- безопасность
Единого решения, которое бы закрывало все ИБ-задачи в компании, нет. И вряд ли оно появится в будущем: в каждой организации выстраивается своя модель угроз и используется уникальный набор ПО.
Лучшая стратегия в такой ситуации — комплексный подход. В случае с корпоративным инфобезом — это параллельная работа на нескольких уровнях. Как их выделить и каким образом выстроить защиту на них, рассказываем в этой статье.
Делим на четыре
Корпоративный сектор сталкивается со множеством угроз. Злоумышленники могут вывести из строя клиентский сервис, проникнуть в корпоративную сеть, атаковать серверы компании или использовать приёмы фишинга на сотрудниках. На каждый такой случай в арсенале ИБ-специалиста есть свои средства защиты и реагирования.
Систематизировать все задачи и решения помогает комплексная кибербезопасность. Такой подход предполагает разделение усилий на четыре области, а точнее — на периметр, инфраструктуру, эндпоинты и пользователей.
Защищаем периметр
К внешнему уровню относятся все ресурсы, которые взаимодействуют с интернетом. Прежде всего это веб-приложения и электронная почта.
| Средства и меры защиты периметра | |
|---|---|
| Базовые | Дополнительные |
|
|
Самая актуальная задача на внешнем уровне сейчас — это профилактика и защита от DDoS. Количество и масштабы таких атак резко возросли за последние два года. Как результат, компании сегодня всё чаще подключают anti-DDoS-сервисы. В их числе Qrator, DDoS Guard, ServicePipe и StormWall.
Выбор anti-DDoS-сервиса зависит от того, что нужно защищать в первую очередь. Вариантов на этом уровне немного: веб-приложение или сетевая инфраструктура. В первом случае компания покупает средство защиты от DDoS на уровне L7, во втором — от атак L3 и L4.
Иногда antiDDoS-защита входит в стоимость облачных ресурсов. Так, например, в NGcloud она на сетевом уровне уже встроена в облако, а в сервисе по защите веб-приложений (WAF) предусмотрена работа с DDoS L7.
Ещё одна актуальная задача на уровне периметра — многофакторная аутентификация (MFA). Наиболее популярными решениями здесь считаются MFA Soft, MultiFactor, Aladdin 2FA.
Несмотря на простоту, такие сервисы решают множество проблем. Риски перебора или использования утекших в сеть паролей становятся минимальными. При этом злоумышленники лишаются самого простого способа проникнуть в инфраструктуру компании и развить там атаку.
Чтобы организовать безопасный удалённый доступ пользователей к веб-приложениям, можно воспользоваться сервисом MFA от NUBES. Решение можно встраивать в процессы подключения к VDI, VPN или электронной почте. Кроме того, сервис MFA отлично справляется с задачами другого порядка: умеет создавать единую точку входа для всех веб-приложений компании и заменять статические пароли на динамические.
Также к основным задачам периметра относится постоянный контроль уязвимостей. В этом случае компании чаще используют Irrby, Vulners, Xspider, MaxPatrol и другие сервисы для сканирования внешних ресурсов.
При этом все они регулярно формируют отчёты о найденных уязвимостях и открытых портах. Некоторые сканеры, как встроенный сервис в облаке NGcloud, сообщают о важном событии в момент его обнаружения. Благодаря этому компания может сразу отреагировать на найденную уязвимость, не дожидаясь последствий и возможных потерь.
На уровне периметра часто используются специализированные фаерволы для защиты веб-приложений (WAF). Сейчас функциональность таких решений часто закрывает задачи по безопасности API и противодействию ботам. На российском рынке наиболее востребованными среди WAF остаются PTAF, SoladWall, Nemesida WAF.
Кроме того, свои решения предлагают облачные провайдеры. В их числе — NUBES. Собственный сервис защищает инфраструктуру клиентов от уязвимостей, угроз OWASP-10, DDoS- и целевых атак.
Несмотря на разнообразие средств защиты, главным инструментом для многих компаний остаётся NGFW. Фаерволы следующего поколения уже закрывают большинство задач по сетевой безопасности периметра. В их числе UserGate, Check Point, Sangfor, Ideco UTM и Континент-4. Также собственные NGFW сегодня разрабатывают Positive Technologies и Kaspersky.
Строим безопасность изнутри
Уровень инфраструктуры — это всё, что находится внутри защищённого периметра компании. Это, прежде всего, локальная сеть, гипервизоры и различные внутренние корпоративные ресурсы (от менеджера паролей до базы знаний).
| Средства и меры защиты внутренней инфраструктуры | |
|---|---|
| Базовые | Дополнительные |
|
|
Часть средств защиты, которые активно используются на этом уровне, мы уже описали в предыдущем разделе. Хотя здесь они решают другие задачи.
В их числе — работа со вторым эшелоном защиты внутренних сервисов. Так, например, для безопасного использования менеджера паролей, service desk или другого ресурса в локальной сети обычно нужны MFA, NGFW и внутренний сканер.
Также на этом уровне необходимо быстро выявлять инциденты, централизованно собирать и анализировать ИБ-события. Решать эти задачи помогают SIEM-системы (RuSIEM, MAXPatrol SIEM, KUMA).
Многие компании не спешат приобретать такие системы. Хотя SIEM успешно справляются минимум с тремя важнейшими задачами: собирают логи событий из различных источников, анализируют полученные данные и проводят корреляции. Благодаря всему этому ИБ-специалисты могут быстрее выявлять сложные атаки и угрозы.
Не менее актуальной задачей сегодня становится защита среды контейнеризации и оркестрации. Компании постепенно переходят от монолитных сервисов к микросервисам. И хотя в целом механизмы в них заложены одинаковые, смена технологического стека рождает новые проблемы безопасности. Именно поэтому становятся востребованными такие решения, как сканеры контейнеров, инструменты контроля registry, CNAP. К примерам на рынке можно отнести Aqua и Kaspersky Container Security.
Контролируем устройства
На уровне эндпоинтов находится всё, что связано с операционной системой, серверами и виртуальными машинами.
| Средства и меры защиты эндпоинтов | |
|---|---|
| Базовые | Дополнительные |
|
|
Защита конечных устройств от вредоносного ПО — основная задача третьего уровня комплексной безопасности. Чтобы закрыть её, компании и пользователи применяют антивирусы (Kaspersky, Dr. Web). В последнее время почти все они обладают дополнительным функционалом. Так, например, в них часто встраивают персональный межсетевой экран и url-фильтрацию.
В последние годы компании стали массово использовать решения класса Remote VPN или Remote Access VPN (RA VPN). Причины понятны: организации массово переходили на полную удалёнку или гибридный формат работы.
В ИБ-службах появились новые задачи. Чтобы обезопасить удалённый доступ сотрудников к корпоративной инфраструктуре, компании стали активнее применять compliance-подходы и решения. Remote Access VPN — в их числе.
Как работает compliance-подход на практике: пользователь может подключиться к корпоративным ресурсам только после того, как его устройство пройдёт все необходимые проверки соответствия. Решение поможет вычислить и убедиться, что на устройстве установлены все необходимые версии ОС и антивируса, и только после оно предоставит доступ.
Кроме того, VPN, compliance-инструменты, HIPS и другие решения часто предоставляются в рамках клиента от вендора NGFW. Они уже интегрированы с фаерволом, что удобно в плане аналитики и расследования инцидентов.
Работаем с пользователями
К этой зоне ответственности относятся как сотрудники компании, так фрилансеры на подряде, представители организаций-подрядчиков. Для ИБ-специалиста здесь важен каждый человек, который взаимодействует с компанией.
| Защита на уровне пользователей в компании | |
|---|---|
| Базовые | Дополнительные |
|
|
На уровне пользователей процессы безопасности важнее, чем средства защиты. В этом состоит главное его отличие от областей периметра, инфраструктуры и конечных устройств.
Наиболее актуальная задача на уровне пользователей — защита от фишинга. Выстраивать её нужно с пониманием, как именно пользователи общаются с внешним миром. Это могут быть такие каналы коммуникации, как email, мессенджеры или соцсети.
Важно не только позаботиться об антивирусах и песочницах (Antifish, Antispam Kaspersky, различные песочницы), но и заняться обучением пользователей. Это могут быть как специальные тренинги и курсы, так и тренировочные рассылки с фишинговыми письмами.
Оптимизируем процесс
Информационная безопасность компании — это глобальная задача, к решению которой нужно подходить комплексно. Такой подход требует подключения большого количества мер и средств защиты. Именно поэтому любая компания рискует прийти к неконтролируемому зоопарку ИБ-продуктов и хаотичному общению со множеством поставщиков.
Чтобы избежать подобных проблем, можно подключить решение из коробки от одного вендора. Второй вариант — присмотреться к своему облачному провайдеру. Например, NUBES предлагает клиентам сразу несколько ИБ-решений, которые смогут закрыть задачи на всех четырёх уровнях безопасности. Более того, некоторые средства защиты провайдер предоставляет бесплатно — они уже встроены в облако.