| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Рис. 1 – Средства защиты информации и взаимосвязи
Мы уже рассмотрели различные классы СЗИ, связанных с пользователями и их активностью, а также с самими данными и их конфиденциальностью и доступностью. В этой части обзора речь пойдёт о средствах защиты, обеспечивающих безопасность инфраструктуры на уровне конечных точек и смежных с ними каналов (например, приложений).
Рис. 2 - Mobile Device Management (MDM) – управление мобильными устройствами
Глобально существует 3 подхода к использованию мобильных устройств в рабочих целях: ограничивать пользование (мобильными телефонами), выдавать корпоративные устройства (например, планшеты и ноутбуки) и применять личные устройства сотрудников (Bring Your Own Device, BYOD). Для всех мер, кроме ограничительных, удобно осуществлять централизованное управление смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которое обеспечивает MDM-система.
Само решение может быть устройством с корпоративной прошивкой, или клиент-серверным приложением (с контейнером на устройстве и серверным управляющим компонентом). При этом остаётся общая суть: создание из переносимого устройства (или его части в виде контейнера внутри) безопасной области с защищёнными каналами связи, необходимыми доступами к ресурсам компании и дополнительной проверкой безопасности (например, наличие антивируса и официальная прошивка). При помощи централизованного управления сотрудники ИБ/ИТ получают возможность выключить устройство/контейнер удалённо в случае компрометации, ограничить небезопасные каналы связи или даже очистить устройство, что удобно в случае его потери.
ЗАДАЧИ:
· Повышение безопасности ноутбуков, планшетов и мобильных устройств
· Централизованное управление рабочей частью аппарата
· Обеспечение безопасного и удобного доступа к внутренним ресурсам.
Рис. 3 - Unified Threat Management (UTM), Intrusion Detection/Prevention System (IDS/IPS), Firewall (FW, Брандмауэр), Next Generation Firewall (NGFW) и Web-Isolation – межсетевое экранирование и веб-изоляция
Брандмауэры обеспечивают контроль трафика на уровне приложений, URL-фильтрацию, и комбинируют другие СЗИ, например, обнаружение и блокирование вторжений (IDS/IPS). Мы объединили несколько средств защиты в один пункт, поскольку межсетевые экраны нового поколения (NGFW) сочетают в себе сразу несколько возможностей защиты, которые в отличие от экранов старых поколений обеспечивают не последовательное, а параллельное функционирование.
В состав NGFW могут входить также средства антивирусной защиты, песочницы, которые в отличие от классических средств защиты на конечных точках (см. далее) защищают дополнительные каналы. Такие решения используются также для сегментации сети, обеспечивая блокировку трафика.
Отдельно стоит выделить решения веб-изоляции, которые позволяют взаимодействовать с веб-ресурсами по подходу Zero Trust. Существует два типа изоляции: локальная (когда интернет-трафик достигает локальной инфраструктуры, где помещается в песочницу или виртуальную машину) и удалённая (которая предотвращает попадание интернет-трафика в систему пользователя и обрабатывает запросы в общедоступном или частном облаке). Некоторые системы этого класса превращают веб-страницу в картинку, позволяя видеть контент без угрозы реализации вредоносных скриптов. Но современные системы позволяют взаимодействовать по HTTPS-протоколу полноценно, не на рабочей станции сотрудника, а через удалённый доступ к изолированной виртуальной среде.
ЗАДАЧИ:
· Контроль трафика и сегментирование сети, фильтрация URL-запросов
· Обнаружение и предотвращение вторжений, веб-изоляция
· Быстрая защита на уровне приложений, комбинирование СЗИ
Рис. 4 – Antivirus (SV) и Endpoint Detection and Response (EDR) – защита конечных точек
Данный тип решений объединяет в себе функции классического антивируса (AV), такие как защита от вредоносного ПО на базе сигнатур и репутационная оценка файлов, а также дополнительные функции: машинное обучение для обнаружения вредоносной активности без сигнатур (zero-day), сдерживание распространения вредоносного ПО по сети, восстановление рабочих станций (удаление ПО, расшифровка файлов), анализ причин возникновения атаки (документирование) и обеспечение процесса реагирования.
Отдельно стоит упомянуть решения класса XDR (Extended Detection and Response), которые по своей сути напоминают IRP-платформы, но с ограничениями в виде объединения средств защиты от одного разработчика (например, Kaspersky). В решения этого класса могут входить интеграции с другими системами, которые разрабатываются тем же вендором, но подход к созданию коннекторов отличается от подхода SOAR-платформ.
ЗАДАЧИ:
· Обнаружение вредоносных файлов и активностей
· Удаление потенциальных угроз и сдерживание APT-атак
· Восстановление безопасности рабочего места пользователя
Рис. 5 – Distributed Deception Platform (DDP) или Honeypot – приманки для злоумышленников
Система представляет из себя развёрнутую внутри инфраструктуры сеть объектов, реальная работа на которых не осуществляется, а детектирование любой активности позволяет определить факт проникновения злоумышленников в корпоративную сеть и даже выявить вектор атаки, который используется при проникновении.
Honeypot - использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. Такими приманками могут служить: серверные и гостевые учётные записи пользователей, почтовые адреса, специальные ключи реестра и файлы. Например, приманкой может служить ненастоящая рабочая станция с простым паролем и «привлекательным» для злоумышленников контентом.
ЗАДАЧИ:
· Обнаружение вторжений и логирование действий злоумышленников
· Увеличение возможных сроков реагирования на вторжения
· Определение вектора атаки для выбора методов защиты
Рис. 6 – Vulnerability Scanner (VS) и Vulnerability Management (VM) – управление уязвимостями
Решение в общем состоит из двух составляющих. Первая и необходимая – сканер защищённости, который анализирует объекты инфраструктуры на предмет наличия в них известных уязвимостей (недостающих обновлений безопасности). Вторая часть – организация процесса устранения, взаимодействия группы обнаружения, группы реагирования и других аналитиков, вовлечённых в процесс.
Для работы сканера необходимо обеспечить сетевую доступность узлов компании и доступ к базам известных уязвимостей (например, NVD от NIST, бюллетени Microsoft и материалы НКЦКИ, публикуемые для общего доступа). В результате сканирования генерируется отчёт, который в дальнейшем обрабатывается ИБ/ИТ специалистами в компании. Сам процесс реагирования включает уже другие технологии: парсинг отчёта для выделения уязвимостей в группы, тикетинг (автоматическое создание заявок на устранение), BPM/RPA автоматизация для обогащения заявок полезными данными (например, от OpenCVE, Attackers.kb и Vulners.com) и контроля исполнения (SLA, прогресс, ретроспективное накопление экспертизы).
ЗАДАЧИ:
· Обнаружение уязвимостей внутри инфраструктуры
· Обогащение аналитическими данными из сторонних источников
· Выстраивание и автоматизация процессов устранения уязвимостей.