8 ℃
Мировая экономика ежегодно теряет $1 триллион из-за различных киберпреступлений. Такие данные приведены в отчете «Скрытые издержки киберпреступности», который в 2020 году подготовили Центр стратегических и международных исследований (CSIS) и компания McAfee. По различным оценкам, эта цифра может увеличиться в 9 раз к 2030 году.
По Беларуси такой статистики нет. Из-за репутационных рисков компании предпочитают не оглашать подобную информацию. Но самые громкие случаи становятся известны. Так, в 2019-2020 годах экспертно-аналитический центр InfoWatch зафиксировал 22 случая утечки данных из белорусских компаний и государственных органов. Руководитель направления информационной безопасности Softline в Беларуси Александр Дубина рассказал порталу «ПроДело» из каких элементов состоит система информационной безопасности в современной компании, и почему необходимо уделять внимание этому вопросу.
Почему нужно строить именно систему безопасности, а не полагаться на отдельные решения?
Во-первых, перечисляет эксперт, не существует одного универсального решения, которое смогло бы закрыть все бреши в ИТ-инфраструктуре бизнеса. Инструменты защиты предназначены для разных целей, каждый имеет как свои преимущества, так и слепые зоны. Чтобы построить полноценную систему безопасности, необходимо сложить все «кирпичики» вместе.
Во-вторых, безопасность — это процесс. Нельзя единожды выделить бюджет, а потом почивать на лаврах. Киберпреступность постоянно совершенствуется, поэтому прогрессивные системы защиты незаменимыми.
И наконец, в-третьих, такой подход финансово выгоден.
«Могу привести пример из практики – у одного из клиентов мы запустили пилотный проект с решением по защите от утечек данных. А спустя 3 месяца он сказал, что с помощью этого решения удалось пресечь коррупционные схемы на сумму более $1 миллиона», — отметил собеседник.
Фундамент защиты. Базовый набор для защиты конечных точек
Инструменты: антивирусы, лицензионное ПО
Когда нужно: когда в компании появляется хоть одно устройство
В чем ценность: страховка от большинства массовых и распространенных угроз
Главный недостаток: бессилен перед новыми и сложными угрозами
Самый элементарный уровень защиты процессов, бизнес-данных и конфиденциальных сведений. В сфере безопасности эти решения называют «защитой от дурака», так как антивирус защищает от уже известных вирусов, червей, троянов, которые ранее попали в базы.
К фундаменту безопасности также относится лицензионное программное обеспечение, потому что только на нем можно получать регулярные обновления, которые содержат в себе своевременную проработку всех возможных на данный момент уязвимостей.
«База» для защиты периметра
Инструменты: межсетевой экран (Firewall)
Когда нужно: всегда, если в компании есть интернет
В чем ценность: базовая защита корпоративной сети от угроз извне
Главный недостаток: защита только базовая, остаются уязвимые места для изощренных атак, которые закрываются другими средствами защиты
Самая первая охранная система на пути злоумышленника — межсетевой экран или фаервол. Это комплекс аппаратных и программных средств, которые контролируют и фильтруют проходящий через него трафик на различных уровнях по заданным правилам. Такая своеобразная стена, граница между организацией и интернетом, через которую можно безопасно взаимодействовать. Основные задачи фаерволов — защита компьютерных сетей от вторжений, контроль доступа пользователей в интернет, проверка трафика на угрозы, фильтрация сетевых пакетов.
Это средство защиты относится к фундаменту безопасности и обязательно для применения, тем не менее оно не может решить все проблемы. Сетевые экраны бывают с разными возможностями, но всегда есть риск, что в них останутся узкие места, которые злоумышленники смогут обойти при продуманной целевой атаке. Также они не защитят от внутренних угроз.
Защита продвинутого уровня
Для конечных точек
Инструменты: EDR (Endpoint Detection & Response)
Когда нужно: для предотвращения сложных атак путем своевременного обнаружения фактов зловредной активности
В чем ценность: базовая защита конечных точек внутри периметра от сложных угроз
Главный недостаток: необходимость в высококвалифицированных специалистах и интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их
Если антивирусы предотвращают проникновение типовых угроз, то EDR, наоборот, выявляет неизвестные сложные угрозы и скрытые атаки. Решение постоянно мониторит состояние конечных точек (почты, виртуальных машин, интернет-шлюзов) и обнаруживает злонамеренную активность путем поведенческого анализа. С его помощью команда безопасности сможет вовремя отследить угрозы, в том числе целенаправленные атаки, и принять меры.
Главная задача, которую решает EDR — обнаружение и исследование вредоносной активности. Это значит, что внутренние угрозы все-таки могут проникнуть в сеть, и, хотя в решении есть функционал, позволяющий блокировать атаки и изолировать файлы, для максимальной защиты одного EDR недостаточно. Требуется квалифицированная команда аналитиков службы безопасности, которые будут с этой системой работать и интеграция с другими средствами безопасности.
Защита от неизвестных угроз
Инструменты: песочница (Sandbox)
Когда нужно: при любом взаимодействии с внешними файлами
В чем ценность: возможность бюджетно, без сложных настроек и привлечения специалистов блокировать новые угрозы и сложные атаки
Главный недостаток: вредоносное ПО может не раскрыться в песочнице, если она будет плохо имитировать реальную среду
Песочница — один из элементов комплексной защиты от неизвестных и сложных угроз (ATP). Создается изолированная среда, в которую попадают все файлы, загружаемые пользователями из интернета, письма, документы и т.д. После того, как с помощью поведенческого анализа выясняется, что файлы безопасны, они передаются в распоряжение пользователей.
Иными словами песочница даёт возможность посмотреть, как бы файл вел себя, если бы попал на реальную рабочую станцию. Если он пытается совершать неправомерные действия, запрашивать доступы, шифровать файлы, распространять вирус по сети, то можно легко заблокировать его и не дать проникнуть в реальную инфраструктуру. Песочницы очень популярны, потому что их эффективность высока, а внедрение не требует сложных настроек и весомых затрат при эксплуатации и обслуживании.
Однако есть в песочнице и слабые места. Например, для целевых атак может создаваться вредоносное ПО, которое запускается только при наличии определённых приложений и утилит на рабочей станции. А если они будут отсутствовать в изолированной среде эмуляции, то и зафиксировать атаку песочница не сможет, а вредоносный файл попадет в реальную инфраструктуру. Тем не менее, в комплексе с другими средствами песочница служит незаменимым звеном в системе информационной безопасности.
Защита сети
Инструменты: NTA (Network Traffic Analysis) – системы анализа сетевого трафика
Когда нужно: когда инфраструктура подключена к сети и есть вероятность целевых атак
В чем ценность: подробная картина активности в инфраструктуре и хранение трафика
Главный недостаток: необходимость в интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их
Системы анализа сетевого трафика выявляют угрозы, исследуя события на уровне сети. Возможности мониторинга трафика позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовывать угрозы, а также контролировать соблюдение регламентов. NTA способны хранить копию обработанного трафика, что важно при расследовании инцидентов.
Эти решения оперируют большими объемами трафика. Это значит, что с их помощью отслеживаются не единичные срабатывания, а выстраивается цепочка атаки. Это возможно благодаря комбинации поведенческого анализа, машинного обучения, ретроспективного анализа, индикаторов компрометации и др.
NTA обнаруживают подозрительную активность в трафике, которую пропускают фаерволы, и лучше отслеживают действия злоумышленников в слепых зонах.
Предотвращение утечек, защита данных
Инструменты: DLP, VPN
Когда нужно: когда есть сотрудники, работающие с конфиденциальными данными, или просто удаленные сотрудники
В чем ценность: выявление и блокировка утечек, зашифрованная передача данных, контроль за сотрудниками
Главный недостаток: сложное внедрение, настройка и администрирование
Защищаясь от внешних угроз, нельзя забывать про опасность изнутри. DLP — это технологии, а также программные или программно-аппаратные средства для предотвращения утечек конфиденциальной информации. Они отслеживают пересылки документов по электронной почте, копирование информации на съемные носители, передачу через веб-сервисы, соцсети, облачные хранилища, даже фотографирование и печать документов. Эти технологии выявляют утечку, инициированную сотрудником или вредоносным ПО, блокируют передачу данных вовне и уведомляют об этом сотрудника по информационной безопасности.
DLP также выполняют побочные задачи. С их помощью можно отслеживать, что сотрудники делают в течение рабочего дня, что печатают, какие письма пересылают и т.д. Это стало особенно популярным в период массовой удаленной работы. Многие руководители хотят располагать такой статистикой для контроля и управления командой. Но с помощью этих возможностей можно выполнять и более весомые задачи — выявлять коррупционные схемы, теневые взаимодействия, контракты по завышенным ценам и т.д. Даже на этапе пилотных проектов DLP обнаруживают нарушения.
Рядовые пользователи прибегают к VPN-решениям, когда хотят сохранить анонимность в сети и получить доступ к заблокированным ресурсам. Компании же применяют VPN, чтобы зашифровывать конфиденциальные данные при удаленной работе. На предприятиях выстраиваются защищенные каналы связи между филиалами и контрагентами, шифруются каналы связи для защиты передаваемой информации. VPN обеспечивает доставку зашифрованной информации из точки A и ее расшифровку при в точке B. Из минусов: протокол безопасности может быть сложно настроить, а ошибки в настройке могут привести к уязвимостям и утечкам, поэтому для работы с ним необходимо привлекать опытных специалистов. В следующем материале подробно расскажем о том, как обеспечить своей компании прогрессивную киберзащиту.
