Как обеспечить безопасность корпоративной сети

18.11.2013 | 14:02 Экономика

Удивительно, сколько профессионалов, задействованных в сфере кибер-безопасности, признают, что их нынешняя защита конечных точек и серверов (что почти всегда означает лишь какое-то антивирусное решение) – недостаточны. Но на вопрос, что же они собираются в этой связи предпринять – просто пожимают плечами.

Зачем вообще нужна кибер-безопасность?

Ваши методы защиты должны обеспечивать несколько вещей: защиту цифровых активов вашей компании и обеспечивание продуктивности работы пользователей. А где эти активы и пользователи? Они на этих самых конечных точках и на серверах! И если вы знаете, что меры безопасности, предпринимаемые для защиты этих конечных точек и серверов недостаточны, вы не можете попросту закрывать на это глаза. Это всё равно, что надеяться на кодовый замок подъезда, когда замок на двери вашей квартиры сломан.

Вредоносные программы и направленные атаки постоянно угрожают вашим компьютерам и серверам, вне зависимости от того, насколько хороша ваша система безопасности и сколько хороших продуктов, обеспечивающих безопасность сети есть на рынке в текущий момент. Например:

• Ноутбук отключён от вашей сети, и поэтому он уже не находится под защитой, обеспечиваемой вашей системой сетевой безопасности.
• Пользователь подключил инфицированную флешку или мобильный телефон к своему ПК или Mac.
• Пользователь стал жертвой социальной инженерии.

Цифровые активы и пользователи, которых вы должны защищать — это и есть ваши конечные точки и сервера. И если зловредное ПО попадает на эти машины — у вас неприятности.

Вы ничего не видите на конечных точках

Большинство команд, обеспечивающих корпоративную информационную безопасность, сталкиваются со следующими проблемами:

Ограниченная видимость. Вы знаете, что запущено на контролируемых вами конечных точках и серверах прямо сейчас? Для большинства нет ни одного способа знать это наверняка. И если вирус просочился через ваш антивирусник, как вы узнаете, на какие машины он попал? Действует ли он сейчас? Что именно он делает?

Отстутствие истории. Когда вы сталкиваетесь с атакой, как вы можете проследить её развитие? Вы можете сказать, что попадало и было запущено на ваших конечных точках и серверах за последние три часа или три недели? Антивирус не обеспечит вас детальной информацией такого рода.

Если вы полагаетесь лишь на антивирус, вы вышли на современный бой с устаревшей защитой. Мы все нуждаемся в новом поколении защиты конечной точки и сервера. Что это значит?

А вот что.

• На каждой машине вы должны иметь возможность отслеживать любой исполняемый файл (программу, скрипт итд).
• Иметь возможность мониторинга каждого критически важного системного ресурса (памяти, процессов итп).
• Контролировать изменения системного реестра.
• Контролировать USB-устройства.
• Мониторить критически важные системные файлы.

Видимость удалённой машины должна осуществляться в режиме реального времени — и непрерывно. Для большинства зловредного ПО достаточно 15 минут, чтобы сделать своё дело, после чего трансформироваться или самоликвидироваться. Сканирование и снимки поэтому недостаточно хороши: вы должны иметь возможность знать, что происходит в данный конкретный момент.

Цифровые сигнатуры — не панацея

Все мы знаем, что основанные на сигнатурах решения не могут защитить нас от передовых угроз. Вместо того, чтобы пытаться определить зловредное ПО с помощью сигнатур, обратите внимание на индикаторы продвинутых атак (APT). Например:

• Если Adobe Acrobat или Microsoft Excel создаёт неизвестные исполняемые файлы на вашем компьютере – это наверняка вирус.
• Процесс никогда не должен запускаться из системной «Корзины».
• Исполняемые файлы не могут иметь расширений JPEG или PDF.

Реакция

Вы получили тревожный сигнал, на который должны среагировать в течение кратчайшего времени. Для этого вам нужны ответы на несколько ключевых вопросов:

• Что произошло на конкретной машине в последние три часа или дня?
• Есть ли вредоносный файл на какой-либо из моих машин прямо сейчас?
• Когда он появился?
• Отработал ли он, и если да, то что он сделал?

А значит, вам нужна подробная история — с каждой из обслуживаемых машин.

Защита

Вы не можете полагаться на сигнатуры антивирусных решений — они игнорируют передовые угрозы. Вам необходимы новые формы повышения защиты конечной точки. И в это сфере набирают популярность два основных подхода:

• «Вскрыть и запретить» автоматически отправляет каждый новый файл, попадающий на конечную точку или сервер, на препарирование и анализ в один из современных продуктов (будь то FireEye или Palo Alto Networks WildFire). И если файл оказывается вредоносным, вы можете заблокировать его выполнение на любой машине.
• «Запрет по умолчанию» гарантирует, что только доверенное ПО может работать на ваших машинах. Таким образом вы можете справиться как с новыми неизвестными угрозами и различными типами вредоносного ПО, так и целевыми атаками, направленными именно на вашу организацию. 

Комбинированные решения для защиты машины от несанкционированного доступа предлагает, к примеру, защищённая платформа программы-маскировщика COVERT.

Интеграция сетевой безопасности.

До сих пор ваша система сетевой безопасности и защита конечной точки функционируют независимо друг от друга. Они нуждаются в интеграции в реальном времени, чтобы у вас был целостный подход. Например:

• если решение, обеспечивающее вашу сетевую безопасность, обнаруживает в сети вредоносное ПО, средства защиты на конечных точках информируют вас, на какой конкретно машине это происходит.
• Зная, что происходит на конечных точках, можно быстро определиться с приоритетами, определить масштабы угрозы и выбрать цель ответных действий.

Мы не предлагаем вам готовые решения — исходя из рассмотренных выше обстоятельств и условий, вы можете определить для себя более продуманную и цельную политику сетевой безопасности, а средства для её реализации сегодня есть. Просто определите для себя ключевые точки – и действуйте! Не надейтесь на кодовый замок подъезда, если ваш – сломан.