Покинув категорию малого бизнеса, ваша компания становится интересна киберпреступникам, проводящим целевые атаки. Что нужно изменить в подходах организации к информационной безопасности и при чем тут SIEM с EDR?
Степень «оцифровки» российского бизнеса по мировым меркам очень высока. У нас не только крупная, но и средняя компания активно использует в работе цифровые сервисы — от автоматизации документооборота и взаимодействия с госорганами до управления логистикой и производством. Это делает бизнес более эффективным — и более уязвимым к кибератакам. Для преступников становится рентабельным сосредоточить усилия на конкретной компании, чтобы украсть или зашифровать ее данные, подменить платежные документы для перевода средств или провести другую целевую атаку. Статистика неутешительна — в РФ каждая пятая такая атака нацелена именно на средний бизнес, а ущерб от одного подобного инцидента составляет в среднем 5 миллионов рублей.
При этом в компаниях с несколькими сотнями сотрудников обычно уже развита экспертиза в IT, и часто даже есть выделенные люди, занимающиеся информационной безопасностью, но при росте масштабов организации им перестает хватать времени и инструментария. Какие обновления требуются, чтобы усилить ИБ, снизить риски и при этом соответствовать требованиям регуляторов?
Архитектура защиты среднего бизнеса
Маленькие компании обычно защищаются от киберугроз буквально двумя-тремя изолированными решениями. Это защита конечных точек, предотвращающая фишинг и заражение вредоносным ПО (многие по старинке называют это «антивирусом»), межсетевой экран и средство резервного копирования.
Главная проблема этого подхода в том, что защита, по сути, однослойная. Она остановит случайное заражение, но мотивированный хакер, потративший немного времени на анализ инфраструктуры компании или подбор учетных данных, может обойти одиночное защитное решение. Дальше его действия будут малозаметны, обнаружить и остановить злоумышленника станет сложно, а найти следы его активности и провести полноценное расследование — исключительно трудоемкая задача. Например, некоторые хакеры работают только «подручными средствами», они применяют легитимное и уже установленное в организации ПО для администрирования компьютеров и вообще не используют вредоносных инструментов. В результате замедленного реагирования и длительного расследования бизнес понесет больший ущерб: хакеры нанесут более значительный урон, а простои на время устранения последствий затянутся.
Чтобы избежать этого, компании нужно строить эшелонированную защиту, в которой к уже имеющемуся первому слою базовой безопасности добавляются:
централизованный мониторинг и сопоставление событий в сети, включая серверы, рабочие станции, виртуальные машины и так далее;
обнаружение аномалий и подозрительной активности (возможно, не вредоносной);
инструменты для быстрого анализа такой активности, реагирования на инциденты и проведения расследования.
В некоторых сферах бизнеса эти возможности явно предписаны регулятором, например, ИБ в банках обязана иметь инструментарий для расследований.
В принципе, перечисленные задачи можно решить с помощью продуктов open source, встроенных инструментов ОС, разного рода самописных сценариев автоматизации и ручной работы. Но такой кустарный подход чаще приносит сложности вместо облегчения. Сотрудникам IT и ИБ гарантированы огромные затраты времени, перегрузка от оповещений и ложных срабатываний, при этом вероятность не заметить по-настоящему важные события или не собрать про них важную информацию весьма высока. Также при таком «ручном управлении» практически никогда не удается организовать своевременное и эффективное реагирование на инцидент.
Фото из архива КС
Достигаем цели быстрей и эффективней с SIEM и EDR
Для эффективного мониторинга в IT-инфраструктуре организации крупные компании давно используют решения SIEM (Security Information and Event Management — управление событиями и информацией о безопасности). Они в реальном времени собирают данные из многочисленных источников (события в приложениях, на серверах, в сети — все это называется телеметрией), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам контролировать, что происходит в инфраструктуре компании. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.
Недавним и приятным новшеством стало появление этого класса решения для компаний меньшего масштаба, для среднего бизнеса. Ярким примером этой тенденции является Kaspersky Smart I, новинка «Лаборатории Касперского», которая позволяет бизнесу экономить несколькими способами:
лицензии стоят значительно дешевле «корпоративного» SIEM;
решение быстрое и легкое, его можно запустить на имеющемся недорогом оборудовании или в виртуальных средах;
затраты и время на внедрение снижаются благодаря большому количеству правил отслеживания и сценариев реагирования, которые поставляются с решением, «в коробке»;
высокая степень автоматизации сэкономит команде ИБ очень много времени в их ежедневной работе, что позволит не раздувать штат.
Автоматизация особенно эффективна, если в компании уже используются решения «Лаборатории Касперского». Взаимодействие Kaspersky Security Center и SIEM резко упрощает работу, например, можно прямо из панели мониторинга событий в пару щелчков мышки закрывать уязвимости на компьютерах.
Photo by Sigmund on Unsplash
Хотя SIEM рекомендовано настраивать на сбор максимального количества подробной телеметрии, наиболее ценным и важным источником данных обычно становится информация о событиях ИБ с рабочих компьютеров и серверов, то есть конечных точек. Для того чтобы собирать ее эффективно, а в дальнейшем успешно расследовать инциденты и реагировать на них, применяется другое защитное решение — EDR (Endpoint Detection and Response — класс решений для обнаружения и изучения вредоносной активности на конечных точках). В то время как традиционная защита компьютеров в первую очередь блокирует однозначно вредоносный код, ссылки и письма, EDR незаменим для анализа подозрительных, но не обязательно вредоносных событий. Если ИБ-специалист решит, что ему нужна дополнительная информация о какой-то активности, EDR легко соберет и предоставит эту информацию прямо с аномально работающего компьютера, а также позволит провести нужные действия по реагированию: от блокировки сетевой активности на зараженном компьютере и сброса паролей до ужесточения политики безопасности для компьютера.
EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети, сконструировать собственный запрос для проактивного поиска угрозы и, конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.
Если сказать очень просто, то EDR служит «страховочной сеткой», которая позволяет обнаружить и пресечь опасную активность, возможно, не замеченную базовым защитным решением. Важно подчеркнуть, что EDR не является «более совершенным антивирусом» и не заменяет собой базовую защиту. Они работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на специалистов.
Чтобы помочь российским компаниям эффективно внедрять связку из SIEM и EDR, «Лаборатория Касперского» разработала решение Kaspersky SMART II, объединяющее эти два продвинутых инструмента. Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.
Приобрести Kaspersky Smart или записаться на его демонстрацию можно, заполнив форму на официальном сайте или обратившись к партнерам «Лаборатории Касперского» — они работают по всей России.
АО "Лаборатория Касперского"
125212, г. Москва, Ленинградское шоссе, д. 39А, стр. 2
ОГРН 1027739867473
https://www.kaspersky.ru/
Реклама
