Загрузка...

Как организовать комплексную кибербезопасность в компании

Русский
  • Alt

Единого решения, которое бы закрывало все ИБ-задачи в компании, нет. И вряд ли оно появится в будущем: в каждой организации выстраивается своя модель угроз и используется уникальный набор ПО.

Лучшая стратегия в такой ситуации —- комплексный подход. В случае с корпоративным инфобезом — это параллельная работа на нескольких уровнях. Как их выделить и каким образом выстроить защиту на них, рассказываем в этой статье.

Делим на четыре

Корпоративный сектор сталкивается со множеством угроз. Злоумышленники могут вывести из строя клиентский сервис, проникнуть в корпоративную сеть, атаковать серверы компании или использовать приёмы фишинга на сотрудниках. На каждый такой случай в арсенале ИБ-специалиста есть свои средства защиты и реагирования.

Систематизировать все задачи и решения помогает комплексная кибербезопасность. Такой подход предполагает разделение усилий на четыре области, а точнее — на периметр, инфраструктуру, эндпоинты и пользователей.

Alt

Защищаем периметр

К внешнему уровню относятся все ресурсы, которые взаимодействуют с интернетом. Прежде всего это веб-приложения и электронная почта.

Средства и меры защиты периметра
Базовые Дополнительные
  • Anti-DDoS
  • MFA
  • WAF
  • Сканер
  • NGFW
  • Pentest
  • Honeypot
  • OSINT

Самая актуальная задача на внешнем уровне сейчас — это профилактика и защита от DDoS. Количество и масштабы таких атак резко возросли за последние два года. Как результат, компании сегодня всё чаще подключают anti-DDoS-сервисы. В их числе Qrator, DDoS Guard, ServicePipe и StormWall.

Выбор anti-DDoS-сервиса зависит от того, что нужно защищать в первую очередь. Вариантов на этом уровне немного: веб-приложение или сетевая инфраструктура. В первом случае компания покупает средство защиты от DDoS на уровне L7, во втором — от атак L3 и L4.

Иногда antiDDoS-защита входит в стоимость облачных ресурсов. Так, например, в NGcloud она на сетевом уровне уже встроена в облако, а в сервисе по защите веб-приложений (WAF) предусмотрена работа с DDoS L7.

Ещё одна актуальная задача на уровне периметра — многофакторная аутентификация (MFA). Наиболее популярными решениями здесь считаются MFA Soft, MultiFactor, Aladdin 2FA.

Несмотря на простоту, такие сервисы решают множество проблем. Риски перебора или использования утекших в сеть паролей становятся минимальными. При этом злоумышленники лишаются самого простого способа проникнуть в инфраструктуру компании и развить там атаку.

Чтобы организовать безопасный удалённый доступ пользователей к веб-приложениям, можно воспользоваться сервисом MFA от NUBES. Решение можно встраивать в процессы подключения к VDI, VPN или электронной почте. Кроме того, сервис MFA отлично справляется с задачами другого порядка: умеет создавать единую точку входа для всех веб-приложений компании и заменять статические пароли на динамические.

Также к основным задачам периметра относится постоянный контроль уязвимостей. В этом случае компании чаще используют Irrby, Vulners, Xspider, MaxPatrol и другие сервисы для сканирования внешних ресурсов.

При этом все они регулярно формируют отчёты о найденных уязвимостях и открытых портах. Некоторые сканеры, как встроенный сервис в облаке NGcloud, сообщают о важном событии в момент его обнаружения. Благодаря этому компания может сразу отреагировать на найденную уязвимость, не дожидаясь последствий и возможных потерь.

На уровне периметра часто используются специализированные фаерволы для защиты веб-приложений (WAF). Сейчас функциональность таких решений часто закрывает задачи по безопасности API и противодействию ботам. На российском рынке наиболее востребованными среди WAF остаются PTAF, SoladWall, Nemesida WAF.

Кроме того, свои решения предлагают облачные провайдеры. В их числе —  NUBES. Собственный сервис защищает инфраструктуру клиентов от уязвимостей, угроз OWASP-10, DDoS- и целевых атак.

Несмотря на разнообразие средств защиты, главным инструментом для многих компаний остаётся NGFW. Фаерволы следующего поколения уже закрывают большинство задач по сетевой безопасности периметра. В их числе UserGate, Check Point, Sangfor, Ideco UTM и Континент-4. Также собственные NGFW сегодня разрабатывают Positive Technologies и Kaspersky.

Строим безопасность изнутри

Уровень инфраструктуры — это всё, что находится внутри защищённого периметра компании. Это, прежде всего, локальная сеть, гипервизоры и различные внутренние корпоративные ресурсы (от менеджера паролей до базы знаний).

Средства и меры защиты внутренней инфраструктуры
Базовые Дополнительные
  • Сканер
  • MFA
  • SIEM
  • NGFW
  • Virt SEC
  • Container SEC
  • NTA
  • IDM
  • Pentest

Часть средств защиты, которые активно используются на этом уровне, мы уже описали в предыдущем разделе. Хотя здесь они решают другие задачи.

В их числе — работа со вторым эшелоном защиты внутренних сервисов. Так, например, для безопасного использования менеджера паролей, service desk или другого ресурса в локальной сети обычно нужны MFA, NGFW и внутренний сканер.

Также на этом уровне необходимо быстро выявлять инциденты, централизованно собирать и анализировать ИБ-события. Решать эти задачи помогают SIEM-системы (RuSIEM, MAXPatrol SIEM, KUMA).

Многие компании не спешат приобретать такие системы. Хотя SIEM успешно справляются минимум с тремя важнейшими задачами: собирают логи событий из различных источников, анализируют полученные данные и проводят корреляции. Благодаря всему этому ИБ-специалисты могут быстрее выявлять сложные атаки и угрозы.

Не менее актуальной задачей сегодня становится защита среды контейнеризации и оркестрации. Компании постепенно переходят от монолитных сервисов к микросервисам. И хотя в целом механизмы в них заложены одинаковые, смена технологического стека рождает новые проблемы безопасности. Именно поэтому становятся востребованными такие решения, как сканеры контейнеров, инструменты контроля registry, CNAP. К примерам на рынке можно отнести Aqua и Kaspersky Container Security.

Контролируем устройства

На уровне эндпоинтов находится всё, что связано с операционной системой, серверами и виртуальными машинами.

Средства и меры защиты эндпоинтов
Базовые Дополнительные
  • HIPS
  • Remote Access
  • Антивирус
  • EDR

Защита конечных устройств от вредоносного ПО — основная задача третьего уровня комплексной безопасности. Чтобы закрыть её, компании и пользователи применяют антивирусы (Kaspersky, Dr. Web). В последнее время почти все они обладают дополнительным функционалом. Так, например, в них часто встраивают персональный межсетевой экран и url-фильтрацию.

В последние годы компании стали массово использовать решения класса Remote VPN или Remote Access VPN (RA VPN). Причины понятны: организации массово переходили на полную удалёнку или гибридный формат работы.

В ИБ-службах появились новые задачи. Чтобы обезопасить удалённый доступ сотрудников к корпоративной инфраструктуре, компании стали активнее применять  compliance-подходы и решения. Remote Access VPN — в их числе. 

Как работает compliance-подход на практике: пользователь может подключиться к корпоративным ресурсам только после того, как его устройство пройдёт все необходимые проверки соответствия. Решение поможет вычислить и убедиться, что на устройстве установлены все необходимые версии ОС и антивируса, и только после оно предоставит доступ.

Кроме того, VPN, compliance-инструменты, HIPS и другие решения часто предоставляются в рамках клиента от вендора NGFW. Они уже интегрированы с фаерволом, что удобно в плане аналитики и расследования инцидентов.

Работаем с пользователями

К этой зоне ответственности относятся как сотрудники компании, так фрилансеры на подряде, представители организаций-подрядчиков. Для ИБ-специалиста здесь важен каждый человек, который взаимодействует с компанией.

Защита на уровне пользователей в компании
Базовые Дополнительные
  • Mail Sec
  • Обучение
  • DLP
  • PAM
  • OSINT
  • Sandbox

На уровне пользователей процессы безопасности важнее, чем средства защиты. В этом состоит главное его отличие от областей периметра, инфраструктуры и конечных устройств.

Наиболее актуальная задача на уровне пользователей — защита от фишинга. Выстраивать её нужно с пониманием, как именно пользователи общаются с внешним миром. Это могут быть такие каналы коммуникации, как email, мессенджеры или соцсети.

Важно не только позаботиться об антивирусах и песочницах (Antifish, Antispam Kaspersky, различные песочницы), но и заняться обучением пользователей. Это могут быть как специальные тренинги и курсы, так и тренировочные рассылки с фишинговыми письмами.

Оптимизируем процесс

Информационная безопасность компании — это глобальная задача, к решению которой нужно подходить комплексно. Такой подход требует подключения большого количества мер и средств защиты. Именно поэтому любая компания рискует прийти к неконтролируемому зоопарку ИБ-продуктов и хаотичному общению со множеством поставщиков.

Чтобы избежать подобных проблем, можно подключить решение из коробки от одного вендора. Второй вариант — присмотреться к своему облачному провайдеру. Например, NUBES предлагает клиентам сразу несколько ИБ-решений, которые смогут закрыть задачи на всех четырёх уровнях безопасности. Более того, некоторые средства защиты провайдер предоставляет бесплатно — они уже встроены в облако.