Журнал "Information Security/ Информационная безопасность" #3, 2022

ходящего сетевого трафика в соответ- ствии с заданными правилами. Межсетевое экранирование не предо- ставляет глубокий анализ трафика, кото- рый мог бы определить, кто в действи- тельности взаимодействует с инфра- структурой – злоумышленник или леги- тимный сотрудник. SIEM-системы, собирающие события информационной безопасности из раз- личных источников, соотносят их друг с другом и выдают полноценную картину о возникающих инцидентах в инфра- структуре. Необходимо понимать, что SIEM-системы требуют тонкой настройки и постоянной экспертной работы для получения качественного результата анализа. Стоит учитывать, что средство мониторинга не работает на опережение и требует ресурсных затрат от админи- страторов для поддержания должного уровня кибербезопасности. Одними из часто используемых средств обеспечения ИБ в компаниях являются системы предотвращения втор- жений, но это автоматизированное реа- гирование только в разрезе конкретного сетевого узла, информационного сег- мента или системы, то есть они защи- щают конкретный сетевой канал либо внутренний ресурс. Другой подход, который довольно часто используется в текущий момент, – это передача контроля уровня кибер- безопасности на постоянный монито- ринг и оперативное реагирование сто- ронним специалистам SOC-центра. Но данный метод накладывает определен- ные ограничения на использование средств защиты внутри организации, на способы мониторинга и отправки событий безопасности на анализ, на регламентирование взаимодействия и предоставление доступа специалистам к информационной системе и значимой информации. Ключевой компонент службы ИБ Оценивая современные доступные средства защиты информации, можно сделать вывод, что они не минимизируют в должной степени те риски, которые стоят перед организациями. Необходимо адаптироваться к текущим реалиям, включающим в себя растущее количе- ство различных вирусов и вредоносного программного обеспечения, направлен- ного на кражу конфиденциальной инфор- мации и учетных данных. Использование автоматизированных средств защиты повышает оперативность и качество реагирования на угрозы, а также мини- мизирует риск успешной эксплуатации уязвимостей. Рассмотрим три класса решений: EDR/XDR/MDR. Endpoint Detection and Response (EDR) посредством глубокого анализа процес- сов, происходящих на рабочих станциях, обнаруживает и изучает вредоносную активность на конечных устройствах и в случае выявления признаков компроме- тации активов и распространения угроз по другим сегментам позволяет изоли- ровать рабочую станцию или сервер. Extended Detection and Response (XDR) предоставляет расширенный инструмен- тарий обнаружения и реагирования на угрозы информационной безопасности. Если EDR работает на уровне конечных устройств и позволяет выполнять авто- матизированное реагирование и изоля- цию отдельных активов, то XDR обес- печивает изоляцию в процессе взаимо- действия с сетевыми устройствами, а именно реагирование на уровне отдельных сегментов сетевого взаимо- действия. Это важно, так как на сего- дняшний день много векторов, внутрен- них сегментов и внешних точек взаимо- действия с инфраструктурой. Использо- вание автоматизированных средств реа- гирования – эффективное решение именно для оперативного реагирования и противодействия угрозам, которые могут возникать в инфраструктуре в текущий момент времени. Managed Detection and Response (MDR) – класс решений, который пере- дает ответственность и задачи, в том числе дополнительные полномочия, по автоматизированному реагированию на сторону управляющего системой, напри- мер подрядчику. Стоит отметить, что в основном выше- перечисленные решения ИБ используют функции машинного обучения. Они сопо- ставляют процессы, происходящие либо на сетевом уровне, либо на уровне конечных устройств, с техниками и так- тиками, используемыми злоумышлен- никами. Зачастую автоматизированные средства содержат информацию об индикаторах атак и компрометации, сопоставляют процессы, которые про- исходят в сетевой инфраструктуре, и предпринимают активные действия, таким образом идентифицируя происхо- дящее как потенциальную угрозу и пред- отвращая зловредные действия в инфор- мационной системе. Поэтому основная ценность автоматизированных реше- ний – соответствие требованиям к повы- шению оперативности реагирования на возникающую угрозу для минимизации возможного ущерба. Выводы, или Значение решений для компаний Решения по автоматизированному реагированию на события и инциденты информационной безопасности находят обширное применение. Эти сервисы повышают защищенность инфраструк- туры, сокращают время реагирования на инциденты информационной безопас- ности. Применяя автоматизированные решения, ИБ-специалисты получают детальную картину происходящего на активах и внутри сегментов для повы- шения осведомленности персонала, оценки возможных угроз и, в случае необходимости, составления плана по развитию кибербезопасности. В числе преимуществ таких систем – заблаго- временное предотвращение атак, мини- мизация простоев бизнеса, уверенность в используемых средствах информа- ционной безопасности. Основная ценность для предприятия заключается в сокращении затрат на разрешение инцидентов ИБ при сохране- нии эффективности бизнес-процессов и минимизации возникающих рисков – за счет использования средств автоматиза- ции осуществляется экономия бюджета. Современным компаниям необходимо внедрять автоматизированные решения. В них можно настраивать функционал автоматического реагирования для взаи- модействия с сетевыми устройствами либо применяющимися в организации смежными средствами обеспечения информационной безопасности. Компа- нии могут трансформировать решение до полноценного SOC-центра, используя компоненты реагирования на угрозы в качестве ключевого элемента сегмента безопасности. Системы предоставляют не только локальную автоматизирован- ную безопасность, но и глубокую анали- тическую информацию. Это необходимо для проведения более качественных процедур мониторинга внутрикорпора- тивной активности и расследования инцидентов в случае их возникновения внутри инфраструктуры. l • 53 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru