Когда то давно можно было обойтись простым разграничением доступа и шифрованием конфиденциальной информации. Сейчас же довольно таки трудно разобрать что именно использовать. Некоторые сокращения (например, IPS, DLP и WAF) уже используются многими. Однако если копнуть немного глубже, откроется беспрецедентный мир многофункциональных систем защиты и маркетинга. Разберемся, что означают все эти модные сокращения и что за ними стоит.
Информационные технологии постоянно развиваются. Помимо очевидных преимуществ таких качественных изменений, существует ряд достаточно очевидных трудностей. Самым важным из них для нас, как специалистов по информационной безопасности, является усложнение систем защиты информации.
Системы ИБ постоянно развиваются, пытаясь выполнить как можно больше задач, что затрудняет их разделение на группы. Ну что ж начнем движение от «простого» к сложному. Наша первая остановка — защита приложений.
Защита приложений
WAF – Web Application Firewall
Инструменты фильтрации трафика на уровне приложений, разработанные специально для веб-приложений и наиболее часто используемые для защиты готовых приложений. WAF может быть реализован как облачная служба, агент на веб-сервере или как выделенное оборудование или виртуальное устройство. Классическое размещение WAF в сети — в режиме обратного прокси, перед защищенными веб-серверами. В зависимости от производителя могут поддерживаться другие режимы работы. Например, прозрачный прокси, мостовой и даже пассивный режим, когда продукт работает с репликацией трафика.
RASP – Runtime Application Self-Protection
Данная технология безопасности интегрирована или связана с приложением или средой выполнения приложения и может отслеживать его выполнение, а также обнаруживать и предотвращать атаки в режиме реального времени. RASP может анализировать поведение приложения и контекст, в котором оно происходит, в отличие от безопасности на основе периметра. Есть два режима работы:
- диагностика (только оповещение об угрозах);
- самозащита (запрет подозрительных инструкций).
AST – Application Security Testing
- Static AST (SAST) – тестирование методом белого ящика. Позволяет находить уязвимости исходного кода на ранних этапах разработки.
- Dynamic AST (DAST) – тестирование методом черного ящика. Помогает находить уязвимости и слабости безопасности в работающем приложении. Подобные инструменты моделируют заранее известный список внешних атак на приложение.
- Interactive AST (IAST) – сочетает в себе некоторые из элементов двух предыдущих подходов. Тестирование происходит в режиме реального времени, пока приложение работает в среде контроля качества или тестовой среде. Проверяется в том числе и сам код, но уже после сборки.
- Mobile AST – выявляет и анализирует уязвимости мобильных приложений во время разработки и после нее.
SCA – Software Composition Analysis
Программные решения класса SCA предназначены для автоматического обнаружения угроз и устранения пробелов в коде, а также для управления использованием внешних компонентов с использованием открытого исходного кода.
Защита конечных точек
EPP – Endpoint Protection Platform
Это интегрированное решение безопасности, предназначенное для обнаружения и блокировки угроз на уровне устройства. Как правило, оно включает в себя антивирус, защиту от вредоносных программ, шифрование данных, персональные брандмауэры, предотвращение вторжений (IPS) и предотвращение потери данных (DLP). Решение по своей сути превентивно, и большинство подходов, используемых в вашей работе, основаны на подписях. Однако в последние годы производители стараются разнообразить арсенал применяемых методов.
EDR – Endpoint Detection and Response
EDR созданы для обнаружения и расследования подозрительного поведения а так же его следов на конечных точках. Решение обеспечивает обнаружение и предотвращение скрытых процессов, полное представление о конечной точке, включая приложения, процессы и коммуникации. Таким образом, EDR позволяет обнаруживать вредоносную активность и упростить процесс реагирования на инциденты безопасности, собирать информацию об инцидентах и принимать меры защиты.
Другие варианты названия:
- STAP – Specialized Threat Analysis and Protection
- EVC – Endpoint Visibility & Control
Защита данных
CASB – Cloud Access Security Broker
Инструмент для мониторинга облачных приложений, ресурсов и сервисов. Он контролирует, как происходит обмен данными между облачными приложениями и внешним миром в режиме прокси и / или API. Системы CASB могут быть предоставлены как в локальной, так и в облачной среде, а также в гибридной комбинации с локальными и облачными контрольными точками.
DLP – Data Leak Prevention или Data Loss Prevention
Системы предотвращения утечки данных основаны на анализе потоков данных, которые выходят за рамки защищаемой информационной системы. При обнаружении конфиденциальной информации срабатывает активный компонент системы и передача сообщения (пакет, поток, сеанс) блокируется или копия трафика данных сохраняется для постанализа на случай расследования возможной утечки.
DAP – Database audit and protection
Инструменты этого класса обеспечивают безопасность систем управления реляционными базами данных (СУБД). DAP — это эволюция основных функций мониторинга инструментов мониторинга активности базы данных (DAM), но в то же время они имеют дополнительные функции, такие как:
- обнаружение и классификация данных;
- управление угрозами и уязвимостями;
- анализ на уровне приложений;
- предотвращение вторжений;
- блокировка активности;
- анализ управления идентификацией и доступом.
SDS – Software-Defined Storage
Решение реализовано програмно для хранения и управления данными. Основной отличительной чертой SDS является виртуализация функции хранения, отделяющая оборудование от программного обеспечения, которое управляет инфраструктурой хранения. В этом смысле SDS — это эволюция концепции программно-определяемой сети.
DCAP – Data-Centric Audit and Protection
Эти средства защиты конфиденциальности данных знают, где хранятся конфиденциальные данные, определяют политики управления данными в бизнес-контексте, защищают данные от несанкционированного доступа или использования, а также отслеживают и проверяют данные, чтобы гарантировать отсутствие отклонений от нормального поведения. Несмотря на новый подход к защите данных, решение не нашло большой популярности.
Контроль доступа
PAM – Privileged Access Management
Этот класс решений предназначен для затруднения проникновения в сеть и получения доступа к привилегированным учетным записям, а также для усиления защиты привилегированных групп пользователей. Кроме того, PAM также улучшает мониторинг, видимость и детальный контроль над привилегированными учетными записями. Обратите внимание, что для обозначения систем управления для пользователей с привилегиями существуют другие названия этого класса решений, например: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Password Management (PPM), Privileged Account Security (PAS).
IAM — Identity and access management
Решения для управления идентификацией и доступом к ресурсам, устройствам, службам и приложениям. Решения этого класса часто являются частью более сложных систем защиты.
SDP – Software Defined Perimeter
Периметр который определяется програмно, также известный как Zero Trust Network Access (ZTNA). Это новый подход к защите удаленного доступа к сетевым службам, приложениям и системам как локально, так и в облаке. SDP распределяет доступ к внутренним приложениям на основе личности пользователя и с уверенностью, которая адаптируется к текущему контексту. Помимо прочего, SDP делает инфраструктуру приложения невидимой для Интернета, предотвращая сетевые атаки.
IGA – Identity Governance and Administration
Развитие технологий Identity Management (IdM) и IAM привело к появлению нового класса решений для управления идентификацией и доступом — IGA. Основное различие между ними заключается в том, что IGA предлагают более гибкие конфигурации и процессы для согласования доступа к ресурсам, а также системы разделения интересов для критически важных бизнес-операций и системы оценки рисков для настройки функций.
Защита сети
NTA – Network Traffic Analysis
Продукты для анализа сетевого трафика, которые анализируют сетевые данные в режиме реального времени. Они должны иметь полную видимость фактических транзакций (декодирование протокола приложения и дешифрование современных криптографических стандартов), иметь возможность расшифровывать трафик для анализа без ущерба для безопасности данных. НТА также могут иметь функции, позволяющие проводить поведенческий анализ.
IPS – Intrusion Prevention System
IPS активно запрещает сетевой трафик на основе профиля безопасности, если пакет представляет известную угрозу безопасности (логическое продолжение IDS, часто реализуемое IDS / IPS).
Варианты IPS: сетевой, беспроводной и хост-ориентированный.
UTM – Unified threat management
Модификация межсетевого экрана, объединяющая множество функций, связанных с безопасностью, например, IDS / IPS, VPN, антивирус.
IDPS – Intrusion Detection and Prevention Systems
Это автономные физические и виртуальные устройства, которые контролируют определенный сетевой трафик (как локальный, так и облачный). Они часто находятся в сети для проверки данных, проходящих через устройства защиты периметра, такие как межсетевые экраны, безопасные интернет-шлюзы и шлюзы электронной почты. IDPS обеспечивает обнаружение следующим образом:
- сигнатур;
- обнаружения аномалий протокола;
- поведенческого мониторинга;
- эвристики;
- интеграции advanced threat defense (ATD);
- threat intelligence (TI).
IDS – Intrusion Detection Systems
IDS анализирует и отслеживает сетевой трафик на предмет признаков, указывающих на то, что злоумышленники используют известную киберугрозу для проникновения или кражи данных из вашей сети. Системы IDS сравнивают текущую сетевую активность с базой данных известных угроз для обнаружения таких действий, как нарушения политики безопасности, вредоносное ПО и сканеры портов.
Разновидности IDS: сеть, протокол, протокол приложений и хост.
SWG – Secure Web Gateways
Этот класс решений позволяет фильтровать нежелательное или вредоносное программное обеспечение из веб-трафика, а также обеспечивать соответствие корпоративным и нормативным политикам. У них следующий набор функций:
- фильтрация URL-адресов;
- обнаружение и фильтрация вредоносного кода;
- имеют средства управления приложениями для популярных веб-приложений.
Также все чаще встречается встроенная или интегрированная в решения защита от утечки данных.
NGFW – Next-Generation Firewalls
Объединяют многие возможности традиционных межсетевых экранов, включая:
- фильтрацию пакетов;
- преобразование сетевых адресов (NAT);
- преобразование адресов портов (PAT);
- блокировку URL-адресов;
- VPN с функциональностью quality of service (QoS);
и другие функции, которых нет в традиционных брандмауэрах: предотвращение вторжений (IPS), проверка SSL и SSH, deep-packet inspection, обнаружение вредоносных программ на основе репутации и осведомленность о приложениях.
Анализ внутри сети
BDS – Breach Detection System
Системы данного класса могут быть реализованы как программное обеспечение или аппаратное устройство. Их цель – обнаружить нарушения безопасности внутри сети, включая сложные целенаправленные атаки. Подход к обнаружению вредоносного ПО сложнее, чем у антивирусных средств, т.к. принимается во внимание окружение, а также могут составляться цепочки событий, указывающие на вредоносную деятельность.
NBAD – Network behavior anomaly detection
Инструменты обнаружения внутрисетевых аномалий, которые используются в качестве дополнительных инструментов обнаружения угроз для мониторинга сетевой активности и генерации предупреждений, часто требующих дополнительной оценки ИТ-командой. Системы способны обнаруживать угрозы и останавливать подозрительную активность в ситуациях, когда традиционное программное обеспечение безопасности неэффективно. Кроме того, инструменты подсказывают, какие подозрительные действия или события требуют дальнейшего анализа.
UEBA – User and Entity Behavior Analytics
Системы анализа поведения пользователей и сущностей позволяют обнаруживать подозрительное поведение пользователей и сетевых узлов в корпоративной инфраструктуре, которое не видно для решений SIEM.
С привлечением людей
SIEM – Security Information and Event Management
Обеспечивает анализ в реальном времени событий безопасности от устройств и сетевых приложений и позволяет вам реагировать на них до того, как будет нанесен значительный ущерб. Основная цель — тем или иным способом (в том числе легитимными) предоставлять отчеты обо всех событиях безопасности, создавать уведомления о нестандартных событиях.
SOC – Security Operations Center
SOC — это аналитики, работающие с данными из SIEM. SIEM собирает и преобразует данные о событиях безопасности. Аналитикам необходимо решить, как поступить с конкретным инцидентом безопасности. SOC могут либо сами реагировать на события, либо пересылать их специалистам по безопасности.
SOAR – Security Operations, Analytics and Reporting / Security Orchestration, Automation and Response
По сути, это более развитая SIEM, то есть система для сбора, анализа и реагирования на инциденты безопасности. Решения SOAR для более автоматизированного определения приоритетов и управления событиями и инцидентами безопасности были разработаны, чтобы помочь аналитикам SOC улучшить свою производительность.
IRS – Incident Response Platforms
Системы автоматизации реагирования на инциденты информационной безопасности разработаны, чтобы помочь аналитикам SOC выполнять ряд рутинных операций по сбору дополнительной информации об инциденте, принимать ряд сдерживающих факторов, устранять угрозы и выполнять действия по восстановлению. Кроме того, в их задачи входит уведомление ответственных лиц и сбор отчетов об инцидентах.
TIP – Threat Intelligence Platform
Эти платформы могут собирать, классифицировать и выполнять различные операции с потенциальными угрозами из различных источников в режиме реального времени, включая загрузку в инструменты безопасности и системы SIEM. В случае инцидента платформа предоставляет полный контекст того, что произошло, поэтому вы можете сократить время реакции на инцидент и заблокировать источник атаки.
MDR – Managed Detection and Response
MDR — это внешний сервис, который помогает организациям, не имеющим собственных ресурсов, находить и устранять угрозы безопасности. Услуги предоставляются с использованием собственного набора инструментов и технологий поставщика, но реализуются на сайте пользователя. Это также включает человеческую работу: поставщики услуг безопасности предоставляют своим клиентам возможность привлекать исследователей безопасности и инженеров, ответственных за мониторинг сети, анализ инцидентов и реагирование на инциденты безопасности.
Имитация системы
DDP – Distributed Deception Platforms
Развитие концепции Honeypot привело к появлению современных DDP, отличительной чертой которых является имитация максимального количества ИТ-систем, включая не только серверы и конечные станции, но и сетевую инфраструктуру, приложения и данные. Распределенные платформы для моделирования инфраструктуры встраиваются между целевой системой и потенциальным злоумышленником. Идея проста: злоумышленник должен думать, что это настоящая система. В то же время сама система будет одновременно способствовать проактивному блокированию атак, вычисляя вектор атаки на тестовой инфраструктуре еще до того, как злоумышленник получит доступ к реальной системе, и поможет отреагировать на уже совершенный инцидент информационной безопасности, благодаря подробная аналитика атаки на тестовую инфраструктуру.
Имитация нападения
BAS – Breach and Attack Simulation
Это инструменты, которые позволяют организациям непрерывно и последовательно моделировать полный цикл атак на корпоративную инфраструктуру (включая внутренние угрозы, горизонтальное перемещение и фильтрацию данных) с помощью программных агентов, виртуальных машин и других инструментов.
Расследование
NFT – network forensic tools
Инструменты сетевой экспертизы, мониторинг и анализ сетевого трафика с целью сбора информации, сбора юридических доказательств, а также для обнаружения и идентификации вторжений.
Итоги
Моральные и этические меры определяют личное отношение человека к конфиденциальной или распространяемой информации. Повышение осведомленности сотрудников о последствиях угроз для деятельности компании влияет на осведомленность и ответственность сотрудников. В целях борьбы с нарушениями информационного режима, включая, например, передачу паролей, неосторожное использование СМИ и распространение конфиденциальных данных в частных беседах, необходимо соблюдать личную добросовестность сотрудника. Будет полезно установить показатели эффективности работы персонала, которые зависят от отношения к системе информационной безопасности компании.
