Татьяна Белева, 13/04/23
Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
Автор: Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
ИБ-фундамент и новые виды угроз
Контроль и защита рабочих мест служит фундаментом системы безопасности в каждой организации. Поэтому защита конечных точек – базовый уровень ИБ. Этот фундамент состоит из установки программных средств (антивирусное ПО, сканеры), а также комплекса политик и регламентов как для линейных сотрудников, так и для ИТ-специалистов компании (например, в отношении обновлений инструментов защиты). Рост количества киберугроз и уровень их сложности вынуждает бизнес усиливать базовую защиту дополнительными средствами, в том числе через внедрение решений для защиты от целевых продолжительных атак (APT).
Драйверы и тренды развития
По данным обзора Global Insight Services [1], направление защиты конечных точек сегодня в своем развитии определяется следующими трендами.
Тренд 1. Повышенное внимание к профилактике. Растет популярность решений для обеспечения безопасности конечных точек, которые направлены на предотвращение атак, а не просто на их обнаружение и реагирование.
Тренд 2. Более эффективное обнаружение. Обнаружение остается важнейшей частью любого инструмента Endpoint Security. Постоянно появляются новые технологии для более эффективного выявления угроз и атак, даже тех, которые были специально разработаны для обхода механизмов обнаружения.
Тренд 3. Повышенное внимание к реагированию. Помимо способности обнаруживать атаку, необходимо иметь готовый план ответных действий. Он может включать изоляцию зараженного устройства, запуск восстановления потерянных данных и предотвращение аналогичных атак.
Тренд 4. Более тесная интеграция с ИБ-системами. Решения для защиты конечных точек все чаще интегрируются с другими инструментами, например из области сетевой безопасности или предотвращения потери данных. Так достигается более комплексный подход к безопасности компании и обеспечивается охват всех потенциальных векторов атак.
Что касается дальнейшего развития направления, то его стимулируют три основных фактора. В первую очередь это общая потребность в расширении спектра ИБ-задач, продиктованная увеличением количества атак. В последние несколько лет в мире произошел ряд громких киберинцидентов, которые подчеркнули необходимость качественной защиты цифровых активов. Действия хакеров также стимулируют необходимость улучшения качества инструментов безопасности, совершенствование их функциональности, что приводит к разработке новых, более сложных технологий. Помимо этого, растущая стоимость простоя ИТ-систем, критичных для бизнеса, а также утечек данных стимулируют потребность в постоянном совершенствовании сферы информационной безопасности.
Реалии 2023 года
Российский рынок решений защиты конечных точек претерпел значительную трансформацию. Главным образом это связано с уходом многих зарубежных вендоров, что привело к обострению проблемы устаревшего ПО в данном сегменте.
У пользователей зарубежных решений ограничен доступ к актуальным обновлениям, и это снижает их защиту и увеличивает риски на фоне усиливающихся кибератак. К сожалению, перейти на отечественные средства защиты успели пока не все, хотя на рынке представлено достаточно российских инструментов класса Endpoint Security, доказавших свою эффективность и способных заменить решения вендоров, приостановивших свои поставки на наш рынок.
Еще один важный момент: мы зафиксировали кратный рост спроса на решения российских вендоров в данном сегменте, а также рост спроса в полтора-два раза на ИБ-решения в целом. На данную динамику повлиял не только уход западных производителей, но и ряд крупных и громких инцидентов (взломов и утечек данных).
В течение 2022 г. многие компании еще не были готовы приобретать новые продукты для информационной безопасности: шел процесс формирования стратегий киберзащиты, пересмотра привычной архитектуры. Было много запросов коммерческих предложений, различных консультаций, изучения функциональности доступных решений, вариантов поставок и особенностей внедрения.
Это позволяет предположить, что рост продаж ИБ-продуктов, включая системы защиты конечных точек, в 2023 г. выйдет на новый уровень. В частности, можно говорить о выраженном интересе к продуктам и решениям анти-ATP. С другой стороны, все еще часто бывает и так: находящаяся под атакой компания в срочном порядке запрашивает коммерческое предложение на инструменты анти-DDoS, но атака проходит, и интерес клиента к теме снижается.
Linux-проблема
Одним из наиболее явных и существенных препятствий в развитии рынка сегодня является переориентация корпоративных ИТ-сред с Windows-парадигмы на Linux. Ряду компаний и практически всем госструктурам переход на российские операционные системы (Astra Linux, Red OS, Alt Linux) предписан законом. По понятным причинам подавляющее большинство программных решений, в том числе в сегменте информационной безопасности, создавались под Windows-стек.
Хорошая новость для пользователей решений по защите конечных точек: российские продукты имеют Linux-совместимость. Не очень хорошая – функциональные возможности Linux-версий пока что существенно уступают оригиналам "под Windows". На их доработку до полного соответствия привычному уровню потребуется несколько лет. Движение в эту сторону со стороны вендоров уже началось, все они ведут активную разработку продуктов, реагируя на запросы рынка в свете требований регуляторов и законодательства.
Ценник, чек-лист, основные ошибки
В заключение затронем ряд практических моментов, связанных с продуктами по защите конечных точек.
Ценообразование
Стоимость решения будет зависеть от конкретных деталей клиентского запроса: на цену повлияет количество необходимых лицензий и их тип, требуемая функциональность, бренд вендора и т.д. Понятно, что чем проект больше, тем больше возможностей сэкономить за счет масштаба – это скидки и дальнейшая техническая поддержка.
Сроки
На сроки влияет еще больше факторов, включая обратную зависимость от масштабов внедрения. Чем масштабнее проект, тем дольше он может длиться. Так, поставка и развертывание 150–250 лицензий может занять 5–7 рабочих дней. А вот проект на несколько десятков тысяч лицензий в большой корпорации займет значительно больше времени.
Ускоряет задачу фактор первого внедрения: если ранее компания не использовала никаких инструментов защиты конечных точек, то при условии небольших размеров проекта поставить, развернуть и настроить ПО можно за 7–14 рабочих дней. Если требуется миграция и новое решение необходимо установить взамен старого, тогда все затягивается: необходимо удалить все элементы неактуального продукта, почистить реестры и только потом разворачивать новинку. Это очень важный момент для ситуаций типа "нам нужно срочно", потому что с учетом определенного набора вводных сделать быстро не получится при всем желании.
Чек-лист при выборе решения
При выборе решения стоит обратить внимание на множество аспектов решения Endpoint Security: важно, чтобы оно устраивало компанию и оптимально выполняло основные задачи. В частности, стоит уделить внимание интерфейсу продукта, потреблению вычислительных ресурсов, соотношению "цена – функциональность", удобству администрирования, а также наличию сертификации ФСБ и ФСТЭК России.
Типичные ошибки эксплуатации
К типичным ошибкам можно отнести неверные политики безопасности, плохо обновляемые базы ПО, доступ рядовых пользователей к функции отключения антивирусов на корпоративных устройствах, а также хаотичную мультивендорность, при которой корпоративные устройства не защищены единой антивирусной системой. Любым инструментом информационной безопасности нужно правильно управлять, иначе его ценность для бизнеса на все 100% раскрыть не получится.
