Зачем защищать IT инфраструктуру предприятия? Универсального решения, которое смогло бы закрыть все существующие бреши в IT инфраструктуре не существует. Инструменты защиты предназначены для разных целей, и каждый имеет как свои преимущества, так и недостатки. Чтобы построить полноценную безопасность, нужно сочетание разных инструментов. Киберпреступность постоянно совершенствуется. Представители бизнеса должны понимать, что безопасность – это процесс. Этот вопрос требует системного подхода.
Основные составляющие защиты.
Защита конечных точек. Необходима всегда и в любой кампании. Это антивирусы, использование лицензионного программного обеспечения. Самый элементарный уровень защиты процессов, бизнес-данных и конфиденциальных сведений компании. Эти решения называют «защитой от дурака», так как антивирус реагирует на набор уже известных вирусов, червей, троянов, которые ранее попали в базы, и защищает от них устройство. К фундаменту безопасности также относится лицензионное программное обеспечение, так как только на нем можно получать регулярные обновления, которые содержат в себе своевременную проработку всех возможных на данный момент уязвимостей. Рекомендуем к использованию:
Защита периметра. Необходима всегда и в любой кампании. Это прежде всего межсетевой экран. В зависимости от способа реализации, они могут быть программными или программно-аппаратными. Самая первая охранная система на пути злоумышленника – межсетевой экран или firewall. Это комплекс аппаратных и программных средств, которые контролируют и фильтруют проходящий через него трафик на различных уровнях по заданным правилам. Такая своеобразная стена, граница между организацией и интернетом, через которую можно безопасно взаимодействовать. Основные задачи экранов – это защита компьютерных сетей от вторжений, контроль доступа пользователей в интернет, проверка трафика на угрозы, фильтрация сетевых пакетов, неподходящих по заданным настройкам.
Продвинутая защита конечных точек. Используется там, где можно содержать квалифицированную команду аналитиков службы безопасности. EDR (Endpoint Detection & Response). Если антивирусы предотвращают проникновение типовых угроз, то EDR, наоборот, выявляет неизвестные сложные угрозы и скрытые атаки. Решение постоянно проверяет состояние конечных точек (почты, виртуальных машин, интернет-шлюзов) и обнаруживает злонамеренную активность путем поведенческого анализа. С его помощью команда безопасности сможет вовремя отследить угрозы, в том числе самые современные целенаправленные атаки, и принять меры. Таким образом, главная задача, которую решает EDR – это обнаружение и исследование вредоносной активности. Это значит, что внутренние угрозы все-таки могут проникнуть в сеть, и, хотя в решении есть функционал, позволяющий блокировать атаки и изолировать файлы, для максимальной защиты одного EDR недостаточно.
Защита сети. Когда IT инфраструктура подключена к сети и есть вероятность целевых атак необходимы NTA (Network Traffic Analysis) – системы анализа сетевого трафика. Системы анализа сетевого трафика выявляют угрозы ИБ, исследуя события на уровне сети. Возможности мониторинга трафика позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовывать угрозы, а также контролировать соблюдение регламентов ИБ. Системы способны хранить копию обработанного трафика, что неоценимо при необходимости расследования инцидентов. NTA-системы считаются более продвинутым средством защиты по сравнению с базовыми, так как они оперируют большими объемами трафика. Это значит, что с их помощью отслеживаются не единичные срабатывания, а выстраивается цепочка атаки целиком. Это возможно благодаря комбинации поведенческого анализа, машинного обучения, ретроспективного анализа, индикаторов компрометации и др. NTA обнаруживают такую подозрительную активность в трафике, которую пропускают другие средства защиты, и лучше отслеживают действия злоумышленников в слепых зонах.
Предотвращение утечек, защита данных. Когда есть сотрудники, работающие с конфиденциальными данными, или просто удаленные сотрудники необходимы системы DLP, VPN. Защищаясь от внешних угроз, нельзя забывать, что опасность изнутри может быть еще более мощной. DLP – это технологии, а также программные или программно-аппаратные технические устройства для предотвращения утечек конфиденциальной информации. Они отслеживают пересылки документов по электронной почте, копирование информации на съемные носители, передачу через веб-сервисы, соцсети, облачные хранилища, даже фотографирование и печать документов. Эти технологии выявляют утечку, инициированную сотрудником или вредоносным ПО, блокируют передачу данных вовне и уведомляют об этом сотрудника ИБ. Компании применяют VPN, чтобы зашифровывать конфиденциальные данные при удаленной работе, чтобы защитить их от утечек. На предприятиях выстраиваются защищенные каналы связи между филиалами и контрагентами, а также шифрования каналов связи для защиты передаваемой информации. VPN обеспечивает выход зашифрованной информации из точки A и ее расшифровку при доставке в точку B.
Разграничение доступа к корпоративной информации. Грамотное построение политики управления данными предусматривает не только их рациональное хранение и обработку, но и обеспечение эффективной информационной безопасности. Из-за того, что сегодня практически любая информация, которая применяется в работе компаний, используется в электронном виде, она становится более уязвимой к различным угрозам. Внешние угрозы вынуждают организации обеспечивать грамотное управление доступом и защищать корпоративную информацию от различных способов хищения извне. Во избежание внутренних угроз компаниям следует обеспечить ограничение доступа к важной информации для своих же сотрудников.