Для управления рисками нужна адаптивная и гибкая культура безопасности, которая эффективно объединяет процессы, технологии и людей, и помогает организации принимать правильные решения. Более того, очень важно использовать СЗИ, которые отвечают потребностям компании. Как же выбрать по-настоящему полезное и эффективное защитное решение?
Можно сравнить характеристики различных СЗИ, но для этого нужно время и определенные знания. К тому же разные вендоры иногда используют одни и те же термины для обозначения разных понятий. Действительно ли новый продукт от вашего привычного вендора инновационный, или же это просто обновленная версия существующей технологии? Действительно ли решение вендора, чьи продукты для вас в новинку, принесет обещанные результаты?
Один из способов разобраться во всем этом — внимательно изучить основные возможности предлагаемого СЗИ. Универсального решения не существует. Но если у продукта есть определенные характеристики, то он сможет удовлетворить внутренние и внешние потребности организации не только в настоящем, но и в будущем, поскольку они могут меняться. Итак, что именно делает системы защиты конечных точек эффективными?
Что такое конечная точка в современной корпоративной инфраструктуре?
Сегодня значение термина «конечная точка» стало гораздо шире, чем раньше, когда он только начал повсеместно употребляться. Когда-то у организаций были рабочие станции, сервера и межсетевой экран, и они покупали те решения, которые вписывались в эту инфраструктуру. Однако современная компания имеет в распоряжении целый парк устройств:
- десктопы;
- ноутбуки;
- планшеты;
- мобильные телефоны;
- виртуальные машины;
- контейнеры;
- сервера;
- IoT-устройства.
Иными словами, конечная точка — это то, что находится на одном из концов канала связи. Не совсем верно понимать под этим термином элементы сети, которые лишь передают сообщения по каналам или перебрасывают их с одного канала на другой. Правильнее будет сказать, что конечная точка — это место, откуда исходят сообщения и где они принимаются.
Конечные точки могут подключаться через локальную сеть, облачные SaaS-платформы или публичный Интернет. Конечные устройства подключаются к корпоративной сети из различных точек мира, в связи с чем организации, возможно, используют технологию единого входа (SSO) и архитектуру Zero Trust (ZTA) и перемещают (или уже переместили) данные в публичное, локальное или гибридное облако.
Как же можно защитить организацию?
Сегодня компании испытывают гораздо больше трудностей, чем раньше. Растет потребность не только в безопасности, но и в непрерывности бизнеса и постоянной поддержке многочисленных конечных точек и источников данных, которые могут находиться где угодно.
Новая культура работы, когда пользователи конечных точек могут получать доступ к конфиденциальным данным независимо от своего местоположения, вынуждает директоров и других руководителей ИБ полагаться на их киберграмотность и целостность конечной точки как на последний, а иногда и единственный рубеж защиты. К сожалению, о несостоятельности этой стратегии говорят многочисленные новостные заголовки об успешных кибератаках. Например, утечки данных в компании T-Mobile, которые ее руководство охарактеризовало как «унизительные для всех сотрудников T-mobile», привели к компрометации данных миллионов клиентов: бывших, настоящих и будущих.
Как киберпреступники добиваются успеха
То, что произошло с T-Mobile, случается с организациями любого размера. Несмотря на то, что продукты по защите конечных точек используются уже около 20 лет, количество успешных атак растет, а не уменьшается. В 2021 году президенты многих стран говорят о том, что кибербезопасность является главным приоритетом и имеет большое значение для национальной и экономической безопасности. Почему же практики киберзащиты постоянно терпят провал?
За успехом киберпреступников, в особенности их программ-вымогателей, стоит несколько факторов. Во-первых, многие организации используют ОС Windows, которая содержит множество уязвимостей. Будь то антивирус Windows Defender, служба печати Print Spooler, протокол аутентификации NTLM, сервер Exchange или любые другие программы Microsoft, злоумышленники, вложив силы и средства, уже нашли способы использовать их слабые места для атаки. Даже если организация не пользуется Windows (что большая редкость), то почти наверняка кто-нибудь из участников ее цепочки поставок работает с этой ОС.
Кроме того, злоумышленников привлекает возможность заработать большие деньги при небольшом риске. Они могут скрываться и безнаказанно обналичивать криптовалюту, в то время как власти не способны арестовать их.
Эти проблемы усугубляются и другими факторами, например, подпольная торговля вредоносными программами специального назначения и распространение программ-вымогателей как услуги (Ransomware-as-a-Service) по низким ценам в больших количествах.
Наибольшую же опасность представляет тот факт, что организации борются с современными угрозами с помощью устаревших технологий или используют неправильный подход: полагаются либо на старые антивирусные программы, которые злоумышленники научились обходить в первую очередь, либо на решения «нового поколения», в которых многое зависит от человеческого фактора. Взлом SolarWinds показал, что компании, следующие какому-либо из вышеперечисленных принципов, не могут в полной мере обеспечить свою информационную безопасность.
Пять признаков хорошей системы защиты конечных точек
Конечные точки лежат в основе каждой корпоративной инфраструктуры, и их защита — единственный способ обеспечить кибербезопасность организации. На современном рынке ИБ есть решения, которые вобрали в себя весь опыт 20-летней борьбы с киберпреступностью и продемонстрировали свою эффективность против самых изощренных угроз. Но как отличить эффективный продукт от неэффективного? Ниже приведены пять основных характеристик, которыми должно обладать любое современное СЗИ.
1. Проактивный подход к обнаружению новых угроз
Самым большим недостатком предыдущих СЗИ была зависимость от сигнатур. Основная проблема таких решений заключается в том, что они реактивны. Процесс создания сигнатуры начинается с момента обнаружения вредоносной активности в сетях заказчика (то есть вирус уже взламывает организации), и только после этого выстраивается защита. Затем начинается гонка на время: сигнатуру нужно написать и отправить на все конечные точки для обновления. При столкновении с 0-day угрозой такой защитный продукт становится абсолютно бесполезным.
Последние пять лет борьбы с программами-вымогателями показали, что этот подход, разработанный в 1990-х и 2000-х годах, не может обеспечить безопасность организаций сегодня. По этой причине некоторые вендоры начали внедрять в свои сигнатурные антивирусы модели машинного обучения (МО) и поведенческий ИИ, которые позволяют выявлять общие закономерности вредоносного поведения и образцы вредоносных файлов независимо от их происхождения.
Модели МО можно обучить эффективно бороться с большинством современных типовых вредоносов, многие из которых написаны не с нуля, а с использованием успешного кода из более ранних сэмплов. И хотя машинное обучение не способно выявить все ВПО до его запуска, это отличный способ защитить конечные точки от типовых атак без необходимости постоянно обновлять вирусные сигнатуры.
Поведенческий ИИ дополняет модели МО, выявляя образцы поведения, характерные для вирусов. Например, почти все программы-вымогатели в какой-то момент будут действовать по следующей схеме:
- поиск резервных и теневых копий данных и попытка их удаления;
- шифрование большого количества файлов;
- обращение к пользователю (например, вывод сообщения с требованием выкупа);
- связь с удаленным сервером.
Поведенческий ИИ может распознавать подобные паттерны или шаблоны поведения, даже если кажется, что активность исходит изнутри сети или из какого-либо другого бесфайлового источника.
Способность защитного решения заблаговременно обнаруживать неизвестные программы с помощью МО и поведенческого ИИ — это первая характеристика, на которую нужно обращать внимание при выборе СЗИ. Однако следует избегать СЗИ, которые зависят от подключения к облаку, поскольку киберпреступники могут легко прервать это соединение. Необходимо выбирать продукт с механизмами МО и поведенческого ИИ, которые работают локально на конечной точке и способны за секунды принимать решения для ее максимальной защиты.
2. Автоматическое устранение последствий без вмешательства человека
Обнаружение вредоносной программы — это только половина проблемы. Решение, которое только детектирует угрозы, но полагается в их устранении на человека, не принесет большую пользу организации. Необходимо решение, способное автоматически устранять вредоносную активность на устройстве и ликвидировать ее последствия, чтобы пользователь мог спокойно продолжать работать, а не проводить остаток дня, общаясь с ИТ-отделом для решения проблемы.
Многие разработчики СЗИ, в том числе лидеры рынка, не справляются с этой задачей. Некоторые вендоры предлагают инструменты удаленного доступа, интегрированные в хостовые агенты, что несколько снижает нагрузку на ИТ-отдел, но по-прежнему требует выполнения операций вручную, из-за чего возникают задержки и работа пользователя прерывается. Но если бы защитное решение могло обнаруживать инциденты безопасности и устранять их последствия без участия человека? Компьютеры были созданы для автоматизации рутинных процессов в нашей жизни, поэтому функция автоматического устранения обнаруженных угроз должна обязательно входить в состав решения, которое претендует на звание «нового поколения».
Нужно обязательно спрашивать вендоров, какие функции автоматического устранения угроз присутствуют в их продукте и что произойдет, если СЗИ пропустит угрозу. Хорошая система защиты конечных точек должна уметь возвращать из карантина ложные угрозы так же легко, как и помещать в карантин реальные.
3. Гибкость для распределенных организаций
Эффективное управление большим парком устройств и объемом данных — непростая задача. Прибавим к этому разрозненную географию, разные часовые пояса и языковой барьер (если речь идет о международных командах) — и получим проблему, с которой крайне трудно справиться, поскольку реальная структура организации редко вписывается в представление вендора о том, какой она должна быть.
Для управления, реагирования и сбора данных с устройств в разных частях мира нужно решение, которое поддерживает мультитенантность и мультисайтовость. Это позволяет командам на местах не только не отклоняться от основной политики организации, но и принимать собственные решения с учетом локальных потребностей, не ущемляя интересов других команд.
Мультитенантность нужна не только крупным международным компаниям. При нынешнем темпе развития даже небольшие и быстрорастущие команды нуждаются в такой гибкости гораздо больше, чем раньше.
4. Устранение пробелов безопасности с помощью автоматической установки агентов
Взломать систему проще всего через незащищенные устройства. К сожалению, современные реалии таковы, что ИТ- и ИБ-администраторы просто не могут уследить за всеми процессами, которые протекают в сетях их организации. Многие взломы случались из-за того, что злоумышленник находил незащищенный сервер, о котором все забыли, и использовать его для атаки.
Директор по информационной безопасности Австралийского национального университета, проанализировав кибератаку на свою организацию, пояснил:
«Злоумышленник создал теневую экосистему из скомпрометированных машин, инструментов и сетевых соединений в корпоративной среде и таким образом остался незамеченным. Используя некоторые такие машины, он смог закрепиться в сети. С помощью других элементов, например, так называемых станций атаки, злоумышленник получил плацдарм, с которого мог видеть структуру сети, определять важные цели, запускать свои инструменты и взламывать другие машины».
Если речь идет о большой организации с многочисленными филиалами и подсетями, то единственное эффективное решение — это построить карту сети и снять цифровой отпечаток с устройств таким образом, чтобы можно было увидеть не только хосты, подключенные к сети, но и определить те из них, на которых нет хостовой защиты. Из этого следует, что нужно выбирать такой продукт, который выполнит кропотливую работу по установке агентов на те машины, где их еще нет, для устранения пробелов в охвате конечных устройств. Команды ИБ часто работают на пределе своих возможностей и нуждаются в разумной автоматизации, которая поможет им выполнять задачи более эффективно.
Таким образом, необходимо убедиться, что система защиты конечных точек имеет автоматизированные средства поиска машин, на которых не установлены агенты, и быстрой установки агентов на такие машины.
5. Мониторинг
Даже если все вышеперечисленные проблемы были решены, еще предстоит детально разобраться в том, что происходит на каждой конечной точке. Команды ИБ не впервые сталкиваются с проблемой мониторинга, но с учетом перехода к цифровизации обработка больших объемов генерируемых данных требует все более эффективных способов индексации, корреляции и выявления вредоносных действий в любом масштабе.
По этой причине лучшие системы защиты конечных точек теперь переходят от EDR к XDR, что помогает организациям решать проблемы кибербезопасности унифицировано. Благодаря единому пулу исходных данных со всей экосистемы XDR может быстрее и эффективнее обнаруживать угрозы и реагировать на них, собирая и сопоставляя данные из многочисленных источников.
При выборе вендора XDR-решения нужно обратить внимание на несколько вещей. Эффективная XDR-платформа должна бесшовно интегрироваться со всеми СЗИ в организации, используя встроенные инструменты с широкими возможностями API. Она должна иметь встроенный функционал корреляции, предотвращения угроз и их устранения по всему технологическому стеку, а также позволять пользователям создавать свои собственные правила обнаружения и реагирования. Остерегайтесь вендоров, предлагающих незрелые или разработанные на скорую руку решения: новый продукт может оказаться просто набором нескольких старых под новым названием «XDR». Полноценное XDR-решение должно быть единой платформой, которая позволит легко и быстро получить полное представление о состоянии безопасности в организации.
Заключение
Рынок решений для защиты конечных точек быстро растет. Gartner прогнозирует, что только в этом году расходы на кибербезопасность превысят 150 миллиардов долларов. Однако практически каждый день появляются новости о взломе очередной организации.
Чтобы решить эту проблему, нужны не только более эффективные инструменты, но и более эффективное взаимодействие с другими уровнями обеспечения безопасности. Продукты SentinelOne отвечают всем параметрам, описанным в данной статье.
Закажите демо SentinelOne и узнайте, как платформа SentinelOne XDR обеспечивает мониторинг всей организации, мощную аналитику и автоматическое реагирование на угрозы по всему технологическому стеку.
