Александр Дубина, руководитель направления информационной безопасности Softline Belarus, подробно и доступно рассказал об инструментах защиты, которые являются «кирпичиками» в построении системы ИБ. Кто-то обходится одним фундаментом, а кто-то возводит целые «небоскребы» безопасности в соответствии со своими нуждами и рисками. Познакомьтесь в статье с существующими на рынке решениями и определите, какие необходимы именно вам.
- Зачем строить систему безопасности?
- Фундамент защиты. Базовый набор
- Защита продвинутого уровня
- Прогрессивная защита. Фокусные решения
- Как определить, на какой стадии ваша безопасность?
Зачем строить систему безопасности?
Во-первых, не существует одного универсального решения, которое смогло бы закрыть все существующие бреши в инфраструктуре. Инструменты защиты предназначены для разных целей, и каждый имеет как свои преимущества, так и слепые зоны. Чтобы построить полноценную безопасность, необходимо сложить все «кирпичики» вместе оптимальным образом. Второй фактор, который делает прогрессивные системы защиты незаменимыми – это непрерывное совершенствование киберпреступности. Бизнес должен понять, что безопасность – это процесс. Нельзя единожды уделить внимание и бюджет безопасности, а потом почивать на лаврах. Этот вопрос требует системного подхода, который будет обеспечивать постоянное пристальное внимание кибербезопасности, регулярную коррекцию подходов, решений и оперативную реакцию на инциденты.
Фундамент защиты. Базовый набор
Защита конечных точек
Инструменты: антивирусы, лицензионное ПО
Когда нужно: когда в компании появляется хоть одно устройство
В чем ценность: страховка от большинства массовых и распространенных угроз
Главный недостаток: бессилен перед новыми и сложными угрозами
Самый элементарный уровень защиты процессов, бизнес-данных и конфиденциальных сведений компании. В сфере безопасности эти решения называют «защитой от дурака», так как антивирус реагирует на набор уже известных вирусов, червей, троянов, которые ранее попали в базы, и защищает от них устройство. К фундаменту безопасности также относится лицензионное ПО, потому что только на нем можно получать регулярные обновления, которые содержат в себе своевременную проработку всех возможных на данный момент уязвимостей.
Защита периметра
Инструменты: межсетевой экран
Когда нужно: всегда, если в компании есть интернет
В чем ценность: базовая защита корпоративной сети от угроз извне
Главный недостаток: защита только базовая, остаются уязвимые места для изощренных атак, которые закрываются другими средствами защиты
Самая первая охранная система на пути злоумышленника – межсетевой экран или фаервол. Это комплекс аппаратных и программных средств, которые контролируют и фильтруют проходящий через него трафик на различных уровнях по заданным правилам. Такая своеобразная стена, граница между организацией и интернетом, через которую можно безопасно взаимодействовать. Основные задачи экранов – это защита компьютерных сетей от вторжений, контроль доступа пользователей в интернет, проверка трафика на угрозы, фильтрация сетевых пакетов, неподходящих по заданным настройкам. Это средство защиты относится к фундаменту безопасности и обязательно для применения, тем не менее оно не может решить сразу все проблемы. Сетевые экраны бывают с разными возможностями, но всегда есть риск, что в них останутся узкие места, которые злоумышленники смогут обойти при продуманной целевой атаке. Также они не защитят от внутренних угроз, так как направлены на контроль внешних.
Защита продвинутого уровня
Продвинутая защита конечных точек
Инструменты: EDR (Endpoint Detection & Response)
Когда нужно: для предотвращения сложных атак путем своевременного обнаружения фактов зловредной активности
В чем ценность: базовая защита конечных точек внутри периметра от сложных угроз
Главный недостаток: необходимость в высококвалифицированных специалистах и интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их
Если антивирусы предотвращают проникновение типовых угроз, то EDR, наоборот, выявляет неизвестные сложные угрозы и скрытые атаки. Решение постоянно мониторит состояние конечных точек (почты, виртуальных машин, интернет-шлюзов) и обнаруживает злонамеренную активность путем поведенческого анализа. С его помощью команда безопасности сможет вовремя отследить угрозы, в том числе самые современные целенаправленные атаки, и принять меры. Таким образом, главная задача, которую решает EDR – это обнаружение и исследование вредоносной активности. Это значит, что внутренние угрозы все-таки могут проникнуть в сеть, и, хотя в решении есть функционал, позволяющий блокировать атаки и изолировать файлы, для максимальной защиты одного EDR недостаточно. Требуется квалифицированная команда аналитиков службы безопасности, которые будут с этой системой работать и интеграция с другими средствами безопасности, такими как песочница, SIEM и т.д.
Защита от неизвестных угроз
Инструменты: песочница
Когда нужно: при любом взаимодействии с внешними файлами
В чем ценность: возможность бюджетно, без сложных настроек и привлечения специалистов блокировать новые угрозы и сложные атаки
Главный недостаток: вредоносное ПО может не раскрыться в песочнице, если она будет плохо имитировать реальную среду
Песочница – один из элементов комплексной защиты от неизвестных и сложных угроз (ATP). Это набор сред, который в точности подражает вашей рабочей станции. Создается изолированная среда, в которую попадают все файлы, загружаемые пользователями из интернета, письма, документы и т.д. После того как с помощью поведенческого анализа выясняется, что файлы безопасны, они передаются в распоряжение пользователей. Песочница – это возможность посмотреть, как бы файл вел себя, если бы попал на реальную рабочую станцию. Если он пытается совершать неправомерные действия, запрашивать доступы, шифровать файлы, распространять вирус по сети, можно легко заблокировать его и не дать проникнуть в реальную инфраструктуру.
Песочницы стали популярны, потому что их эффективность высока, а внедрение не требует сложных настроек и весомых затрат при эксплуатации и обслуживании. Однако есть в песочнице и место для уязвимостей. Например, для целевых атак может создаваться вредоносное ПО, которое запускается только при наличии определённых приложений и утилит на рабочей станции, а если они будут отсутствовать в изолированной среде эмуляции, то воспроизвести и зафиксировать атаку песочница не сможет, а вредоносный файл попадет в реальную инфраструктуру. Тем не менее в комплексе с другими средствами мониторинга и защиты, песочница служит незаменимым звеном в полноценной системе информационной безопасности.
Защита сети
Инструменты: NTA (Network Traffic Analysis) – системы анализа сетевого трафика
Когда нужно: когда инфраструктура подключена к сети и есть вероятность целевых атак
В чем ценность: подробная картина активности в инфраструктуре и хранение трафика
Главный недостаток: необходимость в интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их
Системы анализа сетевого трафика выявляют угрозы ИБ, исследуя события на уровне сети. Возможности мониторинга трафика позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовывать угрозы, а также контролировать соблюдение регламентов ИБ. Системы способны хранить копию обработанного трафика, что неоценимо при необходимости расследования инцидентов.
NTA-системы считаются более продвинутым средством защиты по сравнению с базовыми, так как они оперируют большими объемами трафика. Это значит, что с их помощью отслеживаются не единичные срабатывания, а выстраивается цепочка атаки целиком. Это возможно благодаря комбинации поведенческого анализа, машинного обучения, ретроспективного анализа, индикаторов компрометации и др. NTA обнаруживают такую подозрительную активность в трафике, которую пропускают периметровые средства защиты, и лучше отслеживают действия злоумышленников в слепых зонах. К тому же если киберпреступники тщательно готовятся к целевым атакам, они различными способами получают информацию о базовых средствах безопасности вашей инфраструктуры и в зависимости от архитектуры подбирают способы обхода. Чем продвинутее инструменты безопасности, тем сложнее их обойти.
Предотвращение утечек, защита данных
Инструменты: DLP, VPN
Когда нужно: когда есть сотрудники, работающие с конфиденциальными данными, или просто удаленные сотрудники
В чем ценность: выявление и блокировка утечек, зашифрованная передача данных, контроль за сотрудниками
Главный недостаток: сложное внедрение, настройка и администрирование
Защищаясь от внешних угроз, нельзя забывать, что опасность изнутри может быть еще более мощной. DLP – это технологии, а также программные или программно-аппаратные технические устройства для предотвращения утечек конфиденциальной информации. Они отслеживают пересылки документов по электронной почте, копирование информации на съемные носители, передачу через веб-сервисы, соцсети, облачные хранилища, даже фотографирование и печать документов. Эти технологии выявляют утечку, инициированную сотрудником или вредоносным ПО, блокируют передачу данных вовне и уведомляют об этом сотрудника ИБ.
DLP также популярны другими побочными задачами, связанными с контролем и анализом действий сотрудников. Можно отслеживать, что сотрудники делают в течение рабочего дня, что печатают, какие письма пересылают и т.д. Это стало особенно популярным в период массовой удаленной работы. Многие руководители хотят располагать такой статистикой для эффективного контроля и управления командой. Но с помощью этих возможностей можно выполнять и более весомые задачи. К примеру, выявлять коррупционные схемы, теневые взаимодействия, контракты по завышенным ценам и т.д. Даже на этапе пилотных проектов DLP обнаруживают нарушения. По словам одного из наших заказчиков, за 3 месяца пилота компания сэкономила около миллиона долларов. А пилоты в таких проектах частое явление, так как решения довольно сложны в исполнении и требуют последующего администрирования высококвалифицированными специалистами.
VPN-решения используются рядовыми пользователями, чтобы сохранить анонимность в сети и пользоваться заблокированными ресурсами. Компании же применяют VPN, чтобы зашифровывать конфиденциальные данные при удаленной работе, чтобы защитить их от утечек. На предприятиях выстраиваются защищенные каналы связи между филиалами и контрагентами, а также шифрования каналов связи для защиты передаваемой информации. VPN обеспечивает выход зашифрованной информации из точки A и ее расшифровку при доставке в точку B. Из минусов: протокол безопасности может быть сложно настроить, а ошибки в настройке могут привести к уязвимостям и утечкам, поэтому для работы с ним необходимо привлекать опытных специалистов.
Прогрессивная защита. Фокусные решения
Решение внутренних задач безопасности
Инструменты: сканер безопасности, WAF (Web Application Firewall)
Когда нужно: при наличии как минимум фундамента безопасности, а также веб-приложений для работы с клиентами
В чем ценность: своевременное закрытие брешей безопасности и защита репутации
Главный недостаток: сканер – необходимость в регулярном сканировании и оценке специалистов, WAF – индивидуальная настройка под клиента
В каждой компании есть свой специфический набор задач по безопасности в зависимости от бизнес-процессов, отраслевых стандартов и т. д. Чем больше инфраструктура, тем проще упустить что-то в ее защите, поэтому необходимо иметь инструмент, который будет проверять систему безопасности на наличие ошибок. Такой инструмент называется сканером безопасности. С его помощью можно «просветить» всю инфраструктуру организации на наличие уязвимостей, отсутствие обновлений на сервере, рабочей станции и т.д. Сканер дает понять, на что стоит обратить внимание и какие бреши закрыть. Например, в организации забыли обновить фаервол, а за это время в его модели стала общеизвестной какая-либо уязвимость. Злоумышленники получат прекрасную возможность «прощупать» в вашей системе это слабое место, а значит, предприятие будет под угрозой.
Сканер работает с базой данных актуальных уязвимостей, поэтому он вовремя указывает на потенциальные дыры, через которые можно попасть внутрь организации. Обязательное сканирование может быть закреплено даже законодательно в отраслевых стандартах. Например, банки обязаны по закону проводить аудит безопасности и предоставлять отчеты о сканировании. Недостаток этого инструмента может заключаться в том, что он делает статичный снимок состояния инфраструктуры, поэтому регулярность сканирования – обязательный пункт для выполнения. А также при анализе данных сканером всегда требуется оценка снимка специалистами.
Web Application Firewall похож по своим функциям на межсетевой экран для защиты периметра, но предназначен для приложений, к примеру, для защиты интернет-банкинга. Пользователи вводят в форму свои личные данные, пароли, проводят платежи и делают все это за пределами периметра безопасности банка. Через форму сайта злоумышленники часто взламывают внутреннюю базу данных и делают это путем элементарного подбора паролей, ведь граница приложения выходит за рамки общей сети и служит границей лишь конкретного приложения или сервиса, которое оказывает ваше предприятие.WAF закрывает это узкое место в защите при условии грамотной настройки и адаптации под клиента. Он предотвращает взломы клиентских приложений, которые особенно больно бьют по репутации компаний.
Анализ исходного кода
Инструменты: Application Inspection
Когда нужно: когда необходимо проверить безопасность новой разработки
В чем ценность: разработчики могут проверять собственные разработки, а компании безопасно принимать приложения от подрядчиков
Главный недостаток: могут быть ложные срабатывания, из-за чего процесс проверки нельзя полностью автоматизировать, необходимо привлекать специалистов
Application Inspection – решение для выявления ошибок и уязвимостей в исходном коде или готовом приложении, которое применяет комбинации статических, динамических и инфраструктурных методов анализа. С его помощью выстраивается процесс безопасной разработки. В первую очередь, это решение полезно самим разработчикам, так как они заинтересованы в качестве своей продукции и репутации. Однако, чем тщательнее компания относится к безопасности, тем больше в ней стремления не доверять на слово, а самостоятельно проверять все потенциальные источники угроз. Таким образом, самостоятельно проведенный анализ дает заказчику возможность точно установить уязвимости и право требовать их устранения за счет разработчика, согласно договору. Либо заказчик может ставить условие разработчикам обязательно использовать решения по анализу исходного кода и запрашивать документальное подтверждение, что приложение разработано по утвержденным стандартам. Это решение можно приобретать как лицензию или услугу вплоть до ручного анализа кода, когда специалисты точечно разбирают каждую строчку кода и пытаются эксплуатировать уязвимости. Такое происходит, так как анализаторы исходного кода могут выдавать ложные срабатывания, поэтому это довольно трудозатратная работа для специалистов.
Управление правами
Инструменты: IDM-системы
Когда нужно: если в компании более 1000 пользователей и от трех информационных систем
В чем ценность: автоматизированное управление правами доступа, исключение инцидентов из-за «мертвых душ»
Главный недостаток: долгая окупаемость
Этот класс решений призван бороться с «мертвыми душами» – неудаленными учетными записями ушедших из компании сотрудников. Чем они опасны? Тем, что не все покидают компанию лояльно, и могут использовать свои права доступа как способ навредить бывшему работодателю. И даже если такой цели нет, злоумышленники иногда специально ищут представителей «мертвых душ» по конкретным компаниям, а устоять перед возможностью легкого заработка могут не все. Тем более что найти виновных практически невозможно. Ведь по факту не происходит никакого взлома, злоумышленник проникает в систему абсолютно легитимно. IDM-системы позволяют автоматизированно управлять правами доступа от момента прихода сотрудника в компанию, когда необходимо пройти сложный процесс согласований и предоставлений прав и доступа ко всем необходимым системам, до момента его официального увольнения.
Чтобы избегать инцидентов, необходимо вовремя удалять учетные записи и до тех пор, пока размеры компании позволяют администратору справляться с этой задачей в ручном режиме, нет острой необходимости в IDM-системе. Но чем больше в компании сотрудников и информационных систем, тем больше вероятность допустить ошибку, которая может стоить потери бизнеса. Как правило, в больших компаниях, которые уже много лет ведут свою деятельность, «мертвые души» встречаются в огромных количествах, что делает эту уязвимость одной из самых распространенных.
Управление доступом
Инструменты: 2FA, PAM
Когда нужно: когда применяются парольные методы защиты, когда в компании есть ИТ-администраторы
В чем ценность: значительное усиление парольной защиты, контроль администраторов
Главный недостаток: в некоторых случаях зависимость от сети на мобильном телефоне
Применение 2FA и PAM довольно обширно ввиду небольшой стоимости и высокой результативности. Двухфакторная аутентификация (2FA) управляет доступом к системам компании на уровне пользователей. Она служит усилением парольной защиты, то есть при подключении к ресурсам недостаточно просто ввести правильный пароль, нужно еще авторизоваться, получив дополнительный код, например, на почту или телефон. Сегодня это особенно актуально, так как обычные пароли для злоумышленников практически перестали быть барьером.
PAM или Privileged Access Management – это управление привилегированным доступом на уровне администраторов. С помощью этого класса решений компании могут контролировать собственных админов и точно знать, что они не превышают своих прав в зловредных целях. Еще этот инструмент полезен, когда, к примеру, падает какая-то система и необходимо разобраться в причинах этого. PAM дает возможность поднять хронологию действий и вычислить, где и кем была допущена ошибка. Контролировать с помощью PAM можно не только своих, но и внешних подрядчиков. Если приходится привлекать специалистов для работы с ИТ-системами, необходимо защищать себя и видеть все совершаемые действия, а в случае инцидента находить ответственных.
Управление ИБ и инцидентами
Инструменты: SIEM
Когда нужно: когда устройства безопасности генерируют тысячи событий в секунду и их становится невозможно обрабатывать силами специалистов
В чем ценность: максимально полная картина безопасности организации в едином окне и возможность отслеживать все возможные виды злонамеренной активности
Главный недостаток: высокая стоимость построения системы и экспертизы специалистов
Если компания растет, то неизбежно растет и ее ИБ-система. Купив антивирусы, фаерволы, EDR, 2FA и PAM для головного офиса и всех своих филиалов, компания рано или поздно сталкивается с проблемой – как за всем этим уследить? Ведь у каждого из этих инструментов своя зона ответственности и ограниченные возможности, а обеспечение безопасности должно быть комплексным. Да, есть ИБ-специалисты, но люди не обладают настолько широкими физическими возможностями, чтобы ежесекундно отслеживать все происходящие в компании процессы. SIEM собирает информацию со всех инструментов безопасности, в том числе различных производителей, и выводит ее на один экран. Помимо удобства отображения информации, ценность системы в подробном сборе событий, их объединении в логическую цепочку и оповещении о возможности инцидента. Дело в том, что средства безопасности по отдельности могут не видеть атаки или злонамеренную активность, иногда обнаружить их можно только при корреляции информации из разных источников.
Так, с помощью SIEM ИБ-специалисты получают возможность видеть всю картину безопасности в организации целиком, получать уведомления о всех возможных нарушениях и максимально оперативно предотвращать инциденты, которые другими средствами безопасности могли быть пропущены. В последние годы SIEM становится одним из часто покупаемых решений, несмотря на высокую стоимость, так как растет понимание необходимости построения систем ИБ, а не покупки отдельных решений.
Реагирование на инциденты
Инструменты: SOAR (Security Orchestration, Automation and Response)
Когда нужно: когда в компании нет отлаженной системы реагирования на инциденты
В чем ценность: автоматизация систем ИБ и оперативное реагирование на инциденты
Главный недостаток: сложность внедрения и интеграции
Популярность этого класса решений растет стремительными темпами. Если SIEM-системы нацелены на сбор информации и подразумевают в большей степени управление и реагирование в ручном режиме, то SOAR – это инструмент автоматизации и оркестрации. То есть с его помощью можно управлять системами безопасности и координировать их работу, при этом в решении предусмотрены широкие возможности автоматического сбора данных, анализа и реагирования на инциденты. Из-за того что природа атак усложняется, а поток инцидентов иногда становится лавинообразным, потребность выполнять шаблонные и рутинные операции без привлечения человека становится актуальнее с каждым днем. SOAR позволяет сфокусироваться на сложных инцидентах, а также совершенствовании системы ИБ.
Комплексная система безопасности
Инструменты: SOC (Security Operation Center)
Когда нужно: когда в компании развитый ИБ-ландшафт и повышенный риск влияния ИБ-угроз на бизнес
В чем ценность: максимально возможное снижение рисков, оптимизация ИБ-процессов
Главный недостаток: сложные процессы настройки и сопровождения центра, а также зависимость от квалификации сотрудников SOC
SOC – это вершина построения той самой системы безопасности, о которой говорилось в самом начале. Центр мониторинга и реагирования на инциденты строится на базе описанных технологий, главным образом на SIEM и SOAR, с обязательным участием группы ИБ-специалистов. Главная задача сотрудников SOC – любыми путями не допускать инцидентов, в крайних случаях эффективно устранять их или расследовать. Для этого выстраивается сложный комплекс из технических средств, рабочих процессов и консалтинговой работы специалистов. Это позволяет контролировать состояние ИТ-инфраструктуры так детально, насколько это возможно, и предотвращать инциденты. За счет того, что SOC это не просто одиночная технология или разовая услуга, а целый центр, работающий на безопасность, он помогает реализовывать главный принцип безопасности – процессный подход. Ведь злоумышленники постоянно совершенствуются, и, чтобы противостоять им, нужен комплекс из технологий и неутомимых воинов на «светлой стороне». SOC можно построить самостоятельно, но без должного опыта это затратно и слишком сложно, гораздо выгоднее делегировать это профессионалам и воспользоваться SOC как услугой.
Мониторинг информационного пространства
Инструменты: ETHIC (External Threats & Human Intelligence Center)
Когда нужно: когда бизнесу важна репутация в цифровом пространстве
В чем ценность: проактивная защита бизнеса
Главный недостаток: обнаруженные угрозы нельзя откладывать в долгий ящик, требуется мгновенная реакция ИБ-специалистов
Идеальная характеристика защиты – проактивность. Сервис ETHIC создан специально для выявления потенциальных угроз задолго до того, как их признаки начнут проявляться в инфраструктуре. Он сочетает в себе технические разработки и труд аналитиков, которые направлены на постоянный мониторинг угроз и рисков для бизнеса, а также своевременное реагирование для их предотвращения. Это решение позволяет видеть в интернете все, что касается компании. Например, если кто-то на форуме в даркнете интересуется организацией, ищет людей с правами доступа, выискивает IP, то сервис засечет эти упоминания, что даст преимущество отделу ИБ в подготовке к возможным атакам, либо, если это возможно, они будут сразу заблокированы в рамках сервиса. С помощью ETHIC выявляются слитые базы, «мертвые души», поддельные сайты компании, созданные для обмана, утечки конфиденциальных данных и многое другое.
Как определить, на какой стадии ваша безопасность?
Руководителю любой компании нужно начинать с инвентаризации. Причем с инвентаризации всей информационной системы, на которой построены бизнес-процессы. Создать коллектив из юристов, специалистов по ИТ и ИБ. Посмотреть на угрозы, риски и разработать механизмы нейтрализации этих угроз. Механизмы могут быть и организационными, и правовыми, и техническими, и социальными. Чтобы окончательно определить уровень безопасности в компании, необходим профессиональный аудит, который покажет, как работает компания в реальном времени. Таким образом, чтобы определить уровень безопасности вашей компании, необходимо начать с аудита и закончить аудитом.
Для любых целей, связанных с кибербезопасностью, вы можете обратиться в Softline. Вы получите консультацию, услуги, продукты для построения системы безопасности базового, продвинутого или прогрессивного уровня.
Расскажите нам о своих проблемах и целях:
Тел: +7(495) 232-0023
Email: services@softline.com
Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot
