Security Day 2025: як переосмислити безпеку у світі багатошарових загроз. Перший трек

IT Specialist, за підтримки Check Point, Thales та Clico у другій половині листопада провела конференцію Security Day 2025, яка зібрала майже 100 фахівців українських компаній. Захід проходив у двох паралельних треках: перший був присвячений світовим практикам, другий фокусувався на українських розробках.

Форум відкрила Анна Краснікова, менеджерка з продажу компанії IT Specialist, яка презентувала програму заходу та зазначила, що Security Day – це професійна платформа, де міжнародний досвід поєднується з українськими технологічними можливостями. «Завдання нашої конференції, яка проводиться вже другий рік поспіль, продемонструвати функціональність та переваги програмних продуктів і рішень як міжнародних, так і створених в Україні та адаптованих під реальні потреби українського бізнесу, державного сектору та критичної інфраструктури».

Анна Краснікова: «Завдання нашої конференції, яка проводиться вже другий рік поспіль, продемонструвати функціональність та переваги програмних продуктів і рішень як міжнародних, так і створених в Україні та адаптованих під реальні потреби українського бізнесу, державного сектору та критичної інфраструктури»

Сесію світових практик розпочав своїм виступом Олександр Батуревич, регіональний менеджер CheckPoint в Україні та Молдові. Він розповів про зміни в законодавстві – зокрема, в постанові Кабінету міністрів тепер чітко регламентують використання сертифікованих засобів кібербезпеки. До червня наступного року компанії, які оперують персональною, службовою або конфіденційною інформацією – банківська таємниця, досудове слідство – повинні використовувати сертифіковані рішення. В іншому випадку надається 12 місяців на проведення такої сертифікації. Порушення загрожує не просто адміністративними штрафами, а кримінальною відповідальністю для посадових осіб, які підписалися за побудову безпечної мережі.

CheckPoint позиціює себе як єдиного іноземного виробника з найбільшою кількістю висновків від Держспецзв'язку. Компанія проходила сторонній code review, відкриваючи вихідний код представникам ліцензіату для отримання висновків КЗІ рівня ДСК.

Перший глобальний тренд, про який розповів Олександр Батуревич – проактивний пошук загроз. Компанія приділяє цьому суттєву увагу. Рішення CyberInk дозволяє подивитися на організацію очима зловмисника: виявити всі активи, домени, IP-адреси, поштові скриньки, соцмережі, мобільні застосунки та сторонніх постачальників, які мають доступ до ресурсів компанії. В CheckPoint саме в цьому напрямку працює більш як 450 спеціалістів.

Другий тренд – відхід від закритої екосистеми. З купівлею Verity компанія CheckPoint пропонує інтеграцію зі сторонніми рішеннями через API. І це не тільки про отримання даних – система розуміє конкретні API різних продуктів і може впливати на них, керувати ними.

Олександр Батуревич: «CheckPoint пропонує інтеграцію зі сторонніми рішеннями через API. І це не тільки про отримання даних – система розуміє конкретні API різних продуктів і може впливати на них, керувати ними»

Третій тренд – відхід від точкового захисту до mesh-архітектури. Замість ізольованих зон відповідальності (окремо захист користувачів, окремо периметр, окремо хмара) CheckPoint пропонує гібридну архітектуру, де всі системи пов'язані між собою. Виявлення загрози на будь-якому рівні миттєво стає відомо всім іншим системам. При цьому не потрібно ганяти весь трафік через інтернет – спеціальні технології в SaaS-рішенні дозволяють робити лише контекстні перевірки, а основний трафік йде напряму.

Представник CheckPoint зазначив, що окремої уваги заслуговує придбання компанією стартапу Lakera – відповідь на зростаючі загрози для AI-систем. І це не просто стартап, а команда дослідників з докторськими ступенями, які працюють з технічними університетами та написали безліч статей про штучний інтелект, machine learning та великі мовні моделі.

Владислав Дубов, керівник архітектурних рішень IT Specialist представив Silverfort – рішення класу ITDR (Identity Threat Detection Response). Ця платформа розв'язує болючу проблему, з якою стикається кожна організація: системи, які не підтримують нативно мультифакторну автентифікацію.

«Я майже впевнений, що кожен зараз може згадати якусь систему у своїй інфраструктурі, яка не має мультифакторної аутентифікації, – звернувся до аудиторії Дубов. – Це можуть бути застарілі вебпортали, написані у 2000-х роках, без адміністраторів та розробників. Або підключення по RDP до серверів. Або мережеві комутатори по SSH – майже жоден комутатор чи маршрутизатор нативно не підтримує мультифактор».

Владислав Дубов: «Найбільша перевага Silverfort – все працює без агентів на робочих станціях та серверах. Уявіть, що вам потрібно встановити агенти на 10 тисяч робочих станцій та 5 тисяч серверів»

Як працює Silverfort? Агент встановлюється лише на контролер домену Active Directory (або інтегрується з іншими identity providers – Okta, Ping, Entra, Google Workspace). Доповідач зазначив важливий момент: якщо політика не дозволяє підключення, Silverfort може заблокувати доступ ще на етапі автентифікації. «Найбільша перевага – все це працює без агентів на робочих станціях та серверах, – наголосив Дубов. – Уявіть, що вам потрібно встановити агенти на 10 тисяч робочих станцій та 5 тисяч серверів».

Доволі детально Владислав Дубов розповів про роботу та набір функцій Silverfort, який по суті є firewall для автентифікації. Серед іншого він навів приклади простого вирішення доволі складних та різнопланових завдань зі сфери адміністрування MFA.

Доповідач у завершенні виступу також відзначив, що Silverfort виріс з маленького стартапу 2020 року до компанії з офісами від Японії та Австралії до США і Канади, представленої майже в усіх країнах Європи. Понад 1000 клієнтів по всьому світу, майже 450 співробітників. Microsoft сертифікував рішення і рекомендує його на своєму сайті як єдиний кейс для певних сценаріїв імплементації мультифактора в Active Directory-інфраструктурах.

Про рішення Elastic та еволюцію від «просто пошукового движка» до платформи операційної безпеки розповів Андрій Чуенко, директор з практики надання послуг впровадження і підтримки рішень ІБ в IT Specialist. Він відзначив, що компанія існує з 2012 року, і до 2021-го ELK-стек був open source з Apache-ліцензією, що забезпечило його широке розповсюдження. Elasticsearch є рекордсменом за кількістю завантажень та наявний «під капотом» багатьох рішень.

«Працюючи над розвитком SOC протягом 7 років, ми спочатку не розглядали Elastic як основну платформу, – зізнався Андрій Чуенко. – Більше дивилися на нього як на додатковий інструмент для точкових задач. Але поточні можливості продуктів від Elastic дозволяють використовувати його більш масштабно». У підтвердження своїх слів він навів два цікавих кейси.

Андрій Чуенко: «Працюючи над розвитком SOC протягом 7 років, ми спочатку не розглядали Elastic як основну платформу. Більше дивилися на нього як на додатковий інструмент для точкових задач. Але поточні можливості дозволяють використовувати його більш масштабно»

Перший кейс про побудову системи збору та збереження журналів роботи вебсервісів. Замовник мав цілий ряд вебсервісів за WAF, великий обсяг журналів та різні аудиторії – IT, DevOps, Security Operations Center. Використовувати SIEM для обробки журналів, які здебільшого не мають цінності для безпеки, було дорого та неефективно.  Для вирішення цієї проблеми було побудоване Log Data Lake на базі ELK-стеку. Логи з WAF та вебсерверів через Logstash потрапляли на Elasticsearch, звідки через Kibana різні команди отримували доступ до даних з різними відображеннями. Security-логи (спрацювання політик WAF, агентів) паралельно передавались в SIEM для кореляції. Цікавий момент: в рамках SOAR-автоматизації для збагачення інформації про інцидент система зверталася до Elasticsearch, отримувала додаткові відомості, і коли security-аналітик мав приймати рішення, всі дані вже були готові в кейсі. Як результат всі журнали в одному місці з гнучким доступом, швидким пошуком та управлінням правами. При цьому інфраструктура збору даних уніфікована.

Другий кейс – контроль дистанційної роботи співробітників та підрядників під час COVID-19. До пандемії компанія працювала виключно в офісі, віддалений доступ мали одиниці. З поширенням коронавірусу довелося масово переходити на дистанційку, і керівництво вимагало статистику в онлайні: хто, коли, скільки працював – по користувачах, по підрозділах, по підрядниках, по часу.

Рішенням стало використання можливостей існуючих систем та інтеграція даних в ELK-компонентах. З боку системи Network Security Analytics – надходили сумаризовані звіти про мережеві комунікації (з якої мережі в яку, об'єм переданих даних), замість збору та використання детальної телеметрії трафіку. З боку SIEM-системи надходили безпекові події – по користувацькій роботі (підключення та відключення, успішні та неуспішні автентифікації).Додатково до рішення були імпортовані довідкові дані (користувачі, компанії, підрозділи). Інтегровані та нормалізовані дані відображались в онлайн-звіті на Kibana, що  був доступний менеджменту, IT та security-аналітикам. Невеликий об’єм інформації дозволив порівняно просто реалізувати критичну вимогу – зберігати дані три роки (відповідно до політик безпеки). Додатковою перевагою при експлуатації рішення стала висока ступінь автоматизації та надійності – система працювала автоматично, спеціалісти лише забезпечували моніторинг технологічного процесу. Актуальна аналітика дозволяла бачити, чи дійсно аутсорс-підрядник, який мав працювати в офісі, виконує свої задачі у віддаленому режимі.

Доповідач запропонував розглянути концепцію централізованого Log Data Lake на базі Elastic. Проблема сучасних організацій: різноманітні джерела даних (системи, платформи, сервіси), різні сценарії використання (один і той же журнал роботи додатка потрібен і security, і anti-fraud команді, і бізнес-аналітикам), складність регуляторних вимог, необхідність захисту даних та оптимізація витрат. Рішення об'єднує дані з різних джерел – додатки, платформи, сервіси, операційні системи, обладнання – через агентні, безагентні, пасивні, активні механізми збору в централізоване сховище. Звідти дані віддаються різним командам відповідно до їх кейсів: SIEM-системи, виявлення та дослідження аномалій, автоматичне збагачення інцидентів в SOAR для реагування.

Володимир Здор: «Для фінансових організацій, державних компаній, силових структур потрібно знати, де знаходяться дані, критично важливі для конкретного підрозділу. Наша платформа дозволяє знайти для кожного підрозділу їх критичні дані, класифікувати та покласти під контроль туди, де вони мають бути»

Наступним доповідачем став Володимир Здор, регіональний менеджер Thales в Україні, свій виступ він почав з нагадування про фундаментальну проблему, яку часто ігнорують: лише 70% компаній можуть класифікувати свої дані та знайти, де саме знаходиться персональна або критично важлива інформація. Ця статистика базується на даних від клієнтів Thales, яка виробляє high-security модулі для фінансових та PKI-інфраструктур, канальні шифратори та інші рішення.

«Для фінансових організацій, державних компаній, силових структур потрібно знати, де знаходяться дані, критично важливі для конкретного підрозділу, – пояснив Володимир Здор. – Наша платформа дозволяє знайти для кожного підрозділу їх критичні дані та покласти під контроль туди, де вони мають бути».

Thales розглядає це не як технічний нюанс, а як фундаментальний аспект корпоративної безпеки. У логіці компанії «знайти» означає не просто просканувати певний набір систем, а побачити весь ландшафт даних – структурованих, неструктурованих, прихованих або упакованих у різні сервіси.

Доповідач пояснював, що організації надто часто покладаються на ручні процеси або інвентаризацію, виконану роки тому. Проблема в тому, що такі підходи швидко застарівають: хмари ростуть, користувачі створюють нові файли із шаленою швидкістю, а обмежені інструменти фіксують лише частину картини.

У фокусі презентації була логіка автоматичного виявлення даних – як ті самі механізми можуть знайти конфіденційні файли не лише там, де їх очікують, а й у зовсім несподіваних місцях. Володимир Здор підкреслив, що справжня цінність полягає не лише у класифікації, а в тому, як організація з цими результатами працює: обмежує доступ, маркує, шифрує, блокує поширення. Це створює завершену картину: якщо перемістити погляд від атак до даних, можна побачити, що компанія захищає не сервери й не мережі, а саме інформацію. І Thales у цьому сенсі став логічною точкою завершення першої сесії – компанією, яка розставила акценти на тому, з чого все починається і чим усе закінчується.

Таким був першій потік конференції Security Day 2025. Більш детально про другу сесію, яка фокусувалася на розробках компанії IT Specialist, вже у другій частині репортажу.