У специалистов по информационный безопасности, системных администраторов и IT-директоров огромный выбор средств для защиты сетей. Как не запутаться? Что из представленного на рынке подойдет для вашей компании, а без чего точно можно обойтись? Давайте разбираться.
CASB
CASB (Cloud access security broker) — это локальное или размещаемое в облаке программное обеспечение, которое размещается между потребителями и поставщиками облачных услуг для обеспечения соблюдения политик безопасности, соответствия и управления облачными приложениями. Это решение представляет собой отличную и дифференцированную технологию от существующих категорий безопасности, таких как идентификация как услуга (IDaaS), брандмауэры веб-приложений (WAF), защищенная сеть шлюзы (SWG) и корпоративные брандмауэры. CASB помогают организациям расширить средства управления безопасностью своей локальной инфраструктуры до облака.
Есть два основных варианта построения решения: через прямой прокси, когда весь трафик корпоративных пользователей анализируется на прокси-сервере; через обратный прокси, когда мы получаем информацию напрямую из облачных сервисов. Возможен промежуточный вариант, при котором собственного прокси из пункта «А» нет, и CASB ведет анализ данных, получаемых со сторонних прокси-серверов. Этот вариант наиболее эффективен с точки зрения скорости и процедуры внедрения, так как требует минимальных изменений в инфраструктуре клиента.
Увеличение использования облаков наряду с растущей зрелостью решений CASB привело к более широкому внедрению CASB на предприятиях. Сегодня CASB является критически важным элементом стека безопасности предприятия. Gartner прогнозирует, что к 2022 году 60% предприятий будут использовать CASB для защиты своих облачных приложений. CASB в равной мере интересен всем сегментам, от SMB до LE.
Как определить, что вам нужен CASB? 1. Если вам важно понимать, какими облачными сервисами пользуются сотрудники, а какими нет. Зная это, вы можете понять, насколько целевым образом тратятся деньги на приобретение «облачного» программного обеспечения.
2. Если вы хотите управлять рисками. Видимость облачных сервисов – это как обзор внутренней ИТ-инфраструктуры. Если вы не в курсе, какое программное и аппаратное обеспечение используется в компании, то и не знаете, с какой стороны может реализоваться ИТ- или ИБ-риск.
DLP
DLP (Data Leak Prevention) — это программные решения и технические устройства для предотвращения утечек данных и конфиденциальной информации из информационной системы компании. Они строятся на анализе потоков данных, которые попадают в периметр защищаемой информационной системы.
С их помощью можно контролировать все каналы сетевой коммуникации (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечек достигается за счет того, что на все компьютеры ставятся агенты, которые собирают информацию и передают ее на сервер. При проверке в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
Как правило, во многие DLP-системы включены функциональность контроля эффективности сотрудников, информация об активных приложениях, посещенных сайтах, кейлоггер и запись видео экрана.
Как выбрать DLP-систему?
Определите четкий список задач, которые она будет решать. Фокусировка на решении задач позволит четко обосновать целесообразность внедрения DLP для IT-подразделения и для предприятия в целом.
DNS-ФИЛЬТРЫ
DNS-фильтр — это интернет-сервис, который позволяет фильтровать нежелательные ресурсы по их доменным именам. Если у пользователя подключен фильтр на основе DNS, вместо опасного сайта он увидит сообщение о его блокировке. То же самое произойдет с поддельным сайтом, который попытается похитить учетные данные от аккаунтов в социальных сетях или данные кредитных карт. DNS-фильтры можно использовать для повышения безопасности детей в интернете, так как с их помощью можно блокировать сайты с порнографией и насилием, а также сайты содержащие ссылки на подобные ресурсы. Некоторые DNS-фильтры могут блокировать назойливую интернет-рекламу.
При подключении DNS-фильтра нет необходимости устанавливать программное обеспечение на компьютер. Все, что нужно сделать — прописать в настройках сетевого подключения компьютера нужный адрес DNS-сервера, который и будет выполнять роль фильтра. Если прописать настройки DNS-сервера в маршрутизаторе, через которое все устройства в домашней сети получают доступ к интернету, под защитой окажутся все устройства сразу, что избавит от необходимости настраивать каждое из них. DNS-сервера, поддерживающие фильтрацию, могут быть отечественными или зарубежными, предоставлять сервис фильтрации бесплатно или по подписке, после создания учетной записи (что часто дает возможность дополнительных настроек, в том числе ручного редактирования «черных списков»).
Область применения этих сервисов не ограниченна только домашними ПК. Если вы администратор сети предприятия, такие сервисы будут дополнительной защитой вашей сети, просто настройте резольвинг интернет-адресов вашей сети через dns-фильтр.
EDR
EDR (Endpoint Detection and Response) — это новая платформа, способная обнаруживать атаки на рабочие станции, сервера, любые компьютерные устройства (конечные точки) и оперативно на них реагировать. Платформа EDR не просто защищает компьютерную систему от вредоносов, она умеет моментально замечать новейшие угрозы высокой сложности и одновременно проявлять реакцию на возникшую ситуацию. Это новейшее и пока лучшее решение в обнаружении угроз и проявлении реакций конечных точек.
Работа платформы EDR начинается с установки агента на компьютерное устройство пользователя (конечную точку). Затем осуществляется анализ действий приложений, запускаемого на компьютере, полученные данные отправляются в облако. Защитное решение способно классифицировать практически все приложения, по которым поступает информация, в том числе программы с вредоносным кодом и без него.
Продукт использует датчики, установленные на конечных точках, будь то сервер или рабочая станция, постоянно отслеживает активность в системе и фиксирует атаки, и отвечает на них до того момента, как они нанесут вред компьютерной системе. Платформа EDR не перегружает сетевой трафик, не требует перезагрузки компьютера, никак не влияет на работу пользователя. Все аномалии, обнаруженные в системе, фиксируются, составляется отчет, по которому инженер ИБ может принять соответствующие меры.
IGA
IGA (Identity Governance and Administration) — это системы управления идентификацией. По мере роста и развития индустрии управления идентификацией и доступом, потребности организаций естественным образом привели к тому, что направления продуктов управления идентификацией и администрирования идентификационных данных начали сливаться в более полные решения. Исходя из этого, появился новый термин, который называется "управление и администрирование идентичностью" (УУИ). Хотя один термин проще двух, лежащие в его основе понятия группируют в себе большое количество концепций в рамках отрасли. С этим легко справиться в небольших масштабах, но это очень сложно сделать в больших масштабах. Многие средние и крупные организации имеют более 10 000 сотрудников и сотни систем. Команда людей не может вручную поддерживать все изменения в идентификационных данных, поэтому управление идентификационными данными и административные продукты внедрены, чтобы сделать это проще.
Gartner в своем последнем магическом квадранте, составленном для рынка IGA, выделяет три основных сервисных модели: 1. Специально спроектированные облачные IGA-сервисы с использованием архитектуры современных облачных приложений. В основном подходят организациям, которым достаточно базового и среднего набора функций для интеграции с приложениями on-premises (установленными и эксплуатируемыми на территории заказчика). Основные преимущества — быстрота внедрения, бесшовная интеграция, частые апдейты и быстрое наращивание функциональности. Недостатки — отсутствие возможности кастомизации и слабые возможности управления доступом в облачных сервисах.
2. Классические IGA-решения, размещаемые в облаке. Востребованы организациями с высокими требованиями к функциональности IGA для управления доступом в приложениях on-premises. Преимущества — передача инфраструктуры и обновлений на сторону сервис-провайдера. Можно кастомизировать и использования API, но все изменения должны быть согласованы с сервис-провайдером и спланированы.
3. Решения по SSO-аутентификации и авторизации в облачных сервисах с ограниченным набором IGA-функций. Подходят организациям, делающим акцент на управлении аутентификацией и авторизацией в основном в облачных приложениях, при этом требования к IGA не сильно востребованы и будут расти постепенно.
NGFW
NGFW (Next-Generation Firewall) — это защитное программное обеспечение, которое включает в себя функции традиционных фаерволов (предотвращение вторжений) и расширенные функции: более глубокую инспекцию трафика и проактивную систему обнаружения угроз. Эти решения производят фильтрацию не просто на уровне портов и протоколов, а на уровне протоколов приложений и функций самих приложений, таким образом заглядывая вглубь транзакций и останавливая активность вредоносного ПО и блокируя сложнейшие методы атак. NGFW обеспечивают защиту от непрерывных атак со стороны инфицированных систем; инспекцию трафика, шифруемого с помощью SSL; содержат сигнатуры определения типов приложений на основе движка IPS; дают полностековое инспектирование трафика, в т.ч. приложения, а также детальный и настраиваемый контроль на уровне приложений; есть возможность включать информацию за пределами брандмауэра (например, интеграция с сетевыми каталогами, «белыми» и «черными» списками приложений), а база описаний приложений и угроз постоянно обновляется. NGFW помогает компаниям защищать сети, устройства и приложения от вредных атак, в том числе от развитых устойчивых угроз, уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей и незащищенного доступа.
SOC
SOC (Security Operations Center) — это центр оперативного управления, это совокупность технических и организационных мер, направленных на выявление, анализ и предотвращение инцидентов. Его основные задачи —консолидация событий из множества источников, проведение определенной аналитики и оповещение уполномоченных сотрудников об инцидентах информационной безопасности или иных происшествиях. На основе этих данных сотрудники проводят расследование, принимают меры, чтобы исключить возможность повторения события, минимизируют потери. При создании SOC обычно уходят от чисто технического понимания задачи, включающего только установку и настройку SIEM, а обращают внимание на организационные моменты: документирование наиболее очевидных процессов и формализацию требований на соответствие каким-либо стандартам (как внутренним, так и внешним), составление SLA и другие. Хорошо настроенную и поддерживаемую SIEM-систему (если в службе безопасности существуют регламенты реагирования на инциденты) теоретически можно считать SOC первого уровня. Однако сейчас таких внедрений в России достаточно немного.
UEBA/UBA
UEBA/UBA (User [and Entity] Behavioral Analytics) — это класс систем, которые позволяют на основе массивов данных о пользователях и IT-сущностях (конечных станциях, серверах, коммутаторах и т. д.) с помощью алгоритмов машинного обучения и статистического анализа строить модели поведения пользователей и определять отклонения от этих моделей, как в режиме реального времени, так и ретроспективно. В качестве источников данных могут быть файлы журналов серверных и сетевых компонентов, журналы систем безопасности, локальные журналы с конечных станций, данные из систем аутентификации и даже содержание переписки в социальных сетях, мессенджерах и почтовых сообщениях.
Формально UEBA и UBA относятся к одному классу систем, но есть фундаментальное отличие: UBA-системы берут за основу информацию, связанную только с пользовательской активностью и фокусируются на пользователях и их ролях. UEBA-системы обогащают эту информацию данными о системном окружении — хостах, приложениях, сетевом трафике и системах хранения. Это позволяет UEBA-системам строить профили всего IT-окружения. Благодаря этому они могут идентифицировать более широкий класс угроз, связанных не только с пользователями, но и с объектами IT-инфраструктуры. Системы UEBA представлены как в виде отдельных программных решений, так и в виде расширений для уже существующих систем: SIEM, DLP, EDR и пр. UEBA архитектурно решают четыре основные задачи: Прикладная аналитика данных из различных источников (как простая статистическая, так и расширенная); быстрая идентификация атак и других нарушений, которые не определяются классическими средствами; приоритизация событий из разных источников (SIEM, DLP, AD и т. д.), для более оперативного реагирования; более эффективная реакция на события за счет расширенной информации об инциденте.
В ядро любой UEBA-системы включаются технологии по работе с большими массивами данных. Опираясь на них, она строит модель нормального поведения пользователя и его взаимодействия с корпоративными системами. Построение модели происходит как с помощью простых статистических алгоритмов, так и с помощью алгоритмов машинного обучения. Помимо этого, UEBA-системы могут строить модели поведения целых групп пользователей и определять отклонения каждого из них от общей модели. Если какие-то действия пользователя выбиваются из построенной модели, UEBA-система определяет это как аномальную активность и создает соответствующее предупреждение администратору безопасности. Обычно это происходит в режиме реального времени или близком к нему. В дополнение к этому, системы UEBA ведут ретроспективную статистику по каждому пользователю и на основе собранных данных по его аномальной активности способны выставлять своеобразные оценки риска каждому из них. В дальнейшем эти оценки используются в ранжировании событий, облегчая работу администратора безопасности. Плюс ко всему, UEBA-системы предоставляют развернутую информацию по инцидентам, включая информацию обо всех задействованных пользователях и системах, с анализом определенных аномалий в их поведении, что значительно упрощает дальнейшее расследование.
Благодаря общему подходу ко всем сетевым сущностям (не только к пользователям, но и к элементам ИТ-инфраструктуры) UEBA могут дополнять широкий класс ИБ-систем и решать задачи, которые они не могут решить в принципе. Например, определение скомпрометированных аккаунтов пользователей и конечных станций, определение и предотвращение инсайдерских угроз, мониторинг сотрудников и их прав доступа.
UTM
UTM (Unified Threat Management) — это универсальное устройство или решение, обеспечивающее мощную комплексную защиту от сетевых угроз, у которого есть минимальный набор функций: межсетевой экран; система обнаружения и защиты от вторжений (IDS/IPS); Virtual Private Network (VPN); антивирус.
По мнению Gartner UTM-система должна обеспечивать:
Стандартные функции межсетевого экранирования с контролем состояний сетевых соединений;
Возможность организации удалённого доступа с использованием VPN;
Функциональность Web-шлюза безопасности с проверками на наличие вредоносного трафика, URL-фильтрацией и контролем приложений;
Предотвращение сетевых вторжений.
Решения класса UTM эффективно использовать организациям небольшого и среднего размера, а также филиалам и удаленным офисам крупных компаний. Это экономически более выгодно, чем приобретение отдельных систем для выполнения различных функций. Вместе с тем, для защиты центрального офиса крупной организации надежнее и правильнее использовать выделенные устройства для выполнения отдельных задач. Всеми функциями UTM-решения администратор может управлять из единой панели управления, что ускоряет работу и повышает надежность системы защиты, поскольку система позволяет коррелировать все события, обнаруженные разными подсистемами и провести их комплексный анализ на предмет злонамеренной активности. Результат использования UTM — комплексное обеспечение информационной безопасности на интернет-периметре; оптимизация инвестиций в шлюзы безопасности; возможность поэтапного наращивания функций безопасности; уменьшение рисков от всего спектра угроз; фильтрация и контроль трафика; защита от вирусов и атак. Некоторые производители продают решение с полной функциональностью по фиксированной цене, другие позволяют приобретать функции по дискретному принципу – на каждую дополнительно подключаемую функцию установлена своя цена.