Из года в год, следуя трендам, на волне актуальности поднимаются те или иные средства и методы информационной безопасности. Как правило, они незаслуженно отодвигают на второй план не менее, а зачастую и более эффективные средства. Изучив отчёты крупнейших международных аналитических агентств, пытающихся предсказать кто и что окажется на этой самой волне популярности в новом году, мы постарались выделить ключевые технологии, по которым мнения различных зарубежных и российских аналитиков сходятся. В результате мы составили свой, адаптированный к отечественным реалиям ТОП-10 средств ИБ, на которые надо обратить внимание в 2017 году.
1.
Анализ поведения пользователей (User and Entity Behavioral Analytics)
Защищаясь от множества внешних угроз, не стоит забывать и про внутреннего нарушителя. Системы класса UEBA представляют необходимый функционал для защиты от злоумышленников–инсайдеров и механизмов внутреннего мошенничества, а также таргетированных атак от имени ничего не подозревающего пользователя. В основе работы системы – механизмы статистического анализа, математические модели и оценка отклонений от стандартного шаблона поведения пользователей.
2.
Управление процессом разграничения прав доступа (Data Access Governance)
По статистике организация с тысячей сотрудников имеет не менее трёх файловых хранилищ, каждое из которых содержит суммарно нескольких тысяч вложенных папок с неконтролируемыми исторически наслоившимися правами доступа, состоящими из наследованных прав, прав-исключений для сервисных учётных записей, прав-исключений для администраторов, прав-исключений для когда-то привлекавшихся удалённых сотрудников подрядных организаций и так далее до бесконечности.
Система данного класса позволяет реализовать принцип минимальных привилегий за счёт постоянного аудита, контроля и выстраивания корректного процесса согласования факта получения дополнительных прав доступа.
3.
Несигнатурные методы анализа (Non-signature analysis)
С каждым годом скорость появления новых зловредных программ и методов, используемых нарушителями, увеличивается, и классический подход, при котором корпоративные системы защиты со временем «научаются» противостоять новому виду угроз, становится всё менее актуальным. Общий уровень рисков информационной безопасности можно значительно снизить, используя в дополнение к классическим средствам, методы, использующие механизмы защиты операционной памяти, основанные на применении белых списков и прочие.
4.
Ловушки для хакеров (Honeypots)
Лучшее средство защиты – это нападение! А в нашем случае – ловушки для злоумышленников, предоставляющие возможность оценить их фактические действия, методы и цели с помощью изолированных от реальной инфраструктуры специальных программных комплексов, максимально похожих (для злоумышленника) на реальный уязвимый сервер.
5.
Система обратной связи (Endpoint detection and response)
После обнаружения факта проникновения в корпоративную сеть реакция на инцидент должна быть быстрой, ответные действий эффективны в течении считанных минут. Системы класса Endpoint detection and response позволяют осуществлять постоянный мониторинг всех событий как на сетевом уровне, так и на уровне рабочих мест, непрерывно ведя поиск факта проникновения, а также предоставляя возможность моментально выполнить необходимое действие в корпоративной сети, например, завершить тот или иной запущенный процесс и удалить соответствующий зловредный файл.
6.
Инструментарий для проведения криминалистической экспертизы (Forensic Toolkits)
Если нужно найти цифровые следы злоумышленника в его собственной аппаратуре, чтобы использовать их, скажем, в качестве доказательства в суде, то не обойтись без обеспечения целостности исходных данных, на базе которых эти доказательства были получены. Лучше всего с этой задачей справляются решения класса Forensic Toolkits, способные достать в неизменном виде любые первоначальные данные: пароли, переписку, документы, фотографии, системные события и прочие данные почти с любого устройства, включая компьютеры, ноутбуки, серверы, мобильные телефоны, а также съёмные носители.
7.
Система управления правами доступа на основе шифрования (Information Rights Management)
C глаз долой – из сердца вон! Не каждый CISO понимает, что ценная информация, выходя за рамки контролируемого периметра, по-прежнему должна быть защищена от несанкционированного доступа. Конечная ответственность за обеспечение целостности, конфиденциальности и доступности этой информации остаётся обязанностью её владельца, а не передаётся вместе с файлом.
Системы класса Information Rights Management предназначены для предоставления гранулированного доступа к документам, веб-страницам, письмам и прочим файлам путём использования шифрования даже после передачи данных файлов за границы контролируемой зоны.
8.
Удалённый браузер (Secure Remote Browser)
Пытаясь бороться со следствиями, а не с источниками угроз информационной безопасности, компании игнорируют тот факт, что большинство угроз приходит в корпоративную сеть через Интернет, а основное средство доставки угроз в корпоративную сеть – браузер. Наиболее эффективным решением будет использование систем Secure Remote Browser, представляющих собой изолированную среду, в которой запускается браузер и осуществляется просмотр Интернет-порталов, что лишает зловредную программу малейшей возможности попасть на локальное рабочее место сотрудника.
9.
Автоматизация процессов классификации информации (Classification Engines)
Как показывает практика, большинство организаций в погоне за количеством установленных систем безопасности не видят за деревьями леса. Сфокусировавшись на угрозах и возводя всё новые «непреодолимые» для злоумышленников «заборы», компании редко обращают внимание на то, вокруг чего эти «заборы» возводятся и по какую сторону находится то, что действительно надо защищать.
Гибридные средства автоматизации процессов классификации информации, такие как Docs Security Suite, позволяют не переплачивать за защиту информации, не имеющей ценности, забыть о перечнях информации, становящихся неактуальными в момент своего создания, обнаруживать всю ценную информацию на локальных рабочих местах и съемных носителях, реализовать гранулированную настройку средств защиты информации, таких как средства защиты от утечки. Плюс помогают выстроить процесс жизненного цикла конфиденциальности информации в организации.
10.
Защита бумажных носителей информации (Secure Managed Printing)
Вооружившись самыми современными средствами защиты от несанкционированного доступа к корпоративному компьютеру, мощной периметровой защитой на базе технологий нового поколения, системами защиты от утечек и прочими системами, невозможно защититься от злоумышленника, который по своим должностным обязанностям имеет доступ к печати ценной информации. Он элементарно положит распечатанные файлы в сумку и беспрепятственно покинет организацию.
Оптимальным решением будет использование систем класса Secure Managed Printing, способных обеспечить не только базовые функции управляемой печати, такие как управление стоимостью, квотирование по стоимости, количеству, цвету (в том числе для локальных печатающих устройств), но еще и гранулированное управление доступом к печатным документам, автоматическую классификацию печатаемой информации на базе контентного анализа с соответствующей маркировкой, двухфакторную аутентификацию. А также при использовании таких решений как PrinterGuard, имеющих возможность интеграции с системами электронной подписи, обеспечивает юридическую значимость изъятия бумажной копии документа из принтера или с территории организации.
.png)