Реализация информационной безопасности предприятий на основе специализированных программно-аппаратных комплексов
Рассматривая современную тенденцию повсеместной цифровизации, стоит отметить, что роль обеспечения конфиденциальности информации в сети Интернет значительно увеличилась. Предприятия заинтересованы в развитии своей деятельности, особенно в информационной среде. Из Указа Президента РФ от 09.05.2017 №203 «О Стратегии развития информационного общества в Российской Федерации на период 2017-2030 годов» следует, что цифровая деятельность определяется как развитие информационного общества и экономики в информационной сфере, основным фактором которой является информация в цифровой форме. Анализ текущей ситуации в области защиты информации показывает, что концепция и структура защиты информации уже полностью сформированы. Главное – недопущение возникновения угроз, если же нет возможности их избежать, то защита от них. Угрозы конфиденциальной информации понимаются как потенциальные или фактические действия, которые приводят к незаконному получению охраняемой информации, относящейся к источникам информации.
Такими действиями являются:
- 1. Уничтожение информации как акт уничтожения, направленный причинение прямого материального ущерба;
- 2. Ознакомление с конфиденциальной информацией, способность использовать конфиденциальную информацию различными способами и средствами, не нарушая ее целостности;
- Модификация информации в преступных целях как частичное или существенное изменение состава и содержания информации.
- 1. Использование мер по защите информации с помощью шифрования;
- 2. Мониторинг внутренних стандартов безопасности;
- 3. Максимальная защита от несанкционированного доступа;
- 4. Регулярный контроль качества сети (потеря пакетов, задержки, скорость);
- 5. Аутентификация пользователей;
- 6. Сертификация используемого оборудования;
- 7. Аварийная защита автоматических центров управления.
- 1. Журналы серверов, рабочих станций, маршрутизаторов и другого оборудования.
- 2. Реестры, системы контроля доступа и аутентификации.
- 3. Данные других решений информационной безопасности.
- 4. Коммуникации пользователей в социальных сетях, мессенджерах и электронной почте.
- 5. Списки сотрудников компании и другая информация.
- 1. Указ Президента РФ от 09.05.2017 №203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» [Электронный ресурс] - URL: http://www.consultant.ru (дата обращения 19.01.2024).
- 2. Распоряжение Правительства Российской Федерации от 28.07.2017г. №1632-р «
- 3. Об утверждении программы «Цифровая экономика Российской Федерации» (дата обращения 19.01.2024).
- 4. Сайт Федеральная служба государственной статистики [Электронный ресурс] - URL: https://rosstat.gov.ru/statistics/infocommunity (дата обращения 19.01.2024).
- 5. Энциклопедия Касперского [Электронный ресурс] – : https://encyclopedia.kaspersky.ru/ (дата обращения 19.01.2024).
- 6. Хабр – новостной сайт [Электронный ресурс] – : https://habr.com/ru/news/ . (дата обращения 19.01.2024).
- 7. Консультант Плюс [Электронный ресурс] – : https://www.consultant.ru/ . (дата обращения 19.01.2024).
- 8. Информационный портал [Электронный ресурс] – : https://cisoclub.ru/tehnologii-obespecheniya-informaczionnoj-bezopasnosti/ . (дата обращения 19.01.2024).
- 9. DLP-системы [Электронный ресурс] – : https://rt-solar.ru/products/solar_dozor/blog/2080/. (дата обращения 19.01.2024).
- 10. Центр мониторинга информационной безопасности (Security Operations Center, SOC) [Электронный ресурс] – : https://encyclopedia.kaspersky.ru/glossary/security-operations-center-soc/. (дата обращения 19.01.2024).
- 11. Электронный ресурс] – URL: https://encyclopedia.kaspersky.ru/glossary/siem/. (дата обращения 19.01.2024).
- 12. [Электронный ресурс] – URL: https://encyclopedia.kaspersky.ru/glossary/irp/. (дата обращения 19.01.2024).
- Decree of the President of the Russian Federation dated 05/09/2017 No. 203 “On the Strategy for the Development of the Information Society in the Russian Federation for 2017-2030” [Electronic resource] - URL: http://www.consultant.ru (access date 01/19/2024).
- Order of the Government of the Russian Federation dated July 28, 2017. No. 1632-r "
- On approval of the program “Digital Economy of the Russian Federation” (access date 01/19/2024)
- Website Federal State Statistics Service [Electronic resource] - URL: https://rosstat.gov.ru/statistics/infocommunity (access date 01/19/2024).
- Kaspersky Encyclopedia [Electronic resource] – URL: https://encyclopedia.kaspersky.ru/ (access date 01/19/2024)
- Habr - news site [Electronic resource] - URL: https://habr.com/ru/news/ (access date 01/19/2024)
- Consultant Plus [Electronic resource] – URL: https://www.consultant.ru/ (access date 01/19/2024)
- Information portal [Electronic resource] – URL: https://cisoclub.ru/tehnologii-obespecheniya-informaczionnoj-bezopasnosti/ (access date 01/19/2024)
- 9. https://rt-solar.ru/products/solar_dozor/blog/2080/. (access date 19.01.2024).
- 10. https://encyclopedia.kaspersky.ru/glossary/security-operations-center-soc/. (access date 19.01.2024).
- SIEM (Security information and event management) [Electronic resource] – URL: https://encyclopedia.kaspersky.ru/glossary/siem/. (access date 19.01.2024).
- IRP (Incident Response Platform) [Electronic resource] – URL: https://encyclopedia.kaspersky.ru/glossary/irp/. (access date 19.01.2024).
Таким образом, у организаций возникает потребность в защите от угроз злоумышленников. Особенно серьезной проблемой в цифровом пространстве сегодня является деятельность киберпреступников «Теневого Интернета». Поэтому следует обратить особое внимание на критически важные элементы для успешного функционирования цифровой инфраструктуры:
Для этого используются разнообразные комплексные меры по недопущению и выявлению уязвимостей в системе. Рассмотрим некоторые из них ниже;
Киберполигон – это визуализированная или эмулированная ИТ-инфраструктура объекта, на которой воспроизводятся кибератаки различной степени сложности. Данная среда позволяет безопасно проводить исследования. Например, на виртуальную машину можно поместить вредоносный файл в виде приложения, это позволит понять: принципы работы самого вредоносного приложения, возможность работы программного обеспечения в условия работы размещенного файла и т.д. Благодаря киберполигону, можно опробовать современные технологии без риска остановить производственные процессы. Это далеко не все возможные сценарии. Киберполигоны можно использовать для обучения новых специалистов, для оценки компетенций соискателей и проведения соревнований, связанных с тестированием безопасности. В каких случая стоит строить собственный киберполигон, а когда лучше использовать услуги платформ, которые представляют машины, готовые к работе. Представим достоинства и недостатки в таблицах 1.1 и 1.2.
Таблица 1.1 – Достоинства и недостатки построения собственного киберполигона
Построение собственного киберполигона |
|
Достоинства |
Недостатки |
Инфраструктура максимально приближена к реальной обстановке |
Изолированная технологическая среда |
Сценарии, ориентированные на конкретную компании |
Большие финансовые затраты |
Неограниченный доступ к тренировкам |
Ресурсы на поддержку |
Таблица 1.2 – Достоинства и недостатки коммерческого киберполигона
Учения на коммерческих киберполигонах |
|
Достоинства |
Недостатки |
Опытные тренеры |
Инфраструктура отличается от реальной обстановке |
Противостояние защитников и нападающих |
|
Различные сценарии |
Доступ в определенное время |
Далее рассмотрим такую технологию как Firewall. Firewall может быть представлен как в аппаратном, так и в программном виде. Например, наряду с коммутаторами и роутерами программное оборудование является активным сетевым устройством и обеспечивает безопасность инфраструктуры, также защищает сеть от не авторизованных пользователей из внешних недоверенных сетей. Firewall выступает в роли фильтра, который пропускает данные как на вход, так и на выход и пропускает разрешенные пакеты данных. Это происходит благодаря списку контроля доступа ACL (Access control list), в этих правилах определяется какой трафик может входить в сеть и покидать ее, а какой – нет. Программное обеспечение с функциями Firewall для устройства называется Host-Based Firewall. Его задача – защита одного хоста, на которое оно установлено. Например, почти все антивирусы имеют функции хостовых фаерволлов. Также Firewall может блокировать определенные ресурсы, даже если адрес сети данного ресурса постоянно меняется. На основе портов, доменных имен, протоколов, и даже приложений он блокирует подозрительную активность.
DLP (Data Leakage/Loss Prevention) – это система, которая защищает организации от утечки конфиденциальной информации. DLP анализирует данные в информационных системах организации, создавая защищенный «периметр». DLP-система (Data Loss Prevention) – это комплексный инструмент для защиты конфиденциальной информации от утечки в результате случайного или намеренного раскрытия конфиденциальной информации сотрудниками организации. Она отслеживает передачу информации в сеть и из сети, контролирует доступ к съемным носителям и другим периферийным устройствам, автоматически обнаруживает конфиденциальную информацию в файлах различных форматов, устанавливает правила блокировки, предупреждения и уведомления о нарушениях безопасности, защищает конфиденциальную информацию при передаче и хранении на устройствах. Обеспечение безопасности помогает сэкономить ресурсов. Для того чтобы понимать, чем занимается тот или иной пользователь корпоративной сети производится «поведенческий анализ». UEBA (User and Entity Behavior Analytics) – технология обнаружения киберугроз, основанная на поведенческом анализе пользователей, устройств, приложений и других объектов в информационных системах. Главная задача UEBA – своевременное обнаружение целевых атак и инсайдерских угроз. Работ данной технологии заключается в том, что решения UEBA собирают и анализируют данные из различных источников. К таким относятся:
Средства защиты информации, применяемые при реагировании на инциденты информационной безопасности, имеют широкое применение.
SOAR (Security Orchestration, Automation and Response) — класс программных продуктов, предназначенных для оркестровки систем безопасности, то есть их координации и управления ими. В частности, решения класса SOAR позволяют собирать данные о событиях информационной безопасности из различных источников, обрабатывать их и автоматизировать типовые сценарии реагирования на них.
Решения класса SOAR объединяют другие защитные решения в единую систему, избавляя специалистов по безопасности от необходимости управлять каждым из них в отдельности, и помогают сфокусироваться на анализе сложных инцидентов.
Сбор данных о потенциальных инцидентах. SOAR-системы способны агрегировать и обрабатывать ИБ-сигналы из множества источников, в число которых входят:
- SIEM-решения;
- Антивирусы и другое ПО для защиты конечных точек;
- DLP-продукты;
- Платформы для анализа угроз (Threat Intelligence);
- Система для анализа поведения пользователей (UEBA-решения);
- Межсетевые экраны;
- Службы каталогов ОС.
- Управление журналами: системы SIEM собирают воедино большое количество данных, структурируют их, а затем определяют, указывает ли в них что-то на наличие угроз, атак или брешей.
- Корреляция событий: затем данные сортируются, что позволяет найти связи и зависимости, чтобы быстро выявить потенциальные угрозы и отреагировать на них.
- Отслеживание и пресечение инцидентов: технология SIEM отслеживает инциденты безопасности в корпоративной сети, генерирует оповещения и выполняет аудит всех действий, связанных с инцидентом.
- Обнаружение инцидента на основании признаков, зафиксированных средствами защиты.
- Исключение ложноположительных срабатываний защитных решений.
- Сбор дополнительной информации с IT-систем.
- Локализацию и устранение угрозы.
- Восстановление данных из резервных копий.
- Оповещение заинтересованных лиц.
- Составление отчетов.
- Активный мониторинг IT-среды и сбор данных об инцидентах. Обычно операторы SOC собирают информацию с рабочих мест сотрудников, сетевых устройств и других объектов компьютерной инфраструктуры в режиме 24/7, чтобы как можно раньше обнаружить и остановить возможную атаку. Для мониторинга и сбора данных специалисты могут использовать SIEM-решения и EDR-продукты.
- Анализ подозрительных событий. Получив уведомление о возможном инциденте, специалисты SOC определяют, есть ли угроза, и если есть — каковы ее характер и степень опасности.
- Реагирование на угрозы. При обнаружении киберинцидента сотрудники SOC принимают меры по его устранению и минимизации ущерба.
- Восстановление после инцидента. Специалисты SOC могут принимать участие в устранении последствий инцидента — в частности, в восстановлении пострадавших систем, файлов из бэкапа и так далее.
- Расследование инцидентов. Эксперты SOC могут принимать участие в поиске причин киберинцидента. Результаты расследования помогут организации предотвратить подобные инциденты в будущем.
- Ведение реестра ресурсов. Для успешного выполнения своих обязанностей сотрудникам SOC необходимо знать, какие объекты входят в контур безопасности предприятия и какие ИБ-продукты могут быть использованы для их защиты. Поэтому нередко именно они ведут реестр ресурсов компании.
- Менеджмент соответствия требованиям. Поскольку сотрудники SOC отвечают за безопасность данных компании, довольно часто они же занимаются вопросами соответствия государственным и международным требованиям и регуляциям в сфере безопасности данных, таких как GDPR, HIPAA, CPPA и так далее.
Анализ инцидента. При помощи автоматических сценариев или в ручном режиме решения класса SOAR дополняют информацию о киберинциденте данными из внешних баз, записей об аналогичных событиях и других источников. Также на этом этапе формируется перечень затронутых инцидентом объектов и устройств.
Идентификация и классификация угроз. На основании комплексного анализа полученных данных SOAR оценивает состояние инфраструктуры, выделяет потенциально небезопасные события, ранжирует их по степени риска и информирует о них специалистов. При необходимости система изолирует зараженные устройства, чтобы не допустить дальнейшего распространения атаки, или принимает иные меры, соответствующие политике компании.
Реагирование на инциденты. На основании информации об инциденте SOAR выполняет набор действий, необходимых для устранения угрозы или минимизации ее последствий. Это могут быть команды другим ИБ-продуктам, дистанционное удаление вредоносных объектов, восстановление ключей реестра и другие действия.
Визуализация данных и формирование отчетности. Большинство решений класса SOAR способны представлять сводную информацию о киберинцидентах по подразделениям компании, конечным точкам, программным продуктам или конкретным сотрудникам. Отчетность о текущем уровне безопасности организации формируется в виде наглядных диаграмм или информеров, обновляемых в режиме реального времени.
Система управления информационной безопасностью и событиями безопасности (SIEM) — это решение, позволяющее организациям обнаруживать, анализировать и устранять угрозы безопасности раньше, чем они нанесут ущерб бизнес-операциям.
SIEM (произносится как [сим]) объединяет средства управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Технология SIEM собирает данные журнала событий от различных источников, анализирует их в реальном времени, выявляя аномальные действия, и принимает необходимые меры. SIEM предоставляет организациям полную картину происходящего в корпоративной сети и помогает оперативно реагировать на возможные кибератаки и обеспечивать соответствие требованиям.
За последнее десятилетие технология SIEM значительно усовершенствовалась благодаря искусственному интеллекту, что позволило более эффективно и быстро выявлять угрозы и реагировать на инциденты. Средства SIEM собирают, агрегируют и анализируют в режиме реального времени массивы данных, полученные от корпоративных приложений, устройств, серверов и пользователей. Это позволяет специалистам службы безопасности обнаруживать и блокировать атаки. В SIEM используются предварительно заданные правила, которые облегчают выявление угроз и генерацию оповещений.
Возможности систем SIEM могут отличаться, но, как правило, они обладают следующими основными функциями:
Различные варианты использования систем SIEM, такие как обнаружение подозрительных действий и отслеживание поведения пользователей, ограничение попыток доступа и создание отчетов о соответствии требованиям, позволяют снизить риски кибербезопасности.
Решения для управления событиями и информацией о безопасности (SIEM) во многом похожи на SOAR-решения, в результате чего одно понятие иногда подменяют другим. Однако между ними есть существенная разница: в то время как SIEM-решения нацелены на сбор информации и ручное управление инцидентами, SOAR-системы рассчитаны на автоматизацию и оркестровку работы нескольких различных систем информационной безопасности, в частности, на этапе реагирования. В результате SIEM-решения отлично дополняют SOAR в качестве источника информации о событиях.
IRP (Incident Response Platform, «платформа реагирования на инциденты») — это вид программных продуктов, предназначенных для автоматизации реагирования на киберинциденты.
Использование IRP помогает службам информационной безопасности и SOC сэкономить время и ресурсы при столкновении с кибератаками, а также повысить эффективность сдерживания, расследования и ликвидации последствий инцидентов.
IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook — сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно прописать разные сценарии. Автоматизировать можно, например, следующие процедуры:
Центр мониторинга информационной безопасности (Security Operations Center, SOC) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки.
Функции центра мониторинга безопасности могут отличаться в зависимости от масштаба предприятия и его организационной структуры. Чаще всего в сферу ответственности SOC входит:
В данной статье были рассмотрены основные технические решения, используемые в сфере информационной безопасности. Данные системы можно внедрить не на каждом предприятии. Некоторые системы очень сложны и дороги и могут быть развернуты только в больших организациях и корпорациях. Нужны грамотно подготовленные специалисты для анализа уязвимостей, нарушений безопасности системы. Необходимо подготовить подробный план рисков, описав ключевые угрозы объекта, установить оборудование (инструменты автоматизации безопасности и оркестровки, системы обнаружения вторжений, контроля доступа, сбора данных и защиты конечных устройств, а также решения для обеспечения безопасности информации и управления событиями, SIEM) и настроить нужное ПО. Реализация данных систем возможна на тех объектах, где возможный ущерб от нарушений безопасности превышает стоимость обслуживания данных технических решений.
СПИСОК ИСТОЧНИКОВ
BIBLIOGRAPHY