19 июля 2023 г.
Статья-инструкция для владельцев бизнеса, у которого все впереди. Директор по развитию направления «Информационная безопасность» в компании «Максофт» Антон Морозов представил набор решений, которые нужны на старте с перспективой роста предприятия.
Нам нечего терять!
С какого момента вашу IT-систему нужно защищать?
А с того самого, как у вас появляется компьютер и информация в нем. В какой бы сфере вы не работали, у вас будет база клиентов, финансовая информация, а может быть еще и производство и управление им. А значит, нужно выстраивать систему защиты.
Ошибка малого бизнеса думать, что ими никто не заинтересуется. Самой компанией, может, и нет , а вот данными о клиентах, сделках, платежах — вполне.
Набор инструментов для защиты: идем по порядку
1. Антивирус. В первую очередь нужно защитить конечные точки — рабочие места.
Почти в ста процентах случаев мы рекомендуем антивирус Касперского , так как у вендора широкая линейка продуктов, включая более серьезные уровни защиты как, например, Endpoint Security или EDR-оптимальный. Если у вашей компании есть конфиденциальные данные, которые необходимо оградить от всех угроз, то базовой защиты для рабочих мест будет недостаточно. Решение Endpoint Security обнаруживает продвинутые угрозы, а укрепленная защита сервера с контролем программ, веб-контролем и контролем устройств предотвращает кражу корпоративной и финансовой информации.
2. Защита периметра — следующий шаг. NFFW — межсетевые экраны, которые объединяют в себе Firewall, систему обнаружения вторжения. Межсетевой экран нужно поставить в кластер, чтобы расширить пропускную способность и резервировать функционал: если одно устройство в кластере «отвалится», то второе продолжало функционировать.
Среди отечественных производителей можно выделить четыре:
- UserGate
- Ideco UTM
- xFirewall 5 от «Инфотекс»
- Континент 4
Подбирать решение лучше индивидуально с помощью тестирования. Обычно специалист ориентируется на уровень зрелости системы ИБ и бюджет заказчика.
3. Защита почтового сервера и песочница. Какие бы суперсовременные средства вы не использовали, самым слабым звеном любой компании является ее сотрудник. 80% атак разворачиваются через средства социальной инженерии. Люди открывают незнакомые ссылки, пользуются подозрительными флешками, несмотря на предупреждения.
Песочница — инструмент следующего уровня защиты, когда вы вырастаете из базового уровня и поднимаетесь до среднего или продвинутого.
Песочница — это система для выявления вредоносных программ, при использовании которой подозрительный объект запускается в виртуальной машине с полнофункциональной операционной системой, а для обнаружения зловредности объекта применяется анализ его поведения. Виртуальные машины песочницы изолированы от реальной инфраструктуры компании, чтобы вредонос не мог ничему навредить.
Песочницы бывают двух типов — локальные(хостовые) и сетевые. Для среднего уровня зрелости ИБ можно использовать хостовые песочницы, но максимальный функционал, конечно, у сетевых, это серьезные многоуровневые решения, которые требуют развитой системы ИБ и внушительного бюджета. Одни из самых функциональных(и дорогих) продуктов у вендоров Positive Technologies и kaspersky.
4. Автоматические средства реагирования EDR/XDR. Двигаемся дальше. Средство реагирования — это как центр управления полетами. Песочница обнаружила вредонос — что с ним делать? Решение принимает автоматический диспетчер/ Задача EDR — обнаружить вторжение, оперативно сформировать ответ и дать безопасникам возможность определить размер угрозы, ее источник, зафиксировать данные, чтобы позже изучить особенности инцидента. Такое ПО способно проводить подробный анализ событий, искать угрозы, собирать данные мониторинга состояния конечных устройств. Антивирус видит только то, что происходит на конкретном устройстве, а EDR работает по всей системе.
Для XDR характерна постоянная доставка обновлений, новых правил и т.д. Технологию можно представить как живой организм, который растет и развивается, изменяясь с появлением новых угроз. XDR получает информацию с сетевых устройств, почты, облака, учетных записей и т.д.
На этом список позиций «джентльменского набора» заканчивается, но наше стремление к идеалу — нет.
С ростом бизнеса растут и его потребности, активы и капитал.
«Венец творения» в мире ИБ SIEM-система нужна только крупным корпорациям, например, таким, как банки.
5. Система SIEM объединяет в себе средства управления информационной безопасностью (SIM — Security information management) и средства управления событиями безопасности (SEM — Security event management). Технология SIEM позволяет собирать данные журнала событий от различных источников, анализировать их в реальном времени, выявляя аномальные действия, и принимать необходимые меры.
Для внедрения SIEM нужна уже развитая ИБ-инфраструктура плюс целый штат специалистов, которые могли бы поддерживать работу системы. Однако это решение является очень эффективным и окупает затраты на внедрение и обслуживание, предотвращая совершение недопустимых событий для компании.
SIEM-систему подбирают, как правило, с помощью тестирования. На рынке выделяют продукты пяти вендоров: RUSIEM, KUMA Kaspersky, SearchInform, KOMRAD Enterprise SIEM от «Эшелон» и MaxPatrol SIEM от Positive Technologies.
6. DLP. Средство защиты со звездочкой. Мы уже говорили, что самое слабое звено любой системы безопасности — это люди. DLP-система защищает данные от утечек из-за нарушений работы сотрудников(умышленных или нет).
Что может DLP?
- следить за распространением информации внутри периметра и за ее пределами, если ваши сотрудники работают удаленно, в том числе, и с личных устройств.
- предотвращать утечку информации, блокируя ее отправку,
- выявлять внутренние нарушения, нелояльные действия сотрудников, а также мошенничество с данными.
Если у вас большая компания, несколько филиалов, часть сотрудников на удаленке или гибридном графике, большой оборот конфиденциальной информации — DLP поможет ловить и расследовать ИБ-инциденты, а также упростить работу HR-отдела.
В качестве вывода: памятка по обеспечению ИБ для маленьких и средних компаний
- Не покупайте дорогое ПО только потому что его производитель — известный вендор. Определите недопустимые события для вашего предприятия и подбирайте решения. Если у вас в компании пара десятков компьютеров, роутер и небольшой сервер, то тяжелое средство защиты за 10 миллионов вам точно не нужно (которое, к слову, изначально рассчитаны на крупные организации). Подбирайте решения для ваших задач, желательно с помощью тестирования.
- Даже если у вас в штате есть крутой сисадмин-безопасник, заказывайте программное обеспечение для обеспечения инфобеза только с настройкой и внедрением.
- Обеспечьте свою компанию специалистами по информационной безопасности. Их количество зависит от размеров компании и развития вашей системы ИБ. Если найм личного IT-джедая кажется вам роскошью, воспользуйтесь услугой аутсорса.
- Проводите тренинги на тему кибербезопасности. Даже если у вас работает всего 20 человек, велик шанс того, что кто-то из них однажды откроет фишинговую ссылку, и вы станете жертвой вымогателя.
И последнее. Информационная безопасность должна быть комплексной и постоянной: и наблюдение, и средства защиты, и работа с персоналом. А вот небольшой размер компании не является ни индульгенцией, ни защитной грамотой от киберпреступников.
Источник: Антон Морозов, директор по развитию направления «Информационная безопасность» в компании «Максофт»