Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес

Обычная защита среднего бизнеса не остановит мотивированного хакера

Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес. И ущерб от одного инцидента внушительный — в среднем около 5 млн рублей.

Во многих компаниях, имеющих в штате несколько сотен сотрудников, чаще всего уже есть развитая экспертиза в IT1 и даже работают отдельные специалисты, занимающиеся информационной безопасностью. Однако этого уже недостаточно: при росте масштабов организации у экспертов остается все меньше времени и инструментария, чтобы качественно реагировать на новые риски.

Небольшие компании обычно «охраняют себя» от киберугроз ограниченным числом изолированных решений — максимум двумя или тремя. Зачастую все сводится к защите конечных точек, предотвращающей фишинг и заражение вредоносным ПО, межсетевому экрану и средству резервного копирования. Главная проблема этого подхода в том, что защита получается однослойная: она способна остановить массовую атаку, но не мотивированного хакера. Ему не потребуется много времени на то, чтобы проанализировать инфраструктуру компании, подобрать учетные данные и обойти одиночное защитное решение. Дальше его действия будут малозаметны, обнаружить и остановить действия злоумышленника станет сложно, а найти следы его активности и провести полноценное расследование — исключительно трудоемко.

Нужно учитывать, что некоторые хакеры применяют легитимное и уже установленное в организации ПО для администрирования компьютеров и вообще не используют вредоносных инструментов. В результате замедленного реагирования и длительного расследования бизнес понесет больший ущерб: хакерам удастся причинить еще более значительный вред, а простои на время устранения последствий затянутся.

Чтобы избежать этого, компании нужно строить эшелонированную защиту. К имеющемуся первому слою базовой безопасности добавляются:

  • централизованный мониторинг и сопоставление событий в сети, включая серверы, рабочие станции, виртуальные машины и так далее;
  • обнаружение аномалий и подозрительной активности (необязательно вредоносной);
  • инструменты для быстрого анализа такой активности, реагирования на инциденты и проведения расследования.

В некоторых сферах бизнеса эти возможности явно предписаны регулятором. Например, службы ИБ в банках обязаны иметь инструментарий для расследований.

В принципе, вышеперечисленные задачи можно решить при помощи open source2-продуктов, встроенных инструментов ОС, разного рода самописных сценариев автоматизации и ручной работы. Но такой кустарный подход чаще приносит сложности вместо облегчения работы. ИТ- и ИБ-специалисты тратят колоссальное количество времени на оповещения и ложные срабатывания, при этом риск пропустить по-настоящему значимые события или не собрать важную информацию очень высок. «Ручное управление» практически никогда не позволяет организовать своевременное и эффективное реагирование на инцидент.

Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес Статистика подтверждает — каждая пятая атака, направленная на кражу или зашифровку данных, подмену платежных документов для перевода средств и так далее, нацелена именно на средний бизнес

SIEM — для тех, кто хочет качественно мониторить свою IT-инфраструктуру

Крупные компании для эффективного мониторинга в IT-инфраструктуре организации давно используют решения SIEM (Security Information and Event Management)3. Они в реальном времени собирают данные из многочисленных источников (события в приложениях, на серверах, в сети — все это называется телеметрией), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам контролировать, что происходит в инфраструктуре компании. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов. И дает возможность оперативно предоставлять информацию о событиях регулирующим органам.

Недавно решение этого класса появилось и для компаний меньшего масштаба, для среднего бизнеса. «Лаборатория Касперского» выпустила новинку — Kaspersky Smart I, разработку, которая позволяет бизнесу экономить несколькими способами:

  • лицензии стоят значительно дешевле «корпоративного» SIEM;
  • решение быстрое и легкое, его можно запустить на имеющемся недорогом оборудовании или в виртуальных средах;
  • затраты и время на внедрение снижаются благодаря большому количеству правил отслеживания и сценариев реагирования, которые поставляются с решением, «в коробке»;
  • высокая степень автоматизации сэкономит команде ИБ много времени в их ежедневной работе, что позволит не раздувать штат.

При этом автоматизация становится особенно эффективной, если в компании уже используются другие решения «Лаборатории Касперского». Взаимодействие Kaspersky Security Center4 и SIEM значительно упрощает работу: закрывать уязвимости на компьютерах можно парой щелчков мыши — прямо из панели мониторинга событий.

«Лаборатория Касперского» выпустила новинку — Kaspersky Smart I, разработку, которая позволяет бизнесу экономить несколькими способами «Лаборатория Касперского» выпустила новинку — Kaspersky Smart I, разработку, которая позволяет бизнесу экономить несколькими способами

EDR — «страховочная сетка» от сложных угроз

Несмотря на то что SIEM рекомендовано настраивать на сбор максимального количества подробной телеметрии, наиболее ценным и важным источником данных обычно становится информация о событиях ИБ с рабочих компьютеров и серверов — с конечных точек. Чтобы собирать ее эффективно, а затем успешно расследовать инциденты и реагировать на них, применяется другое защитное решение — EDR (Endpoint Detection and Response5).

В чем его преимущество? Традиционная защита компьютеров в первую очередь блокирует однозначно вредоносный код, ссылки и письма. EDR же проводит анализ всех подозрительных, но необязательно вредоносных событий. И если ИБ-специалист решит, что ему нужна дополнительная информация о какой-то активности, EDR легко соберет и предоставит ему данные прямо с аномально работающего компьютера, а также позволит провести нужные действия по реагированию: от блокировки сетевой активности на зараженном компьютере и сброса паролей до ужесточения политики безопасности для ПК.

EDR значительно упрощает как автоматическое обнаружение сложных угроз при помощи индикаторов атаки (IoA), так и ручной анализ. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети, сконструировать собственный запрос для проактивного поиска угрозы и, конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.

Фактически EDR служит «страховочной сеткой», позволяющей выявить и пресечь опасную активность, которую могут не заметить базовые защитные решения Фактически EDR служит «страховочной сеткой», позволяющей выявить и пресечь опасную активность, которую могут не заметить базовые защитные решения

Фактически EDR служит «страховочной сеткой», позволяющей выявить и пресечь опасную активность, которую могут не заметить базовые защитные решения. При этом EDR не является «более совершенным антивирусом» и не заменяет собой базовую защиту. Такие решения работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на специалистов.

Чтобы помочь российским компаниями эффективно внедрять связку из SIEM и EDR, «Лаборатория Касперского» разработала решение Kaspersky SMART II, объединяющее эти два продвинутых инструмента. Оно входит в единый реестр отечественного ПО минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по информационной безопасности.

Приобрести Kaspersky Smart или записаться на его демонстрацию можно, заполнив форму на официальном сайте или обратившись к партнерам «Лаборатории Касперского» — они работают по всей России.