Security Lab

Джентельменский набор ИБшника в 2018 году

Появились центры мониторинга инцидентов, ужесточились требования регуляторов к повышению прозрачности.

image

Потери российского бизнеса от кибератак всегда были неявными – информация об инцидентах публиковалась редко, никакой статистики никто не вел. Но за последние годы кое-что изменилось. Появились центры мониторинга инцидентов, ужесточились требования регуляторов к повышению прозрачности. Наиболее наглядными стали кейсы в 2017 году, связанные с шифровальщиками – когда в результате заражения несколько дней была полностью парализована работа крупных федеральных компаний и ведомств.

Так, по данным ФинЦЕРТ ЦБ РФ, в 2017 году потери российских кредитных организаций от атак с использованием хакерских программ «Cobalt Strike», нацеленных прежде всего на прямые хищения из банковских платежных систем, превысили 1 млрд рублей. Закрывать глаза на подобные гигантские ущербы уже просто невозможно, поэтому в 2018 году в отечественных компаниях уверенно взят курс на диджитализацию и массовое обновление ИБ-инфраструктуры.

Программа «Минимум»

В джентельменский набор ИБ-специалиста традиционно входят несколько инструментов – фаервол и IDS для защиты периметра от базовых угроз, DLP для безопасности корпоративных коммуникаций и надстройки для логирования действий пользователей. При грамотном управлении и своевременном обновлении таких инструментов будет достаточно для среднестатистического предприятия.

Но если в компании несколько сотен сотрудников, регионально распределенная инфраструктура, большой объем разнородных информационных систем, или сфера деятельности относится к КИИ, то портфель ИБшника нужно расширять. И стратегически правильно будет объединять максимальное количество задач в минимальное количество интерфейсов.

Технологии 2018

Базовыми требованиями для ИБ-систем становятся анализ и защита больших объемов данных, поведенческая аналитика (UEBA), алгоритмы машинного обучения, открытость и интеграция.

Говорить и реально иметь дело с большими данными на практике – большая разница. Инженеры «Гарды Технологии» начали работать с Big Data, «когда это еще не было мейнстримом». Для сохранения высокой скорости обработки и поиска информации в организациях с тысячами рабочих мест и сотнями филиалов мы построили собственную платформу хранения данных класса DataWarehouse. Все решения для защиты от внутренних угроз группы «Гарда» построены на такой платформе.

Алгоритмы машинного обучения и поведенческой аналитики позволяют строить «хорошие» и «плохие» профили, причем как в отношении пользователей, так и в отношении, например, сетевого трафика или иных сущностей. Далее начинают работать методы предсказательной аналитики, которые используются для прогноза возможных утечек данных и других угроз безопасности в будущем. Обогащенная технологиями машинного обучения и искусственного интеллекта, UEBA способна распознавать отклонения в поведении и, согласно набору индикаторов, классифицировать его как подозрительное по отношению к своему же, либо к определенной эталонной группе. Описанные разработки уже сейчас внедрены и используются в составе решений информационной безопасности «Гарда Технологии» и стоят на вооружении у крупнейших предприятий страны .

Прямо на PHDays

Гарда Технологии и Angara Technologies Group представят новые версии решений для защиты от внутренних угроз на форуме Positive Hack Days 8 :

  • Гарда Предприятие – DLP-система с широкими аналитическими возможностями и дружественным интерфейсом для быстрого внедрения в любую сложную инфраструктуру компании.

  • Гарда БД – система защиты баз данных и веб-приложений с модулем предиктивной аналитики, найдет все неучтенные копии СУБД, определит уязвимости и составит профиль работы каждого пользователя.

  • Гарда Монитор - система сетевой форензики, даст последний шанс для расследования сложных сетевых инцидентов, сумевших пройти незамеченными для ИБ-инфраструктуры. Решение попакетно проанализирует весь трафик компании и покажет, что, где и как произошло.

Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.