Ad image
3.872 RUB 2.7596 USD 3.2047 EUR 4.0446 CNY Погода 8 ℃ 3.872 RUB 2.7596 USD 3.2047 EUR 4.0446 CNY Погода 8 ℃
Последние новости

Как обеспечить компании прогрессивную киберзащиту

Автор: редакция Prodelo.by

 Теги:
кибербезопасность

Продолжаем разбираться в тонкостях создания эффективной системы кибербезопасности в компании. Здесь можно почитать, как обеспечить базовый и продвинутый уровень защиты. А в этот раз руководитель направления информационной безопасности Softline в Беларуси Александр Дубина рассказал порталу «ПроДело», как оценить степень защищенности своего бизнеса от киберугроз и как сделать ее максимальной.

Прогрессивная защита. Фокусные решения внутренних задач безопасности

Инструменты: сканер безопасности, WAF (Web Application Firewall)

Когда нужно: при наличии как минимум фундамента безопасности, а также веб-приложений для работы с клиентами

В чем ценность: своевременное закрытие брешей безопасности и защита репутации

Главный недостаток: сканер – необходимость в регулярном сканировании и оценке специалистов, WAF – индивидуальная настройка под клиента

В каждой компании есть свой специфический набор задач по безопасности в зависимости от бизнес-процессов, отраслевых стандартов. Чем больше инфраструктура, тем проще упустить что-то в ее защите. Поэтому необходимо иметь инструмент, который будет проверять систему безопасности на наличие ошибок — сканер безопасности. С его помощью можно «просветить» инфраструктуру организации на наличие уязвимостей, отсутствие обновлений и т.д. Сканер дает понять, на что стоит обратить внимание и какие бреши закрыть.

Например, в организации забыли обновить фаервол, а за это время в его модели стала общеизвестной какая-либо уязвимость. Злоумышленники получают прекрасную возможность «прощупать» это слабое место, а значит, предприятие будет под угрозой.

Сканер работает с базой данных актуальных уязвимостей и указывает на потенциальные дыры. Обязательное сканирование может быть закреплено даже законодательно в отраслевых стандартах. Например, банки обязаны по закону проводить аудит безопасности и предоставлять отчеты о сканировании.

Недостаток этого инструмента может заключаться в том, что он делает статичный снимок состояния инфраструктуры, поэтому регулярность сканирования — обязательный пункт для безопасности. Также при анализе данных сканером всегда требуется оценка снимка квалифицированными специалистами.

Web Application Firewall похож по своим функциям на межсетевой экран для защиты периметра, но предназначен для веб-приложений, к примеру, для защиты интернет-банкинга. Пользователи вводят в форму свои личные данные, пароли, проводят платежи и делают все это за пределами периметра безопасности банка. Через форму сайта злоумышленники часто взламывают внутреннюю базу данных и делают это путем элементарного подбора паролей. WAF закрывает это узкое место в защите при условии грамотной настройки и адаптации под клиента.  

Анализ исходного кода

Инструменты: Application Inspection

Когда нужно: когда необходимо проверить безопасность новой разработки

В чем ценность: разработчики могут проверять собственные разработки, а компании безопасно принимать приложения от подрядчиков

Главный недостаток: могут быть ложные срабатывания, из-за чего процесс проверки нельзя полностью автоматизировать, необходимо привлекать специалистов

Application Inspection — решение для выявления ошибок и уязвимостей в исходном коде или готовом приложении. С его помощью выстраивается процесс безопасной разработки. В первую очередь, это решение полезно самим разработчикам, так как они заинтересованы в качестве своей продукции и репутации. Однако, чем тщательнее компания относится к безопасности, тем больше в ней стремления не доверять на слово, а самостоятельно проверять все потенциальные источники угроз.

Таким образом, самостоятельно проведенный анализ дает заказчику возможность точно установить уязвимости и право требовать их устранения за счет разработчика, согласно договору. Это решение можно приобретать как лицензию или услугу вплоть до ручного анализа кода, когда специалисты точечно разбирают каждую строчку кода и пытаются эксплуатировать уязвимости.

Управление правами

Инструменты: IDM-системы

Когда нужно: если в компании более 1000 пользователей и от трех информационных систем

В чем ценность: автоматизированное управление правами доступа, исключение инцидентов из-за «мертвых душ»

Главный недостаток: долгая окупаемость

Этот класс решений призван бороться с «мертвыми душами» – неудаленными учетными записями ушедших из компании сотрудников. Чем они опасны? Тем, что не все покидают компанию лояльно, и могут использовать свои права доступа как способ навредить бывшему работодателю. И даже если такой цели нет, злоумышленники иногда специально ищут представителей «мертвых душ» по конкретным компаниям, а устоять перед возможностью легкого заработка могут не все. Тем более что найти виновных практически невозможно. Ведь по факту не происходит никакого взлома, злоумышленник проникает в систему легитимно. IDM-системы позволяют автоматизированно управлять правами доступа от момента прихода сотрудника в компанию, когда необходимо пройти процесс согласований и предоставлений прав и доступа, до момента его официального увольнения.

Чтобы избегать инцидентов, необходимо вовремя удалять учетные записи и до тех пор, пока размеры компании позволяют администратору справляться с этой задачей в ручном режиме, нет острой необходимости в IDM-системе. Но чем больше в компании сотрудников и информационных систем, тем больше вероятность допустить ошибку, которая может стоить потери бизнеса. Как правило, в больших компаниях, которые уже много лет ведут свою деятельность, «мертвые души» встречаются в огромных количествах, что делает эту уязвимость одной из самых распространенных.

Управление доступом

Инструменты: 2FA, PAM

Когда нужно: когда применяются парольные методы защиты, когда в компании есть ИТ-администраторы

В чем ценность: значительное усиление парольной защиты, контроль администраторов

Главный недостаток: в некоторых случаях зависимость от сети на мобильном телефоне

Применение 2FA и PAM довольно обширно ввиду небольшой стоимости и высокой результативности. Двухфакторная аутентификация (2FA) управляет доступом к системам компании на уровне пользователей. Она служит усилением парольной защиты, то есть при подключении к ресурсам недостаточно просто ввести правильный пароль, нужно еще авторизоваться, получив дополнительный код, например, на почту или телефон. Сегодня это особенно актуально, так как обычные пароли для злоумышленников практически перестали быть барьером.

PAM или Privileged Access Management — это управление привилегированным доступом на уровне администраторов. С помощью этого класса решений компании могут контролировать собственных сисадминов и точно знать, что они не превышают своих прав. Еще этот инструмент полезен, когда, к примеру, падает какая-то система и необходимо разобраться в причинах. PAM дает возможность поднять хронологию действий и вычислить, где и кем была допущена ошибка. Контролировать с помощью PAM можно не только своих, но и внешних подрядчиков. Если приходится привлекать специалистов для работы с ИТ-системами, необходимо защищать себя и видеть все совершаемые действия.

Управление информационной безопасностью и инцидентами

Инструменты: SIEM

Когда нужно: когда устройства безопасности генерируют тысячи событий в секунду и их становится невозможно обрабатывать силами специалистов

В чем ценность: максимально полная картина безопасности организации в едином окне и возможность отслеживать все возможные виды злонамеренной активности

Главный недостаток: высокая стоимость построения системы и экспертизы специалистов

Если компания растет, то неизбежно растет и ее система информационной безопасности. Купив антивирусы, фаерволы, EDR, 2FA, другие решения для головного офиса и всех филиалов, компания рано или поздно сталкивается с проблемой – как за всем этим следить? Ведь у каждого из этих инструментов своя зона ответственности и ограниченные возможности, а обеспечение безопасности должно быть комплексным. Да, есть специалисты по информационной безопасности (ИБ-специалисты), но люди не обладают возможностями ежесекундно отслеживать все происходящие в компании процессы.

SIEM собирает информацию со всех инструментов безопасности, в том числе от различных производителей, и выводит ее на один экран. Помимо удобства отображения информации, ценность системы в подробном сборе событий, их объединении в логическую цепочку и оповещении о возможности инцидента. Дело в том, что средства безопасности по отдельности могут не видеть злонамеренную активность и обнаружить ее можно только при корреляции информации из разных источников.

Так, с помощью SIEM ИБ-специалисты получают возможность видеть всю картину безопасности в организации целиком, получать уведомления о всех возможных нарушениях и максимально оперативно предотвращать инциденты, которые другими средствами безопасности могли быть пропущены. В последние годы SIEM становится одним из часто покупаемых решений, несмотря на высокую стоимость, так как растет понимание необходимости построения систем ИБ, а не покупки отдельных решений.

Реагирование на инциденты

Инструменты: SOAR (Security Orchestration, Automation and Response)

Когда нужно: когда в компании нет отлаженной системы реагирования на инциденты

В чем ценность: автоматизация систем ИБ и оперативное реагирование на инциденты

Главный недостаток: сложность внедрения и интеграции

Если SIEM-системы нацелены на сбор информации и подразумевают в большей степени управление и реагирование в ручном режиме, то SOAR — это инструмент автоматизации и оркестрации. То есть с его помощью можно управлять системами безопасности и координировать их работу. При этом в решении предусмотрены широкие возможности автоматического сбора данных, анализа и реагирования на инциденты. Из-за того, что природа атак усложняется, а поток инцидентов иногда становится лавинообразным, потребность выполнять шаблонные и рутинные операции без привлечения человека становится с каждым днем актуальнее. SOAR позволяет специалистам сфокусироваться на сложных инцидентах, а также совершенствовании системы ИБ.

Комплексная система безопасности

Инструменты: SOC (Security Operation Center)

Когда нужно: когда в компании развитый ИБ-ландшафт и повышенный риск влияния ИБ-угроз на бизнес

В чем ценность: максимально возможное снижение рисков, оптимизация ИБ-процессов

Главный недостаток: сложные процессы настройки и сопровождения центра, а также зависимость от квалификации сотрудников SOC

SOC — это вершина построения той самой системы безопасности, о которой говорилось в самом начале. Центр мониторинга и реагирования на инциденты строится на базе описанных технологий, главным образом на SIEM и SOAR, с обязательным участием ИБ-специалистов. Главная задача сотрудников SOC — любыми путями не допускать инцидентов, эффективно устранять их и расследовать. Для этого выстраивается сложный комплекс из технических средств, рабочих процессов и консалтинговой работы специалистов. Это позволяет контролировать состояние ИТ-инфраструктуры так детально, насколько это вообще возможно.

За счет того, что SOC это не просто технология или разовая услуга, а целый центр, он помогает реализовывать главный принцип безопасности – процессный подход. Ведь злоумышленники постоянно совершенствуются, и, чтобы противостоять им, нужен комплекс из технологий и неутомимых воинов на «светлой стороне». SOC можно построить самостоятельно, но без должного опыта это затратно и слишком сложно, гораздо выгоднее делегировать это профессионалам и воспользоваться SOC как услугой.

Мониторинг информационного пространства

Инструменты: ETHIC (External Threats & Human Intelligence Center)

Когда нужно: когда бизнесу важна репутация в цифровом пространстве

В чем ценность: проактивная защита бизнеса

Главный недостаток: обнаруженные угрозы нельзя откладывать в долгий ящик, требуется мгновенная реакция ИБ-специалистов

Идеальная характеристика защиты — проактивность. Сервис ETHIC создан специально для выявления потенциальных угроз задолго до того, как их признаки начнут проявляться в инфраструктуре. Он сочетает в себе технические разработки и труд аналитиков, которые направлены на постоянный мониторинг угроз и рисков для бизнеса, а также своевременное реагирование для их предотвращения. Это решение позволяет видеть в интернете все, что касается компании. С помощью ETHIC выявляются слитые базы, «мертвые души», поддельные сайты компании, созданные для обмана, утечки конфиденциальных данных и многое другое.

Например, если кто-то на форуме в даркнете интересуется организацией, ищет людей с правами доступа, выискивает IP, то сервис засечет эти упоминания, что даст преимущество отделу ИБ в подготовке к возможным атакам, либо, если это возможно, они будут сразу заблокированы в рамках сервиса.

Александр Дубина подчеркнул, что руководителю любой компании нужно начинать с инвентаризации всей информационной системы, на которой построены бизнес-процессы. Целесообразно создать коллектив из юристов, специалистов по ИТ и информационной безопасности. А также проанализировать угрозы, риски и разработать механизмы их нейтрализации. Механизмы могут быть и организационными, и правовыми, и техническими, и социальными.

«Чтобы окончательно определить уровень безопасности в компании, необходим профессиональный аудит, который покажет, как работает компания в реальном времени.  Построение системы безопасности компании, необходимо начать с аудита и закончить аудитом», — резюмировал эксперт.

Следите за нашими новостями в: Telegram | Instagram | Viber | Facebook 

Читайте также
Белорусов предупредили о фейковых растениях на маркетплейсах
Лукашенко привел примеры практического применения ИИ в Беларуси
Названы самые щедрые по визам для белорусов страны
Лукашенко раскритиковал ставки утильсбора в ЕАЭС
Теперь звонки звучат лучше: А1 запустил технологию EVS по всей Беларуси
Белстат назвал самые популярные имена детей в Беларуси
ТЕГИ: , , ,
Поделиться этой статьей
Присоединяйтесь к нам
Facebook Telegram Instagram Viber
Перейти
viber
Перейти
Важно

Ставка рефинансирования

9,25%

Базовая величина

45 BYN

Бюджет прожиточного минимума

509,62 BYN

Минимальная заработная плата

858 BYN

Базовая арендная величина

20,03 BYN

Забыли пароль?