тип поручения (задача, уязвимость, замечание или проверка по аудиту), отправка уведомления о наступлении определенного события в системе (пользователи, активы, уязвимости, аудиты) Возможность настроить произвольные пользовательские события для оповещения об изменениях в отслеживаемых свойствах объектов, настройка условий срабатывания оповещений (в зависимости от свойств контролируемых объектов). Полная настройка текста оповещения, с использованием атрибутов объекта, по которому происходит оповещение Собственный API Нет Azure REST API RESTful API Web API Собственный GRC API REST API REST API 1.4. Разграничение прав доступа к системе Модель разграничения доступа Ролевая модель разграничения доступа. Дискреционная модель разграничения доступа Ролевая модель разграничения доступа Ролевая модель разграничения доступа Ролевая модель разграничения доступа. Системные роли: доступ к разделам системы на чтение или изменение, например: Администратор, Пользователь, Менеджер по управлению рисками и т.д. Ролевая модель разграничения доступа. Настраиваемые роли, на основании атрибутов объектов. Разграничение доступа ко всем объектам в системе с назначением прав на чтение, изменение, создание, 9 Специальные роли: доступ к отдельным элементам системы, например: Владелец актива, Администратор безопасности, Аудитор безопасности и т.д. выполнение групповых операций для конкретного пользователя/группы. Разрешения построены по принципу Модуль – Объект доступа – Право доступа – Политика Поддержка гранулированн ого доступа Нет данных Да Да Возможность создавать пользовательские роли с разрешениями на выполнение конкретных действий с конкретными объектами, объединять пользователей в группы и назначать им роли Возможность создавать пользовательские роли с разрешениями на выполнение конкретных действий с конкретными объектами, объединять пользователей в группы и назначать им роли. Возможность ограничивать доступ к просмотру определенных свойств конкретных объектов (например, определенных свойств активов, содержащих конфиденциальную информацию). Функционал рабочих процессов позволяет определять порядок взаимодействия с любым логическим объектом (инцидент, актив, уязвимость, задача и т.д.) различных групп пользователей, в том числе в зависимости от текущего состояния и значений свойств объекта, с 10 учетом ролей и прав пользователей 1.5. Журналирование История действий пользователя Ведется история действий пользователей и администраторов Ведется история действий пользователей и администраторов Ведется история действий пользователей и администраторов Ведется история действий пользователей и администраторов во всех модулях, включая экспорт данных журнала и отправку его по syslog Ведется история действий пользователей и администраторов во всех модулях, включая отправку информации об активности на email, по syslog и SNMP Журналирован ие действий с объектами Да, действия пользователей и системы Да, действия пользователей Да, действия пользователей и системы Ведется история изменения всех элементов (изменение значения полей, действия с элементами, добавление объектов) Ведется история изменения всех объектов (изменение свойств, состояний рабочего процесса, выполненных транзакций) с сохранением старого и нового значения измененного свойства Мониторинг функциониров ания решения Журналирование средствами ОС Журналирование средствами системы Журналирование средствами системы Журналирование средствами ОС (текстовые файлы), журналирование путем записи событий в БД Журналирование средствами ОС (Windows-журнал Application, текстовые файлы), журналирование путем записи событий в БД Журнал безопасности решения Системный журнал ОС История входов и выходов пользователей, неудачные попытки входа, блокировки учетных записей, изменение прав доступа, изменение списка пользователей, смена пароля История входов и выходов пользователей, неудачные попытки входа, блокировки учетных записей, изменение прав доступа, изменение списка пользователей, смена пароля История входов и выходов пользователей, неудачные попытки входа, блокировки учетных записей, изменение прав доступа, изменение списка пользователей, смена пароля История входов и выходов пользователей, неудачные попытки входа, блокировки учетных записей, изменение прав доступа, изменение списка пользователей, смена пароля, список IP-адресов, с которых осуществлялось подключение 11 1.6. Безопасность Защита коммуникаций между компонентами решения Использование протоколов SSL/TLS Использование протоколов SSL/TLS Использование протоколов SSL/TLS Использование протоколов SSL/TLS и возможность аутентификации по сертификатам между всеми компонентами системы, использование выданных Центром Сертификации/ Удостоверяющим Центром сертификатов. Примечание: настройка работы с PKI осуществляется через Linux-консоль Использование протоколов SSL/TLS и возможность аутентификации по сертификатам между всеми компонентами системы, использование выданных Центром Сертификации/ Удостоверяющим Центром сертификатов |