SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: защита конечных точек

Обзор средств информационной безопасности: защита конечных точек

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


рси 1.png

Рис. 1 – Средства защиты информации и взаимосвязи


Мы уже рассмотрели различные классы СЗИ, связанных с пользователями и их активностью, а также с самими данными и их конфиденциальностью и доступностью. В этой части обзора речь пойдёт о средствах защиты, обеспечивающих безопасность инфраструктуры на уровне конечных точек и смежных с ними каналов (например, приложений).


рис 2.png

Рис. 2 - Mobile Device Management (MDM) – управление мобильными устройствами


Глобально существует 3 подхода к использованию мобильных устройств в рабочих целях: ограничивать пользование (мобильными телефонами), выдавать корпоративные устройства (например, планшеты и ноутбуки) и применять личные устройства сотрудников (Bring Your Own Device, BYOD). Для всех мер, кроме ограничительных, удобно осуществлять централизованное управление смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которое обеспечивает MDM-система.


Само решение может быть устройством с корпоративной прошивкой, или клиент-серверным приложением (с контейнером на устройстве и серверным управляющим компонентом). При этом остаётся общая суть: создание из переносимого устройства (или его части в виде контейнера внутри) безопасной области с защищёнными каналами связи, необходимыми доступами к ресурсам компании и дополнительной проверкой безопасности (например, наличие антивируса и официальная прошивка). При помощи централизованного управления сотрудники ИБ/ИТ получают возможность выключить устройство/контейнер удалённо в случае компрометации, ограничить небезопасные каналы связи или даже очистить устройство, что удобно в случае его потери.


ЗАДАЧИ:

     · Повышение безопасности ноутбуков, планшетов и мобильных устройств

     · Централизованное управление рабочей частью аппарата

     · Обеспечение безопасного и удобного доступа к внутренним ресурсам.



рис 3.png

Рис. 3 - Unified Threat Management (UTM), Intrusion Detection/Prevention System (IDS/IPS), Firewall (FW, Брандмауэр), Next Generation Firewall (NGFW) и Web-Isolation – межсетевое экранирование и веб-изоляция


Брандмауэры обеспечивают контроль трафика на уровне приложений, URL-фильтрацию, и комбинируют другие СЗИ, например, обнаружение и блокирование вторжений (IDS/IPS). Мы объединили несколько средств защиты в один пункт, поскольку межсетевые экраны нового поколения (NGFW) сочетают в себе сразу несколько возможностей защиты, которые в отличие от экранов старых поколений обеспечивают не последовательное, а параллельное функционирование.


В состав NGFW могут входить также средства антивирусной защиты, песочницы, которые в отличие от классических средств защиты на конечных точках (см. далее) защищают дополнительные каналы. Такие решения используются также для сегментации сети, обеспечивая блокировку трафика.


Отдельно стоит выделить решения веб-изоляции, которые позволяют взаимодействовать с веб-ресурсами по подходу Zero Trust. Существует два типа изоляции: локальная (когда интернет-трафик достигает локальной инфраструктуры, где помещается в песочницу или виртуальную машину) и удалённая (которая предотвращает попадание интернет-трафика в систему пользователя и обрабатывает запросы в общедоступном или частном облаке). Некоторые системы этого класса превращают веб-страницу в картинку, позволяя видеть контент без угрозы реализации вредоносных скриптов. Но современные системы позволяют взаимодействовать по HTTPS-протоколу полноценно, не на рабочей станции сотрудника, а через удалённый доступ к изолированной виртуальной среде.


ЗАДАЧИ:

     ·  Контроль трафика и сегментирование сети, фильтрация URL-запросов

     ·  Обнаружение и предотвращение вторжений, веб-изоляция

     ·  Быстрая защита на уровне приложений, комбинирование СЗИ


рис 4.png

Рис. 4 – Antivirus (SV) и Endpoint Detection and Response (EDR) – защита конечных точек


Данный тип решений объединяет в себе функции классического антивируса (AV), такие как защита от вредоносного ПО на базе сигнатур и репутационная оценка файлов, а также дополнительные функции: машинное обучение для обнаружения вредоносной активности без сигнатур (zero-day), сдерживание распространения вредоносного ПО по сети, восстановление рабочих станций (удаление ПО, расшифровка файлов), анализ причин возникновения атаки (документирование) и обеспечение процесса реагирования.


Отдельно стоит упомянуть решения класса XDR (Extended Detection and Response), которые по своей сути напоминают IRP-платформы, но с ограничениями в виде объединения средств защиты от одного разработчика (например, Kaspersky). В решения этого класса могут входить интеграции с другими системами, которые разрабатываются тем же вендором, но подход к созданию коннекторов отличается от подхода SOAR-платформ.


ЗАДАЧИ:

     · Обнаружение вредоносных файлов и активностей

     · Удаление потенциальных угроз и сдерживание APT-атак

     · Восстановление безопасности рабочего места пользователя


рис 5.png

Рис. 5 – Distributed Deception Platform (DDP) или Honeypot – приманки для злоумышленников


Система представляет из себя развёрнутую внутри инфраструктуры сеть объектов, реальная работа на которых не осуществляется, а детектирование любой активности позволяет определить факт проникновения злоумышленников в корпоративную сеть и даже выявить вектор атаки, который используется при проникновении.


Honeypot - использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. Такими приманками могут служить: серверные и гостевые учётные записи пользователей, почтовые адреса, специальные ключи реестра и файлы. Например, приманкой может служить ненастоящая рабочая станция с простым паролем и «привлекательным» для злоумышленников контентом.


ЗАДАЧИ:

     · Обнаружение вторжений и логирование действий злоумышленников

     · Увеличение возможных сроков реагирования на вторжения

     · Определение вектора атаки для выбора методов защиты


рис 6.png

Рис. 6 – Vulnerability Scanner (VS) и Vulnerability Management (VM) – управление уязвимостями


Решение в общем состоит из двух составляющих. Первая и необходимая – сканер защищённости, который анализирует объекты инфраструктуры на предмет наличия в них известных уязвимостей (недостающих обновлений безопасности). Вторая часть – организация процесса устранения, взаимодействия группы обнаружения, группы реагирования и других аналитиков, вовлечённых в процесс.


Для работы сканера необходимо обеспечить сетевую доступность узлов компании и доступ к базам известных уязвимостей (например, NVD от NIST, бюллетени Microsoft и материалы НКЦКИ, публикуемые для общего доступа). В результате сканирования генерируется отчёт, который в дальнейшем обрабатывается ИБ/ИТ специалистами в компании. Сам процесс реагирования включает уже другие технологии: парсинг отчёта для выделения уязвимостей в группы, тикетинг (автоматическое создание заявок на устранение), BPM/RPA автоматизация для обогащения заявок полезными данными (например, от OpenCVE, Attackers.kb и Vulners.com) и контроля исполнения (SLA, прогресс, ретроспективное накопление экспертизы).


ЗАДАЧИ:

     · Обнаружение уязвимостей внутри инфраструктуры

     · Обогащение аналитическими данными из сторонних источников

     · Выстраивание и автоматизация процессов устранения уязвимостей.


Подкасты ИБ Управление ИБ Управление уязвимостями (VM) Угрозы ИБ СЗИ НКЦКИ Сканер уязвимостей (VS) EDR

Похожие статьи

Возможности новой версии продукта Security Vision VM
Возможности новой версии продукта Security Vision VM
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
Флуд: от безобидного шума до кибератаки
Флуд: от безобидного шума до кибератаки
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
Защита от спама для компаний и в быту
Защита от спама для компаний и в быту
Сканер уязвимостей
Сканер уязвимостей
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут

Похожие статьи

Возможности новой версии продукта Security Vision VM
Возможности новой версии продукта Security Vision VM
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 2
Флуд: от безобидного шума до кибератаки
Флуд: от безобидного шума до кибератаки
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
Защита от спама для компаний и в быту
Защита от спама для компаний и в быту
Сканер уязвимостей
Сканер уязвимостей
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут