15.12.2015

Информационная безопасность конечных точек: состояние и тенденции. Комментарии ГК «Компьюлинк»



Виталий Гончар, архитектор по информационной безопасности ГК «Компьюлинк», в обзоре PCWeek «Информационная безопасность конечных точек: состояние и тенденции» рассказывает о способах повышения эффективности средств защиты информации.


1. Какие факторы (технологические, экономические, регуляторные, политические и др.) и почему оказывают сегодня наиболее сильное влияние на обеспечение ИБ конечных точек?

Ограничивающими факторами при выборе средств защиты могут стать политика импортозамещения, а также экономические тенденции, вынуждающие компании оптимизировать расходы. Регуляторный фактор оказывает всё меньшее влияние на рынок ИБ. Страсти по поводу соблюдения требований 152-ФЗ поутихли, и на данный момент при выборе средств защиты мы часто видим, что вместо соответствия требованиям регулирующих нормативно-правовых документов заказчик оценивает общий функционал, возможность централизованного управления, простоту интеграции в существующую ИТ-инфраструктуру. 

Также в последние годы все более распространенными становятся так называемые таргетированные атаки, нацеленные на конкретную ИС компании и характеризуемые предварительным сбором информации об объекте, подбором особых средств для атак, неоднократностью и комплексностью атак. Этот технологический фактор вызывает всю большую озабоченность специалистов в сфере ИБ. Так, ЦБ РФ в своем обзоре, опубликованном в июне 2015 года, указывает, что в 2014 году 23 кредитные организации сообщили об инцидентах, связанных с попытками списания денежных средств с корреспондентских счетов на общую сумму 213,4 млн руб. Все инциденты имели признаки таргетированных атак. 

2. Как в связи с этим меняются общие подходы к обеспечению ИБ конечных точек сегодня?

В связи с экономическими реалиями и наблюдаемыми тенденциями таргетированности атак для обеспечения ИБ конечных точек необходимо использовать системный подход, позволяющий повысить эффективность использования средств защиты информации. Предлагается рассматривать 4 этапа жизненного цикла обеспечения ИБ конечных точек:
  • Настройка – на данном этапе в организации необходимо заранее настроить конечные точки, чтобы уменьшить потенциальную область атак злоумышленников. Технические меры на данном этапе могут включать в себя анализ уязвимостей, настройку, установку патчей, контроль приложений.
  • Предотвращение – этот этап характеризуется использованием СЗИ для конечных точек в реальном времени, чтобы идентифицировать и фильтровать вредоносное программное обеспечение различными методами.
  • Обнаружение – цель этого этапа состоит в том, чтобы обнаружить аномалии, которые указывают присутствие угроз, уже укоренившихся на конечной точке. Ключевая задача этого этапа − быстро обнаружить угрозы, сократив время их существования, если они ускользнули на этапе предотвращения. Дополнительно методы обнаружения часто предоставляют информацию для восстановления и проведения последующего анализа.
  • Исправление – этот этап нацелен на восстановление после инцидента и анализ инцидента, результаты которого будут использованы при внедрении необходимых изменений на этапе настройки.
Данный подход позволяет снизить операционные риски и обеспечивает гибкое управление безопасностью, предоставляет большое количество информации о событиях безопасности, которую можно использовать при внесении изменений и проведении расследований инцидентов.

3. Какие конкретные технологии и классы СЗИ Вы можете рекомендовать для реализации этих подходов? Почему именно их? 

С прицелом на импортозамещение рассмотрим отечественных производителей.  Одним из лидирующих игроков на рынке защиты конечных точек как на российском рынке, так и в мире, остается Лаборатория Касперского. Авторитетная компания Gartner в своих исследованиях платформ для защиты конечных точек высоко оценивает Лабораторию Касперского и помещает её в область лидеров «Магического квадранта».

Вместе с тем, компания Код Безопасности на пресс-конференции 19 ноября 2015 года объявила о технологическом партнерстве с компанией ESET и анонсировала продукт нового поколения для защиты конечных точек Secret Net Studio. Руководство Кода Безопасности обещает ставить во главу угла функциональность и удобство, а уже после – обеспечение сертификатами.

4. Какова Ваша оценка готовности российских заказчиков использовать упомянутые выше технологии и СЗИ для защиты конечных точек?

Несмотря на тенденции, на данный момент большинство потребителей продуктов обеспечения ИБ конечных точек (endpoint protection platform, EPP), в основном, обращают внимание лишь на функционал защиты от вредоносного ПО. Такие компании вряд ли будут внедрять системный подход, ограничиваясь только технологическим функционалом.  

Вместе с тем, в своей работе мы чаще встречаем нацеленность заказчиков на защиту от APT*. Это объясняется тем, что заказчики «Компьюлинк» – это преимущественно крупные компании с высоким уровнем зрелости, им важна комплексная безопасность, и они готовы внедрять продукты, которые предлагают широкий портфель методов защиты и высокую эффективность своих решений, подтвержденную результатами тестов. 

Advanced persistent threat (APT) – парадигма таргетированных атак, характеризующаяся в дополнение ко всем «прелестям» таргетированных атак нацеленностью на компанию целиком, стремлением получить полный скрытый контроль над «жертвой» и удерживать его настолько долго, насколько это возможно.