Давдян Т.А.
СОВРЕМЕННЫЕ КОРПОРАТИВНЫЕ РЕШЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ И ВЫЯВЛЕНИЮ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *
Аннотация:
в работе исследуются современные решения, помогающие построить защищенную инфраструктуру корпорации. Выводы о работе этих решений и рекомендации для правильной работы современных отделов ИБ
Ключевые слова:
поиск инцидентов, защита информации, SOC, SIEM, информационная безопасность
УДК 004.056
Давдян Т.А.
Воронежский государственный университет
(г. Воронеж, Россия)
СОВРЕМЕННЫЕ КОРПОРАТИВНЫЕ РЕШЕНИЯ
ПО ЗАЩИТЕ ИНФОРМАЦИИ И ВЫЯВЛЕНИЮ
ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: в работе исследуются современные решения, помогающие построить защищенную инфраструктуру корпорации. Выводы о работе этих решений и рекомендации для правильной работы современных отделов ИБ.
Ключевые слова: поиск инцидентов, защита информации, SOC, SIEM, информационная безопасность.
В современном мире всё больше и больше компаний используют в своей работе технологии по автоматизации, хранению и передачи информации. Понятно, что для данной работы не обойтись без компьютеров, серверов, общедоступных сетей (проще говоря интернета). С каждым днём доля такого цифрового и технического актива только возрастает и преумножается. Раз это актив, то следуя законам логики этот актив следует защищать.
Мы знаем как защитить наши смартфоны и компьютеры (я надеюсь, что каждый знает). Многие слышали об антивирусах, мы используем пароли для входа на почту или для разблокировки смартфона. Более продвинутые пользователи слышали и о шифровании и активно используют их на своих устройствах. Список можно продолжить бесконечно. Но как защищают информацию в мире больших корпораций и огромного числа таких компьютеров и смартфонов.
Скажу сразу, что в зависимости от компаний и рода деятельности этих компаний, используются различные инструменты для защиты информации. И что все корпоративные решения очень дорогие, ведь это тоже бизнес, а бизнес должен приносить прибыль.
Мы плавно переходим к конкретике. К сожалению, или к счастью, нет универсальных «пилюль» для защиты информации. На данный момент, если у вас сеть из более чем тысячи хостов, нельзя купить один продукт и забыть про защиту информации. Или нанять одного сотрудника, который один отвечал бы за корпоративную информационную безопасность. Это утопия.
Для начала уясним для себя, что именно подразумевают под инцидентом информационной безопасности. Под инцидентом информационной безопасности (ИБ) понимается одно или серия нежелательных событий ИБ, которые имеют значительную вероятность компрометации бизнес-операций и угрожают информационной безопасности. Инциденты по-разному классифицируются и определений у инцидентов великое множество. Вот несколько видов классификаций инцидентов:
А вот несколько примеров инцидентов:
Если говорить своими словами, то инцидентом называется любое нарушение работы информационной системы, как умышленное, так и неумышленное.
Теперь перейдем к инструментам. Первым инструментом, как это не странно является антивирус. Антивирус предотвращает и блокирует деятельность вредоносных программ и скриптов. Занимается поиском этих программ и уведомляет администраторов об их нахождении. Нужная и полезная вещь на любом устройстве не только в корпоративной среде. Антивирусов очень много, не будем зацикливаться на этом. Думаю, многие слышали о разных компаниях, занимающихся выпуском таких программ.
Так как многим компаниям необходимо связывать филиалы друг с другом, то возникает потребность в защищенном канале связи. На помощь нам приходит VPN (англ. Virtual Private Network) — это технология, которая позволяет устанавливать зашифрованное безопасное соединение в интернете через подключение к виртуальной частной сети. Суть простая. За счет того, что трафик между начальным и конечным узлом шифруется, то благодаря этому можно построить защищенную сеть. Но если мы для личных целей используем достаточно незащищенные VPN соединения, то для компании встает ряд проблем для защиты этих сетей. К ним можно отнести: тип самого VPN, тип шифрования пакетов, распределение доступов и т.д.
Другим необходимым инструментом является межсетевой экран. Межсетевые экраны помогают защищать сегменты сети от несанкционированного доступа и фильтрации трафика на сетевом уровне. Если не сильно углубляясь, то экраны помогают отсекать нежелательные IP-адреса, с которых либо производилась атака, либо производится атака злоумышленниками.
Как ограничить сеть компании от внешней среды разобрались. В современных реалиях требуется разграничить сеть внутри компании, чтобы разграничить доступы между сотрудниками и отделами и защитить особо важные сегменты компании от атаки. На помощь нам приходят VLAN (аббр. от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть.
В совокупности при правильной работе и настройке данных систем мы получим защиту на самом начальном уровне. Я бы назвал это нулевым уровнем. Объясню почему нулевым и плавно перейдем к следующим мерам и способам защиты. Все программные продукты, которые используются в инфраструктуре компаний рано или поздно необходимо обновлять. Это связано с тем, что различные группы специалистов ИБ, злоумышленники и разработчики программных продуктов ищут уязвимости в ПО. Уязвимости зачастую помогают обходить защиту ИБ. И вы зададите закономерный вопрос, а как защищаться от такого.
Управление уязвимостями – ключ на следующую ступень защиты инфраструктуры. Существуют готовые решения и Open Source (с открытым исходным кодом) в том числе. Проще говоря такие системы сканируют всю инфраструктуру (компьютеры, сервера, маршрутизаторы) и указывают администраторам и владельцам на программные продукты, которые следуют обновить, потому что в этих версиях нашли уязвимость и вендоры выпустили необходимые патчи безопасности.
IPS/IDS (англ. Intrusion Detection System — система обнаружения вторжений и Intrusion Prevention System — системы предотвращения вторжений). Большое количество этих продуктов, которые помогают детектировать вторжение и предотвращать автоматически. По принципам работы они очень разные. Какие-то мониторят только сетевую инфраструктуру, какие-то проникают «глубже» при сканировании. В основном эти системы работают на аномалиях и помогают на различиях деятельности того или иного узла найти аномалию и указать администраторам безопасности на такую активность.
Мы подошли к венцу всех этих продуктов, опять же не универсальное решение, но объединяющая многое.
Как быть команде, которой занимается ИБ, со множеством этих решений, которые одновременно включены в инфраструктуру. Ответ на этот вопрос SIEM (англ. Security information and event management). Система управления информации и событиями безопасности. С помощью SIEM-систем решаются такие важные задачи, как выявление и расследование инцидентов ИБ, инвентаризация активов, контроль защищенности информационных ресурсов. Какие задачи решает современный SIEM:
Принцип работы таких систем - это сбор событий с других систем ИБ и активов (хостов). События представляют собой текстовые (XML, JSON, TEXT) послания в единый центр обработки логов (ядро SIEM) для последующего анализа в реальном времени. Т.е. все системы передают агентам SIEM’a события и так в одном месте хранятся все логи всех систем компании. Анализ производится ядром такой системы. Зачастую такие продукты идут уже с готовыми пакетами экспертиз, но никто не мешает добавлять эти пакеты и развивать их.
Рассмотрим на одном примере работу SIEM. Допустим, пользователь скачал файл с сети интернет. В этом файле находится вредоносный скрипт, который запускается от имени пользователя и начинает запускать процесс активностей. В частности, сканировать сетевое окружение, повышать привилегии для своей вредоносной деятельности и отправлять данные об инфраструктуре зашифрованном виде и т.д. Такую активность засекла IDS/IPS система. На SIEM, допустим, тоже написано правило обработки таких событий. Узел отключили. Учетную запись заблокировали, потому что скомпрометирована. И тут в дело вступает SIEM. По одному только фильтру с учетной записью и узлу мы видим в SIEM всю цепочку процессов. Т.е. вся информация для расследования инцидентов на «ладони». В дальнейшем специалисты либо закроют уязвимость, либо ограничат действия пользователей, чтобы такого не повторилось.
Эта система достаточно трудоемка в настройке, но в дальнейшем даст свои плоды.
СПИСОК ЛИТЕРАТУРЫ:
Davdyan T.A.
Voronezh State University
(Voronezh, Russia)
MODERN CORPORATE SOLUTIONS
INFORMATION PROTECTION & IDENTIFICATION
INFORMATION SECURITY INCIDENTS
Abstract: the paper explores modern solutions that help to build a secure infrastructure of the corporation. Conclusions about the work of these solutions and recommendations for the proper operation of modern information security departments.
Keywords: incident search, information protection, SOC, SIEM, information security.
Номер журнала Вестник науки №11 (56) том 4
Ссылка для цитирования:
Давдян Т.А. СОВРЕМЕННЫЕ КОРПОРАТИВНЫЕ РЕШЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ И ВЫЯВЛЕНИЮ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Вестник науки №11 (56) том 4. С. 232 - 237. 2022 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/6559 (дата обращения: 26.04.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2022. 16+