Российский бизнес — один из лидеров по использованию различных цифровых сервисов, от простой автоматизации документооборота до взаимодействия с госорганами, управления производством и логистикой. С одной стороны, это делает его эффективным, а с другой — более уязвимым к различным киберугрозам. Причем речь не только про крупные компании. Какие ошибки совершает средний бизнес в защите своей IT-инфраструктуры, при чем тут SIEM с EDR и как «Лаборатория Касперского» помогает обеспечить безопасность — в материале.
Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес
Обычная защита среднего бизнеса не остановит мотивированного хакера
Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес. И ущерб от одного инцидента внушительный — в среднем около 5 млн рублей.
Во многих компаниях, имеющих в штате несколько сотен сотрудников, чаще всего уже есть развитая экспертиза в IT1 и даже работают отдельные специалисты, занимающиеся информационной безопасностью. Однако этого уже недостаточно: при росте масштабов организации у экспертов остается все меньше времени и инструментария, чтобы качественно реагировать на новые риски.
Небольшие компании обычно «охраняют себя» от киберугроз ограниченным числом изолированных решений — максимум двумя или тремя. Зачастую все сводится к защите конечных точек, предотвращающей фишинг и заражение вредоносным ПО, межсетевому экрану и средству резервного копирования. Главная проблема этого подхода в том, что защита получается однослойная: она способна остановить массовую атаку, но не мотивированного хакера. Ему не потребуется много времени на то, чтобы проанализировать инфраструктуру компании, подобрать учетные данные и обойти одиночное защитное решение. Дальше его действия будут малозаметны, обнаружить и остановить действия злоумышленника станет сложно, а найти следы его активности и провести полноценное расследование — исключительно трудоемко.
Нужно учитывать, что некоторые хакеры применяют легитимное и уже установленное в организации ПО для администрирования компьютеров и вообще не используют вредоносных инструментов. В результате замедленного реагирования и длительного расследования бизнес понесет больший ущерб: хакерам удастся причинить еще более значительный вред, а простои на время устранения последствий затянутся.
Чтобы избежать этого, компании нужно строить эшелонированную защиту. К имеющемуся первому слою базовой безопасности добавляются:
- централизованный мониторинг и сопоставление событий в сети, включая серверы, рабочие станции, виртуальные машины и так далее;
- обнаружение аномалий и подозрительной активности (необязательно вредоносной);
- инструменты для быстрого анализа такой активности, реагирования на инциденты и проведения расследования.
В некоторых сферах бизнеса эти возможности явно предписаны регулятором. Например, службы ИБ в банках обязаны иметь инструментарий для расследований.
В принципе, вышеперечисленные задачи можно решить при помощи open source2-продуктов, встроенных инструментов ОС, разного рода самописных сценариев автоматизации и ручной работы. Но такой кустарный подход чаще приносит сложности вместо облегчения работы. ИТ- и ИБ-специалисты тратят колоссальное количество времени на оповещения и ложные срабатывания, при этом риск пропустить по-настоящему значимые события или не собрать важную информацию очень высок. «Ручное управление» практически никогда не позволяет организовать своевременное и эффективное реагирование на инцидент.
Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес
SIEM — для тех, кто хочет качественно мониторить свою IT-инфраструктуру
Крупные компании для эффективного мониторинга в IT-инфраструктуре организации давно используют решения SIEM (Security Information and Event Management)3. Они в реальном времени собирают данные из многочисленных источников (события в приложениях, на серверах, в сети — все это называется телеметрией), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам контролировать, что происходит в инфраструктуре компании. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов. И дает возможность оперативно предоставлять информацию о событиях регулирующим органам.
Недавно решение этого класса появилось и для компаний меньшего масштаба, для среднего бизнеса. «Лаборатория Касперского» выпустила новинку — Kaspersky Smart I, разработку, которая позволяет бизнесу экономить несколькими способами:
- лицензии стоят значительно дешевле «корпоративного» SIEM;
- решение быстрое и легкое, его можно запустить на имеющемся недорогом оборудовании или в виртуальных средах;
- затраты и время на внедрение снижаются благодаря большому количеству правил отслеживания и сценариев реагирования, которые поставляются с решением, «в коробке»;
- высокая степень автоматизации сэкономит команде ИБ много времени в их ежедневной работе, что позволит не раздувать штат.
При этом автоматизация становится особенно эффективной, если в компании уже используются другие решения «Лаборатории Касперского». Взаимодействие Kaspersky Security Center4 и SIEM значительно упрощает работу: закрывать уязвимости на компьютерах можно парой щелчков мыши — прямо из панели мониторинга событий.
«Лаборатория Касперского» выпустила новинку — Kaspersky Smart I, разработку, которая позволяет бизнесу экономить несколькими способами
EDR — «страховочная сетка» от сложных угроз
Несмотря на то что SIEM рекомендовано настраивать на сбор максимального количества подробной телеметрии, наиболее ценным и важным источником данных обычно становится информация о событиях ИБ с рабочих компьютеров и серверов — с конечных точек. Чтобы собирать ее эффективно, а затем успешно расследовать инциденты и реагировать на них, применяется другое защитное решение — EDR (Endpoint Detection and Response5).
В чем его преимущество? Традиционная защита компьютеров в первую очередь блокирует однозначно вредоносный код, ссылки и письма. EDR же проводит анализ всех подозрительных, но необязательно вредоносных событий. И если ИБ-специалист решит, что ему нужна дополнительная информация о какой-то активности, EDR легко соберет и предоставит ему данные прямо с аномально работающего компьютера, а также позволит провести нужные действия по реагированию: от блокировки сетевой активности на зараженном компьютере и сброса паролей до ужесточения политики безопасности для ПК.
EDR значительно упрощает как автоматическое обнаружение сложных угроз при помощи индикаторов атаки (IoA), так и ручной анализ. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети, сконструировать собственный запрос для проактивного поиска угрозы и, конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.
Фактически EDR служит «страховочной сеткой», позволяющей выявить и пресечь опасную активность, которую могут не заметить базовые защитные решения
Фактически EDR служит «страховочной сеткой», позволяющей выявить и пресечь опасную активность, которую могут не заметить базовые защитные решения. При этом EDR не является «более совершенным антивирусом» и не заменяет собой базовую защиту. Такие решения работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на специалистов.
Чтобы помочь российским компаниями эффективно внедрять связку из SIEM и EDR, «Лаборатория Касперского» разработала решение Kaspersky SMART II, объединяющее эти два продвинутых инструмента. Оно входит в единый реестр отечественного ПО минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по информационной безопасности.
Приобрести Kaspersky Smart или записаться на его демонстрацию можно, заполнив форму на официальном сайте или обратившись к партнерам «Лаборатории Касперского» — они работают по всей России.
Фото предоставлено пресс-службой АО «Лаборатория Касперского»
18+
1 информационные технологии
2 открытый источник
3 управление событиями и информацией о безопасности
4 центр безопасности Касперский
5 обнаружение и реагирование на конечных точках
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 1
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.