SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Облачные версии решений по информационной безопасности: плюсы и минусы

Облачные версии решений по информационной безопасности: плюсы и минусы
25.11.2024

Руслан Рахметов, Security Vision

 

Выбор типа и конкретного технического решения для защиты информации зависит от результатов оценки киберрисков, актуальных угроз, особенностей бизнес-процессов и информационной инфраструктуры. Инфраструктура компаний меняется в соответствии с потребностями бизнеса и возможностями технологий и в последние годы активно переходит в «облака», где используются и специализированные облачные СЗИ, и облачные версии классических решений по кибербезопасности. В данной статье рассмотрим, какие типы облачных решений бывают, каковы их особенности, а также оценим их основные плюсы и минусы.


Для начала рассмотрим основные особенности облачных инфраструктур в целом. Облачные инфраструктуры можно разделить по принципу работы на следующие типы:


   ·   Public cloud (публичные облака): провайдер облачных услуг предоставляет различным заказчикам свою инфраструктуру и сервисы на коммерческой основе, как правило, по подписке;


   ·   Virtual private cloud (VPC, виртуальные частные облака): провайдер облачных услуг предоставляет заказчикам выделенные элементы облачной инфраструктуры, изолированные друг от друга в пределах виртуальных сетей (VLAN) с собственной адресацией и возможностью конфигурирования сетевого взаимодействия внутри VLAN;


   ·   Private cloud (частные облака): организация размещает часть своей инфраструктуры в собственном или арендуемом ЦОД (центре обработки данных) и полностью контролирует все аппаратные и программные компоненты;


   ·   Hybrid cloud (гибридные облака): организация совмещает работу с публичным и частным облаком, размещая свои приложения и данные в зависимости от удобства и потребностей в той или иной инфраструктуре;


   ·   Multi-cloud (мультиоблако): организация пользуется услугами нескольких провайдеров облачных сервисов для надежности и повышения отказоустойчивости, например, размещая основную инфраструктуру в одном публичном облаке, а бекапы и резервные сервисы - в другом.


Для работы с облачными инфраструктурами используются следующие основные модели облачных вычислений:


   ·   IaaS (infrastructure as a service): предоставление услуги по модели «инфраструктура как сервис», когда облачный провайдер предоставляет только своё аппаратное обеспечение, сетевой доступ и гипервизор системы виртуализации, а заказчикам дается возможность установить свои операционные системы, прикладное и системное ПО, бизнес-приложения;


   ·   PaaS (platform as a service): предоставление услуги по модели «платформа как сервис», когда облачный провайдер предоставляет установленную операционную систему (как правило, давая на выбор несколько вариантов ОС на базе Windows и Linux), а заказчики уже устанавливают только свое программное обеспечение;


   ·   SaaS (software as a service): предоставление услуги по модели «программное обеспечение как сервис», когда облачный провайдер предоставляет конечному заказчику предварительно установленное бизнес-приложение с некоторыми возможностями по его настройке и модификации.


Использование облачных решений имеет определенные преимущества и особенности:


   1. Снижение затрат: построение собственного ЦОД или даже оснащение небольшой серверной комнаты требует существенных капитальных затрат на производительное оборудование, СХД, ПО (включая ОС, гипервизоры, СУБД), сетевые устройства, СКС, системы энергоснабжения, вентиляции, пожаротушения. Облачная модель позволяет заменить капитальные затраты (CAPEX) на операционные расходы (OPEX) и «растянуть» эти инвестиции во времени.


   2. Гибкое управление: облачные решения предлагаются по модели pay as you go (оплата по мере потребления), что позволяет оплачивать ИБ-сервис или облачное защитное решение только по факту их использования - например, тарифицироваться может только время работы системы без учета её простоя по инициативе потребителя. Кроме того, некоторые решения позволяют оплачивать не весь продукт целиком, а только реально используемые функции и возможности. В классических on-prem решениях заблаговременная закупка лицензий становится и организационным, и финансовым бременем, а облачные решения свободны от подобных ограничений.


   3. Отсутствие дополнительных накладных расходов: обслуживание собственного ЦОД или серверного помещения связано с необходимостью обеспечивать их функционирование, включая поддержание заданного температурного режима и влажности, обеспечение пожарной безопасности, энергоснабжения и теплоотвода, а также необходимостью затрат на программное и аппаратное обеспечение для обеспечения высокой доступности, отказоустойчивости, катастрофоустойчивости, резервного копирования и аварийного восстановления.


   4. Быстрое горизонтальное масштабирование по требованию: облачная инфраструктура продемонстрирует преимущества и в случае необходимости оперативного увеличения вычислительных мощностей, активации дополнительных функций, поднятия дополнительных сервисов. Крупные облачные провайдеры имеют достаточный пул ресурсов для того, чтобы в периоды пиковой нагрузки клиенты не чувствовали себя стеснёнными.


   5. Простота развёртывания: в облачных инфраструктурах доступ к административной панели предоставляется через обычный браузер, а поднятие нового сервера выполняется в несколько кликов мышью.


   6. Возможность использования недоступных on-prem решений: в связи с санкционными ограничениями многие зарубежные продукты могут быть недоступны небольшим компаниям, однако крупные облачные провайдеры зачастую обладают необходимыми возможностями по закупке и предоставлению таких решений клиентам.


   7. Обеспечение кибербезопасности: облачные провайдеры предоставляют услуги по защите от DDoS, межсетевому экранированию, защите веб-приложений с помощью WAF, защите от сетевых вторжений с помощью IDS/IPS, обеспечению безопасного удаленного доступа к облачной инфраструктуре. Кроме того, при использовании моделей PaaS и SaaS управлением уязвимостями и установкой обновлений безопасности ОС занимается провайдер услуг, снимая данную нагрузку с клиента.


   8. Технологии Cloud-native: создание и запуск масштабируемых и гибких приложений в облаках с использованием контейнеризации, микросервисной архитектуры, бессерверных вычислений позволяют эффективно использовать свойства облачных инфраструктур.


   9. Работа с API и подход API-first: при разработке современных приложений возможности API-взаимодействий с внешними и внутренними сервисами проектируются изначально и закладываются в основу будущих систем, что позволяет беспроблемно мигрировать их в облачную инфраструктуру.


   10. Централизованная экспертиза: высокий уровень предоставляемых услуг и технической поддержки обеспечивается тем, что штат крупных облачных провайдеров состоит из специалистов и экспертов, которых зачастую не могут себе позволить небольшие компании.


Большинство современных решений, включая ИБ-продукты, могут быть развернуты в облачных инфраструктурах - по сути, установка решения в облаке (с использованием моделей IaaS или PaaS) не отличается от on-prem установки, достаточно лишь убедиться в безопасности каналов связи и корректной сетевой связности между облаком, корпоративной сетью и устройствами. Однако, сама возможность установки продукта в облаке не делает его полноценным продуктом класса Security-as-a-Service, поскольку решения этого типа предоставляются провайдером "под ключ", снимая с клиента необходимость администрирования платформы установки. По модели Security-as-a-Service сейчас предлагаются в том числе такие ИБ-решения, как:

   ·   защита от DDoS;

   ·   межсетевой экран как услуга (FWaaS);

   ·   межсетевой экран веб-приложений (WAFaaS);

   ·   SIEM как услуга (SIEM as a service);

   ·   DevSecOps как услуга;

   ·   AppSec как услуга;

   ·   резервное копирование как услуга (Backup as a service);

   ·   аварийное восстановление как услуга (Disaster recovery as a service).


Кроме того, есть класс решений, которые были разработаны специально для защиты облачных инфраструктур:


   ·   CASB (Cloud Access Security Broker, брокеры безопасного доступа в облако): решения для контроля работы пользователей с облачными сервисами, управления политиками обработки данных и доступа к приложениям в облаке, выявления вредоносной или нежелательной активности;


   ·   CWPP (Cloud Workload Protection Platform, платформы защиты облачных рабочих нагрузок): инструмент для контроля работы облачных приложений, сред, серверов, контейнеров, функций, с поддержкой управления уязвимостями в них, выявления ВПО и эксплойтов, сетевого микросегментирования, управления перечнем разрешенных облачных приложений, контроля целостности, выявления аномалий, реагирования на киберугрозы;


   ·   CSPM (Cloud Security Posture Management, платформы управления состоянием безопасности облака): инструмент для выявления киберрисков в облачной инфраструктуре, обнаружения уязвимостей в конфигурации облаков, выполнения проверок компонентов облачной инфраструктуры на соответствие законодательству (например, контроль и ограничение доступа пользователей и приложений к персональным данным в облаке);


   ·   ZTNA (Zero Trust Network Access, средства предоставления сетевого доступа с нулевым доверием): решения для предоставления сетевого доступа на основании непрерывной проверки подлинности субъекта (пользователя, сервиса, сущности, устройства), прав доступа субъекта к объекту (информационному ресурсу, активу, данным) с проверкой состояния киберзащищенности субъекта и с гранулированными правилами сетевого доступа (только к определенному приложению, сервису, IP-адресу, порту);


   ·   SASE (Secure Access Service Edge, платформы безопасного пограничного доступа): решение для обеспечения сетевой безопасности облачного и удаленного доступа за счет применения защитных решений SWG (Secure Web Gateway) и CASB, сетевых технологий ZTNA и SD-WAN (программно-определяемая сеть).


При выборе облачного провайдера следует оценивать такие характеристики, как уровень качества и доступности сервиса (метрика SLA), уровень надежности ЦОД (Tier I/II/III/IV), соответствие ЦОД требованиям стандартов ГОСТ Р 58811-2020 и ГОСТ Р 58812-2020, наличие аттестата соответствия облачного провайдера требованиям по защите ПДн (т.н. «Облако 152-ФЗ») и/или по обеспечению безопасности ОКИИ (т.н. «Облако КИИ»).


Разумеется, кроме описанных выше преимуществ, у облачных ИБ-решений и самой облачной инфраструктуры есть минусы и сложности, такие как:

   ·   необходимость доверять сервис-провайдеру облачных услуг;

   ·   невозможность гарантировать отсутствие прямого физического доступа сотрудников сервис-провайдера к данным;

   ·   необходимость обеспечения корректного и полного разделения данных между клиентами;

   ·   необходимость защиты канала связи до облака;

   ·   невозможность полного контроля за местом и способами хранения данных и их резервных копий.

ИБ для начинающих СЗИ КИИ Практика ИБ

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и его применение
Интернет вещей и его применение
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и его применение
Интернет вещей и его применение
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика