Обзор средств информационной безопасности: защита конечных точек

Руслан Рахметов, Security Vision

Рис. 1 – Средства защиты информации и взаимосвязи

Мы уже рассмотрели различные классы СЗИ, связанных с пользователями и их активностью, а также с самими данными и их конфиденциальностью и доступностью. В этой части обзора речь пойдёт о средствах защиты, обеспечивающих безопасность инфраструктуры на уровне конечных точек и смежных с ними каналов (например, приложений).

Рис. 2 - Mobile Device Management (MDM) – управление мобильными устройствами

Глобально существует 3 подхода к использованию мобильных устройств в рабочих целях: ограничивать пользование (мобильными телефонами), выдавать корпоративные устройства (например, планшеты и ноутбуки) и применять личные устройства сотрудников (Bring Your Own Device, BYOD). Для всех мер, кроме ограничительных, удобно осуществлять централизованное управление смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которое обеспечивает MDM-система.

Само решение может быть устройством с корпоративной прошивкой, или клиент-серверным приложением (с контейнером на устройстве и серверным управляющим компонентом). При этом остаётся общая суть: создание из переносимого устройства (или его части в виде контейнера внутри) безопасной области с защищёнными каналами связи, необходимыми доступами к ресурсам компании и дополнительной проверкой безопасности (например, наличие антивируса и официальная прошивка). При помощи централизованного управления сотрудники ИБ/ИТ получают возможность выключить устройство/контейнер удалённо в случае компрометации, ограничить небезопасные каналы связи или даже очистить устройство, что удобно в случае его потери.

ЗАДАЧИ:

     · Повышение безопасности ноутбуков, планшетов и мобильных устройств

     · Централизованное управление рабочей частью аппарата

     · Обеспечение безопасного и удобного доступа к внутренним ресурсам.

Рис. 3 - Unified Threat Management (UTM), Intrusion Detection/Prevention System (IDS/IPS), Firewall (FW, Брандмауэр), Next Generation Firewall (NGFW) и Web-Isolation – межсетевое экранирование и веб-изоляция

Брандмауэры обеспечивают контроль трафика на уровне приложений, URL-фильтрацию, и комбинируют другие СЗИ, например, обнаружение и блокирование вторжений (IDS/IPS). Мы объединили несколько средств защиты в один пункт, поскольку межсетевые экраны нового поколения (NGFW) сочетают в себе сразу несколько возможностей защиты, которые в отличие от экранов старых поколений обеспечивают не последовательное, а параллельное функционирование.

В состав NGFW могут входить также средства антивирусной защиты, песочницы, которые в отличие от классических средств защиты на конечных точках (см. далее) защищают дополнительные каналы. Такие решения используются также для сегментации сети, обеспечивая блокировку трафика.

Отдельно стоит выделить решения веб-изоляции, которые позволяют взаимодействовать с веб-ресурсами по подходу Zero Trust. Существует два типа изоляции: локальная (когда интернет-трафик достигает локальной инфраструктуры, где помещается в песочницу или виртуальную машину) и удалённая (которая предотвращает попадание интернет-трафика в систему пользователя и обрабатывает запросы в общедоступном или частном облаке). Некоторые системы этого класса превращают веб-страницу в картинку, позволяя видеть контент без угрозы реализации вредоносных скриптов. Но современные системы позволяют взаимодействовать по HTTPS-протоколу полноценно, не на рабочей станции сотрудника, а через удалённый доступ к изолированной виртуальной среде.

ЗАДАЧИ:

     ·  Контроль трафика и сегментирование сети, фильтрация URL-запросов

     ·  Обнаружение и предотвращение вторжений, веб-изоляция

     ·  Быстрая защита на уровне приложений, комбинирование СЗИ

Данный тип решений объединяет в себе функции классического антивируса (AV), такие как защита от вредоносного ПО на базе сигнатур и репутационная оценка файлов, а также дополнительные функции: машинное обучение для обнаружения вредоносной активности без сигнатур (zero-day), сдерживание распространения вредоносного ПО по сети, восстановление рабочих станций (удаление ПО, расшифровка файлов), анализ причин возникновения атаки (документирование) и обеспечение процесса реагирования.

Отдельно стоит упомянуть решения класса XDR (Extended Detection and Response), которые по своей сути напоминают IRP-платформы, но с ограничениями в виде объединения средств защиты от одного разработчика (например, Kaspersky). В решения этого класса могут входить интеграции с другими системами, которые разрабатываются тем же вендором, но подход к созданию коннекторов отличается от подхода SOAR-платформ.

ЗАДАЧИ:

     · Обнаружение вредоносных файлов и активностей

     · Удаление потенциальных угроз и сдерживание APT-атак

     · Восстановление безопасности рабочего места пользователя

Рис. 5 – Distributed Deception Platform (DDP) или Honeypot – приманки для злоумышленников

Система представляет из себя развёрнутую внутри инфраструктуры сеть объектов, реальная работа на которых не осуществляется, а детектирование любой активности позволяет определить факт проникновения злоумышленников в корпоративную сеть и даже выявить вектор атаки, который используется при проникновении.

Honeypot - использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. Такими приманками могут служить: серверные и гостевые учётные записи пользователей, почтовые адреса, специальные ключи реестра и файлы. Например, приманкой может служить ненастоящая рабочая станция с простым паролем и «привлекательным» для злоумышленников контентом.

ЗАДАЧИ:

     · Обнаружение вторжений и логирование действий злоумышленников

     · Увеличение возможных сроков реагирования на вторжения

     · Определение вектора атаки для выбора методов защиты

Рис. 6 – Vulnerability Scanner (VS) и Vulnerability Management (VM) – управление уязвимостями

Решение в общем состоит из двух составляющих. Первая и необходимая – сканер защищённости, который анализирует объекты инфраструктуры на предмет наличия в них известных уязвимостей (недостающих обновлений безопасности). Вторая часть – организация процесса устранения, взаимодействия группы обнаружения, группы реагирования и других аналитиков, вовлечённых в процесс.

Для работы сканера необходимо обеспечить сетевую доступность узлов компании и доступ к базам известных уязвимостей (например, NVD от NIST, бюллетени Microsoft и материалы НКЦКИ, публикуемые для общего доступа). В результате сканирования генерируется отчёт, который в дальнейшем обрабатывается ИБ/ИТ специалистами в компании. Сам процесс реагирования включает уже другие технологии: парсинг отчёта для выделения уязвимостей в группы, тикетинг (автоматическое создание заявок на устранение), BPM/RPA автоматизация для обогащения заявок полезными данными (например, от OpenCVE, Attackers.kb и Vulners.com) и контроля исполнения (SLA, прогресс, ретроспективное накопление экспертизы).

ЗАДАЧИ:

     · Обнаружение уязвимостей внутри инфраструктуры

     · Обогащение аналитическими данными из сторонних источников

     · Выстраивание и автоматизация процессов устранения уязвимостей.