Мурад Мустафаев, 14/01/22
Проактивный подход и своевременное внедрение инструментов защиты – путь к успешной практике ИБ. Если компания использует собственные мощности и виртуальную инфраструктуру, то эффективные инструменты защиты должны быть внедрены на всех уровнях. Важно рассматривать не каждую отдельную угрозу по мере ее возникновения, а внедрить комплекс технологических инструментов ИБ, которые обеспечат защиту всего цифрового периметра. Компоненты информационной безопасности можно разделить на физические, аппаратные и программные.
Автор: Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” (группа ЛАНИТ)
Физические компоненты
Важнейшим физическим компонентом современной инфраструктуры ИБ любой компании, помимо видеонаблюдения, является система контроля и управления доступом (СКУД). Ее внедрение обеспечивает доступ только для авторизованных сотрудников или других лиц с помощью средств аутентификации. Система может быть интегрирована с инфраструктурой контрольно-пропускных пунктов, сторонними информационными системами, а также ИИ-решениями, такими как FaceID. Внедрив СКУД, бизнес может быть уверен в четком контроле доступа в любое время суток.
Аппаратные компоненты
Многие компании убеждены, что вполне достаточно использования сложного пароля, чтобы защитить корпоративную учетную запись. Однако при входе в некоторые системы пароль можно сбросить по электронной почте – таким образом, используя скомпрометированный ящик электронной почты, злоумышленник может получить доступ к нескольким системам. Внедрение многофакторной аутентификации – это простой способ дополнительно защитить конфиденциальные данные компании и обеспечить доступ к ресурсам только легитимным пользователям. Многофакторная аутентификация может быть реализована как через одноразовые код-пароли, которые приходят пользователю по СМС и обычно действительны только на протяжении 30–60 с, так и через аппаратные токены, которые представляют собой физический носитель, подключаемый к устройству, а также и через более сложный способ – биометрическое решение.
К аппаратным ИБ-компонентам относится криптография, которая обеспечивает защиту информации путем шифрования данных. Криптография преобразовывает передаваемое сообщение в форму, которая будет нечитабельна без ключа шифрования. Даже в случае, если злоумышленник перехватит информацию, она будет ему доступна только в зашифрованном виде и не будет представлять для него никакой ценности.
Среди аппаратных компонентов выделяют те решения, которые через электромагнитные каналы ограничивают доступ к информации с помощью экранизирующих и поглощающих устройств и материалов. К этой категории относятся сетевые фильтры и другие устройства, перекрывающие потенциальные каналы утечки информации.
Программные компоненты
Решения для мониторинга информационной безопасности
Инструменты мониторинга собирают и анализируют журналы безопасности из различных источников. Популярные инструменты мониторинга сети и ИТ-инфраструктуры включают в себя системы управления инцидентами и событиями безопасности (SIEM), системы обнаружения вторжений (IDS) и поведенческой аналитики.
Технологии безопасности конечных точек обеспечивают видимость безопасности на уровне хоста, предоставляя возможность группам кибербезопасности обнаруживать угрозы на более ранних стадиях. Такие инструменты мониторинга безопасности включают в себя обнаружение и реагирование (EDR) и платформы защиты конечных точек (EPP).
SIEM
SIEM-система представляет собой комплекс программного обеспечения для управления событиями информационной безопасности. Система собирает и анализирует данные из нескольких источников, включая сетевые устройства и серверы для выявления аномального поведения и возможных кибератак. Как только система обнаружит эти аномалии, она сможет определить нарушение безопасности и упростить последующее расследование для ИБ-специалистов.
WAF
WAF-комплекс – межсетевой экран для веб-приложений, направленный на выявление и блокировку современных кибератак на веб-ресурсы. Внедрение такого решения дает возможность не только выявить вредоносный трафик, но и определить, какие атаки были направлены на критические уязвимости. WAF-комплексы могут работать на базе искусственного интеллекта и использовать машинное обучение, а также встраиваться в современные облачные инфраструктуры и стек DevOps.
VPN
VPN позволяет установить безопасное зашифрованное подключение между несколькими сетями или между отдельным пользователем и сетью. При использовании VPN весь трафик направляется через зашифрованный виртуальный туннель, маскируется IP-адрес, что делает его местоположение невидимым. VPN-соединение обеспечивает защиту от внешних атак, поскольку только сам пользователь может получить доступ к данным в зашифрованном туннеле.
Антивирусное ПО
Антивирусное ПО предназначено для поиска известных вирусов и других вредоносных программ, таких как программы-вымогатели, трояны, сетевые черви, рекламное ПО и др. При обнаружении совпадения вредоносная программа будет либо удалена, либо перемещена в зону карантина.
DLP-системы
Data Leak Prevention (DLP) – программный продукт, основной функцией которого является защита организации от утечек конфиденциальных корпоративных данных. DLP-система является своего рода куполом, который закрывает цифровой периметр компании, анализируя всю исходящую, а в некоторых случаях и входящую информацию.
Межсетевые экраны
Межсетевой экран – устройство сетевой безопасности, которое отслеживает и фильтрует входящий и исходящий сетевой трафик на основе ранее установленных политик безопасности организации. Основная цель межсетевого экрана – разрешить безопасный трафик и предотвратить проникновение нелегитимного. По сути, межсетевой экран – это барьер между частной внутренней сетью и общедоступным Интернетом.
К обязательным программным компонентам современной инфраструктуры ИБ также стоит отнести облачные антивирусы, средства защиты информации (СЗИ), системы защиты корпоративной почты и средства защиты виртуализации, которые позволяют обеспечить высокую степень защиты как на уровне локальной инфраструктуры, так и на уровне виртуальной среды.
IDS/IPS
Внедрение надежной системы IDS (системы обнаружения сетевых вторжений) и IPS (системы предотвращения вторжений) является важным инструментом обеспечения полной безопасности сети. Эти системы гарантируют, что любые потенциальные угрозы, проникающие через брандмауэр, будут устранены сразу после атаки. Вот почему IDS/IPS жизненно важны для защиты сети компании. Они работают вместе, чтобы отслеживать трафик и сообщать об атаках. Хорошая стратегия безопасности – обеспечить их одновременную работу.
Основные тренды в сфере ИБ
XDR-решения
XDR-решения – новый подход к обнаружению угроз, реагированию на них и защите бизнеса от несанкционированного доступа. XDR является своего рода панацеей от киберинцидентов и объединяет в себе функционал SOAR-, SIEM-, EDR- и UBA-/UEBA-систем. XDR-решения собирают и автоматически сопоставляют данные на нескольких уровнях безопасности: электронная почта, конечные точки, серверы, облачная среда и сеть. Автоматический анализ этого расширенного набора данных позволяет быстрее обнаруживать угрозы и сократить время расследования и реагирования на кибератаки.
Модель Zero Trust
Модель Zero Trust (нулевого доверия) как приоритетное направление – стратегия кибербезопасности, согласно которой ни одному субъекту, системе, сети или службе, работающим за пределами или в пределах периметра безопасности, нельзя доверять. Этот принцип можно описать как "никому не верь, подозревай всех". На практике такая модель может выглядеть следующим образом: сотруднику финансового отдела может быть предоставлен доступ к основным финансовым системам SAP, но не к CRM-системе. Однако доступы для сотрудника отдела продаж будут реализованы наоборот.
Искусственный интеллект для выявления угроз ИБ
Искусственный интеллект и машинное обучение стали критически важными технологиями в вопросах обеспечения информационной безопасности, поскольку позволяют быстро анализировать миллионы событий и выявлять различные типы угроз, от вредоносных программ до обнаружения недостаточной компетентности сотрудников в части ИБ. Используя сложные алгоритмы, системы искусственного интеллекта обучаются обнаружению киберугроз, запуску распознавания образов и идентификации даже мельчайших проявлений вредоносных программ или атак вымогателей до того, как они попадут в систему.
Развитие блокчейн-технологии
Тонны конфиденциальных данных сегодня находятся в распоряжении бизнеса. Данные поступают через устройства IoT, облачные хранилища и многие другие ресурсы. Технология блокчейн гарантирует, что ни один массив данных не будет размещен без шифрования. Аналитика показывает, что 90% кибератак происходят из-за зараженных устройств, подключенных к Интернету вещей. Технология блокчейн обеспечивает своевременную связь между удаленными устройствами для передачи сообщения об угрозе и создает децентрализованный поток данных, который хакеру становится очень сложно взломать. Практически невозможно нарушить такой высокий уровень безопасности, который может блокировать узлы и не давать разрешения на обмен данными.
В заключение
Выбор средств и инструментов защиты во многом зависит от сферы деятельности компании и множества других факторов, таких как:
- является ли компания субъектом КИИ – так, особые требования безопасности регулирующие органы предъявляют к банковской сфере (стандарт СТО БР ИББС, сфере здравоохранения, связи, энергетики и других);
- является ли компания оператором связи и обрабатывает ли персональные данные – это также накладывает обязательства по соблюдению требований регуляторов, в частности 152-ФЗ "О персональных данных";
- наличие удаленных команд и особенности обеспечения информационной безопасности для территориально распределенного бизнеса;
- для госучреждений или коммерческих организаций – требуется ли импортозамещение, использование отечественных средств защиты информации. Пример – требования для госсектора по минимальному набору СЗИ.
Обеспечение комплексной информационной безопасности – одна из важнейших задач любого современного бизнеса. Внедрение высокоэффективных инструментов ИБ позволит компаниям своевременно обнаружить угрозы, предотвратить утечку данных или взлом инфраструктуры.
