План действий ИТ-службы в эпоху замещения::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6385
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7094
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4375
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3077
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3872
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3890
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6382
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3229
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3522
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7353
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10713
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12437
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14083
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9187
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7138
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5443
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4679
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3489
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3208
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3445
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3084
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 План действий ИТ-службы в эпоху замещения

Архив номеров / 2022 / Выпуск №5 (234) / План действий ИТ-службы в эпоху замещения

Рубрика: Безопасность /  Инструменты

 ВИЗИТКА 



Никита Зайчиков,
старший менеджер по корпоративным продуктам, «Лаборатория Касперского»

 

План действий ИТ-службы
в эпоху замещения

Наверное, трудно не согласиться, что сейчас у ИТ- и ИБ-профессионалов во всех российских организациях прибавилось забот, хлопот и переживаний. Наверное, трудно не согласиться, что сейчас у ИТ- и ИБ-профессионалов во всех российских организациях прибавилось забот, хлопот и переживаний.

• Сможем ли мы достать нужное оборудование?
• Сколько оно будет стоить?
• Будет ли работать поддержка?
• Может быть, использовать облачные сервисы для сокращения затрат? Надёжны ли они?
• Сможем ли мы завтра использовать иностранное ПО или наши лицензии и инструменты превратятся в «тыкву»?
• И уж совсем крамольный вопрос: а можно ли в этой ситуации как-то развиваться?

 

В таких обстоятельствах часто непонятно, за что хвататься в первую очередь, поэтому давайте попробуем вместе пройтись по некоторым особенно актуальным проблемам и понять, как их решать.


Ключевые проблемы и подходы

Импортозамещение

Многие зарубежные поставщики аппаратной части и программного обеспечения сейчас прекращают поставки, останавливают техническую поддержку и обновления. Это не только означает быстрое прохождение пяти стадий принятия неизбежного, но и вызывает необходимость искать адекватную замену.

Регуляторы также вводят всё больше правил работы и ограничений на взаимодействие с иностранными поставщиками. Сейчас доступны списки отечественных замен иностранного программного обеспечения, но они, к сожалению, не всегда полные. Некоторые ключевые поставщики порой в них не фигурируют. Поэтому, чтобы найти адекватную и качественную альтернативу, возможно, придётся провести самостоятельное исследование рынка. Это может занять довольно много времени, поэтому есть смысл приоритизировать ключевые направления.

Например, с точки зрения ИБ, в первую очередь, нужно убедиться, что у вас есть релевантная защита конечных точек и периметра (почта, веб), и озаботиться их правильным функционированием. А также задуматься об их усилении.

Один из ключевых моментов, вызывающий необходимость замены вендора ИБ, – это остановка доставки обновлений до защищаемых объектов инфраструктуры, например обновлений баз сигнатур вредоносного ПО, а также обновлений безопасности самих инструментов. Эти моменты не стоит недооценивать, так как несработавшее вовремя детектирование или «дыра» в системе безопасности может привести к значительному ущербу или остановке операций.

Кроме того, для соответствия требованиям регуляторов есть смысл провести аудит существующих и требуемых средств защиты – чтобы заранее, до проверки, понимать, где в вашей инфраструктуре могут быть слабые места, которые нужно укрепить.


Снижение доступности аппаратной части

Возросла актуальность вопросов, связанных с аппаратной частью. Предположим, вы нашли подходящее вам решение, но у вас недостаточные мощности – например, часть серверов будет задействована на решение ИТ-задач, поддержание работоспособности инфраструктуры и ключевого бизнеса. Что делать в этой ситуации, особенно малому и среднему бизнесу, которому сейчас всё сложнее становится покупать аппаратуру?

Самым разумным выходом представляется использование облачных инфраструктур. Многие вендоры сейчас предоставляют возможность использовать свои продукты с серверной частью, находящейся в облачной инфраструктуре. Возможно, этот подход подойдет не всем по разным причинам, но, на наш взгляд, однозначно заслуживает рассмотрения благодаря значительному снижению затрат финансов и времени работы сотрудников. Ведь с облачным решением всей поддержкой аппаратуры и обновлениями занимается сам поставщик, значительно сокращая затраты времени ИТ- и ИБ-специалистов.


Специалисты

Нужно не только найти подходящие и качественные инструменты, но и сделать так, чтобы они помогали ИБ-специалистам, а не усложняли их жизнь. Приходящие на замену или новые ИБ-решения должны быть простыми в установке, настройке и использовании и максимально автоматизированными. В идеале они должны позволять сотрудникам одновременно тратить минимальное количество времени на работу с ними и развивать свои навыки и получать необходимый опыт. Это ценно как для самого сотрудника, так и для организации в целом. Поэтому нужно подбирать инструменты, подходящие вашему уровню ИБ: чтобы они не лежали на полке из-за слишком высоких затрат ресурсов, а приносили реальную пользу ежедневно.

Таким образом, главное, что на наш взгляд необходимо сделать сейчас, – это остановиться и подумать, где вы сами видите слабые места в вашей безопасности, приоритизировать их и заняться поиском альтернатив, принимая во внимание стабильность вендора в текущих обстоятельствах.


Развитие

Сейчас думать о развитии ИБ в организации кажется сложным, но именно этим вскоре и придётся заниматься (и чем раньше начать, тем быстрее и лучше получится это сделать), ведь количество атак на российский сегмент не уменьшается, а только увеличивается. Это и DDoS, и атаки на веб-приложения, и атаки шифровальщиков, и атаки с целью кражи данных (а всё чаще они совмещены), и атаки финансовых зловредов, и целенаправленные атаки. Основная точка входа – по-прежнему конечная точка сети, то есть компьютер сотрудника, сервер или мобильное устройство.

Обсудим, какие инструменты можно использовать прямо сейчас для усиления безопасности конечных точек, и какую реальную выгоду это может принести. Два ключевых решения для эффективной защиты – это средства защиты конечных точек (Endpoint Protection Platform, EPP) и EDR (Endpoint Detection and Response).


Средства защиты конечных точек

Традиционно к этой категории относят антивирусы, но важно понимать, что средства защиты конечных точек (СЗК) выполняют и другие критические функции, важнейшая из которых – уменьшение поверхности атаки, то есть сокращение числа возможных точек входа атакующего злоумышленника в систему.

Как мы говорили выше, помимо эффективности и доверия к вендору большое значение имеет автоматизация и простота управления, так как это сократит время и усилия, затрачиваемые на работу с системой, и освободит вас для более важных и срочных дел.

Также при выборе решения стоит обратить внимание на возможность его работы из облака, если для вас это приемлемо.


Endpoint Detection and Response

Напоследок поговорим об инструментах из категории EDR. Этот класс решений существует на рынке уже несколько лет и фактически является следующим шагом в развитии СЗК.

Иногда EDR принимают за новое маркетинговое название старого доброго антивируса, но это не так. Задача СЗК – автоматически детектировать и останавливать распространённые угрозы. EDR же позволяет ИБ-специалисту заглянуть глубже в природу и первопричины угрозы, чтобы понять весь контекст, найти все потенциальные «следы» или опасные компоненты и нейтрализовать их. Использование EDR значительно усиливает защиту конечных точек, а также даёт в руки ИБ-специалисту инструмент для обеспечения прозрачности инфраструктуры, проведения расследования инцидентов и быстрого и точного реагирования на них.

Давайте разберем, что делает базовый инструмент EDR. Обратите внимание, что EDR бывают разных типов и с разным функционалом.


Рисунок 1. Консоль Kaspersky Security Center, откуда осуществляется управление как EDR, так и СЗК

Обеспечивает прозрачность. EDR позволяет не только определить факт попытки атаки на рабочую станцию или сервер, но и собрать все детали по этому событию в одном месте для дальнейшего анализа. СЗК покажет только факт попытки запуска вредоносного ПО. Если же понадобятся подробности, то придётся копаться в различных системных инструментах и истории событий, чтобы собрать всё в одном месте. EDR же собирает все детали и контекст события в едином месте сразу после детектирования.

Позволяет проводить расследование. EDR помогает не только получить информацию об атаке, но и отследить её путь. С помощью графов распространения угрозы можно определить не только все последствия действий вредоносного файла, если атака не смогла быть вовремя остановлена, но и понять, как он попал в систему, например, обнаружить родительский файл, который был прислан сотруднику на электронную почту и запущен им. Таким образом, с помощью даже базовых EDR-инструментов можно определить сложность, векторы и последствия атаки.

Рисунок 2. График распространения угрозы в Kaspersky EDR для бизнеса Оптимальный

Автоматизированное реагирование. EDR-инструменты позволяют не только детектировать и расследовать угрозу, но и быстро и эффективно реагировать на неё. Например, для предотвращения заражения других конечных устройств во время расследования можно временно изолировать хост от сети. Или запретить запуск найденного и исследованного «родительского» или «корневого» файла в будущем на всех хостах – чтобы в случае, когда в будущем такая угроза снова появится, не создавался «дочерний» файл, а также не надо было проводить расследование заново.


Рисунок 3. Некоторые возможности автоматизированного реагирования в Kaspersky EDR для бизнеса Оптимальный

Масштабируемость. EDR-инструменты были изначально созданы для опытных команд, часто больших компаний. И, хотя сейчас существуют разные EDR-решения, масштабируемость и автоматизация для таких продуктов всегда в приоритете.

Сейчас есть EDR для разных инфраструктур и для максимальной автоматизации. В частности, важна дальнейшая автоматизация поиска угроз и реагирования в рамках не только одной рабочей станции, а целой группы – или по всей инфраструктуре.


Рисунок 4. Создание индикатора компрометации в Kaspersky EDR для бизнеса Оптимальный

Для этого в некоторых продуктах используются так называемые индикаторы компрометации (Indicator of Compromise, IoC) – фактически, зафиксированные следы деятельности какого-либо вредоносного ПО. IoC могут использоваться, например, для быстрого поиска на других рабочих станциях незаметных признаков уже расследованных угроз, а также для поиска недетектируемых угроз (например, признаков целенаправленных атак) с помощью импортированных из доверенных источников индикаторов компрометации.

Сканирование на наличие IoC может быть совмещено с опциями автоматического реагирования – к примеру, в случае обнаружения IoC на рабочей станции она изолируется (в худшем случае) или обнаруженный файл помещается в карантин и запускается проверка хоста с помощью СЗК. 

Некоторых специалистов, обдумывающих сценарий перехода на EDR, отпугивает кажущаяся сложность продукта и временные затраты. Они опасаются, что будет слишком много информации и во всем этом разбираться будет не под силу.

Поэтому сейчас некоторые вендоры, например, «Лаборатория Касперского», предлагают инструменты EDR разных уровней – как для больших команд специалистов, которые готовы заниматься активным поиском угроз и обладают хорошим опытом в ИБ (Kaspersky EDR Expert), так и для тех, у кого нет подобных ресурсов или есть только небольшая команда разноплановых специалистов, которые хотят начать развивать процессы реагирования на инциденты (Kaspersky EDR для бизнеса Оптимальный).


Managed Detection and Response

И последнее. Если вы прочитали вышеописанное и подумали «это всё здорово, и мне действительно нужно усиливать защиту, но сейчас – ну совсем никак», то и для таких ситуаций есть решения.

Для таких ситуаций, когда надо усиливать защиту сейчас, но с минимумом усилий, есть сервисы класса Managed Detection and Response (MDR), которые предоставляют круглосуточную управляемую защиту от различных типов угроз, фактически заменяя собой некоторые самые трудозатратные функции отдела ИБ. Таким образом, если у вас нет возможности прямо сейчас начинать строить свой отдел ИБ или развивать процессы реагирования на инциденты, MDR-сервисы могут быть тем решением, которое позволит укрепить безопасность сразу, пока вы думаете, что делать дальше.

 

Ключевые слова: средства защиты, угрозы, EDR-инструменты, вредоносное ПО, Managed Detection and Response, отдел ИБ, DDoS-атака, санкции


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru