АВ-Трибуна. Новости, тесты и обзоры аудио, видео, цифровой техники и гаджетов.

ИБ «ДЛЯ ЧАЙНИКОВ».

СИСТЕМЫ ДЛЯ ОБЕСПЕЧЕНИЯ ИБ КОМПАНИИ И ИХ ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ.

АВТОР: БОЧАРОВ СЕРГЕЙ.

ВВЕДЕНИЕ

Под информационной безопасностью или ИБ понимают различные меры (технические и организационные), которые не позволяют третьим лицам получить доступ к конфиденциальной информации. Чтобы понять о чём идёт речь мы сначала расскажем о мерах ИБ на примере обычного «домашнего» пользователя.

КАК ПОВЫСИТЬ ИБ ПРОСТОМУ ЮЗЕРУ?

Чтобы не допустить несанкционированный доступ к данным, например на личном гаджете можно убрать его в сейф – это будет организационная мера. А если установить на него пароль или активировать Face ID и/или вход в систему по отпечатку пальца – это уже будут технические меры.

Дополнительно защитить свои данные можно можно активировав на гаджете функцию шифрования данных или если этой функции нет установив специальное ПО, Для защиты данных при выходе в глобальную сеть правильным решением будет установка антивируса и файрволла. Ну, а переносить конфиденциальные данные лучше всего на защищенном носителе с контролем доступа по паролю или отпечатку пальца.

Как видим для личных гаджетов набор технических средств обеспечивающих ИБ довольно скромен. Совсем иначе выглядит процесс обеспечения ИБ на предприятии, расскажем о нём подробнее.

ИБ ПРЕДПРИЯТИЯ: ЦЕЛИ И ЗАДАЧИ

Главной задачей системы информационной безопасности предприятия является защита и контроль за распространением коммерчески важных конфиденциальных данных и конечно предотвращение их утечки. В отличие от частного пользователя в системах ИБ предприятия всегда используется сочетание специализированных программных и аппаратных систем. Весь комплекс систем ИБ эксплуатируется различными службами ответственными за безопасность компании.

Кратко остановимся на наиболее важных программных продуктах. И начнём мы наш рассказ с «оркестратора» систем ИБ.

КООРДИНАТОРЫ ИЛИ «ОРКЕСТРАТОРЫ» СИСТЕМ ИБ

В этом разделе мы расскажем о программах SOAR (Security Orchestration, Automation and Response). Данный класс ПО осуществляет непосредственное управление всеми системами безопасности в компании. Система SOAR в реальном времени собирает всю информацию об инцидентах ИБ из различных источников. Это не только компьютеры или гаджеты сотрудников, подключенные к корпоративной сети, но и система видеонаблюдения, контроля доступа, контроля сетевого трафика, энергоснабжения и др.

«Оркестратор» SOAR осуществляет анализ собранных данных, их приоритезацию и реагирует на инциденты в автоматическом режиме в соответствии с заранее заданными протоколами безопасности. Данные обо всех инцидентах заносятся в специальный журнал и автоматически рассылаются ответственным за ИБ сотрудникам например: аналитикам ИБ, руководителю SOC (Security Operations Center), директору по ИБ (Chief Information Security Officer, CISO) и другим.

Как видим системы SOAR способны практически полностью автоматизировать контроль за безопасностью предприятия, обеспечивая эффективное реагирование на инциденты. А также минимизировать человеческие ошибки и повысить эффективность взаимодействия между службами компании ответственными за безопасность.

SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT)

В задачи SIEM входит сбор и анализ информации от различных аппаратных источников (например файрволлов, маршрутизаторов и т.д.), а также от антивирусов, систем DLP (поговорим о них ниже) и др.

SIEM анализирует поступающие на её вход данные в соответствии с заданными критериями и ищет в них отклонение от нормы. Если обнаружено нарушение, то формируется сообщение об инциденте. Заметим, что в основе работы всех SIEM систем лежат строгие математические и статистические алгоритмы, которые минимизируют вероятность ложного создания инцидентов.

И ещё один тонкий момент система SIEM только информирует о возможной проблеме в системе безопасности, но не борется с ней. Для этого есть SOAR.

DFIR (DIGITAL FORENSICS AND INCIDENT RESPONSE)

Под этой аббревиатурой спрятано весьма перспективное направление – цифровая криминалистика, которая занимается расследованием и предотвращением различных инцидентов. Когда мы говорим о DFIR то стоит отметить, что в этих системах весьма активно используются технологии Искусственного Интеллекта (ИИ) в сочетании с машинным обучением.

Также на определённом этапе к расследованию инцидентов могут подключаться сотрудники компании или приглашённые извне специалисты по DFIR.

Именно в сфере DFIR человек и ИИ наиболее тесно взаимодействуют между собой.

DLP (DATA LOSS PREVENTION)

Данный класс систем служит для предотвращения утечек конфиденциальной информации в корпоративной сети. DLP программы защищают данные пользователей от несанкционированного доступа третьих лиц внутри сети. В функции системы также входит защита каналов передачи информации для устранения утечек критически важных данных. Для этого DLP системы разделяют все используемые в компании данные по уровням важности и на основании этой классификации контролируют внутренние и внешние информационные потоки.

Также DLP-системы могут искать важные данные в файловых хранилищах, на рабочих компьютерах сотрудников, в базах данных и т. д. И в случае обнаружения конфиденциальной информации там, где её быть не должно DLP-система сформирует сообщение об инциденте.

ВЫВОДЫ

Как видим организация информационной безопасности любого современного предприятия весьма сложная и ресурсоёмкая задача, которую невозможно решить без использования самых современных технологий. Но даже самая современная техника и ПО неспособны полностью защитить данные от утечки, но их использование даёт возможность существенно сократить штат специалистов по ИБ и повысить эффективность их работы. Да и в расследовании инцидентов помощь от подобных систем будет весьма существенной.