Основные средства защиты и мониторинга: краткий обзор для начинающих
Салимжанов Р.
Ведение
Итак! Если ты только начинаешь изучать информационную безопасность, особенно в контексте Security Operations Center (SOC), то важно разобраться в ключевых инструментах, которые помогают обнаруживать и предотвращать кибератаки. В этой статье я кратко расскажу о главных средствах защиты и мониторинга, а также объясню, зачем они нужны.
1. SIEM (Security Information and Event Management)
Что это? Центральная система, которая собирает, анализирует и коррелирует события безопасности со всех устройств в сети.
Зачем нужно?
- Агрегирует логи (журналы событий) с серверов, сетевого оборудования, рабочих станций.
- Нормализует данные (приводит к единому формату).
- Обнаруживает аномалии и генерирует алерты (оповещения).
- Помогает аналитикам расследовать инциденты.
Примеры: Splunk, IBM QRadar, Microsoft Sentinel.
2. CMDB (Configuration Management Database)
Что это? База данных, содержащая информацию об активах компании: серверах, IP-адресах, установленном ПО, ответственных лицах.
Зачем нужно?
- Без CMDB сложно понять, что именно атаковано и кого уведомлять.
- Позволяет быстро выявлять уязвимости и несоответствия в инфраструктуре.
Примеры: ServiceNow CMDB, BMC Helix.
3. Антивирусы и EDR (Endpoint Detection and Response)
Антивирусы – классические решения, работающие на основе сигнатур (известных шаблонов вредоносного кода). Современные версии включают поведенческий анализ.
EDR – более продвинутые системы, которые:
- Записывают действия на устройствах (какие процессы запускались, кто их инициировал).
- Позволяют расследовать инциденты (например, отследить, как криптомайнер проник в систему).
Примеры:
- Антивирусы: Kaspersky, ESET.
- EDR: CrowdStrike Falcon, Microsoft Defender for Endpoint.
4. Сетевые средства защиты
IDS/IPS (Intrusion Detection/Prevention System)
- IDS (детекция) – пассивно анализирует копию трафика и отправляет алерты.
- IPS (предотвращение) – активно блокирует подозрительный трафик.
Подробнее:
NGFW (Next-Generation Firewall)
Улучшенные межсетевые экраны с:
- Глубоким анализом пакетов.
- Встроенными IDS/IPS, защитой от DDoS.
NTA/NDR (Network Traffic Analysis / Network Detection and Response)
- NTA – записывает и анализирует сетевой трафик (полезно для расследований).
- NDR – не только анализирует, но и автоматически реагирует на угрозы.
Примеры: Darktrace, Cisco Stealthwatch.
WAF (Web Application Firewall)
Защищает веб-приложения от атак (SQL-инъекции, XSS и др.).
Примеры: Cloudflare WAF, ModSecurity.
5. Дополнительные инструменты
Sandbox (Песочница)
- Изолированная среда для запуска подозрительных файлов.
- Позволяет анализировать поведение вредоносного ПО без риска для системы.
Примеры: Cuckoo Sandbox, FireEye AX.
Threat Intelligence (Платформы разведки угроз)
Агрегируют данные о новых угрозах, помогают SOC-аналитикам быть в курсе актуальных атак.
Примеры: MISP, Recorded Future.
SOAR (Security Orchestration, Automation and Response)
Автоматизирует рутинные задачи SOC:
- Блокировка IP.
- Уведомление ответственных.
- Запуск сценариев реагирования.
Примеры: Splunk Phantom, Palo Alto Cortex XSOAR.
Вывод
Не все компании используют все перечисленные инструменты – выбор зависит от бюджета и потребностей бизнеса. Однако SIEM, EDR и базовые сетевые средства (NGFW, IDS/IPS) встречаются чаще всего.