Решения Информационной Безопасности
Что такое NGFW
Межсетевые экраны нового поколения, или NGFW — защитное программное обеспечение, которое включает в себя функции традиционных фаерволов и расширенные функции: более глубокую инспекцию трафика и проактивную систему обнаружения угроз.
NGFW помогает компаниям защищать сети, устройства и приложения от вредных атак, в том числе от развитых устойчивых угроз, уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей и незащищенного доступа.
Gartner определяет принципиальное отличие межсетевых экранов нового поколения как способность инспектировать и контролировать трафик за пределами связи «порт — протокол», то есть на уровне приложений внутри сети. Также к требованиям добавились предотвращение и обнаружение вторжений, наличие средств глубокой проверки пакетов, оценка репутации сайтов и распознавание контента, форматов данных и пользователей.
Защита от DDoS
DDoS – это сокращение английского выражения Distributed Denial of Service, что переводится на русский язык как «Распределённый отказ от обслуживания». Это означает отказ от обслуживания сетевого ресурса в результате многочисленных распределенных (то есть происходящих с разных точек интернет-доступа) запросов. Отличие DoS-атаки (Denial of Service — «Отказ от обслуживания») от DDoS состоит в том, что в этом случае перегрузка происходит в результате запросов с какого-либо определенного интернет-узла.
В случае гораздо более сложной и совершенной DDos-атаки может быть полностью нарушена работа любого ресурса — от небольшого информационного сайта до крупного интернет-магазина или почтового сервера. Во время атаки на сервер сайта-«жертвы» поступают миллионы запросов от пользователей, что приводит к его перегрузке и, соответственно, недоступности. Не успевая обрабатывать огромное количество запросов, сервер вначале начинает просто тормозить, а затем и вовсе прекращает работу. Запросы чаще всего носят хитроумный и бессмысленный характер, что еще более усложняет работу сервера.
Сетевые системы предотвращения вторжений (Network IPS)
Сетевые системы обнаружения и предотвращения вторжений (Network IDS/IPS) предназначены для глубокого анализа трафика, выявления и предотвращения атак и фактов несанкционированной или запрещённой активности. Система обнаружения атак класса Network IDS/IPS используется на Интернет-периметре и в ключевых точках корпоративной сети, например, подключение серверов и других критичных ресурсов, и обеспечивает дополнительный к межсетевому экранированию уровень защиты.
Защита от сетевых атак класса Network IDS/IPS, как минимум, включает сенсоры, предназначенные для анализа и контроля трафика. Также предоставляется консоль управления и мониторинга, которая может быть встроенной в сенсор, либо являться отдельным специализированным приложением, работающим на сервере управления информационной безопасностью.
Внедрение IDS/IPS решений для обнаружения и предотвращения вторжений имеет несколько преимуществ:
- возможность работы в режиме мониторинга копии трафика или в режиме In-Line – обеспечение мгновенной фильтрации;
- использование различных методов обнаружения – сигнатурный анализ, анализ поведения, выявление аномалий и отклонений от нормы, эвристический анализ;
- предотвращение как известных, так и неизвестных атак — «атак нулевого дня»;
- регулярное обновление сигнатур и программного обеспечения;
- возможность гибко настраивать существующие сигнатуры, создавать новые;
- поддержка виртуализации, возможность использования различных политик безопасности для различных каналов связи/участков сети/клиентов;
- централизованное управление и мониторинг событий ИБ, возможность создавать отчеты;
- централизованный мониторинг и корреляция инцидентов ИБ при интеграции с SIEM-системами.
Результат применения решения
- оперативное обнаружение атак, несанкционированной и запрещённой активности в критических точках сети и на периметре сети;
- уменьшение рисков хакерских атак, проникновения в сеть вирусов, червей, компрометации сетевых ресурсов;
- автоматизация процессов обнаружения и расследования инцидентов информационной безопасности;
- уменьшение потенциального ущерба от возможных инцидентов информационной безопасности;
- соответствие требованиям законодательства
DLP
Задача DLP-системы (Data Leak Prevention) – контролировать информацию, покидающую пределы компании. Решение DLP представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, а также при попытке несанкционированной отправки за пределы компании применять к этим объектам различные правила (политики безопасности), начиная от уведомлений и заканчивая блокировкой.
Решения DLP анализируют почту, веб-трафик, программы обмена сообщениями, облачные хранилища, съемные носители и т. д. Есть два подхода к перехвату информации — мониторинг и уведомление ответственной службы компании или метод активной блокировки, когда информация, классифицированная как конфиденциальная, будет заблокирована в момент отправки, вывода на печать или записи на съемный USB-носитель.
Мы поможем выбрать правильный подход или расскажем, как грамотно сочетать оба. При этом вы получите удобную и полноценную систему управления, не требующую специальных технических знаний для управления системой, сбора отчетности и доказательной базы, а также расследования инцидентов безопасности.
Классификация информации
Первым шагом по защите информации обычно становится ее классификация. Какие именно данные являются конфиденциальными и нуждаются в защите – необходимо определить с точностью до конкретного письма или файла. В этом поможет специализированное ПО: существует определенный класс систем, которые позволяют автоматизировать процесс классификации информации и вовлечь в него бизнес-пользователей. Под разворачиваемые средства защиты информации попадут только те данные, которые необходимо защищать. На файлах будут проставлены грифы о конфиденциальности, это снизит риск утечек, т.к. сотрудники будут осведомлены о степени защиты данных, с которыми они работают.
Мониторинг событий безопасности (SIEM)
Технология SIEM (Security Information and Event Management) в режиме реального времени обеспечивает анализ событий безопасности, исходящих от различных устройств и приложений.
В условиях все большего количества целенаправленных кибератак особенную важность приобретает скорость выявления угрозы и реакции на возможный инцидент со стороны службы информационной безопасности. По статистике, без использования SIEM, среднее время обнаружения вторжения составляет десятки, а в некоторых случаях и сотни дней, при том что время, требуемое на компрометацию инфраструктуры, стремительно сокращается до часов и даже минут. SIEM обеспечивает сбор событий безопасности, их агрегацию и фильтрацию, анализ на основании правил (корреляцию), мониторинг, расследование и вывод результатов (отчетов) в требуемом формате.
При реализации сценария атаки нарушитель ИБ выполняет последовательность определенных шагов. Сведения о каждом конкретном шаге атаки могут быть зафиксированы в журналах аудита систем, на которых был выполнен соответствующий шаг атаки. Мониторинг данных журналов должен осуществляться непрерывно. Поэтому современные организации, ключевые процессы которых напрямую взаимосвязаны с состоянием ИТ-инфраструктуры, должны обеспечивать своевременное выявление и реагирование на инциденты информационной безопасности.
Внедрение системы управления событиями информационной безопасности позволит:
- уменьшить риски информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности;
- ускорить расследование инцидентов информационной безопасности;
- автоматизировать контроль соответствия выполнения требований законодательства, отраслевых нормативных документов и международных стандартов.
Тем не менее при использовании SIEM-систем организации сталкиваются с проблемами большого количества ложных срабатываний правил регистрации инцидентов ИБ, с отсутствием их классификации и проблемами приоритизации. Система регистрирует инциденты ИБ, но не выявляет, не коррелирует инциденты ИБ между собой, не отслеживает взаимосвязь между зарегистрированными инцидентами и не позволяет раскрыть заранее спланированные сценарии кибератаки.
Наши эксперты помогут осуществить внедрение процессов комплексного выявления атак, которое позволит обеспечить:
- расширение контекста анализируемой информации. Это в свою очередь поможет получить дополнительную детализированную справочную информацию о пользователях, активах, их принадлежности к автоматизированной системе. Последнее обеспечивается с помощью подключения к Системе справочных источников данных;
- внедрение методов классификации и приоритизации инцидентов ИБ, что позволяет дополнить каждый зарегистрированный инцидент ИБ атрибутами и справочной информацией в соответствии с моделью классификации инцидентов ИБ. Использование модели приоритизации инцидентов ИБ обеспечит вычисление уровня критичность и важности инцидента ИБ в зависимости от ряда параметров, вычисляемых в зависимости от значений полей исходных событий безопасности, при обнаружении которых был зарегистрирован инцидент ИБ;
- автоматическое выявление взаимосвязи между уже зарегистрированными инцидентами ИБ с использованием различных методов группировки, анализа архива событий и возникновения нетиповой активности. Внедрение процесса выявления атак также позволит выявлять сценарии атаки – цепочки специфичных инцидентов ИБ (зарегистрированных в определенной последовательности, с проверкой взаимосвязи по дополнительным критериям) относительно одного или нескольких объектов инфраструктуры или процесса организации.
По завершении проекта наши эксперты подготовят SIEM-систему, готовую к эффективному выявлению как известных, так и специфичных для вашей компании кибератак. По завершении такого проекта будут:
- созданы механизмы выявления атак на ИТ-инфраструктуру компании;
- снижены трудозатраты на мониторинг событий ИБ;
- оптимизированы ресурсы персонала на выявление угроз ИБ;
- осуществлен переход на более качественный уровень управления ИБ;
- усилено развитие уровня зрелости центра управления ИБ.
IDM, SSO, PKI
Системы Identity Management System (IDM) обеспечивают управление учетными записями, работая на стыке задач ИБ, управления ИТ-ресурсами и бизнеса. Именно эта область ИБ – предоставление и разграничение доступа к ресурсам и управлением им – наиболее близка к повседневной работе бизнес-пользователей. Отслеживая неактуальные учетные записи и учетные записи с избыточными полномочиями, IDM-системы позволяют повысить уровень информационной безопасности и одновременно упростить бизнес-процессы. С помощью такой системы ИТ-специалисты смогут оперативно реагировать на прием, увольнения, должностные перемещения персонала, появление новых информационных систем, изменения ролевых политик.
В дополнение к IDM используется технология единого входа – Single Sign-On (SSO). Единожды войдя в сеанс работы, пользователь работает со всеми приложениями без необходимости дополнительно подтверждать личность. Реализовать SSO позволяет использование для управления доступом в качестве ядра специализированного промышленного IDM-продукта, который с помощью коннекторов или иных технологий подключается ко всем корпоративным информационным ресурсам.
Для управления доступом также используется инфраструктура открытых ключей, Public Key Infrastructure (PKI). С ее помощью механизмы двухключевой криптографии безопасно применяются в распределенных системах.
PIM/PAM
Решения класса Privileged Identity Management (PIM) используются для того, чтобы предотвратить потенциально опасные действия системных администраторов, инженеров, занимающихся настройкой сетевого оборудования, и специалистов на аутсорсинге, выполняющих обслуживание IT-инфраструктуры по договору.
Широкие полномочия таких специалистов ставят под угрозу безопасность всех ИТ-систем организации, делая возможными различные сценарии вторжения или компрометации данных как по злому умыслу, так и по случайности. Аналитические инструменты решений PIM позволяют идентифицировать подозрительное поведение и достоверно расследовать инциденты. В итоге руководство IT-службы получает удобный инструмент контроля действий привилегированных сотрудников.
Аудит доступа к файловым ресурсам
Солидный багаж неструктурированных данных, файлов, уже накопила, пожалуй, каждая организация. Но аналитики предсказывают, что ежегодно такой информации будет появляться на 60% больше. Хранимая на файловых ресурсах конфиденциальная информация требует контроля и защиты.
Для защиты файловых ресурсов необходимо назначать и разграничивать права на доступ и изменение документов по пользователям и ролям, а также отслеживать и протоколировать все действия с файлами. Мы предлагаем решения, способные помочь организовать контроль за файловыми ресурсами за счет назначения и разграничения прав доступа к данным. Заинтересованным лицам будет также доступна подробная отчетность обо всех фактах чтения или изменения файлов, изменения атрибутов и т.д.
Защита веб-трафика
По статистике, более половины от общего корпоративного Интернет-трафика приходится на долю опасных или бесполезных веб-ресурсов, а каждый второй пользователь открывает ради любопытства ссылки на сайты, содержащие вредоносный код. Работая с подобными сайтами, пользователь, сам того не зная, может открыть для злоумышленников один из каналов атаки на ресурсы корпоративной сети. Описанным выше способом могут быть реализованы угрозы от шпионских программ, вредоносного мобильного кода, фишинга, ботов, и другие.
Для того чтобы защитить корпоративную сеть от вышеперечисленных угроз, рекомендуется применять специализированные решения класса Web Security.
Основные функции решений класса Web Security
- защита web-трафика от вирусов и вредоносного ПО;
- защита от фишинговых атак;
- контроль доступа пользователей к различным web-ресурсам;
- URL-фильтрация и категорирование сайтов.
Результат применения решения
- защита пользователей и ресурсов корпоративной сети от угроз, связанных с доступом к web-ресурсам Интернет;
- различные политики доступа для различных категорий пользователей;
- снижение рисков атак на ИТ-инфраструктуру и информационные системы организации;
- повышение уровня защищённости корпоративной сети.
Защита почтового трафика
Практически все современные компании пользуются сервисами электронной почты, но использование этих сервисов сопряжено с рисками заражения вирусами и получения спама. Эти риски очень значимы для тех компаний, чей бизнес построен на оперативном взаимодействии с клиентами, и для тех, кто ценит надежность и непрерывность функционирования бизнеса.
Основные функции систем класса E-Mail Security
- проверка электронных писем и вложений на наличие вирусов, ссылок на опасные сайты, и т.п.;
- различные варианты реагирования – предупреждение пользователя, отправка писем в карантин, уведомление администратора, удаление опасного контента;
- защита от нежелательной корреспонденции (спама);
- защита от различных способов несанкционированного использования корпоративных почтовых серверов, в частности – в качестве open relay.
Результат применения решения
- защита инфраструктуры электронной почты от вирусов, атак, несанкционированного использования;
- снижение рисков вирусных и других типов атак на ИТ-инфраструктуру предприятия;
- повышение надежности и непрерывности функционирования бизнеса
Защита web-серверов и сервера приложений (Web Application Firewall)
В современном мире web-технологии, web-сервера и порталы являются основой и драйвером многих видов бизнеса – дистанционное банковское обслуживание, продажа билетов авиакомпаниями, работа Интернет-магазинов, торговых площадок, сетевых СМИ, предоставление госуслуг и так далее, не говоря уже о внутренних ERP и CRM системах организаций.
Вместе с распространением web-технологий совершенствуются и специфические атаки, использующие особенности и уязвимости функционирующего на таких серверах программного обеспечения. Наиболее известными типами таких атак являются SQL-инъекции, межсайтовый скриптинг, атаки класса «отказ в обслуживании». Для надежной защиты серверов и web-приложений различного назначения используются специализированные решения класса Web Application Firewall.
Решения класса Web Application Firewall представляют собой сетевой шлюз безопасности, который может работать либо в режиме мониторинга копии трафика – в этом случае возможно только обнаружение атак и сбор необходимой информации об инцидентах, либо в режиме In-Line, когда трафик к защищаемым серверам проходит через шлюз и осуществляется блокирование атак «на лету». Решения данного класса, как правило, интегрируются с серверами приложений (с использованием специализированных программных агентов), способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения, и предпринимать различные меры реагирования.
Основные функции решений класса Web Application Firewall
- защита сервера (как внутреннего, так и внешнего) от направленных атак;
- независимый контроль и аудит действий пользователей, защита от несанкционированного доступа к ресурсам информационной системы;
- сигнатурный и поведенческий анализ;
- обнаружение чрезмерных прав пользователей и блокировка подозрительной активности.
Результат применения решения
- снижение рисков компрометации web-серверов и серверов приложений, вывода их из строя, кражи конфиденциальной информации;
- обеспечение непрерывности бизнеса и повышение надежности функционирования ИТ-инфраструктуры;
- соответствие требованиям законодательства и регуляторов (как российских, так и международных).
Защита информации в базах данных (DataBase Firewall)
Согласно последним оценкам ведущих аналитических агентств, большая часть современных атак нацелена на информацию из баз данных. Это вызвано тем, что именно в базах данных содержится большинство самой ценной для организаций информации. Причем угрозы хранящейся в базах данных информации возникают не только извне, но и изнутри со стороны легальных пользователей. Наиболее типичным примером является скачивание базы данных системным администратором перед увольнением, или воровство базы сотрудником, имеющим к ней доступ в связи с должностными обязанностями.
Существует целый ряд технологий и приёмов атак на базы данных, эффективность которых зависит от конфигурации базы данных и сервера, на котором она функционирует, от того, насколько правильно спроектирована и реализована ИТ-инфраструктура и топология сети в целом, от человеческого фактора и лояльности персонала.
Атаки на web-сервера и на сервера баз данных зачастую преследуют одни и те же цели, запускаются одними и теми же лицами, и имеют схожий характер. Поэтому и защита информации в базах данных строится на использовании решений, имеющих похожие принципы работы и архитектуру.
Решения класса DataBase Firewall представляют собой сетевой шлюз безопасности, который может работать либо в режиме мониторинга копии трафика – в этом случае возможно только обнаружение атак и сбор необходимой информации об инцидентах, либо в режиме In-Line, когда трафик к защищаемым серверам проходит через шлюз и возможно блокирование атак «на лету». Безопасность баз данных обеспечивается, как правило, за счет того, что решения такого класса интегрируются с базами данных (с использованием специализированных программных агентов), они способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения, и предпринимать различные меры реагирования.
Основные функции решений по защите информации в базах данных класса DataBase Firewall
- Обеспечение безопасности внешних и внутренних серверов баз данных от направленных атак;
- независимый контроль и аудит действий пользователей, защита от несанкционированного доступа к базам данных;
- сигнатурный и поведенческий анализ;
- обнаружение чрезмерных прав пользователей и блокировка подозрительной активности.
Результат применения решения
- снижение рисков компрометации серверов баз данных, вывода их из строя, кражи конфиденциальной информации;
- обеспечение непрерывности бизнеса и повышение надежности функционирования ИТ-инфраструктуры;
- соответствие требованиям законодательства и регуляторов (как российских, так и международных).
Защита баз данных (мониторинг активности) — это комплекс мероприятий для обеспечения безопасности информации, хранимой в базах данных, а также их конфиденциальности и целостности. Большинство организаций обрабатывают множество информации, включая системную информацию, коммерческую тайну, персональные данные. И вся эта информация хранится в базах данных, что делает их критичным объектом защиты. Любой сбой в работе баз данных может завершиться для компании большими финансовыми потерями и связан с репутационными рисками. Чтобы этого избежать, была разработана технология мониторинга активности баз данных (DAM). Такие решения позволяют производить мониторинг активности баз данных вне зависимости от используемой в компании системы управления базами данных.
К функциям систем мониторинга активности баз данных относятся:
- Мониторинг привилегированных пользователей. Под такими пользователями понимаются системные администраторы, администраторы баз данных, разработчики (как внутренние, так и внешние). Мониторинг привилегированных пользователей позволяет отслеживать все действия сотрудников, которые они выполняют в базе данных, вплоть до выявления нетипичных или аномальных действий. Задача мониторинга пользователей с расширенными привилегиями считается довольно трудоемкой, так как такие сотрудники обладают повышенным потенциалом в случае проведения атак.
- Мониторинг активности программного обеспечения. В случае, когда приложения работают с базами данных, такой мониторинг позволяет выявить сотрудников, которые выполняют несанкционированные действия через эти приложения. Обычно логика работы таких приложений заключается в том, что существует какой-либо сервис, который обращается от своего имени к базе данных по запросу пользователей. Системы мониторинга активности баз данных позволяют связать определенных пользователей с транзакциями, выполняемыми в базе данных.
- Защита от атак. Одним из распространенных методов атак на приложения является SQL-инъекция. В то время как злоумышленник через приложение направляет собственный SQL-код для получения доступа к конфиденциальной информации, системы мониторинга баз данных могут сравнивать эти действия с нормальным поведением при работе с базами данных.
Все эти функции могут выполняться различными способами или в зависимости от архитектуры системы мониторинга активности баз данных:
- На основе перехвата. Такие системы перехватывают потоки данных на различных уровнях (например, на уровне самой базы данных, сети, операционной системы).
- На основе памяти. Такие системы непрерывно анализируют глобальную область системы с помощью легкого датчика, работающего на уровне операционной системы.
- На основе анализа журнала транзакций. Такие системы схожи по своей функциональности с SIEM-системами, которые анализируют данные, полученные от баз данных.
Управление уязвимостями (Vulnerability Management)
Уязвимости присущи любой сети и любому ее компоненту. Поддержание приемлемого уровня информационной безопасности в условиях, когда каждый день появляются десятки новых способов обхода мер безопасности, а ИТ-инфраструктура предприятия состоит из десятков, а то и сотен различных узлов с различными версиями ОС и ПО, давно стало актуальной проблемой. Как понять, какие обновления ПО являются критичными? Как расставить приоритеты существующим уязвимостям и не пропустить вновь появившуюся серьезную уязвимость критичного для бизнеса ИТ ресурса? Ответить на эти вопросы помогут средства автоматизированного управления уязвимостями.
Тестированию на наличие уязвимостей могут подвергаться следующие элементы ИТ-инфраструктуры:
- рабочие станции пользователей;
- серверное оборудование;
- активное сетевое оборудование;
- базы данных;
- web- и другие виды приложений.
Современные системы управления, с помощью которых осуществляется управление уязвимостями, умеют проводить сканирование в двух основных режимах. Первый режим работы сканера рассматривает сканируемый узел в виде “черного ящика”, т.е. сканирует доступные снаружи порты, строит таблицу возможных запущенных сервисов, пытается определить версию сервисов и на основании этой информации проводит в своей базе знаний поиск присущих этому сервису уязвимостей. После этого автоматически формируется отчет с указанием критичности уязвимости, детальным описанием уязвимости и рекомендациями по устранению.
Второй режим предполагает использование учетных данных для авторизации на сканируемом узле. Он похож на первый и отличается в основном глубиной и достоверностью анализа. В этом режиме система управления уязвимостями с помощью предоставленных учетных данных авторизуется на сканируемом узле и анализирует различные параметры конфигурации узла изнутри. После этого система управления уязвимостями проверяет свою базу знаний и выдает отчет, в котором присутствует детальное описание найденной уязвимости, связанной с конфигурацией, а также приводит детальные рекомендации, часто со ссылкой на советующую статью на сайте производителя, по устранению выявленной уязвимости.
Результат применения решения
- проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности;
- оценка эффективности ИТ- и ИБ- подразделений с помощью расширяемого набора метрик безопасности;
- снижение затрат на аудит и контроль защищенности, подготовку ИТ- и ИБ- проектов;
- автоматизация процессов инвентаризации ресурсов, управления уязвимостями и контроля изменений;
- соответствие требованиям законодательства.
