- Главная
- Работы
- Системы
- О компании
Согласно статистическим данным Росстата, наиболее распространенный тип современной компании в РФ – это компания небольшого размера (до 100 сотрудников). И каков ни был бы род ее занятий, невозможно представить, чтобы она обходилась без использования информационных технологий и электронных данных. Исключая некоторых индивидуальных предпринимателей, в компании как минимум, существует программа 1с для ведения бухгалтерии, и корпоративный сайт. К тому же, в современном мире трудно представить себе коммерческую компанию, сотрудникам которой на рабочих местах запрещено использовать Интернет. По этой причине, потребность в защите данных возникает сразу, как только сотрудники приходят на работу, и включают свои компьютеры. Для несанкционированного доступа к данным на компьютере злоумышленники могут использовать все возможные пути. Вовремя не обновленная операционная система, браузеры, почтовые клиенты – все может быть задействовано, как средство повышения своих привилегий, и как следствие, получения всех данных, каких только возможно. Не обходят вниманием и устройства сетевой инфраструктуры – маршрутизаторы, коммутаторы, точки доступа WI-Fi. Уязвимости в них служат для прорыва первого эшелона защиты – доступа к серверам и компьютерам.
Очевидно, что несмотря на масштабы бизнеса, небольшие компании в целом нуждаются в защите информации в такой же степени, как и крупные. Существенное отличие заключается в том, что если для малой/средней компании применить такое же решение, как и для большой корпорации, цена защиты будет чрезвычайно высока. Связано это с тем, что схемы лицензирования таких систем масштабируются по цене в зависимости от количества, и при малом количестве устройств стоимость владения системой превышает возможные риски от инцидентов безопасности.
Современные средства защиты информации
Все современные средства защиты можно классифицировать на несколько типов:
Средства защиты от атак
На сегодняшний день к подобным средствам относятся:
В устройствах производителей-лидеров квадрата Gartner сигнатуры вирусов и атак, репутационные списки сайтов и имен DNS, перечни уязвимостей – все обновляется с использованием собственного центра безопасности (Security Operation center — SOC). Некоторые NGFW используют для этой цели сторонние SOC, или вообще, предлагают обработку подозрительных файлов в «облаке».
В зависимости от функций, заложенных производителем, данный класс устройств более-менее хорошо выполняет свою основную задачу – защиту периметра сети и пропускаемого трафика от известных типов атак. У каких-то производителей при этом страдает производительность. Кто-то, как Фортинет, исключает эти проблемы, перенеся обработку на аппаратный уровень.
Аналитические системы начального уровня
Обычно, они содержат:
Подобные системы не предотвращают атаки, но осуществляют постоянный мониторинг событий безопасности, предоставляя единый интерфейс к данной информации.
Управление подобной аналитической системой, выявление корреляции событий, анализ и поиск по журналам выполняется вручную администраторами безопасности предприятия.
Автоматизированные системы мониторинга (SIEM)
Данный класс систем предназначен для анализа всей сетевой активности внутри охраняемого периметра. Все события безопасности журналируются и консолидируются в системе. При настройке системы под конкретного заказчика, учитываются свойства его инфраструктуры, используемых программных и аппаратных средств, особенности политики информационной безопасности и доступа к данным. При этом создаются правила корреляции, которые используются, как маркер злонамеренной, или прочей несанкционированной активности, и позволяют отсеять малозначимые события.
Информация об источнике подозрительной активности, получаемая от конкретного потока данных, фактически полностью описывает произошедшее информационное взаимодействие. Разберем это на следующем событии, полученном системой:
«26.10.1990 в 12:00 пользователь Ли Якокка с мобильного телефона запросил доступ к функции выписки счетов в корпоративной системе бухгалтерии компании Форд»
При этом аналитической системе становится известна следующая информация (в журнале событий обычно, она отображается разным цветом в соответствии с уровнем важности):
Вооружившись этой информацией, компания Форд решила сразу две задачи:
Таким образом, можно быстро и точно оценить важность любого события с точки зрения безопасности.
Подобная система фактически, берет на себя максимум рутинной работы аналитической системы, повышая качество ее работы и снижая операционные затраты за счет автоматизации процессов.