34 аббревиатуры для систем защиты информации

    Давайте начнем с одного простого и уже всем набившего оскомину тезиса: информационные технологии беспрестанно развиваются. Помимо очевидных преимуществ, которые влекут за собой подобные качественные изменения, существует и ряд вполне очевидных трудностей. Наиболее релевантным из них для нас, как ИБ-специалистов, является усложнение систем защиты информации.


    Если когда-то давно можно было обойтись простым разграничением доступа и шифрованием конфиденциальной информации, то сейчас так сразу и не разберешься, что именно использовать. К некоторым аббревиатурам (вроде IPS, DLP и WAF) уже многие привыкли. Однако копнешь чуть глубже – откроется невиданный мир многофункциональных систем защиты и маркетинга. Разберемся, что же значат все эти модные аббревиатуры и что за ними скрывается.



    Новые системы все время эволюционируют и стараются закрыть как можно больше задач, из-за чего становится все сложнее разделить их на группы. Будем двигаться от “простого” к сложному. Наша первая остановка – защита приложений.


    Защита приложений


    AST – Application Security Testing


    Инструменты анализа и тестирования приложений, которые позволяют не упустить из виду уязвимости, действующие на уровне ПО. Gartner выделяет четыре основных вида AST:


    • Static AST (SAST) – тестирование методом белого ящика. Позволяет находить уязвимости исходного кода на ранних этапах разработки.
    • Dynamic AST (DAST) – тестирование методом черного ящика. Помогает находить уязвимости и слабости безопасности в работающем приложении. Подобные инструменты моделируют заранее известный список внешних атак на приложение.
    • Interactive AST (IAST) – сочетает в себе некоторые из элементов двух предыдущих подходов. Тестирование происходит в режиме реального времени, пока приложение работает в среде контроля качества или тестовой среде. Проверяется в том числе и сам код, но уже после сборки.
    • Mobile AST – выявляет и анализирует уязвимости мобильных приложений во время разработки и после нее.

    SCA – Software Composition Analysis


    Программные решения класса SCA предназначены для автоматизированного обнаружения рисков и устранения уязвимостей в коде, а также контроля использования внешних элементов с открытым исходным кодом.


    WAF – Web Application Firewall


    Средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения и чаще всего использующиеся для защиты уже готовых приложений. WAF может быть реализован как облачный сервис, агент на веб-сервере или специализированное аппаратное или виртуальное устройство. Классическое размещение WAF в сети — в режиме обратного прокси-сервера, перед защищаемыми веб-серверами. В зависимости от производителя могут поддерживаться и другие режимы работы. Например, прозрачный прокси-сервер, мост или даже пассивный режим, когда продукт работает с репликацией трафика.


    RASP – Runtime Application Self-Protection


    Эта технология безопасности встроена или связана с приложением или средой выполнения приложения и способна контролировать его выполнение, а также обнаруживать и предотвращать атаки в реальном времени. RASP может анализировать поведение приложения и контекст, в котором оно происходит, в отличие от защиты на основе периметра. Есть два режима работы:


    • диагностика (только оповещение об угрозах);
    • самозащита (запрет подозрительных инструкций).

    Защита данных


    DAP – Database audit and protection


    Системы данного класса обеспечивают безопасность систем управления реляционными базами данных (СУБД). DAP – это развитие базовых возможностей мониторинга инструментов database activity monitoring (DAM), но при этом они имеют такие дополнительные функции, как:


    • обнаружение и классификация данных;
    • управление угрозами и уязвимостями;
    • анализ на уровне приложений;
    • предотвращение вторжений;
    • блокировка активности;
    • анализ управления идентификацией и доступом.

    DLP – Data Leak Prevention или Data Loss Prevention


    Системы предотвращения утечки данных строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении конфиденциальной информации срабатывает активный компонент системы, и передача сообщения (пакета, потока, сессии) блокируется или сохраняется копия трафика для постанализа на случай проведения расследования возможной утечки.


    DCAP – Data-Centric Audit and Protection


    Эти средства защиты конфиденциальности данных знают, где хранятся конфиденциальные данные, определяют политики управления данными в бизнес-контексте, защищают данные от несанкционированного доступа или использования, а также производят мониторинг и аудит данных, чтобы убедиться в отсутствии отклонений от нормального поведения. Несмотря на новый подход к защите данных (а не периметра), решение не нашло большой популярности.


    CASB – Cloud Access Security Broker


    Инструмент контроля за облачными приложениями, ресурсами и сервисами. Он управляет тем, как происходит взаимодействие между облачными приложениями и внешним миром с помощью прокси и/или API-режима. Системы CASB могут разворачиваться как в локальной, так и в облачной среде, а также в гибридной комбинации с использованием локальных и облачных контрольных точек.


    SDS – Software-Defined Storage


    Программное решение, обеспечивающее хранение данных и управление ими. Основная отличительная возможность SDS – это виртуализация функции хранения, отделяющая аппаратное обеспечение от программного, которое управляет инфраструктурой хранения. В этом смысле SDS является развитием концепции программно-определяемой сети.


    Защита конечных точек


    EPP – Endpoint Protection Platform


    Это интегрированное решение безопасности, предназначенное для обнаружения и блокировки угроз на уровне устройства. Как правило, оно включает в себя антивирус, средства защиты от-вредоносных программ, шифрование данных, персональные межсетевые экраны, средства предотвращения вторжений (IPS) и потери данных (DLP). По своей сути решение является превентивным, и большинство подходов, использующихся в его работе, основаны на сигнатурах. Впрочем, в последнее время производители пытаются разнообразить арсенал используемых методов.


    EDR – Endpoint Detection and Response


    EDR были созданы для обнаружения и расследования подозрительного поведения (и его следов) на конечных точках. Решение обеспечивает выявление и предотвращение скрытых процессов, полный обзор конечной точки, включая приложения, процессы и коммуникации. Таким образом, EDR позволяет находить вредоносную активность и упростить процесс реагирования на инциденты безопасности, собирать информацию об инцидентах, а также реализовать защитные меры (прекращение процессов).
    Другие варианты названий:


    • STAP – Specialized Threat Analysis and Protection
    • EVC – Endpoint Visibility & Control

    Контроль доступа


    IAM — Identity and access management


    Решения для управления идентификацией и доступом к ресурсам, устройствам, сервисам и приложениям. Решения данного класса часто входят в состав более сложных систем защиты.


    IGA – Identity Governance and Administration


    Развитие технологий Identity Management (IdM) и IAM привело к возникновению нового класса решений для идентификации и управления доступом – IGA. Основное отличие между ними заключается в том, что IGA предлагают более гибкие настройки и процессы согласования доступа к ресурсам, а также имеют системы разделения ответственности для критичных бизнес-операций и системы оценки рисков при настройке ролей.


    PAM – Privileged Access Management


    Данный класс решений призван затруднить проникновение в сеть и получение доступа к привилегированным учетным записям, а также усилить защиту привилегированных групп пользователей. Помимо этого, PAM также расширяет возможности мониторинга, видимости и детализированного управления привилегированными учетными записями. Заметим, что для обозначения систем контроля привилегированных пользователей, встречаются и другие наименования данного класса решений, например: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Password Management (PPM), Privileged Account Security (PAS).


    SDP – Software Defined Perimeter


    Программно-определяемый периметр, также известный как Zero Trust Network Access (ZTNA). Это новый подход к защите удаленного доступа к сетевым службам, приложениям и системам как локально, так и в облаке. SDP распределяет доступ к внутренним приложениям на основе личности пользователя и с доверием, которое адаптируется под текущий контекст. Помимо прочего, SDP делает инфраструктуру приложений невидимой для интернета, что позволяет избежать сетевых атак.


    Защита сети


    SWG – Secure Web Gateways


    Решения данного класса позволяют фильтровать нежелательное или вредоносное ПО из веб-трафика, а также обеспечивают соблюдение корпоративных и нормативных политик. Они располагают следующим набором функций:


    • фильтрация URL-адресов;
    • обнаружение и фильтрация вредоносного кода;
    • имеют средства управления приложениями для популярных веб-приложений.
      Также все чаще встречается встроенная или интегрированная в решения защита от утечки данных.

    NGFW – Next-Generation Firewalls


    Объединяют многие возможности традиционных межсетевых экранов, включая:


    • фильтрацию пакетов;
    • преобразование сетевых адресов (NAT);
    • преобразование адресов портов (PAT);
    • блокировку URL-адресов;
    • VPN с функциональностью quality of service (QoS);
      и другие функции, которых нет в традиционных брандмауэрах: предотвращение вторжений (IPS), проверка SSL и SSH, deep-packet inspection, обнаружение вредоносных программ на основе репутации и осведомленность о приложениях.

    NTA – Network Traffic Analysis


    Продукты для анализа сетевого трафика, которые осуществляют анализ сетевых данных в режиме реального времени. Они должны обладать полной видимостью внутри реальных транзакций (декодирование протокола приложения и дешифровка современных криптографических стандартов), иметь возможность расшифровывать трафик для анализа без ущерба безопасности данных. NTA также могут располагать функционалом, позволяющим им проводить поведенческую аналитику.


    IDS – Intrusion Detection Systems


    IDS анализируют и отслеживают сетевой трафик на предмет признаков, указывающих на то, что злоумышленники используют известную киберугрозу для проникновения или кражи данных из вашей сети. Системы IDS сравнивают текущую сетевую активность с базой данных известных угроз, чтобы обнаружить такие типы поведения, как: нарушения политики безопасности, вредоносное ПО и сканеры портов.
    Разновидности IDS: Network-, Protocol-, Application Protocol- и Host-based.


    IPS – Intrusion Prevention System


    IPS активно запрещает сетевой трафик на основе профиля безопасности, если этот пакет представляет известную угрозу безопасности (логическое продолжение IDS, часто реализуется система IDS/IPS).
    Разновидности IPS: Network-, Wireless- и Host-based.


    IDPS – Intrusion Detection and Prevention Systems


    Это автономные физические и виртуальные устройства, которые проверяют определенный сетевой трафик (как локальный, так и облачный). Они часто располагаются в сети для проверки данных, проходящих через такие устройства защиты периметра, как брандмауэры, безопасные веб-шлюзы и безопасные почтовые шлюзы. IDPS обеспечивают обнаружение при помощи следующих способов:


    • сигнатур;
    • обнаружения аномалий протокола;
    • поведенческого мониторинга;
    • эвристики;
    • интеграции advanced threat defense (ATD);
    • threat intelligence (TI).

    UTM – Unified threat management


    Модификация файрвола, объединяющая в себе множество функций, связанных с обеспечением безопасности, например, IDS/IPS, VPN, антивирус.


    Анализ внутри сети


    NBAD – Network behavior anomaly detection


    Инструменты обнаружения аномалий внутри сети, использующиеся в качестве дополнительных средств обнаружения угроз для мониторинга сетевой активности и генерации предупреждений, часто требующих дальнейшей оценки ИТ-команды. Системы способны обнаруживать угрозы и останавливать подозрительные действия в ситуациях, когда традиционное программное обеспечение безопасности неэффективно. Кроме того, инструменты подсказывают, какие подозрительные действия или события требуют дальнейшего анализа.


    BDS – Breach Detection System


    Системы данного класса могут быть реализованы как программное обеспечение или аппаратное устройство. Их цель – обнаружить нарушения безопасности внутри сети, включая сложные целенаправленные атаки. Подход к обнаружению вредоносного ПО сложнее, чем у антивирусных средств, т.к. принимается во внимание окружение, а также могут составляться цепочки событий, указывающие на вредоносную деятельность.


    UEBA – User and Entity Behavior Analytics


    Системы анализа поведения пользователей и сущностей позволяют обнаруживать подозрительное поведение пользователей и узлов сети в корпоративной инфраструктуре, которое выпадает из поля зрения SIEM-решений.


    С привлечением людей


    SIEM – Security Information and Event Management


    Обеспечивает анализ событий безопасности, исходящих от сетевых устройств и приложений, в реальном времени и позволяет реагировать на них до получения существенного ущерба. Основное назначение – предоставление отчетов о всех событиях, так или иначе связанных с безопасностью (в том числе легитимных), создание оповещений о нестандартных событиях.


    SOC – Security Operations Center


    SOC – это аналитики, работающие с данными, поступающими от SIEM. SIEM собирает и приводит к единому виду данные о событиях безопасности, а задача аналитиков – решить, как быть с тем или иным инцидентом безопасности. SOC могут как реагировать на события самостоятельно, так и перенаправлять их специалистам по безопасности.
    Более подробно о SOC и проверке его эффективности.


    SOAR – Security Operations, Analytics and Reporting / Security Orchestration, Automation and Response


    По сути это более развитая SIEM, т.е. система сбора, анализа и реагирования на инциденты безопасности. Решения SOAR, позволяющие более автоматизировано определять приоритеты и обрабатывать события и инциденты безопасности, развивались для того, чтобы помочь аналитикам SOC повысить их собственную эффективность.


    IRS – Incident Response Platforms


    Системы автоматизации реагирования на инциденты информационной безопасности призваны помочь аналитикам SOC выполнять ряд рутинных операций по сбору дополнительной информации об инциденте, провести ряд сдерживающих мер, устранить угрозы и провести восстановительные мероприятия. Помимо этого, в их задачи входит оповещение ответственных лиц, а также сбор отчета об инцидентах.


    TIP – Threat Intelligence Platform


    Эти платформы способны в режиме реального времени накапливать информацию о возможных угрозах из различных источников, классифицировать ее и производить с ней различные операции, включая выгрузку в средства защиты и SIEM-системы. В случае возникновения инцидента платформа предоставляет полный контекст происходящего, что позволяет уменьшить время реакции на инцидент и заблокировать источник атаки.


    MDR – Managed Detection and Response


    MDR – внешняя услуга, которая помогает организациям, которым не хватает собственных ресурсов, находить и устранять угрозы безопасности. Услуги предоставляются с использованием собственного набора инструментов и технологий вендора, но развертываются на территории пользователя. Это также включает работу человека: поставщики услуг безопасности предоставляют своим клиентам возможность привлечь исследователей и инженеров безопасности, которые отвечают за мониторинг сетей, анализ инцидентов и реагирование на случаи безопасности.


    Ловушки (имитация системы)


    DDP – Distributed Deception Platforms


    Развитие концепции Honeypot привело к появлению современных DDP, отличительной чертой которых стала имитация максимального числа ИТ-систем, включая не только серверы и конечные станции, но и сетевую инфраструктуру, приложения и данные. Распределенные платформы для имитации инфраструктуры встраиваются между целевой системой и потенциальным атакующим. Идея проста: злоумышленник должен думать, что это реальная система. При этом сама система одновременно будет способствовать проактивному блокированию атак путем вычисления вектора атаки на тестовую инфраструктуру еще до того, как атакующий получит доступ к реальной системе, и помогать в реагировании на уже свершившийся инцидент ИБ, благодаря развернутой аналитике прохождения атаки по тестовой инфраструктуре.


    Имитация нападения


    BAS – Breach and Attack Simulation


    Это инструменты, позволяющие предприятиям постоянно и последовательно моделировать полный цикл атак на инфраструктуру предприятия (включая внутренние угрозы, боковое перемещение и фильтрацию данных) с использованием программных агентов, виртуальных машин и других средств.


    Расследование


    NFT – network forensic tools


    Инструменты для сетевой криминалистики, мониторинга и анализа сетевого трафика в целях сбора информации, сбора юридических доказательств, а также для обнаружения и идентификации вторжений.


    Вместо заключения


    Каждому классу решений соответствуют продукты от различных вендоров. Их функциональность может различаться, какие-то могут больше соответствовать ситуации, где они будут применяться, какие-то – меньше. Поэтому подходить к выбору конкретного решения под нужды компании стоит основательно. А прежде чем выбирать решение, нужно понять, какой класс систем наилучшим образом подойдет для ваших задач и условий.


    Мы надеемся, что нам удалось познакомить вас с системами защиты (и творчеством маркетологов) хоть и в очень общих чертах. Даже в формате лонгрида довольно трудно исчерпывающе описать эти системы со всеми частностями и деталями. Поэтому мы рассчитываем на то, что эта статья станет своего рода приглашением к продолжению долгого и увлекательного разговора. Технологии не стоят на месте и новые классы решений, определенно еще будут появляться.

    Digital Security
    Безопасность как искусство

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое