СИСТЕМЫ ДЛЯ ОБЕСПЕЧЕНИЯ ИБ КОМПАНИИ И ИХ ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ.
АВТОР: БОЧАРОВ СЕРГЕЙ.
ВВЕДЕНИЕ
Под информационной безопасностью или ИБ понимают различные меры (технические и организационные), которые не позволяют третьим лицам получить доступ к конфиденциальной информации. Чтобы понять о чём идёт речь мы сначала расскажем о мерах ИБ на примере обычного «домашнего» пользователя.
КАК ПОВЫСИТЬ ИБ ПРОСТОМУ ЮЗЕРУ?
Чтобы не допустить несанкционированный доступ к данным, например на личном гаджете можно убрать его в сейф – это будет организационная мера. А если установить на него пароль или активировать Face ID и/или вход в систему по отпечатку пальца – это уже будут технические меры.
Дополнительно защитить свои данные можно можно активировав на гаджете функцию шифрования данных или если этой функции нет установив специальное ПО, Для защиты данных при выходе в глобальную сеть правильным решением будет установка антивируса и файрволла. Ну, а переносить конфиденциальные данные лучше всего на защищенном носителе с контролем доступа по паролю или отпечатку пальца.
Как видим для личных гаджетов набор технических средств обеспечивающих ИБ довольно скромен. Совсем иначе выглядит процесс обеспечения ИБ на предприятии, расскажем о нём подробнее.
ИБ ПРЕДПРИЯТИЯ: ЦЕЛИ И ЗАДАЧИ
Главной задачей системы информационной безопасности предприятия является защита и контроль за распространением коммерчески важных конфиденциальных данных и конечно предотвращение их утечки. В отличие от частного пользователя в системах ИБ предприятия всегда используется сочетание специализированных программных и аппаратных систем. Весь комплекс систем ИБ эксплуатируется различными службами ответственными за безопасность компании.
Кратко остановимся на наиболее важных программных продуктах. И начнём мы наш рассказ с «оркестратора» систем ИБ.
КООРДИНАТОРЫ ИЛИ «ОРКЕСТРАТОРЫ» СИСТЕМ ИБ
В этом разделе мы расскажем о программах SOAR (Security Orchestration, Automation and Response). Данный класс ПО осуществляет непосредственное управление всеми системами безопасности в компании. Система SOAR в реальном времени собирает всю информацию об инцидентах ИБ из различных источников. Это не только компьютеры или гаджеты сотрудников, подключенные к корпоративной сети, но и система видеонаблюдения, контроля доступа, контроля сетевого трафика, энергоснабжения и др.
«Оркестратор» SOAR осуществляет анализ собранных данных, их приоритезацию и реагирует на инциденты в автоматическом режиме в соответствии с заранее заданными протоколами безопасности. Данные обо всех инцидентах заносятся в специальный журнал и автоматически рассылаются ответственным за ИБ сотрудникам например: аналитикам ИБ, руководителю SOC (Security Operations Center), директору по ИБ (Chief Information Security Officer, CISO) и другим.
Как видим системы SOAR способны практически полностью автоматизировать контроль за безопасностью предприятия, обеспечивая эффективное реагирование на инциденты. А также минимизировать человеческие ошибки и повысить эффективность взаимодействия между службами компании ответственными за безопасность.
SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT)
В задачи SIEM входит сбор и анализ информации от различных аппаратных источников (например файрволлов, маршрутизаторов и т.д.), а также от антивирусов, систем DLP (поговорим о них ниже) и др.
SIEM анализирует поступающие на её вход данные в соответствии с заданными критериями и ищет в них отклонение от нормы. Если обнаружено нарушение, то формируется сообщение об инциденте. Заметим, что в основе работы всех SIEM систем лежат строгие математические и статистические алгоритмы, которые минимизируют вероятность ложного создания инцидентов.
И ещё один тонкий момент система SIEM только информирует о возможной проблеме в системе безопасности, но не борется с ней. Для этого есть SOAR.
DFIR (DIGITAL FORENSICS AND INCIDENT RESPONSE)
Под этой аббревиатурой спрятано весьма перспективное направление – цифровая криминалистика, которая занимается расследованием и предотвращением различных инцидентов. Когда мы говорим о DFIR то стоит отметить, что в этих системах весьма активно используются технологии Искусственного Интеллекта (ИИ) в сочетании с машинным обучением.
Также на определённом этапе к расследованию инцидентов могут подключаться сотрудники компании или приглашённые извне специалисты по DFIR.
Именно в сфере DFIR человек и ИИ наиболее тесно взаимодействуют между собой.
DLP (DATA LOSS PREVENTION)
Данный класс систем служит для предотвращения утечек конфиденциальной информации в корпоративной сети. DLP программы защищают данные пользователей от несанкционированного доступа третьих лиц внутри сети. В функции системы также входит защита каналов передачи информации для устранения утечек критически важных данных. Для этого DLP системы разделяют все используемые в компании данные по уровням важности и на основании этой классификации контролируют внутренние и внешние информационные потоки.
Также DLP-системы могут искать важные данные в файловых хранилищах, на рабочих компьютерах сотрудников, в базах данных и т. д. И в случае обнаружения конфиденциальной информации там, где её быть не должно DLP-система сформирует сообщение об инциденте.
ВЫВОДЫ
Как видим организация информационной безопасности любого современного предприятия весьма сложная и ресурсоёмкая задача, которую невозможно решить без использования самых современных технологий. Но даже самая современная техника и ПО неспособны полностью защитить данные от утечки, но их использование даёт возможность существенно сократить штат специалистов по ИБ и повысить эффективность их работы. Да и в расследовании инцидентов помощь от подобных систем будет весьма существенной.
Изображение создано ИИ.