Цифровая безопасность: аналитика и мониторинг по умолчанию
Сегодня компании быстро осваивают новые технологии и подходы – мобильные устройства и возможность использования личной техники в корпоративной инфраструктуре (BYOD), SaaS-приложения и публичные облачные среды – всё это повышает производительность труда сотрудников, возможность выбора и гибкость в построении современной IT-системы. Однако эти же подходы и технологии могут оказать негативное влияние на информационную безопасность.
Основная проблема в том, что традиционный периметр безопасности, чётко определённый вокруг центра обработки данных, перестает существовать и это, в свою очередь, приводит к неспособности привычных средств защиты справиться с атаками. Кроме того, сами атаки и их направления становятся все более изощренными, и традиционные методики обнаружения угроз, основанные на сигнатурах и известных шаблонах, не могут защитить. Большинство недавних случаев нарушения информационной безопасности связано с «угрозами от внутренних нарушителей», когда атакующие осуществляли взлом, используя скомпрометированные учётные записи сотрудников. Решения для обеспечения безопасности на основе охраны периметра абсолютно бесполезны против такого рода угроз.
Для эффективной защиты, компаниям необходим комплексный подход, который включает в себя обучение сотрудников, сбор и анализ информации, причем не только об угрозах и устройствах, но и о поведении пользователей, работу с большими данными, а также развитие сквозных технологий безопасности, которые защищают сотрудников везде, где бы они ни находились.
Анализ данных для борьбы с внутренними угрозами
Развитие Big Data наряду с появлением все новых алгоритмов для искусственного интеллекта и машинного обучения позволило создать аналитические решения информационной безопасности, которые представляют новый подход в корпоративной среде для обнаружения, предсказания и предотвращения угроз за счет анализа данных, получаемых из разных источников. Подобные решения могут стать ключевым инструментом в арсенале компаний для борьбы с угрозами внутри периметра информационной безопасности.
Всеобъемлющие решения по аналитике ИБ борются с передовыми угрозами, основанными на поведении пользователя или объекта. Сейчас аналитические системы могут отслеживать все аспекты поведения пользователей и с помощью алгоритмов машинного обучения вполне способны отличить обычное поведение сотрудника от поведения злоумышленника.
Для эффективного аналитического решения очень важно иметь доступ к данным, которые являются точными и достоверными. Например, если решения вендора развернуты на большом количестве площадок, то система аналитики может собирать данные из различных источников, что является стратегически важным для создания полноценного профиля поведения пользователей, без применения дополнительного инструментария. Если в такую аналитическую систему собираются все данные, то можно отслеживать все аспекты поведения пользователя: как и когда обычно осуществляется доступ, к каким приложениям, с какими данными работает сотрудник, каков типичный шаблон сетевого трафика, что даёт возможность очень быстро и качественно определять аномалии в поведении пользователя/приложения/сетевого трафика.
Используя большой набор алгоритмов машинного обучения, аналитический инструмент соотносит и анализирует собранные из разных источников данные для обнаружения и изоляции рискованных действий пользователей. Эти действия объединяются для создания агрегированного профиля рисков для пользователя. После обнаружения подозрительных действий система может активировать широкий набор средств контроля политик для того, чтобы нейтрализовать угрозу. Такие средства включают в себя многофакторную аутентификацию, запись сессий пользователя, установку более жестких параметров доступа к данным, блокировку подозрительных приложений и даже карантин пользователей.
Citrix уже сейчас предлагает целый ряд возможностей для того, чтобы компании могли бороться с внутренними угрозами. Они включены в такие продукты, как NetScaler Application Delivery Controller (ADC), Web Application Firewall (WAF) и Distributed Denial of Service (DDoS), и Secure Web Gateway (SWG).
Стратегия защиты сетей
Сегодня, инфраструктура приложений становится все более сложной, так как новые продукты изначально разрабатываются с учётом размещения в облачной среде, а существующие приложения и их компоненты перемещаются с локальных ПК и серверов в облака. Теперь местом размещения ПО может стать – локальный ЦОД, частное или публичное облако, а иногда части приложения разнесены по разным облачным ресурсам. Всё это приводит к тому, что задачи по развёртыванию, конфигурированию и управлению должны быть автоматизированы. Нагрузки, связанные с приложениями, необходимо масштабировать и вверх и вниз, не только в одной облачной среде, а в рамках всего гибридного облака.
Инфраструктура доставки приложений может предоставить большой объём данных о приложениях, пользователях и устройствах. Однако из-за избыточности и сложности обработки этих данных, требуются мощные аналитические инструменты, чтобы использовать результаты анализа для управления работой приложений, устранения проблем и угроз нарушения безопасности. На протяжении всего жизненного цикла должно осуществляться соотнесение приложений с инфраструктурой, чтобы можно было бы непрерывно управлять приложениями, где бы они ни развёртывались.
Всё это могут учитывать программные продукты, которые обеспечивают координацию, управления сетями и анализ. Используя единую платформу, администраторы могут просматривать, автоматизировать и управлять сетевыми сервисами для горизонтально масштабируемых архитектур приложений.
Таким образом, основными функциями этих решения являются:
- Централизованное управление для высокой эффективности работы: автоматизация административных задач, включая управление конфигурацией и сертификатами, для того, чтобы сэкономить время и исключить ошибки, связанные с человеческим фактором.
- Контроль и анализ: программа в реальном режиме времени использует данные сети для проактивного определения и устранения ошибок, обнаружения угроз безопасности.
- Управление жизненным циклом приложений: обеспечивает предоставление обзора всей инфраструктуры доставки с точки зрения приложений.
- Машинное обучение и определение аномального поведения на основе анализа в реальном режиме времени. Это помогает администраторам находить и оперативно решать проблемы, связанные с безопасностью и производительностью работы приложений в рамках всей инфраструктуры приложений.
- Соотнесение приложений с сетевой инфраструктурой, что помогает управлять производительностью работы приложений, осуществлять поиск и устранение неисправностей, а также обеспечивать информационную безопасность.
- Расчёт оценки «здоровья» приложения, на основании собранной информации о показателях работы на базе отраслевого стандарта APDEX. При оценке учитывается уровень удовлетворенности пользователей, производительность работы, оценка уязвимостей и другие показатели.
- Контроль активности приложений, который позволяет выполнять расширенный анализ показателей работы приложений. Для установления нормальных моделей трафика осуществляется мониторинг транзакций, к которым затем применяются методики машинного обучения.
За последние годы значительно повысились требования к информационной безопасности, что связано с ростом количества киберугроз. Сейчас очень важно быть уверенным в том, что те приложения, которые установлены на всех устройствах компании и используются в корпоративных сетях, способны по умолчанию обеспечить защиту данных. Если ваши IT-платформы включают технологии, которые могут быть оптимизированы для обеспечения усиленной защиты, не зависимо от того, где находится ваша инфраструктура: внутри компании, в гибридной или облачной среде, то вы надежно защищены.
Сергей Халяпин,
главный инженер представительства Citrix в России и странах СНГ
Опубликовано 17.08.2017