Технологии обнаружения и ответа на киберугрозы необходимо взаимно интегрировать
Так считает Джон Олтсик, чей материал опубликован в журнале Chief Security Officer, May 1, 2019. Исследовательская и консалтинговая компания Enterprise Strategy Group ESG, где Олстик работает главным аналитиком, провела опрос специалистов по кибербезопасности. Три четверти респондентов отметили, что с каждым годом обнаруживать и адекватно реагировать на киберугрозы становится все сложнее.
Одна из главных причин проблемы – плохое взаимодействие (либо вообще отсутствие такового) инструментов информационной защиты. В большинстве случаев каждое из развернутых в компании средств кибербезопасности устанавливается и управляется автономно, что создает большие трудности в управлении и координации ими. Не стоит удивляться, пишет Олтсик, что при таком раскладе вредонос месяцами может оставаться незамеченным в корпоративной сети.
Авторы исследования подчеркивают актуальную необходимости иметь в компании тесно интегрированную архитектуру кибербезопасности, которая бы включала, как минимум, пять инструментов информационной защиты:
-
Систему обнаружения угроз на конечных точках («Endpoint detection and response - EDR»)
Эта технология отслеживает и записывает активность включенных в сеть компьютеров (рабочих столов): файловая активность, режим и настройка, и т.п.
-
Аналитику сетевого трафика («Network Traffic Analysis - NTA»)
Мониторинг трафика с целью выявления аномалий, подозрительной активности, поиска вирусов и вредоносов. Большинство экспертов по кибербезопасности рассматривают NTA как «первую линию обороны», важнейший инструмент обнаружения угроз.
-
«Песочницы» тестирования вредоносности файлов («Malware sandboxes»)
Подозрительные файлы попадают в т.н. «сетевые песочницы», которые проводят автоматизированный статистический и динамический анализ и при необходимости их блокируют. Такие средства защиты могут быть развернуты в виде интернет приложений, облачной услуги или иметь гибридную конфигурацию.
-
Разведку киберугроз («Cyber threat intelligence – CTI»)
Данный инструмент позволяет сопоставлять внутренние инциденты безопасности с индикаторами компрометации - письма с ложной информацией (фишинг); образцы вредоносного поведения; обнаружение определенной уязвимости; список подозрительных или вредоносных IP-адресов.
-
Централизованный анализ и управление
Вместо разрозненных сигналов, поступающих от различных средств информационный защиты, телеметрия в инфраструктуре кибербезопасности сводится воедино и анализируется централизованно.
Все эти пять технологий можно и следует интегрировать разными способами.
Платформы обнаружения и реагирования на угрозы. Сегодня многие производители - Cisco, Check Point, McAfee, Symantec, Trend Micro и другие – могут предложить интегрированную архитектуру всех или нескольких из названных выше инструментов информационной защиты. Как показал отчет Enterprise Strategy Group ESG, большинство практикующих специалистов по кибербезопасности предпочли бы получать технологии от одного производителя.
Другой путь – интеграция программных интерфейсов приложения (application programming interface – API). Компании закупают технологии разных производителей, затем интегрируют их через API.
Третий вариант – интеграция аналитических технологий, когда средства контроля за кибербезопасностью конечных точек, трафика сети, внешнего периметра направляют телеметрические сигналы в единый аналитический центр, например, Security information and event managemen (SIEM), осуществляющий анализ в реальном времени инцидентов безопасности, исходящих от сетевых устройств и приложений. SIEM используется также для фиксации и записи данных и генерации отчетов в целях совместимости с прочими бизнес данными.
Четвертая опция предполагает сочетание трех вышеназванных.
|
вернуться назад
