Статья

Тотальное недоверие. Кто найдет и уничтожит зловреда в сети

Безопасность
мобильная версия
, Текст: Павел Притула

Классические средства безопасности не дают уверенности в том, что злоумышленники не проникли в сеть компании. Методы киберпреступников становятся все более целенаправленными. В результате ущерб от атак ежегодно растет драматическими темпами. Компаниям помогут действенные средства защиты – SIEM и «Фабрика безопасности».

Для борьбы с современными киберугрозами уже недостаточно привычных средств защиты, о которых менеджменту компаний было известно в недавнем прошлом. Традиционно службы информационной безопасности устанавливали на периметр внутренней сети организации межсетевой экран, на клиентские устройства – антивирусы, а также использовали различные специализированные решения в зависимости от потребностей и оценки рисков.

Но программное обеспечение злоумышленников может проникнуть внутрь защищенного периметра компании и месяцами или даже годами работать незамеченным. Это становится частым явлением по мере увеличения количества незащищенных клиентских устройств в сети (личных смартфонов, планшетов сотрудников) и роста изощренности и целенаправленности атак. Поэтому решения для обеспечения безопасности должны быть комплексными, охватывающими всю сеть целиком, а не только периметр, и выявляющими зловредное ПО на всех этапах его жизненного цикла, а не только в момент входа.

SIEM для выявления атак

Для выявления уже случившихся заражений, о которых компании пока не известно, существует класс систем защиты SIEM (Security information and event management – управление информацией и событиями в системе безопасности). Они анализируют события в системах безопасности, реагируют на подозрительную работу сетевого оборудования и приложений, выдают оповещения о совершаемых атаках. Лучшие из них делают это в реальном времени. Опыт многих поставщиков SIEM показывает, что зачастую уже пилотное внедрение выявляет в сетях заказчиков различное вредоносное ПО, включая шпионские программы, которые не детектировались другими средствами безопасности.

Компания Fortinet разработала систему FortiSIEM, которая стала развитием известного на рынке решения от приобретенного ею разработчика AccelOps и вошла в «магический квадрант» Gartner (Magic Quadrant for Security Information and Event Management). FortiSIEM является частью предлагаемого комплексного решения для обеспечения информационной безопасности бизнеса, но может использоваться и отдельно от него как мультивендорное решение, работающее не только с оборудованием Fortinet, но и с решениями большого числа партнеров.

FortiSIEM – всесторонняя, целостная и масштабируемая система, способная работать как с облаками, так и с интернетом вещей, обладающая мощной управляемой аналитикой и предоставляющая всю необходимую информацию на одном экране. FortiSIEM позволяет значительно снизить сложность обнаружения угроз. Это, по заявлению вендора, – единственное решение, которое обеспечивает реализацию функций отслеживания, сбора и распространения актуальных данных об угрозах, при этом полностью охватывая адаптивную систему сетевой безопасности, интегрированные с ней решения партнеров и более сотни дополнительных решений по работе с сетями и обеспечению безопасности, разработанных сторонними поставщиками.

В этом решении реализованы не только традиционные функциональные возможности, которые Gartnerсчитает обязательными для систем такого класса, но и новые функции: обнаружение и анализ ресурсов в реальном времени, быстрая интеграция, мультитенантные архитектуры и простое горизонтальное масштабирование архитектур. Fortinet удалось найти технические возможности сделать систему ориентированной на максимальную автоматизацию и высокую производительность.

Фабрика безопасности для комплексной защиты

Появление многочисленных личных устройств, с которых сотрудники получают доступ к корпоративной информации, привело Fortinet к пониманию того, что нужно менять саму концепцию безопасности. Файрвол на входе не может обеспечить защиту из-за неконтролируемого роста числа точек входа в сеть. Следовательно, ни одному элементу сети доверять по умолчанию нельзя. Так появилась концепция Zero Thrust, ставшая идеологической основой «Фабрики безопасности».

Эта новая разработка Fortinet предусматривает эшелонированную систему защиты. Первая линия – защита периметра. Вторая – защита всего, что находится внутри сети. Как правило, традиционная сеть компании имеет плоскую топологию, маршрутизаторы не имеют средств безопасности, поэтому вредоносное ПО относительно свободно распространяется внутри сети. Сегментация позволяет локализовать и контролировать очаги угроз, минимизируя ущерб.

Работа «Фабрики безопасности» базируется на трех принципах. Первый принцип – широта охвата. Защита не ограничивается тонкой линией периметра и набором отдельных устройств. Администратор должен контролировать всю среду, включая точки доступа, маршрутизаторы, конечные устройства, ЦОД, облако, приложения и данные. Необходимая информация должна быть представлена в едином интерфейсе, позволяя видеть и реагировать на самые сложные угрозы. Используя возможности динамической сегментации сети, «Фабрика безопасности» позволяет обнаруживать угрозы при их переходе из одного сегмента в другой.

Второй принцип – высокая производительность. Современные сети отличаются сложностью, распределенностью и масштабностью. Для обеспечения их защиты, тем более в рамках концепции ZeroThrust, необходима производительная система безопасности. Недопустимо ослаблять защиту на одном участке ради того, чтобы обеспечить работу в реальном времени на другом. Так, до появления FortinetInternal Segmentation Firewall было сложно предоставить необходимые ресурсы для защиты каждого сегмента за приемлемую цену, поэтому концепция сегментации не развивалась. Теперь же эта проблема решена: решения безопасности Fortinet обеспечивают высочайшую скорость обработки событий безопасности.

И третий принцип – автоматизация. Скорость распространения угроз в сетях возрастает, и системы безопасности должны уметь отвечать на них вовремя. Поэтому они не могут предусматривать участие человека на каждом шагу – корреляция событий и определение уровня риска должны быть автоматизированы. «Фабрика безопасности» может динамически изолировать подвергшиеся атаке устройства, части сегментов сети, обновлять правила, устанавливать новые политики и удалять вредоносное ПО. Она также умеет динамически адаптироваться к изменениям сетевой конфигурации, что исключает не только затраты времени, но и риск ошибки по вине человеческого фактора.

«Фабрика безопасности» создана на базе уже существующих продуктов компании, которые благодаря новой концепции получили дополнительные возможности для работы в едином комплексе. Ее три основные компонента – это межсетевой экран FortiGate, антиспам FortiMail вместе с «песочницей» FortiSandbox для проверки подозрительных вложений, а также ПО для защиты рабочих станций и персональных устройств пользователей FortiClient. Также могут использоваться Web-Application Firewall, Internal Segmentation Firewall для защиты сегментов и целый ряд других систем.

В целом эти системы предусматривают защиту сети на уровне Enterprise-файрвола, обеспечение безопасности облаков, защиту от продвинутых атак (Advanced Threat Protection), защиту приложений, доступа, а также мониторинг событий безопасности и поддержку интеграции с решениями партнеров.