Краткий (нет) ликбез по решениям в информационной безопасности

Сфера Информационная Безопасности (ИБ) меняется быстрее всего в IT, всё потому, что каждый день выходят новые вредоносные ПО или способы проникновения в инфраструктуру. Если ты не специалист ИБ, сложно разобраться в существующих категориях и продуктах этой сферы. Большинство людей по-прежнему думают, что антивирусы и защитят их от всех видов вредоносного ПО.

В данной статье мы сделали обзор всех категорий решений и попытались понятно объяснить, что делает каждая категория.

Как понятно из названия, системы этой категории определяют своих и чужих. Прежде чем сетевая преступник или вирус шифровальщик займутся кодированием данных, они должны попасть в инфраструктуру компании. Эта категория решений делает процесс внедрения дороже и дольше, Тем самым снижая вероятность преступления.

Система контроля пользователей (PAM /Privileged Access Management )

Группа решений, предназначенных для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций. Система определения может ходить несколько сот или даже тысяч параметров-сигнатур, по которым определяется личность пользователя.

Простыми словами: По набору признаков, например скорости печатания, поведению работы или местоположению подключения отличает “своего” от “чужого”

Многофакторная проверка подлинности (MFA)

MFA добавляет еще один уровень защиты. Используют другую систему идентификации пользователя (например, с помощью звонка).

Простыми словами: Тоже самое что и многофакторная аутентификация, то есть проверка входа или действия с помощью SMS e-mail, биометри и многих других способов.

Защита конечных устройств (EPP)

Под конечными устройствами понимают смартфоны, рабочие станции и другие девайсы, которые находятся в корпоративной сети и с которыми работают люди.

Блокирует угрозы по сигнатурам и алгоритмам работы рабочих станций. Анализирует сетевые подключения и службы, с которыми работает ОС.

Простыми словами: действует также как PAM, только проверяет не людей, а работу компьютеров и программ. Обычно устанавливаются на сами конечные устройства.

Защита почтового сервера

Проверяет отправителей писем и контент внутри, еще до открытия письма человеком. Может включать как заданные сигнатруы-параметры письма с вредоносом, так и ИИ системы. Некоторые защитники работают, как песочницы т.е. позволяют открыть письмо в безопасной среде, ограниченной от сети.

Простыми словами: наверное вы замечали, что на рабочую почту приходят пустые письма и сразу удаляются, или файлы, которые помечены восклицательным знаком. Это признаки работы защитника почты. В идеале такие письма сразу попадают в спам или блокируются до приема.

Модули доверенной загрузки

Не является в чистом виде программным продуктом так как включает в себя платы и идентификаторы электронных ключей или других токенов. Такие системы могут устанавливаться на сервера или рабочие станции И дают доступ пользователям с помощью специальных ключей.

Простыми словами: по сути, частный случай многофакторной аутентификации. Например, вы можете получить доступ к отдельному файлу, если приложите электронный ключ, как от домофона :)

Управление учётными данными (IDM)

Такие системы контролируют процесс создания и управление учетными записями. то есть без ведома администратора или данного приложения пользователь не сможет создать учётку и пользоваться её функциями.

Простыми словами: Преступник может создать фейковую учётку с правами администратора и IDM системы не позволят её создать.

Актуальные системы в компаниях, связанных с интеллектуальной деятельностью и защитой авторских прав. Также, в свете последних событий, системы защиты данных нужны для веб-сервисов, таких как Яндекс Еда. Утечки в таких службах участились

Предотвращение утечек информации (DLP)

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.Если находится часть ценного файла активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введенных меток, сравнением хеш-функции) и анализом контента.

Простыми словами: Важные файлы или фрагменты не могу сохраниться в DropBox, на флешке или в Telegram-сообщении, без согласия админа или DLP программы.

Мониторинг активности базы данных (DAM)

По принципу действия не сильно отличается от DLP 100 лет разница что предмет защиты не контент или файлы, а базы данных.

Простыми словами: делают все то же, что и DLP, только в базах данных. Например, утечка баз данных Wildberries произошла из-за сбоя работы такой службы.

Описание продвинутых угроз и средств защиты от них требует отдельной статьи или целого цикла. в 2 словах это комплексные угрозы, которые включают в себя одновременно Методы социальной инженерии, администрирования, вирусного ПО и пр.

Одним из хороших примеров продвинутых угроз является supply-chain атаки, в которых заражаются доверенные контрагенты компании и с помощью расширенных прав происходит внедрение в главную компанию.

Управление рисками и соответствием требованиям регуляторов (SGRC)

SGRC представляет из себя больше системы аналитики чем прямой защиты от вредоносного ПО. Выявляют нарушения и подозрительную активность, производит оценку киберугроз и аномалий. Решение не только своевременно детектирует надвигающиеся атаки, но и приоритезирует угрозы.

Простыми словами: Решения выявляют слабые места еще до начала инцидента. Т.е. показывают какие компьютеры серверы или аккаунты могут быть лёгкой точкой входа для злоумышленников.

Песочница (Sandbox)

Принцип действия песочницы нельзя называть сверхсложным. Пользователь помещается в безопасную среду и там совершает действие с подозрительным файлом или приложением. Данный метод развился из многообразия виртуальных сред и позволил использовать виртуальные машины для работы с подозрительными файлами.

Простыми словами: создают виртуальное рабочее место, в котором работает сотрудник. Если сотрудник скачает и запустит вредоносное ПО на этом виртуальном рабочем месте, остальная инфраструктура не пострадает.

Защита от целевых атак (AntiAPT)

APT-атаки (advanced persistent threat – комплексная таргетированная угроза) – это сложные долгосрочные кампании, профессионально спроектированные злоумышленниками для обхода одноуровневой защиты.

Обычная APT комплексы используют крупные компании, так как на уровне СМБ подобная защита может быть излишней.

Комплексы защиты от целевых атак могут включать в себя:

Простыми словами: это система "всё в одном", установка которых сильно усложняет жизнь злоумышленникам.

Защита от цифрового пиратства

Подобные системы в чём-то могут быть похожи на ПО защиты данных от утечки. В дополнение системы защиты от пиратства анализируют интернет-ресурсы И пытаются найти фрагменты защищенных данных. Подобные системы обладают применением сертификатов и позволяют в режиме реального времени блокировать контент на пиратских сайтах

Простыми словами: Такие системы ищут наличие контента в интернете и блокируют пиратские ресурсы если найдут фрагменты защищенного контента.

Обучение IT-безопасности

В предотвращении киберугроз важно не только подготовленная инфраструктура, но и скорость реакции сотрудников. Системы обучения ИБ важны в больших компаниях, где каждый сотрудник может стать точкой входа злоумышленника. Обучение сотрудников противостоять угрозам сэкономит компаниям миллионы рублей.

Простыми словами: на практике такие системы мы это тренажеры с большим набором типовых инцидентов. Группа сотрудников подключается в систему и, в режиме работы на скорость, тренируется противостоять угрозе.

Исследование и аналитика угроз безопасности (TI)

Системы исследования кибератак, стремятся предоставлять развернутые данные для комплексного и точного анализа угроз и предстоящих инцидентов. Возможности решения позволяют адаптировать ее к ландшафту угроз не только для определенной отрасли, но и для конкретной компании.

Простыми словами: По набору мировых инцидентов и заражений решение даёт рекомендации по улучшению безопасности. Например, если система увидит признаки киберпреступление совершенного в Бразилии в 2021м году, вам поступит уведомление, как улучшить текущую защиту.

Управление событиями и информацией о безопасности (SIEM)

SIEM обеспечивает сбор событий информационной безопасности со всех узлов инфраструктуры, проводит автоматический анализ полученных событий с использованием алгоритмов машинного обучения, что позволяет без участия человека на ранней стадии выявлять инциденты информационной безопасности.

Управление инцидентами информационной безопасности (IRP/SOAR)

Данная категория решений является самой продвинутой среди всех существующих. По факту soar системы в режиме реального времени дают рекомендации по устранению инцидента, либо вообще не подключают сотрудников ИБ и решают проблему самостоятельно. SOAR сравнит текущую проблему с похожими, и даст отчет-рекомендации по устранению.

Простыми словами: если сотрудник не знает, как справиться с угрозой, SOAR даст ему набор действий по устранению, либо сделает все сама.

Разработка, эксплуатация и защита приложений (DevSecOps)

Данное решение занимаются глубоким анализом трафика аппаратном уровне. Такие решения могут устанавливаться в стойку/ виртуальную машину или быть в облаке.

Также могут выполнять функции:

Сетевой экран уровня приложений (WAF-Web Application Firewall)

WAF помогает защитить веб-ресурсы, если они являются основой бизнеса, если они используются как хранилище персональных данных или другой критической информации или если они связаны с инфраструктурой компании и могут послужить точкой входа для злоумышленников.

Простыми словами: Такие сетевые экраны защищают конкретное веб-приложение, например ВКонтакте, от широкого спектра угроз.

Тестирование безопасности приложений (AST- Application security testing)

AST решения предназначены для поиска уязвимых мест в исходном коде приложения. В конечном итоге эти системы повышают устойчивость ПО к различным угрозам. Кроме того, AST генерирует эксплойты. Эти тестовые запросы подтверждают или отрицают наличие проблемы, способной привести к нарушению работы системы.

Простыми словами: AST видят проблемные фрагменты кода в web-приложении и дают рекомендации к устранению.

Платформы защиты контейнеров и облачных нагрузок

Решения позволяют защищать собственные облачные приложения на базе контейнеров от разработки до производства, используя передовые знания в отрасли для защиты контейнеров.

Простыми словами: Контейнер- это сильно урезанная по функциям виртуальная машина, которая предназначена для размещения в ней приложения или службы. Контейнеры могут быть целью для злоумышленников. Решение описанное выше занимается предотвращением угроз для контейнеров.

Защита виртуализации и облачных сред

Средства защиты виртуализации работают с платформами: VMware vSphere, Microsoft Hyper-V и Скала-Р и др. Решения обеспечивают защиту от специфических киберугроз и несанкционированных действий с виртуальными машинами (клонирования, уничтожения, теневого копирования данных).

Возможности:

Простыми словами: так же как и защитник контейнеров, система защищает виртуальные машины.

Межсетевой экран или Унифицированная защита от сетевых угроз (FW\UTM)

В простонародье Файрвол. Главная задача файрвола — не пропускать трафик, которого быть не должно. Это базовая защита от сканирования сети организации, от доставки на компьютеры вредоносных программ, осуществления сетевых атак, а также от несанкционированного доступа к закрытой корпоративной информации. МСЭ может стоять между сетью компании и интернетом и следить, чтобы злоумышленники не попали в защищенную корпоративную сеть.

Простыми словами: решение для защиты сетевого периметра, которое позволяет сделать доступ в интернет абсолютно управляемым, безопасным и надежным.

Шлюзы информационной безопасности

Корпоративный шлюз представляет собой программно-аппаратный комплекс, который защищает и фильтрует трафик шлюза и подсетей.

Шлюз обладает возможностями:

Шлюз выстраивает сети разного типа, способен создавать несколько защитных барьеров, выполнять перешифрование. Решение перераспределяет нагрузку, обеспечивает отказоустойчивость и тем самым повышает производительность сети.

Простыми словами: безопасно соединяет инфраструктуру компании с “интернетом” (внешней сетью), так чтобы злоумышленникам было сложнее навредить.

Межсетевой экран нового поколения (NGFW)

Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) — представляют собой интегрированные платформы сетевой безопасности, в которых традиционные брандмауэры сочетаются с другими сетевыми решениями для фильтрации трафика, такими как системы глубокого анализа трафика Deep Packet Inspection (DPI), система предотвращения вторжений (IPS) и др.

NGFW могут:

Простыми словами: NGFW это МСЭ, которые могут, без участия человека, находить продвинутые угрозы.

Подобные решения предназначены для защиты отдельных уровней производственных систем, включая серверы SCADA, операторские панели, инженерные рабочие станции, ПЛК, сетевые соединения и персональное оборудование.

Для промышленных предприятий — это непрерывность производства. Поэтому злоумышленники часто атакуют конвейерные линии и инфраструктуру предприятия, для остановки процесса производства.

Простыми словами: Простой дорого обходится для любого завода. Системы защиты АСУ ТП защищают инфраструктуру завода от киберугроз и предотвращают простои.

Мы практически уверены, что такой пласт информации нельзя понять, прочитав такую поверхностную статью. Мы и не ставили такой задачи.) В следующих статьях мы более подробно остановимся на каждом решении и опишем возможности продуктов, которые подходят под вышеперечисленные категории.

И если у Вас возникло желание поподробнее ознакомиться с тематикой ИБ- пишите нам на zakaz@olly.ru либо звоните по контактам на нашем сайте.