В последние десятилетия вопрос построения эффективных систем информационной безопасности (ИБ) все чаще поднимается как в госорганизациях, так и коммерческих компаниях. Причем не только крупных, но и средних. Сегодня рынок кибербезопасности предлагает очень широкий выбор: от комплексных платформ, содержащих множество функций до узкоспециализированных продуктов, решающих конкретные задачи. Кроме того, не стоит забывать о решениях на базе open source. На фоне этого многообразия заказчикам зачастую трудно собрать оптимальный набор инструментов, который обеспечит надежную защиту инфраструктуры.
Компания «Анлим», центр компетенций по информационной безопасности, в статье делится рейтингом пяти наиболее эффективных средств для защиты данных. О каждом классе, вошедшем в стартовый набор для построения системы ИБ, опираясь на многолетний опыт, подробнее расскажет Вячеслав Пронюшкин, первый заместитель технического директора.
Средство антивирусной защиты
Важным элементом для защиты данных выступает антивирусное программное обеспечение. Его необходимость обусловлена тем, что на различных этапах кибератаки злоумышленники часто применяют вредоносный код, включая бесфайловые программы. Подобные инструменты используются, например, для получения первоначального доступа к системе и последующей кражи информации. Проникнув в инфраструктуру, такое ПО может вызвать сбои в работе или привести к полной компрометации.
Использование антивируса позволяет предотвратить такой сценарий. Он способен в реальном времени обнаруживать и блокировать угрозы, используя для этого ряд методов:
Сигнатурный анализ;
Поведенческий анализ (по-другому его еще называют «песочницей» — это изолированная среда, куда помещаются подозрительные файлы для безопасного запуска и анализа).
«Современные антивирусные платформы, как правило, обладают расширенным набором функций. К ним относятся, например, поиск и исправление уязвимостей, фильтрация спама и фишинговых писем, а также контроль устанавливаемых приложений. Эти возможности значительно повышают общий уровень безопасности инфраструктуры», — рассказал Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Примеры решений
MaxPatrol EPP и MaxPatrol EDR — комплексное решение для защиты конечных точек от базовых и сложных угроз. Могут приобретаться как вместе, так и по отдельности. Если MaxPatrol EPP содержит в себе антивирус в классическом понимании, то MaxPatrol EDR позволяет автоматически обнаруживать и блокировать атаки хакеров и проводить расследование;
Positive Technologies Sandbox — корпоративный продукт, основанный на поведенческом анализе и машинном обучении. Правильное применение этой платформы позволяет эффективно обнаруживать неизвестные угрозы, включая эксплойты нулевого дня и сложное вредоносное ПО;
Kaspersky Endpoint Security — комплексное решение. Благодаря широкому функционалу может использоваться в качестве базы для защиты инфраструктуры. Особенно при использовании централизованного управления Kaspersky Security Center;
Microsoft Defender — решение встроенное в операционную систему MS Windows на уровне хоста. При грамотной настройке оно способно существенно осложнить злоумышленнику развитие атаки.
Межсетевой экран
Еще одним ключевым средством защиты информации является межсетевой экран или фаервол (Firewall). Он может быть реализован как отдельное устройство или программа, и предназначен для фильтрации трафика между сетями. Разные типы экранов работают на своих уровнях:
Пограничный (Perimeter Firewall) — обрабатывает внешний трафик. Такие устройства первыми встречают входящий поток данных, отделяя локальную сеть компании от интернета и служат основным форпостом обороны. От их корректной настройки напрямую зависит, насколько привлекательной для злоумышленника выглядит инфраструктура извне;
Внутренние (Internal/Horizontal Firewalls) — фильтруют трафик внутри сети. Эти решения позволяют сократить поверхность атаки и максимально затруднить ее распространение в случае компрометации одного из сегментов;
WAF (Web Application Firewall) — защищает веб-приложения. Специализированный функционал таких экранов обезвреживает целенаправленные атаки, например, SQL-инъекции. Сегодня WAF считается самостоятельным и не менее важным классом средств кибербезопасности, поскольку его наличие исключает веб-приложения из числа первоочередных векторов атаки. Для обхода требуется высокая квалификация злоумышленника.
Длительное время базовый функционал межсетевых экранов ограничивался пакетной фильтрацией и трансляцией сетевых адресов (NAT). Первая позволяет создавать правила, разрешающие или запрещающие трафик на основе IP-адресов источника и назначения, протокола и порта. В состав функций пакетной фильтрации также входит NAT, который преобразует приватные адреса внутренней сети в публичные и обратно.
Сегодня возможности экранов значительно расширились благодаря решениям нового поколения (NGFW). В зависимости от производителя они могут включать:
Контроль трафика на уровне приложений;
Блокировку трафика по географическому признаку (GeoIP);
Системы обнаружения и предотвращения вторжений (IDS/IPS);
Потоковую антивирусную проверку;
URL-фильтрацию и категоризацию для блокировки доступа к нежелательным ресурсам;
Инспекцию SSL-трафика.
«Обычная пакетная фильтрация работает лишь на транспортном уровне и не анализирует содержимое пакетов. Злоумышленник может использовать разрешенные протоколы и адреса, и его активность останется незамеченной. Межсетевые экраны нового поколения проводят глубокую инспекцию трафика, что позволяет выявить аномальную активность даже внутри легальных соединений», — отметил Вячеслав Пронюшкин, первый заместител�� технического директора компании «Анлим».
Примеры решений
Континент 4;
Positive Technologies NGFW;
Positive Technologies Application Firewall;
ModSecurity.
Двухфакторная аутентификация
Двухфакторная аутентификация (2FA) представляет собой технологию при которой легальный пользователь вместе с паролем использует дополнительный элемент. Им может выступать, например, одноразовый код, отправляемый по SMS или через специальное приложение, или физический токен с записанным ключом. Доступ к системе предоставляется только после успешной верификации обоих факторов.
Важность внедрения 2FA обусловлена тем, что компрометация учетных данных один из самых быстрых и распространенных векторов атак. Если логин и пароль пользователя оказываются у злоумышленника, то на несанкционированные действия и причинение серьезного ущерба инфраструктуре могут уйти считанные часы. Двухфакторная аутентификация сводит эту угрозу к минимуму, блокируя доступ даже при утечке пароля.
«Основная задача 2FA усилить защиту систем, использующих стандартную аутентификацию по логину и паролю. При этом важно учитывать, что некоторые продукты изначально имеют встроенную поддержку второго фактора и не требуют интеграции сторонних решений», – Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Примеры решений
«МУЛЬТИФАКТОР» — специализированное решение, предназначенное для реализации двухфакторной аутентификации;
Яндекс Ключ — мобильное приложение для двухфакторной защиты аккаунтов.
Система анализа защищенности
Система анализа защищенности (САЗ) — это программный комплекс для автоматического сканирования инфраструктуры с целью выявления уязвимостей, в том числе, в операционных системах и прикладном ПО.
Важность подобных систем обусловлена тем, что практически любая успешная кибератака основана на эксплуатации слабых мест. Наличие множества уязвимостей предоставляет злоумышленнику широкие возможности для проникновения, перемещения внутри сети и закрепления в ней. В такой ситуации скорость развития инцидента резко возрастает, что серьезно затрудняет своевременное реагирование.
САЗ позволяет в автоматическом режиме не только обнаруживать «дыры» в безопасности, но и собирать детальную информацию о конфигурациях программного обеспечения, напрямую влияющих на общий уровень защищенности. При этом важно помнить, что поиском уязвимостей также занимаются пентестеры — специалисты по кибербезопасности, которые моделируют действия злоумышленников в ходе контролируемых атак.
«Ключевой особенностью современных систем анализа защищенности является интеграция с актуальными базами данных уязвимостей, которые постоянно пополняются по мере обнаружения новых угроз», — подчеркнул Вячеслав Пронюшкин.
Примеры решений
Positive Technologies MaxPatrol VM;
RedCheck Professional;
Nmap.
Система управления привилегированным доступом
Системы управления привилегированным доступом (Privileged Access Management, PAM) — это решения, предназначенные для контроля, мониторинга и аудита сессий администраторов и иных привилегированных учетных записей. Как правило, они представляют собой централизованную точку входа (jump-сервер), где настраиваются и управляются права доступа для различных ресурсов.
Необходимость внедрения PAM-систем объясняется высокими рисками атак через подрядчиков. Исполнители по договору часто работают в системах с расширенными правами. Злоумышленнику зачастую проще скомпрометировать инфраструктуру подрядчика, а затем использовать украденные административные учетные данные для атаки на сети заказчика. Чтобы предотвратить подобный сценарий, критически важно наличие корректно настроенной и используемой PAM-системы.
Управление доступом обеспечивается за счет гибкой настройки параметров, которая может включать:
Расписание доступа (включая модель с предоставлением прав только после одобрения запроса);
Ограничение списка доступных ресурсов;
Определение перечня разрешенных команд для подключающегося администратора (например, при работе по SSH).
«Кроме того, можно настроить немедленное прерывание сессии при попытке выполнить запрещенную команду (без ее реального исполнения) с одновременным оповещением ответственного администратора. Действия пользователей фиксируются в зависимости от способа подключения: например, видеозаписью сессии при использовании протокола RDP. Также может вестись детальный лог всех введенных команд и результатов их выполнения», — добавил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Примеры решений
РАМ Indeed;
Solar Safelnspect;
СКДПУ-НТ;
Apache Guacamole.
Внедрение вышеупомянутых решений и грамотная поддержка позволяет снизить возможность киберинцидентов и обезопасить инфраструктуру компании, в свою очередь избежать финансовых потерь, юридических трудностей и репутационные риски. При помощи средств защиты удается защитить конфиденциальные данные от несанкционированного доступа, обеспечивать непрерывную работу организации, соблюдать законодательные нормы и главное — сохранить доверие клиентов.
