Нет универсального решения, которое сделает IT-инфраструктуру бизнеса невосприимчивой к атакам. Инструменты безопасности бывают разных типов и размеров, они создаются для разных целей и имеют свои преимущества и недостатки. Чтобы создать нечто, напоминающее «полную» систему безопасности, необходимо сначала собрать все «кирпичики» вместе. Безопасность - это процесс. Нельзя просто один раз выделить бюджет и ожидать, что все будет идеально навсегда. Киберпреступность постоянно развивается, поэтому прогрессивный подход к системам защиты является необходимым. Фактически, такой подход может принести значительные финансовые выгоды.

Уровень защиты: Базовый, защита конечных точек

• Какие инструменты нужны?

Антивирусы, лицензионное программное обеспечение

• Когда нужно задуматься о внедрении?

Когда в компании появляется хотя бы одно устройство

• Какова стоимость?

Страховка от наиболее распространенных угроз

• Главный недостаток

Беспомощность против новых и сложных угроз

Это самый базовый уровень защиты для процессов, бизнес-данных и конфиденциальной информации. В области безопасности такие решения известны своей надежностью, так как антивирусная система защищает от уже известных вирусов, червей, троянов, которые ранее были внесены в базу данных.

Основой безопасности также является лицензионное программное обеспечение, которое обеспечивает регулярные обновления для борьбы с последними угрозами.

Защита периметра

• Инструменты

 брандмауэр (Firewall)

• Кто должен задуматься о внедрении?

Если компания использует Интернет, ей следует использовать брандмауэр.

• Какова ценность?

Базовая защита от внешних угроз для корпоративной сети

• Какие недостатки?

Защита базовая и, вероятно, оставит вас уязвимыми для более сложных атак

Первая защитная система, с которой сталкивается злоумышленник, - это брандмауэр. Это набор аппаратных и программных инструментов, которые контролируют и фильтруют трафик, проходящий через него в различных точках и в соответствии с определенными правилами. Эта стена служит границей между вашей организацией и интернетом, через которую вы можете безопасно взаимодействовать. Основная задача брандмауэра - защита компьютерных сетей от вторжений, контроль доступа пользователей в Интернет, проверка трафика на наличие угроз и фильтрация сетевых пакетов.

Брандмауэры являются одним из основ безопасности и должны быть абсолютно обязательными. Однако они не решают все ваши проблемы. Брандмауэры имеют различные возможности, и всегда есть риск, что они останутся узким местом, который злоумышленники смогут обойти при хорошо продуманной целевой атаке. Кроме того, они не защитят вас от внутренних угроз.

Уровень защиты: Продвинутый, защита конечных точек

• Инструменты

 EDR (Endpoint Detection & Response)

• - Зачем это нужно?

Для предотвращения продвинутых атак, обнаруживая вредоносную активность сразу после ее возникновения.

• Какая ценность?

Основная защита конечных точек внутри периметра от продвинутых угроз, а также возможность их эффективной ликвидации.

В то время как антивирусы предотвращают типичные угрозы, EDR обнаруживает неизвестные сложные угрозы и скрытые атаки. Он также следит за состоянием конечных точек (почта, виртуальные машины, интернет-шлюзы) и обнаруживает вредоносную активность, анализируя поведение. EDR помогает командам безопасности отслеживать угрозы, включая целенаправленные атаки, и содержать их до того, как они причинят вред.

• Какие есть недостатки?

EDR только обнаруживает и исследует вредоносную активность. Это означает, что внутренние угрозы все еще могут проникнуть в вашу сеть. Хотя EDR позволяет блокировать атаки и изолировать файлы, он не обеспечивает максимальной защиты. Вам нужна квалифицированная команда аналитиков безопасности для работы с этой системой и интеграции с другими инструментами безопасности.

Защита от неизвестных угроз

• Инструмент

песочница

• Когда это нужно?

Для любых взаимодействий с внешними файлами.

• Какая от этого польза?

Возможность блокировать новые угрозы и сложные атаки с ограниченным бюджетом, без сложных настроек и привлечения специалистов.

• Есть ли недостатки?

Вредоносное ПО может не открыться в песочнице, если она не достаточно точно имитирует реальную среду.

Песочница - это ключевой элемент в поиске комплексной защиты от неизвестных и продвинутых угроз (ATP). Она создает изолированную среду, где все файлы, загруженные пользователями из Интернета, письма, документы и т.д., могут быть безопасно изучены. Только после того, как файлы будут признаны безопасными на основе поведенческого анализа, они станут доступны пользователям.

Песочницы дают нам возможность увидеть, как будет себя вести файл, если он попадет на реальную рабочую станцию. Если он попытается совершить незаконные действия, запросить доступ, зашифровать файлы, распространить вирус по сети, то вы можете легко заблокировать его и предотвратить проникновение в реальную инфраструктуру. Песочницы чрезвычайно популярны, потому что они очень эффективны, а их внедрение и поддержка относительно дешевы и просты.

Тем не менее, у песочниц также есть свои слабые места. Например, для целевых атак может быть создано вредоносное ПО, которое будет запускаться только при наличии определенных приложений и утилит на рабочей станции, и если их не будет в вашей изолированной среде эмуляции, то песочница не сможет обнаружить атаку, и вредоносный файл пройдет в реальную инфраструктуру. Тем не менее, в сочетании с другими инструментами, песочница является незаменимым звеном в системе защиты информации.

Защита сети

• Инструменты

NTA (анализ сетевого трафика), системы анализа сетевого трафика

• Когда это нужно?

Когда инфраструктура подключена к сети и есть возможность целенаправленных атак

• Какова ценность?

Это дает вам подробную картину всех действий в вашей инфраструктуре и хранилище трафика

• Какие есть недостатки?

Необходимость интеграции с другими инструментами безопасности для обнаружения и устранения угроз

Системы анализа сетевого трафика идентифицируют угрозы, анализируя события на уровне сети. Они мониторят трафик для обнаружения присутствия злоумышленников в ранних стадиях атаки, быстро локализуют угрозы и даже обеспечивают соответствие с последними нормативными актами. NTA способны сохранять снимок всего обработанного трафика, что важно при расследовании инцидентов.

Эти решения разработаны для обработки больших объемов трафика. Это означает, что с их помощью можно отслеживать не только отдельные операции, но и целые цепочки атак. Это возможно благодаря комбинации анализа поведения, машинного обучения, ретроспективного анализа и индикаторов компрометации. NTA обнаруживают подозрительную активность в трафике, который разрешают брандмауэры, и помогают отслеживать действия злоумышленников в слепых зонах.

Защита от утечек и защита данных

• Инструменты

 DLP, VPN

• Когда мне это нужно?

Когда в компании работают с конфиденциальными данными или если работники работают удаленно.

• Какова ценность?

Обнаружение и блокировка утечек, шифрование передачи данных, мониторинг сотрудников.

• Каковы недостатки?

Сложность развертывания, настройки и обслуживания.

Часто мы забываем о внутренних угрозах, сосредоточившись только на внешних. DLP помогает предотвратить утечку конфиденциальной информации, отслеживая передачу документов по электронной почте, копирование информации на съемные носители, а также передачи через веб-сервисы, социальные сети, облачное хранилище и даже фотографирование и печать документов. Эти технологии обнаруживают утечки от сотрудников или вредоносного программного обеспечения, блокируют передачу данных наружу и уведомляют офицера по информационной безопасности.

DLP также может выполнять ряд других полезных задач. Вы можете использовать их для отслеживания того, что делают сотрудники в течение рабочего дня, что они печатают и пересылают и т.д. Это стало особенно популярно во время массового удаленного рабочего процесса. Многие менеджеры искали такие функции для контроля и управления своими командами. Но с помощью DLP вы также можете выполнить более значительные задачи, такие как обнаружение коррупционных схем, теневых взаимодействий, договоров с завышенными ценами и т.д. Кроме того, один из наших клиентов сэкономил около миллиона долларов во время испытательного проекта по DLP.

VPN-решения используются обычными пользователями для анонимности в Интернете и использования заблокированных ресурсов. Компании используют VPN для шифрования чувствительных данных при удаленной работе. Предприятия строят безопасные коммуникационные каналы между филиалами и контрагентами, и шифруют каналы связи для защиты передаваемой информации. VPN гарантирует, что зашифрованная информация доставляется от точки А к точке B и дешифруется только там. Недостатки: протокол безопасности может быть сложен в установке, неправильная конфигурация может привести к уязвимостям и утечкам, поэтому необходимо привлечение опытных специалистов для работы с ним.

Для защиты вашей организации от различных видов угроз необходимо иметь всестороннюю стратегию безопасности. Она должна включать в себя сочетание различных мер безопасности, таких как брандмауэры, антивирусное программное обеспечение, системы обнаружения и предотвращения вторжений, песочницы, системы анализа сетевого трафика, DLP и VPN. Важно привлекать опытных специалистов по безопасности для развертывания, настройки и поддержки этих инструментов, чтобы обеспечить их правильную конфигурацию и эффективную работу. Организации также должны регулярно обновлять и пересматривать свои стратегии безопасности, чтобы адаптироваться к постоянно меняющейся угрозной обстановке, поскольку ни одно решение не может обеспечить 100% защиту от всех возможных угроз.

Если вам нужно получить более четкое представление о том, насколько безопасна ваша организация, эксперты Noventiq могут помочь вам оценить вашу существующую цифровую архитектуру и определить необходимые шаги, которые нужно предпринять, чтобы обеспечить эффективную и безопасную работу.

Андрю Моррисон, глобальный старший вице-президент по решениям и услугам, Noventiq.