ИБ-мониторинг приложений, процессов и мобильных устройств

Информационная безопасность является одной из наиболее быстрорастущих и быстроразвивающихся технологических отраслей. С одной стороны, это обусловлено появлением новых направлений в ИТ, таких как облака, мобильные устройства, промышленный «Интернет вещей», а с другой – многократным увеличением объема и усложнением данных, которые потребляет бизнес. Злоумышленники также не стоят на месте. Давно ушли в прошлое хакеры-одиночки, которые действовали, как правило, из спортивного интереса или хулиганских побуждений, а их целью была относительно кратковременная атака на сайт или сервер организации. Сегодня всем нам приходится иметь дело с хорошо организованными бандами киберпреступников, действующих исключительно из коммерческих побуждений и предлагающих свои «услуги» по проведению массированных целенаправленных атак на самую мощную и сложную ИТ-инфраструктуру, продающих на черном рынке эксплойты, основанные на уязвимостях нулевого дня, развивающих методы и способы атак и оказывающих техническую поддержку пользователям своих «продуктов». Иными словами, киберпреступность работает по тем же принципам, что и легальная ИТ-индустрия, а ее доходы позволяют нанять самых высоких профессионалов с отсутствующими морально-этическими принципами. Нередко на «темную» сторону переходят даже бывшие сотрудники крупных ИТ- и ИБ-компаний.

Что касается финансовой стороны вопроса, то технология распределенного реестра блокчейн и базирующиеся на ней криптовалюты значительно упростили ситуацию. Киберпреступники могут рассчитываться со своими подельниками, а также получать оплату от заказчиков на условиях полной анонимности, используя блокчейн и криптовалюту.

Устаревшие технологии защиты корпоративной ИТ-инфраструктуры, основанные на классическом сигнатурном анализе и охране сетевого периметра, уже давно никого и ничего не защищают. Для того чтобы реализовать защиту от новейшего вируса и распространить ее в виде обновлений по всем пользователям, ИБ-разработчику требуется несколько часов или даже дней. В то же время вредоносное ПО распространяется по всему миру за считаные минуты. Ситуация осложняется еще и тем, что далеко не все компании своевременно обновляют установленные операционные системы и прикладное ПО, а некоторые и вовсе продолжают использовать устаревшие версии, более не поддерживаемые разработчиком и по понятным причинам давно превратившиеся в «решето». Достаточно вспомнить нашумевшие в прошлом году по всему миру эпидемии вирусов-шифровальщиков-вымогателей, чтобы осознать масштабы возможных проблем.

Да и сам принцип защиты сетевого периметра уже не заслуживает никакой критики, учитывая набирающую в последние годы модель удаленной работы и широкое распространение мобильных устройств. Можно взять совсем простой пример. Руководитель компании или любой сотрудник вполне может принести из дома флэшку, не ведая о том, что его домашняя сеть заражена, и подключить ее к корпоративному ПК, после чего вредоносное ПО спокойно проникает внутрь сетевого периметра, устанавливает связь с сервером злоумышленников и открывает им полный доступ к совершению краж, атак и других деструктивных действий. Более того, бывают ситуации, когда установленные антивирусы не детектируют попавшую на компьютер вредоносную программу, поскольку сама по себе она никакого вреда не несет – его несут уже те компоненты, которые благодаря ей будут загружены на компьютер.

Как же защититься от все более усложняющихся киберугроз? Панацеи здесь нет и быть не может. В основе защиты должен лежать целый комплекс решений, взаимодополняющих друг друга по функциональности, анализирующих ситуацию и способных к самообучению.

SIEM: ненавязчивый, но зоркий

Одним из ключевых и основополагающих элементов защиты корпоративной ИТ-инфраструктуры является система SIEM (Security Information and Event Management). Это целый класс решений, которые не занимаются блокированием конкретных экземпляров вредоносного ПО, однако выполняют более важную и серьезную задачу. Они обнаруживают потенциально опасное аномальное поведение приложений, процессов и сервисов, фиксируют все инциденты, фильтруют полученные данные, а затем извещают пользователя, который уже в свою очередь может отреагировать на сигнал либо проигнорировать его. Ведь бывают ситуации, когда стандартные средства обнаружения атак молчат, однако вторжение все-таки можно обнаружить, если сопоставить и тщательно проанализировать информацию из различных источников. Чем больше источников обрабатывает SIEM-система, тем точнее получаемая информация.

Лишь самые крупные организации могут позволить себе нанять достаточный штат высококвалифицированных специалистов по информационной безопасности, которые могли бы анализировать и реагировать на информацию, поступающую от SIEM-системы. В большинстве компаний этим занимаются обычные ИБ- и ИТ-администраторы. Поэтому очень важно, чтобы SIEM была максимально простой во внедрении и эксплуатации. На рынке представлен целый ряд решений, среди которых как продукты небольших разработчиков либо OpenSource-проекты, так и решения промышленного уровня, выпускаемые ведущими мировыми корпорациями. Заказчикам, прежде чем отдать предпочтение продукции стартапов и небольших компаний, следует проанализировать все за и против, принять во внимание такие факторы, как себестоимость владения и эксплуатации, наличие и стоимость технической поддержки и возможности решения в плане масштабирования.

IBM Qradar: масштабный охват

Важнейшим качеством SIEM при работе с многочисленными источниками данных была определена возможность обнаруживать едва уловимые, но значимые для информационной безопасности изменения в работе информационных систем организации.

ИБ-мониторинг приложений, процессов и мобильных устройств. Рис. 1

В 2017 году независимый исследовательский институт Ponemon Institute LLC провел исследование среди 484 специалистов в области ИТ и ИТ-безопасности, которые используют системы аналитики безопасности, в том числе SIEM, и несут определенную ответственность за внедрение и поддержку такого рода решений в своей организации. 58 из 484 респондентов развернули решение SIEM QRadar от компании IBM. Важно отметить, что 41% пользователей QRadar говорят о способности получать достоверный список вероятных инцидентов – против только 16% респондентов, использующих прочие системы. Одной из особенностей Qradar, которую отмечают респонденты, является возможность связывать события и инциденты по IP-адресам, идентификаторам пользователей и т. д. Таким образом, киберпреступление может быть с высокой достоверностью определено по цепочке инцидентов с повышенным рейтингом серьезности. В целом данное решение позволяет свести многотысячный список инцидентов в относительно небольшой перечень событий, действительно требующих внимания сотрудников службы безопасности. Qradar собирает протоколы и события из разных источников, включая сетевые ресурсы, устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Всего поддерживается свыше 300 различных источников событий.

ИБ-мониторинг приложений, процессов и мобильных устройств. Рис. 2

Среднее количество событий информационной безопасности в секунду для типовых составляющих ИТ-инфраструктуру заказчика. Позволяет оценить количество событий для всей инфраструктуры и стоимость лицензий для реализации проекта по внедрению SIEM

Большинство событий категорируются, хотя система обрабатывает и события без категорий. Предусмотрен сбор данных сетевых потоков, включая данные уровня 7 (уровень приложений) от коммутаторов и маршрутизаторов. Из огромного потока событий формируется список реальных нарушений с приоритетом их потенциальной опасности для бизнеса. SIEM-система Qradar позволяет получить исчерпывающий материал для проведения внутренних и внешних расследований инцидентов информационной безопасности, при этом учитываются как текущие, так и ранее собранные данные. Также хотелось бы отметить, что Qradar получает события и потоки из приложений, работающих как в облаке, так и на локальных ресурсах. Если бизнес будет расти, Qradar вырастет вместе с ним. Благодаря модулю Qradar Data Node можно нарастить локальные ресурсы хранения, повысить скорость поиска при извлечении данных для расследования нарушений и устранить узкие места без расширения условий лицензирования. Все отчеты SIEM-системы Qradar формируются в интуитивно понятном виде, в них может разобраться любой пользователь, а не только специально обученный ИБ-администратор. Отчеты могут быть экспортированы в файлы следующих форматов: Excel, RTF, PDF, XML, а также HTML.

Итак, защита критически важной информации, противодействие инсайдерским угрозам, управление рисками, мониторинг облачных ресурсов, управление рисками ИБ, исчерпывающий материал для расследования инцидентов и многое другое – всё это помогут обеспечить современные SIEM-решения, такие как IBM Qradar. Разумеется, они не заменяют собой полностью систему защиты корпоративной ИТ-инфраструктуры, но выступают одним из ее важнейших элементов.

IBM MaaS360: легкое управление

Корпоративная мобильность сегодня – один из ключевых компонентов корпоративной культуры. Сложно представить себе не только руководителя или менеджера, но и представителей рабочего и технического персонала без мобильных устройств. Удаленная работа, возможность использовать свои собственные либо корпоративные устройства для решения рабочих задач – это не только удобство, но и целый пласт новых рисков, связанных с информационной безопасностью. Парком мобильных устройств, зачастую состоящим из множества различных моделей на разных программных платформах, необходимо управлять. Для этого применяется класc MDM-систем (Mobile Device Management). Такие системы позволяют при необходимости жестко разграничивать личное и рабочее пространство сотрудника на мобильном устройстве (если речь идет о BYOD-модели), централизованно дистанционно разворачивать на всех устройствах сотрудников как клиентскую часть MDM-системы, так и все необходимые для работы корпоративные приложения, конфигурировать политики доступа, а при утере или краже устройства удаленно и без возможности последующего восстановления уничтожать всю находящуюся на нем корпоративную информацию. Кроме того, современные MDM-системы предоставляют администраторам полную отчетность об использовании сотрудниками мобильных устройств, их местоположении, маршрутах и т. д.

ИБ-мониторинг приложений, процессов и мобильных устройств. Рис. 3 — Иван Сливка

Иван Сливка, директор ПИРИТ – партнера компании IBM: «MDM сейчас применяется для решения конкретных бизнес-задач или по другому сценариев использования, например в банковской сфере для выездных работников оформляющих кредиты и страховые договора, для защиты от утечек, для логистики, когда курьер или водитель берет любое устройство и в нем по учетным данным подгружаются маршрутные листы и задания, либо для менеджмента компании и сотрудников работающих на выезде, для защиты данных компаний, от кражи устройства или для удаления данных с устройств при увольнении. Популярность мобильных устройств и удобство, которое предоставляет корпоративная мобильность могут привести к повсеместному применению данного класса решений, как например антивирусы»

Системы управления мобильными устройствами могут быть развернуты как на ИТ-инфраструктуре заказчика (в его серверной или дата-центре), так и в облаке. К таковым относится MDM-решение MaaS360 от компании IBM. Фактически с его помощью можно организовать полноценное защищенное рабочее место для мобильного пользователя, включающее в себя: безопасную электронную почту с защитой от несанкционированной переадресации, безопасный веб-серфинг (фильтрация сайтов по категориям, ограничение копирования экрана и т .д.), управление приложениями (добавление приложений в контейнер, ограничение доступа с несанкционированных или скомпрометированных устройств) и защищенную работу с документами (ограничение копирования и вставки, режим просмотра, защита файлов от утечки данных). MaaS360 поддерживает все популярные платформы мобильных устройств (Android, iOS, Windows), которыми можно управлять из единой консоли администратора, обладает интуитивно понятным интерфейсом, позволяющим начать работать в системе без предварительного обучения, интегрируется с целым рядом популярных облачных сервисов, приложений и контейнеров. В частности, поддерживается интеграция мобильных устройств с такими корпоративными сервисами, как службы каталога Active Directory, почтовые системы Microsoft Exchange и IBM Lotus Notes, корпоративные порталы Microsoft SharePoint и службы PKI.

ИБ-мониторинг приложений, процессов и мобильных устройств. Рис. 4

Что касается механизмов, обеспечивающих безопасность, то здесь следует отметить многофакторную идентификацию пользователей с применением биометрических параметров, поддержку микро-VPN-соединения и контейнеризацию, использование технологии единого входа (SSO) и LDAP, а также встроенные алгоритмы шифрования.

В заключение отметим, что развертывание MDM-решения MaaS360 не представляет особых сложностей, и заказчик может осуществить его собственными силами, а консультацию в случае необходимости вам окажут либо специалисты IBM, либо партнеры IBM, специализирующиеся на MDM-решениях.

Опубликовано 25.12.2017

Пирит Безопасность Киберугрозы

Предыдущая
Хранить самое драгоценное

Следующая
Новое средневековье: дети на работе

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30

ИБ-мониторинг приложений, процессов и мобильных устройств

Как распознать дезинформацию в Интернете?

Повестка дня – переосмысление подходов

О защите персональных данных в МФЦ Санкт-Петербурга

Интуитивная сеть распознает намерения, нейтрализует угрозы и постоянно обучается

Как хакеры взламывают всех подряд, сколько нужно стучаться в закрытую дверь, и как вести сезонный бизнес

Плохой день для CAD-флибустьеров

Как IT-компаниям защититься от хищения баз данных

Рынок AR/VR-гарнитур в Японии прибавил в 2023 году 67,4%

Аудит ИТ-продукта: как правильно его организовать и что это даст?

АРПП подвела итоги пятнадцатилетней работы

«Безопасный трамвай» совершил наезд на пешеходов (обновлено)

Генеративный ИИ от МТС занял 1 первое место в рейтинге больших языковых моделей в лидерборде MERA

Запрет параллельного импорта смартфонов, фейковые приложения банков в App Store, в МФЦ без паспорта

Звезды в шоке. Рекламу будут показывать и в ночном небе

Китайский бизнес: ждут ли там россиян?

У Фонда «Сколково» новый глава

Выбираем смартфон до 6000 рублей: realme Note 50, Redmi A2+ или Tecno Spark Go 2024?

Приключения SWM в России: 7-местный кроссовер за 2.5 млн и настоящий G01F

Что такое капча, зачем нужна и как ею пользоваться?

Облака Microsoft уходят из России, правительство разрешает проверки ИТ-компаний, отечественный GitHub задерживается

CI/CD в два клика и без простоев

Infinix Note 40: ем за двоих, свечу за четверых