Защита конечных точек как основа ИБ культуры

01.07.2019

Если в прошлом ИТ- инфраструктуры должны были быть защищены от атак в целом, то сегодня необходимы другие подходы, которые учитывают необходимость гибкости сети и разнообразие бизнес-процессов.

Как ИТ-безопасность будет выглядеть в будущем?

100%-ой безопасности в принципе не существует – это основа стратегии безопасности, ориентированной на защиту конечных точек.

Не защита от нападения должна быть главной целью обеспечения безопасности, а правильная реакция на нее. Только тогда можно будет создать в компании культуру, в которой каждый произошедший инцидент не замалчивается, а активно освещается и обсуждается. Безопасность конечных точек также означает соблюдение принципа «безопасность рабочих процессов каждый день, а не страх перед инцидентами и наказаниями за них». Чем лучше эта культура войдет в жизнь, тем быстрее, точнее и эффективнее могут быть собраны необходимые данные. Их оценка, в свою очередь, поможет раньше выявлять киберугрозы и реагировать на них соответствующим образом

Конечные точки – самое слабое звено в системе ИБ

И таких слабых звеньев в корпоративных сетях более, чем достаточно.

«Все, что каким-либо образом связывается с системой в целом, может рассматриваться как конечная точка - и должно быть соответствующим образом защищено, - отмечает Майк Ветцель, производитель программного обеспечения ESET. - Во времена IoT, когда даже светодиод может представлять собой конечную точку, целостность и защита всей системы должны продумываться на этапе проектирования».

При этом наиболее уязвимым и самым трудным для расчета фактором остается сам человек. Сотрудники часто неосознанно обходят правила безопасности и сами создают новые конечные точки через свои личные гаджеты. Так появляются «теневые ИТ устройства». Невежество, легкомысленность и нежелание менять свои привычки - частые причины инцидентов.

Таким образом, технологии и люди в равной степени влияют на жизнеспособность системы безопасности. Соответствующие меры безопасности должны рассматриваться еще на этапе построения архитектуры. Они больше не могут быть добавлены позже - ​ как простая надстройка, а должны проникать во всю систему и запускаться там, где происходит любой обмен данными.

Многие компании используют системы, которые ориентированы на функциональность, а не на безопасность, и поэтому не являются безопасными априори. Бизнес в первую очередь инвестирует в модернизацию и эффективность, а не в безопасность.

От классики до целостного взгляда

Очень важно переосмыслить и выбор методов обеспечения безопасности. Вместо того, чтобы классически блокировать целую сеть файерволом сейчас всё чаще используются системы сетевой форензики на конечных точках сети. Акцент делается на поведении каждой конечной точки и ее взаимодействии с другими конечными точками.

«Понимание безопасности кардинально меняется. Если раньше это было «воздвижение стен» по периметру сети, то сегодня это искусство обнаруживать аномальные процессы в бесчисленных фрагментах данных и устранять дыры для потенциальных атак и утечек с помощью анализа всех бизнес-процессов компании», - отмечает Томас Шмидт из Capgemini.

Важно хорошо знать поведение всех конечных точек в состоянии нормы. Определение того, что является «нормой», для каждого варианта конечной точки своё и зависит от многих показателей. Отличным примером является «риск вылета», то есть вероятность того, что какой-то сотрудник или руководитель покинет компанию в ближайшее время. Если кто-то неожиданно выгружает значительно больше данных из корпоративной сети, чем обычно, это, вместе с другими ранее определенными показателями системы, может указывать на наличие риска утечки данных, разглашение коммерческой тайны и шпионажа. Соответствующие контрмеры должны быть приняты в тот момент, когда замечена поведенческая аномалия.

Если вы не знаете состояния «нормы» конечных точек вашей ИТ инфраструктуры, не понимаете и не анализируете их поведение, вы рискуете пропустить потенциальные угрозы. Компания ARinteg предлагает своим клиентам регулярно – ежеквартально проводить ASV-сканирование периметра сети. Оно направлено на выявление уязвимостей; при их отсутствии выдается сертификат соответствия требованиям стандарта PCI DSS. ARinteg обладает официальным статусом Approved Scanning Vendor — ASV, сертификат №5081-01-03.