Покинув категорию малого бизнеса, ваша компания становится интересна киберпреступникам, проводящим целевые атаки. Что нужно изменить в подходах организации к информационной безопасности, и при чем тут SIEM с EDR?
Степень «оцифровки» российского бизнеса по мировым меркам очень высока. У нас не только крупная, но и средняя компания активно использует в работе цифровые сервисы — от автоматизации документооборота и взаимодействия с госорганами до управления логистикой и производством. Это делает бизнес более эффективным — и более уязвимым к кибератакам. Для преступников становится рентабельным сосредоточить усилия на конкретной компании, чтобы украсть или зашифровать её данные, подменить платёжные документы для перевода средств или провести другую целевую атаку. Статистика неутешительна — в РФ каждая пятая такая атака нацелена именно на средний бизнес, а ущерб от одного подобного инцидента составляет в среднем 5 млн рублей.
При этом в компаниях с несколькими сотнями сотрудников обычно уже развита экспертиза в IT, и часто даже есть выделенные люди, занимающиеся информационной безопасностью, но при росте масштабов организации им перестаёт хватать времени и инструментария. Какие обновления требуются, чтобы усилить ИБ, снизить риски и при этом соответствовать требованиям регуляторов?
Архитектура защиты среднего бизнеса
Маленькие компании обычно защищаются от киберугроз буквально двумя–тремя изолированными решениями. Это защита конечных точек, предотвращающая фишинг и заражение вредоносным ПО (многие по старинке называют это «антивирусом»), межсетевой экран и средство резервного копирования.
Главная проблема этого подхода в том, что защита, по сути, однослойная. Она остановит случайное заражение, но мотивированный хакер, потративший немного времени на анализ инфраструктуры компании или подбор учётных данных, может обойти одиночное защитное решение. Дальше его действия будут малозаметны, обнаружить и остановить действия злоумышленника станет сложно, а найти следы его активности и провести полноценное расследования — исключительно трудоёмко. Например, некоторые хакеры работают только «подручными средствами», они применяют легитимное и уже установленное в организации ПО для администрирования компьютеров и вообще не используют вредоносных инструментов. В результате замедленного реагирования и длительного расследования бизнес понесёт больший ущерб: хакеры нанесут более значительный урон, а простои на время устранения последствий затянутся.
Чтобы избежать этого, компании нужно строить эшелонированную защиту, в которой к уже имеющемуся первому слою базовой безопасности добавляются:
• централизованный мониторинг и сопоставление событий в сети, включая серверы, рабочие станции, виртуальные машины и так далее;
• обнаружение аномалий и подозрительной активности (возможно, не вредоносной);
• инструменты для быстрого анализа такой активности, реагирования на инциденты и проведения расследования.
В некоторых сферах бизнеса эти возможности явно предписаны регулятором, например ИБ в банках обязана иметь инструментарий для расследований.
В принципе перечисленные задачи можно решить с помощью продуктов open source, встроенных инструментов ОС, разного рода самописных сценариев автоматизации и ручной работы. Но такой кустарный подход чаще приносит сложности вместо облегчения. Сотрудникам IT и ИБ гарантированы огромные затраты времени, перегрузка от оповещений и ложных срабатываний, при этом вероятность не заметить по–настоящему важные события или не собрать про них важную информацию весьма высока. Также при таком «ручном управлении» практически никогда не удается организовать своевременное и эффективное реагирование на инцидент.
Достигаем цели быстрей и эффективней с SIEM и EDR
Для эффективного мониторинга в IT–инфраструктуре организации крупные компании давно используют решения SIEM (Security Information and Event Management). Они в реальном времени собирают данные из многочисленных источников (события в приложениях, на серверах, в сети — всё это называется телеметрией), объединяют связанные события в группы и позволяют ИБ– и IT–специалистам контролировать, что происходит в инфраструктуре компании. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.
Недавним и приятным новшеством стало появление этого класса решения для компаний меньшего масштаба, для среднего бизнеса. Ярким примером этой тенденции является Kaspersky Smart I — новинка «Лаборатории Касперского», которая позволяет бизнесу экономить несколькими способами:
• лицензии стоят значительно дешевле «корпоративного» SIEM;
• решение быстрое и лёгкое, его можно запустить на имеющемся недорогом оборудовании или в виртуальных средах;
• затраты и время на внедрение снижаются благодаря большому количеству правил отслеживания и сценариев реагирования, которые поставляются с решением, «в коробке»;
• высокая степень автоматизации сэкономит команде ИБ очень много времени в их ежедневной работе, что позволит не раздувать штат.
Автоматизация особенно эффективна, если в компании уже используются решения «Лаборатории Касперского». Взаимодействие Kaspersky Security Center и SIEM резко упрощает работу, например, можно прямо из панели мониторинга событий в пару щелчков мышки закрывать уязвимости на компьютерах.
Хотя SIEM рекомендовано настраивать на сбор максимального количества подробной телеметрии, наиболее ценным и важным источником данных обычно становится информация о событиях ИБ с рабочих компьютеров и серверов, то есть конечных точек. Для того чтобы собирать её эффективно, а в дальнейшем успешно расследовать инциденты и реагировать на них, применяется другое защитное решение — EDR (Endpoint Detection and Response). В то время как традиционная защита компьютеров в первую очередь блокирует однозначно вредоносный код, ссылки и письма, EDR незаменим для анализа подозрительных, но не обязательно вредоносных событий. Если ИБ–специалист решит, что ему нужна дополнительная информация о какой–то активности, EDR легко соберёт и предоставит эту информацию прямо с аномально работающего компьютера, а также позволит провести нужные действия по реагированию: от блокировки сетевой активности на зараженном компьютере и сброса паролей до ужесточения политики безопасности для компьютера.
EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети, сконструировать собственный запрос для проактивного поиска угрозы, и конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.
Если сказать очень просто, то EDR служит «страховочной сеткой», которая позволяет обнаружить и пресечь опасную активность, возможно, не замеченную базовым защитным решением. Важно подчеркнуть, что EDR не является «более совершенным антивирусом» и не заменяет собой базовую защиту. Они работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на специалистов.
Чтобы помочь российским компаниями эффективно внедрять связку из SIEM и EDR, «Лаборатория Касперского» разработала решение Kaspersky SMART II, объединяющее эти два продвинутых инструмента. Решение входит в Единый реестр отечественного ПО МинЦифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.
Приобрести Kaspersky Smart или записаться на его демонстрацию можно, заполнив форму на официальном сайте или обратившись к партнёрам «Лаборатории Касперского» — они работают по всей России.
На протяжении ограниченного времени предприятия среднего бизнеса могут купить решение Kaspersky Smart I со скидкой 15%, а Kaspersky Smart II со скидкой 30%. Предложение скидки не является офертой.
АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО" | erid: 2Vfnxw8i7wN
