Решения кибербезопасности

Версия 0.2 от 2.02.2024

Введение в автоматизацию и системную интеграцию в информационной безопасности

К нашему удивлению, за десятилетия нашей работы в области информационной безопасности, мы не встретили достаточно полного и последовательного, и в то же время, точного и лаконичного, без лишних деталей, обзора программно-аппаратных решений в области кибербезопасности, их классификации, описания взаимосвязей и эволюции. Поэтому мы решили создать такой обзор, прежде всего, для наших внутренних задач. 

Пройдя сами в корпоративной безопасности путь аудиторов, менеджеров, разработчиков, консультантов и предпринимателей, мы убеждены, что основы автоматизации и системной интеграции в области безопасности являются необходимыми не только для стратегического управления или разработки архитектур безопасности, но и для оценки безопасности, управления рисками, защиты данных и приложений, операционной безопасности и многих других отраслей современной кибербезопасности. Мы намерены постоянно поддерживать, исправлять и дополнять этот обзор с вашей помощью. 

Такой подход соответствует нашей философии, так как мы в H-X Technologies стремимся не только предоставлять вам эффективные услуги и уникальные решения в сфере информационной безопасности, но и делиться как нашим опытом, так и новейшими достижениями в этой области.

Проблемы автоматизации кибербезопасности

Множество мелочей в обширном и многогранном мире информационной безопасности являются ключевыми для обеспечения надежной защиты информации и систем, которые её обрабатывают. Учесть все эти мелочи и ничего не упустить – сложная задача. Кстати, для упрощения здесь мы используем в качестве синонимов термины “информационная безопасность” и “кибербезопасность”, хотя они немного отличаются

Универсального решения всех проблем информационной безопасности не существует, так как безопасность – это не состояние, а процесс. Прежде всего – постоянная кропотливая ручная работа и соблюдение правил. При грамотном сочетании технологий они сильно облегчают многие задачи безопасности, начиная с оценки безопасности, заканчивая реагированием на инциденты безопасности

Отдельная проблема современной информационной безопасности – обилие непонятных аббревиатур. Достаточно сложно их запомнить и разобраться, какие из них являются протоколами, алгоритмами, фреймворками, стандартами, методами или технологиями, а какие – типами и классами программно-аппаратных решений или торговыми марками. 

Наконец, не всегда понятно, насколько современной и актуальной является та или иная технология безопасности, а также какое место она занимает в современной индустрии безопасности, как связана с другими технологиями, и какие её преимущества и недостатки. А главное – насколько фундаментальна и перспективна каждая технология, а также стоит ли инвестировать силы, средства, время и другие ресурсы в её освоение и внедрение.

Наши решения

Представляем вам обзор программно-аппаратных решений в сфере информационной безопасности. Он даёт вам представление о 131 классе решений и технологий кибербезопасности, сгруппированных в 15 категорий. Эта классификация охватывает широкий спектр инструментов и методов, начиная от защиты данных и криптографических решений, до систем корреляции событий и управления рисками.

Для упрощения в этой работе мы используем в качестве синонимов понятия методов, методологий и технологий информационной безопасности. С другой стороны, также мы используем в качестве синонимов средства, инструменты, системы и решения для обозначения более конкретных реализаций этих технологий и методов. 

Отдавая дань роли научных исследований в техническом прогрессе, мы также верим в движущую силу рынка. Зачастую при развитии технологий люди “голосуют кошельком” за те или иные технологии. Маркетинговые активности производителей решений задают тон при формировании направлений развития технологий, однако окончательное решение о том, как они будут эволюционировать, принимают их пользователи, инвестируя своё время, внимание и деньги в то или иное решение. 

Поэтому, учитывая, что в кибербезопасности довольно много всевозможных методов, средств и технологий, мы концентрируемся в первую очередь на популярных классах корпоративных программно-аппаратных решений, вплоть до продуктов и сервисов, и во вторую очередь – на технологиях, лежащих в основе этих решений. Некоторые из этих решений и технологий являются многоцелевыми и используются не только в безопасности, но и в смежных областях. Например, в управлении конфигурациями или производительностью, а также в других ИТ- и бизнес-процессах.

Эта работа может стать для вас одной из точек входа в мир информационной безопасности. Надеемся, она послужит вам в качестве учебника, справочника или даже настольного руководства, особенно если вы активно занимаетесь решениями или технологиями в области кибербезопасности. 

В любом случае, наша работа поможет вам не только получить общее представление об автоматизации в области информационной безопасности, но и приблизиться к пониманию того, какие сервисы или инструменты могут подойти для защиты конкретной цифровой среды.

Таким образом, основная цель этой работы – методически классифицировать популярные программно-аппаратные решения в области информационной безопасности, показать их взаимосвязь и развитие, описать общепринятые сокращения их названий (акронимы), а также рассмотреть, как эти решения помогают решать актуальные проблемы информационной безопасности, преимущественно, корпоративной безопасности.

Гонка угроз и защит

От чего, собственно, защищают решения по информационной безопасности? Для последовательного и глубокого понимания развития решений информационной безопасности, есть смысл сначала рассмотреть ретроспективу и эволюцию угроз информационной безопасности. 

С появлением и развитием компьютеров и компьютерных сетей в середине ХХ века каждое новое десятилетие угрозы технологических правонарушений, проблемы конфиденциальности, целостности и доступности информации приобретали качественно новые формы и уровни:

  • 1950-е годы: Масштабные инциденты ИБ были редкостью, так как компьютерные технологии только начинали развиваться. Основной фокус был на физической безопасности и защите информации от шпионажа в холодной войне.
  • 1960-е годы: По мере развития компьютерных технологий и сетевых коммуникаций, появились первые случаи несанкционированного доступа к компьютерным системам. Хакеры начали исследовать способы проникновения в системы и сети, хотя эти действия часто были мотивированы скорее любопытством, чем злонамеренностью. Понятие “инцидент информационной безопасности” ещё не имело современного значения.
  • 1970-е годы: Появление первых прообразов компьютерных вирусов и антивирусов – самораспространяющихся программ Creeper и Reaper. Развитие телефонного мошенничества. Например, один из первых в мире хакеров Джон Дрейпер (известный как Капитан Кранч) использовал свисток из коробки хлопьев для имитации тональных сигналов телефонной сети AT&T, чтобы получить бесплатный доступ к дальней связи.
  • 1980-е годы: Активно развиваются компьютерные вирусы и хакерская среда. Кибератаки стали использовать в политических и идеологических конфликтах. В 1982 году США добавили программную закладку в позаимствованную у них Советским Сюзом систему управления трубопроводом, вызвав взрыв мощностью 3 килотонн и пожар в Сибири. В конце 1980-х немецкий хакер Маркус Хесс, завербованный КГБ, взломав компьютеры университетов и военных баз США, ярко продемонстрировал уязвимость критически важных систем. В 1988 году Роберт Моррис запустил первого компьютерного червя для ARPANET, который парализовал около 10% компьютеров, подключенных к сети. Роберт Моррис стал первым в мире осужденным за компьютерное преступление. 
  • 1990-е годы: Растёт киберпреступность и кибершпионаж. Первые случаи фишинга и атак DDoS. С расширением Интернета и появлением новых сервисов, таких как электронная почта, социальные сети, онлайн-игры и т.д., появилось больше возможностей для криминалитета, который пытался получить выгоду или информацию из этих ресурсов. В 1994 году Владимир Левин (известный как Хакер 007) украл около 10 миллионов долларов из банка Citibank, используя доступ к его сети через Интернет. В 1998 году два калифорнийских подростка осуществили крупную атаку на Пентагон, названную Solar Sunrise.
  • 2000-е годы: Методы киберпреступников продолжают бурно развиваться. Появились ботнеты – сети взломанных компьютеров, используемых хакерами для краж информации, отправки спама, DDoS-атак, маскировки взломов и других целей. Кибератака на Эстонию в 2007 году стала крупным примером политически мотивированной кибератаки. С развитием социальных медиа и мобильных технологий, появилась новая форма выражения своего мнения или недовольства – киберактивизм и киберпротест. Некоторые группы и индивидуумы стали использовать кибератаки как средство привлечения внимания или демонстрации своей позиции. В 2008 году хактивистская группа Anonymous запустила операцию Chanology против Церкви саентологии, используя DDoS-атаки, взломы сайтов и другие методы. 
  • 2010-е годы: Первые случаи краж криптовалют, угрозы Интернету вещей (IoT) и атаки на цепочки поставок. Появились криптомайнеры, использующие ресурсы компьютера для добычи криптовалют. Бурно развился кибершантаж на основе программ-вымогателей, которые зашифровывают данные пользователя и требуют выкуп за их восстановление. В 2017 году глобальная атака вымогателя WannaCry заразила более 200 тысяч компьютеров в 150 странах, требуя от пользователей заплатить от 300 до 600 долларов в биткоинах за разблокировку своих файлов. 
  • 2020-е годы: Фишинговые атаки и другие методы социальной инженерии эволюционировали и начали применять искусственный интеллект. Например, глубокие подделки (дипфейки) – реалистичные аудио- и видео-подделки для дезинформации или мошенничества. В связи с пандемией коронавируса получили популярность атаки на удаленных сотрудников. Увеличилась активность государств в сфере кибершпионажа и кибервойн. Атаки на цепочки поставок продолжили развиваться. Атака на поставщика сетевых решений и решений по безопасности SolarWinds в 2020 году оказалась крупномасштабной кибершпионской операцией, затронувшей многие правительственные органы и частные компании в США и других странах.

Сегодня почти каждая организация сталкивалась с киберпроблемами. Около 83% организаций обнаруживают утечки данных в ходе своей деятельности. Это подчёркивает критическую необходимость развития и внедрения надёжных решений для защиты информации, в том числе, программно-аппаратных решений. Они развиваются, практически не отставая от развития угроз. Темпы роста ущерба мировой экономики от инцидентов информационной безопасности сравнимы с темпами роста рынка решений по информационной безопасности.

В то время как угрозы информационной безопасности усложняются, функции программно-аппаратных решений также активно развиваются. Они защищают от угроз не только при возникновении атак, но и на всё более дальних рубежах. Технологии безопасности ликвидируют самые ранние предпосылки и условия уязвимостей, задействуют передовые технологии вроде облаков, блокчейна и нейросетей, улучшают наблюдаемость систем и качество анализа, а также предлагают всё более сложные средства смягчения и компенсации рисков.

Таким образом, понимание основ и трендов автоматизации защиты информации становится необходимостью не только для специалистов в области информационных технологий и кибербезопасности, но и для руководителей организаций и даже для широкого круга пользователей, стремящихся обезопасить свои данные в цифровую эпоху, в том числе, оценить безопасность своих данных, компьютеров, смартфонов, приложений, а также качество безопасности поставщиков ИТ-услуг и продуктов. 

Группы программно-аппаратных решений информационной безопасности

Принятый нами способ структурирования разделов и классов решений не является догмой. Например, некоторые решения можно отнести сразу к нескольким группам, а другие решения могут требовать отдельных разделов. Наш способ структурирования основан на соображениях облегчения усвоения материала. Мы придерживаемся принципов “бритвы Оккама” и “от простого к сложному”, а также исходим из допущения, что, чем проще и чем раньше появились технологии и средства, тем лучше они знакомы читателю, и тем легче у него в голове будет строиться общая картина. 

Структура обзора:

  1. Криптографические решения: EPM, ES, FDE, HSM, KMS, Password Management, PKI, SSE, TPM, TRSM, ZKP.
  2. Безопасность данных: DAG, Data Classification, Data Masking, DB Security, DCAP, DLP, DRM, IRM, Tokenization.
  3. Обнаружение угроз: CCTV, DPI, FIM, HIDS, IDS, IIDS, NBA, NBAD, NIDS, NTA.
  4. Предотвращение угроз: ATP, AV, HIPS, IPS, NG-AM, NGAV, NGIPS, NIPS.
  5. Корректирующие и компенсирующие решения: Backup and Restore, DRP, Forensic Tools, FT, HA, IRP, Patch Management Systems.
  6. Обманные решения: Deception Technology, Entrapment and Decoy Objects, Obfuscation, Steganography, Tarpits.
  7. Управление идентификацией и доступом: IDaaS, IDM, IGA, MFA, PAM, PIM, PIV, SSO, WAM.
  8. Безопасность доступа к сети: DA, NAC, SASE, SDP, VPN, ZTA, ZTE, ZTNA.
  9. Сетевая безопасность: ALF, CDN, DNS Firewall, FW, NGFW, SIF, SWG, UTM, WAAP, WAF.
  10. Управление конечными точками: EDR, EMM, EPP, MAM, MCM, MDM, MTD, UEM, UES.
  11. Безопасность приложений и DevSecOps: CI/CD, Compliance as Code, Container Security Solutions, IaC, Policy as Code, RASP, Sandboxing, SCA, Secrets Management Tools, Threat Modeling Tools. 
  12. Управление уязвимостями: CAASM, DAST, EASM, IAST, MAST, OSINT Tools, PT, SAST, VA, VM, Vulnerability Scanners.
  13. Облачная безопасность: CASB, CDR, CIEM, CNAPP, CSPM, CWPP.
  14. Управление информацией и событиями безопасности: DRPS, LM, MDR, NDR, NSM, SEM, SIEM, SIM, SOAR, TIP, UEBA, XDR.
  15. Управление рисками: CCM, CMDB, CSAM, GRC, ISRM, Phishing Simulation, SAT.

В некоторых случаях аббревиатуры могут быть не универсально узнаваемыми без соответствующего контекста или определений, особенно для читателей, не специализирующихся в этой области.

Для некоторых решений общепринятые уникально идентифицируемые аббревиатуры не устоялись, поэтому используются полные наименования. 

Криптографические решения 

Криптография была одной из первых дисциплин в рамках информационной безопасности. Начиная с античных времен, военные, дипломаты и шпионы использовали различные приспособления и средства шифрования, дешифрования и передачи секретной информации. В средние века криптография продолжила развитие и стала более сложной и разнообразной, включая различные формы транспозиционных и подстановочных шифров. 

С начала XX века, технологии криптографии эволюционировали непрекращающимся потоком механических, электронных и математических инноваций, достигнув такой степени развития, что теперь они укоренились в нашей повседневной жизни повсеместно, став незаметной, но неотъемлемой частью практически любой работы с цифровой информацией.

Современные криптографические решения играют ключевую роль в защите данных и систем их обработки. Криптографические технологии присутствуют в очень многих классах систем информационной безопасности. Тем не менее, мы решили выделить несколько классов общих и специализированных криптографических решений.

  • ES (Encryption Solutions) – общий класс решений, защищающих данные, преобразуя их в зашифрованную форму, доступ к которой возможен только с помощью правильного ключа. Решения по шифрованию появились в докомпьютерную эпоху. Они охватывают широкий спектр инструментов и технологий, предназначенных для шифрования данных, как находящихся в состоянии покоя, так и передаваемых. Это может включать в себя пользовательские приложения шифрования, протоколы шифрования для безопасной связи (например, SSL/TLS для интернет-трафика) и сервисы шифрования, предоставляемые облачными провайдерами. Цель этих решений – обеспечить конфиденциальность и целостность данных путем преобразования читаемых данных в нечитаемый формат, который можно обратить только с помощью правильных ключей расшифровки.
  • FDE (Full Disk Encryption) – это класс программных или аппаратных решений, предназначенных для шифрования всех данных на жестком диске компьютера или другого устройства. Это обеспечивает защиту информации на уровне всего диска, включая системные файлы, программы и данные. Основная цель FDE – обеспечение конфиденциальности и защиты данных на устройстве от несанкционированного доступа, особенно в случае его потери или кражи. Разновидности FDE – программные и аппаратные решения. Системы FDE связаны с технологией TPM. Одна из первых систем FDE Jetico BestCrypt была разработана в 1993 году. Распространенными решениями FDE, встроенными в операционные системы, являются Microsoft BitLocker и Apple FileVault.
  • Password Management Tools (Password Managers) – инструменты, предназначенные для упрощения и улучшения процессов создания и хранения паролей. Функции менеджеров паролей – генерация сильных паролей, хранение и упорядочивание паролей, автоматическое заполнение форм, смена паролей. Разновидности инструментов по управлению паролями – персональные менеджеры паролей; менеджеры паролей для команд, предоставляющие функционал совместного использования паролей в рабочих группах; менеджеры привилегированных паролей; корпоративные менеджеры паролей (EPM). Первый программный менеджер паролей Password Safe был создан Брюсом Шнайером в 1997 году как бесплатная утилита для Microsoft Windows 95. По состоянию на 2023 год наиболее часто используемым менеджером паролей был встроенный менеджер паролей Google Chrome.
  • EPM (Enterprise Password Management) – это развитие менеджеров паролей в применении на всю организацию. Эти решения предназначены для централизованного управления паролями, предоставляя управление, мониторинг и защиту привилегированных учетных записей как пользовательских, так и сервисных учётных записей в организациях. Функции EPM – централизованное управление паролями, автоматическое обновление паролей, отслеживание активности паролей, регулярный аудит для обеспечения соответствия политикам безопасности, управление доступом на основе ролей. Разновидности EPM – наземные и облачные. Решения EPM связаны с решениями PAM. Решения для управления паролями в корпоративной среде начали развиваться в начале 2000-х годов.
  • TRSM (Tamper-Resistant Security Module) – это общее название устройств, предназначенных для особой устойчивости к физическому вмешательству и несанкционированному доступу. Эти модули часто включают дополнительные меры физической безопасности, такие как механизмы самоуничтожения, чтобы предотвратить физические атаки или несанкционированный доступ к ключам шифрования и криптографическим операциям, которые они выполняют. TRSM необходимы в средах, где безопасность является основной заботой, таких как военные или финансовые учреждения. Простейшими примерами TRSM являются платёжные смарт-карты, которые появились в 1970-х годах. Также примерами TRSM являются POS-терминалы и устройства HSM.
  • HSM (Hardware Security Module) – физическое вычислительное устройство, которое защищает секреты и управляет ими. HSM появились в конце 1970-х годов. Аппаратные модули безопасности обычно обеспечивают безопасное управление наиболее важными криптографическими ключами и операциями. HSM используются для генерации, хранения и управления ключами шифрования в безопасной форме, предлагая более высокий уровень безопасности, чем программное управление ключами, поскольку ключи хранятся в защищенном от взлома аппаратном устройстве. HSM широко используются в средах с высоким уровнем безопасности, таких как финансовые учреждения, государственные агентства и крупные предприятия, где защита чувствительных данных имеет решающее значение.
  • KMS (Key Management Systems) – это решения, предназначенные для централизованного управления криптографическими ключами, используемыми для шифрования данных. Основной их задачей является обеспечение безопасности, доступности и управления жизненным циклом ключей. KMS автоматизируют процессы создания, распределения, хранения, ротации и уничтожения ключей. Они интегрируются с различными приложениями и инфраструктурой, предоставляя централизованный контроль над шифрованием в предприятиях. Идея централизованного управления криптографическими ключами начала развиваться в 1970-х годах вместе с ростом использования криптографии, но конкретные системы KMS начали активно разрабатываться и внедряться в 1990-х и 2000-х годах. 
  • PKI (Public Key Infrastructure) — это система, используемая для создания, управления, распределения, использования и хранения цифровых сертификатов и открытых криптографических ключей. Она обеспечивает безопасное цифровое подписывание документов, шифрование данных и аутентификацию пользователей или устройств в электронных системах. PKI является ключевым элементом в обеспечении безопасности сетевых коммуникаций и транзакций, позволяя участникам обмениваться данными конфиденциально и подтверждать подлинность друг друга. PKI предоставляет набор инструментов для управления асимметричными ключами и сертификатами как в рамках отдельных организаций, так и целых государств. Этим решения PKI отличаются от решений KMS, которые сосредоточены на более гибком управлении ключами, однако обычно только в рамках одного предприятия. История PKI началась в 1970-х годах с разработки асимметричного шифрования, однако концепция PKI в современном понимании была разработана и стандартизирована в 1990-х годах. С появлением блокчейна Ethereum в 2015 году начали развиваться децентрализованные PKI.
  • SSE (Server-Side Encryption) – метод шифрования данных, хранящихся на стороне сервера, применяемый с начала 2000-х годов для повышения безопасности данных. Шифрование на стороне сервера представляет собой шифрование данных на накопителях сервера. Ключи шифрования управляются самим сервером или центральной системой управления ключами. Это гарантирует доступ к данным только уполномоченных лиц. SSE особенно эффективен для защиты конфиденциальных данных в облачном хранилище, так как предотвращает несанкционированный доступ даже в случае компрометации физических устройств хранения.
  • TPM (Trusted Platform Module) – это аппаратный компонент, который обеспечивает безопасное хранение криптографических ключей, используемых для шифрования и защиты информации на компьютере или другом устройстве. TPM устанавливается на материнскую плату устройства или встроен в процессор. Впервые концепция TPM была представлена консорциумом Trusted Computing Group (TCG) и стандартизована ISO в 2009 году. С тех пор TPM стал стандартным компонентом во многих компьютерах, особенно в корпоративном секторе, где требования к безопасности особенно высоки.
  • ZKP (Zero-Knowledge Proof) – технология доказательства с нулевым доверием используется для выполнения задачи коммуникаций, когда одной стороне нужно убедить другую сторону, что первая знает какую-то тайну, не раскрывая эту тайну, кроме достоверного факта её наличия. В развитие технологии ZKP в 1980-х годах внесли вклад Сильвио Микали, Шафи Голдвассер, Одед Голдрейх, Ави Вигдерсон и Чарльз Ракофф. Начиная с 2020 года, в рамках метода ZKP созданы пост-квантовые системы безопасности, то есть, системы, устойчивые к криптоанализу на квантовых компьютерах. Технология ZKP находит всё больше применений, от безопасности транзакций и аутентификации до обеспечения конфиденциальности в блокчейн-системах и других приложениях, где важна защита личных данных и конфиденциальности.

Безопасность данных 

Не вся информация может быть зашифрована, и не все угрозы могут быть обнаружены и устранены. Даже зашифрованная информация по-прежнему может быть уничтожена или заблокирована, может исказиться или утечь из-за ошибок пользователя и уязвимостей его компьютера. 

Решения этой группы можно отнести и к некоторым другим группам, описанным в этой работе, например, к предотвращению угроз. Однако здесь мы сосредоточимся на специализированных технологиях в области безопасности структурированных и неструктурированных данных. Поэтому эти решения выделены в отдельную категорию. Они непрерывно развивались со времён появления первых баз данных в 1960-х годах.

Применение этих технологий позволяет не только защитить важную информацию, но и улучшить операционную эффективность, повысить доверие клиентов и соответствовать растущим требованиям в области безопасности информации. 

  • DB Security (DataBase Security) решения по безопасности баз данных (БД) обеспечивают защиту структурированных данных, хранящихся в базах данных, от несанкционированного доступа, модификации, утечек или уничтожения. Некоторые из этих функций, такие как управление доступом и идентификация, а также резервное копирование и восстановление, появились ещё в 1960-х годах и активно развивались с 1980-х годов. Другие функции, такие как шифрование данных в БД, аудит и мониторинг БД, маскирование данных в БД, защита от SQL-инъекций и других видов атак, стали популярными с 2000-х годов.
  • DAG (Data Access Governance) – технология управления угрозами несанкционированного доступа к конфиденциальным и ценным неструктурированным данным, которая начала развиваться в 2000-х годах. DAG уменьшает как вредоносные, так и незлонамеренные угрозы, гарантируя безопасное хранение конфиденциальных файлов, правильное соблюдение прав доступа и доступ к данным только авторизованным пользователям. Также DAG обеспечивает активную защиту репозиториев, в которых хранятся конфиденциальные и ценные данные.
  • Data Masking – эти технологии заменяют конфиденциальные данные на фиктивные, нереальные информационные элементы. Этот процесс сохраняет формат и вид оригинальных данных, но делает их бесполезными для любого, кто пытается их использовать в неправомерных целях. Маскирование данных широко используется для защиты личной и конфиденциальной информации во время разработки, тестирования и анализа данных. Это помогает предприятиям соответствовать стандартам конфиденциальности и нормативным требованиям, таким как GDPR. Маскирование данных стало активно применяться в 2000-х годах. 
  • Tokenization – это технология, которая заменяет конфиденциальные данные неконфиденциальными эквивалентами, которые, как правило, имеют другой вид и формат. Этим токенизация отличается от маскирования данных. Например, в процессе токенизации конфиденциальный элемент данных, такой как номер кредитной карты, полностью заменяется на неконфиденциальный эквивалент, известный как токен, который не имеет внешнего или эксплуатируемого смысла или ценности. Токен соотносится с чувствительными данными через систему токенизации, но не раскрывает оригинальные данные. Решение начало применяться в начале 2000 годов и широко используется в обработке платежей.
  • DRM (Digital Rights Management) – технология, предназначенная для контроля использования цифровых медиа и контента. Первым примером DRM стала система, разработанная Рюичи Мория в 1983 году. Активное развитие DRM началось в конце 1990-х годов. Одной из первых компаний, активно внедривших DRM, была Sony. Технология DRM используется правообладателями для управления условиями использования, копирования и распространения контента. Это достигается путем применения различных технических средств, включая шифрование, водяные знаки, лицензионные ключи и ограничения на функции копирования и печати. Хотя соблюдение авторских прав считается смежным (неосновным) требованием информационной безопасности, мы рассмотрели DRM в контексте следующего класса решений – IRM (Information Rights Management).
  • IRM (Information Rights Management), E-DRM (Enterprise Digital Rights Management, Enterprise DRM) – это технология, предназначенная защиты конфиденциальной информации в документах и электронных файлах. Решения IRM появились в конце 1990-х – начале 2000-х годов как развитие решений DRM, описанных выше. В отличие от DRM, ориентированной на физических лиц, решения IRM применяются в основном в организациях. Одним из ранних пионеров в этой области является компания Adobe, которая включила технологии IRM в свои продукты для управления правами на документы PDF. Эти решения позволяют ограничивать доступ к информации и контролировать ее использование даже после того, как она вышла за пределы исходной организации. IRM включает в себя шифрование данных и применение политик доступа, которые определяют, кто и как может просматривать, редактировать, печатать или передавать информацию. IRM является ключевым элементом в стратегиях защиты данных многих организаций.
  • Data Classification – решения по классификации данных  помогают обнаруживать, идентифицировать, категоризировать и маркировать данные в соответствии с их конфиденциальностью, значимостью и другими критериями. Решения по классификации данных начали широко применяться в 2000-х годах. Основная цель этих решений – облегчить управление данными, обеспечить соответствие нормативным требованиям, предоставить возможность интеграции с системами DLP (защита от утечек данных), шифрованием и другими решениями. 
  • DLP (Data Loss Prevention, реже – Data Leakage Prevention) – решения по предотвращению утечек данных начали предлагаться в середине 2000-х годов такими компаниями, как Symantec, McAfee и Digital Guardian. Эти решения обеспечивают идентификацию, мониторинг и предотвращение утечек конфиденциальных данных. Это включает защиту данных в использовании, данных в движении и данных в покое с помощью контентного и контекстного анализа, а также классификации данных. Решения DLP контролируют и регулируют передачу данных в сети организации так, чтобы конфиденциальная информация не покидала заранее заданные периметры без разрешения. Решения DLP важны для защиты интеллектуальной собственности, соответствия нормам конфиденциальности и предотвращения случайных или злонамеренных утечек данных.
  • DCAP (Data-Centric Audit and Protection) – это решения по аудиту и защите данных в центрах их обработки и хранения. Эти системы обеспечивают мониторинг, анализ и защиту данных на всех этапах их жизненного цикла, от создания до уничтожения. Они позволяют организациям отслеживать и анализировать доступ и использование данных, обнаруживать необычные или подозрительные шаблоны поведения и предотвращать утечки информации. DCAP включает в себя инструменты классификации данных, мониторинга доступа, аудита, защиты от угроз и обеспечения соответствия нормативным требованиям. Решения DCAP начали развиваться как отдельное направление в начале 2010-х годов в ответ на усиление угроз безопасности данных и возрастающие требования соответствия нормативным стандартам. Решения DCAP стали результатом эволюции и синтеза технологий в области безопасности информационных систем, аналитики данных и кибербезопасности. 

Обнаружение угроз

Согласно одной из общепринятых простых классификаций методов и средств информационной безопасности, все эти методы и средства делятся на обнаруживающие (detective), предотвращающие (preventive) и корректирующие (компенсирующие). Такое разделение достаточно условное, однако оно соответствует жизненному циклу проблем информационной безопасности – от угроз и эксплуатации уязвимостей до инцидентов и ущерба от них. Поэтому такая классификация полезна для обучения.

Очевидно, чем раньше угроза информационной безопасности будет обнаружена, тем эффективнее защита от неё. Поэтому технологии информационной безопасности закономерно развились в сторону проактивного подхода к обнаружению угроз безопасности, увеличения глубины анализа и адаптации к поиску угроз в специфических средах или условиях. 

Некоторые из этих решений можно отнести к другим группам, например, к сетевой безопасности. Однако, для улучшения последовательности изложения и упрощения освоения материала, соблюдая баланс между применением узких и широких групп решений, мы решили описать эти решения именно в группе обнаруживающих технологий.

  • CCTV (Closed-Circuit Television) – это система видеонаблюдения. Она была изобретена Львом Терменом в 1927 году и до сих пор активно используется в различных сферах безопасности. CCTV применяются для наблюдения за безопасностью в реальном времени и для расследований прошлых событий. В современных CCTV используются технологии записи, обработки, хранения, анализа и воспроизведения видеоинформации, часто со звуком. Также используются технологии распознавания лиц, автомобильных номеров и другие способы идентификации. 
  • FIM (File Integrity Monitoring) – эта технология фокусируется на мониторинге и обнаружении изменений в файлах системы и прикладного программного обеспечения. Это включает в себя проверку целостности файлов, настройки системы, реестра, и других критически важных элементов. Основная задача FIM – обнаружение несанкционированных изменений, которые могут быть признаками взлома, вредоносного ПО или внутреннего нарушения безопасности. FIM работает путём сравнения текущего состояния файлов и конфигураций с известным, доверенным «базовым уровнем». Любое отклонение от этого базового уровня может быть признаком проблемы безопасности. Концепция FIM развивалась с 1980-х годов. Одну из первых систем FIM Tripwire, используемую до сих пор, создали в 1992 году Юджин Спаффорд и Джин Ким.
  • IDS (Intrusion Detection System) – система, отслеживающая системные события и сетевой трафик на предмет подозрительных действий или атак. IDS сравнивает проверяемые данные с известными сигнатурами или образцами атак, а также с нормальным профилем поведения для обнаружения отклонений. При их наличии IDS генерирует оповещения или отчеты о выявленных инцидентах, а также предоставляет контекстную информацию для их понимания и реагирования. Самая ранняя предварительная концепция IDS была сформулирована в 1980 году Джеймсом Андерсоном. В 1986 году Дороти Деннинг и Питера Нейман опубликовали модель IDS, которая легла в основу многих современных систем.
  • HIDS (Host-based Intrusion Detection System, Host-based IDS) – подкласс IDS, который отслеживает и анализирует входящий и исходящий трафик с хоста – компьютера или другого устройства, а также файлы и системные журналы для выявления подозрительной или вредоносной активности. HIDS предназначены для обнаружения вторжений и подозрительной активности на конкретном компьютере. Они могут обнаруживать вредоносные программы, руткиты, фишинг и некоторые другие формы атак. HIDS обычно используют сигнатуры известных угроз, аномальное поведение или оба этих метода для выявления подозрительной активности. Решения HIDS развиваются с 1980-х годов в тесной связи с системами FIM. 
  • NIDS (Network Intrusion Detection System, Network IDS) – подкласс IDS, который отслеживает и анализирует сетевой трафик с целью выявления вредоносной активности, несанкционированного доступа или нарушения политик безопасности. Эти системы обычно встроены в активные сетевые устройства (коммутаторы, маршрутизаторы и т.д.) и выполняют мониторинг и анализ как внешнего, так и внутреннего сетевого трафика на предмет аномального или подозрительного поведения, такого как DoS-атаки, сканирование портов, попытки проникновения и т.д. Кроме анализа сетевого трафика, генерации оповещений или отчетов о выявленных инцидентах, NIDS также интегрируются с другими системами безопасности, такими как межсетевые экраны, системы предотвращения вторжений (IPS), системы SIEM и т.д. NIDS развиваются с конца 1980-х годов. 
  • IIDS (Industrial Intrusion Detection System, Industrial IDS) – системы обнаружения вторжений, специально разрабатываемые для промышленных сетей, таких как SCADA, ICS или IIoT с конца 1990-х годов. IIDS отслеживают аномальное или вредоносное поведение в промышленных сетях, что может быть связано с кибератаками, ошибками оборудования или нарушениями политик безопасности. IIDS также собирают информацию о состоянии устройств и параметрах процессов в промышленных сетях и предоставляют информацию о характере, источнике и последствиях обнаруженных инцидентов, а также рекомендации по их устранению.
  • DPI (Deep Packet Inspection) – это технология проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика, а также накопления статистических данных. Концепция DPI начала развиваться с конца 1990-х. Технология позволяет операторам связи, организациям и государственным органам применять различные политики и меры по обеспечению безопасности, качества и эффективности сетевого обмена данными. В рамках этого подхода выполняется анализ не только заголовков, но и полезной нагрузки сетевых пакетов, начиная со второго (канального) уровня модели OSI. Выполняется идентификация и классификация протоколов, приложений, пользователей и других сущностей, участвующих в сетевом обмене. Дальнейшее развитие технологии позволило применять её не только для обнаружения угроз, сбора и анализа статистических данных о сетевом обмене для мониторинга, отчетности и оптимизации, но и для блокирования вредоносного кода, атак, утечек данных и других нарушений безопасности, а также для реализации QoS (Quality of Service) и других механизмов управления трафиком, таких как ограничение скорости, приоритизация, кэширование и другие. 
  • NTA (Network Traffic Analyzer, также network analyzer, packet analyzer, packet sniffer, protocol analyzer) – это программные или аппаратные инструменты, предназначенные для мониторинга и анализа сетевого трафика в реальном времени в проводных и беспроводных сетях. NTA предоставляют детальную информацию о характеристиках трафика, включая источники, назначение, объем и типы передаваемых данных. В отличие от NIDS, NTA предоставляют более широкий обзор сетевой активности и используются не только в безопасности, но и для решения разных сетевых и прикладных проблем. Анализаторы трафика интегрируются с системами IDS/IPS, SIEM, SOAR, а также с инструментами управления сетевыми конфигурациями и устройствами. История анализа трафика начинается с перехвата и расшифровки вражеской информации во время первой и второй мировых войн. Один из первых компьютерных анализаторов трафика “tcpdump”, работающий в командной строке и используемый до сих пор, появился в 1988 году. Анализатор Ethereal, который появился в 1998 году, развил технологию NTA. В 2006 году Ethereal был переименован в Wireshark. Этот инструмент также до сих пор популярен. В 2020 году решения NTA эволюционировали в NDR (Network Detection and Response).
  • NBA (Network Behavior Analysis) – это класс решений, предназначенных для мониторинга и анализа поведения сети с целью обнаружения аномалий а также, как дополнительный эффект этого анализа, – для обнаружения угроз безопасности. Технологии NBA включают анализ журналов событий и сетевого трафика, и применяются при мониторинге производительности и безопасности сети. Решения NBA иногда интегрируются с IDS, IPS, SIEM, EDR и другими системами. Технологии NBA развивались с начала 2000-х годов. Со временем решения NBA эволюционировали, включив в себя машинное обучение и искусственный интеллект. 
  • NBAD (Network Behavior Anomaly Detection) – эта технология, согласно одной группе источников, является компонентой решений NBA и специализируется исключительно на безопасности, а также отвечает за раннее обнаружение и предотвращение инцидентов, таких как вирусы, черви, DDoS-атаки или злоупотребления полномочиями. Согласно другой группе источников, NBA и NBAD – это одно и то же. У нас есть основания полагать, что часть производителей NBA нарастили функционал NBAD в своих системах, а часть производителей NBAD решили называть свои системы NBA, размывая границу между данными двумя классами решений.

Предотвращение угроз

После обзора различных инструментов и методов для обнаружения угроз информационной безопасности, перейдём к следующему этапу жизненного цикла проблем безопасности и их решений – к предотвращению угроз. Если обнаружение угроз является первым шагом к обеспечению безопасности, то предотвращение угроз – это наиболее активный этап борьбы с ними. 

В этом разделе мы сосредоточимся на программно-аппаратных решениях, которые не только обнаруживают угрозы, но и, главным образом, активно препятствуют их реализации, обеспечивая более высокий уровень защиты систем и данных. Мы рассмотрим, как современные технологии и инновационные подходы могут служить барьером против разнообразных угроз, начиная от компьютерных вирусов и хакерских атак, и заканчивая защитой веб-сайтов и отдельных важных серверных компонентов. 

Как и в случае с вышеописанными решениями по обнаружению угроз, некоторых из классов решений, описанных ниже, можно включить в другие группы решений, например, по сетевой безопасности или по защите конечных точек. Однако, учитывая функциональную суть нашей классификации, мы решили описать их тут для улучшения понимания материала.

  • AV (Antivirus) – специализированная программа для обнаружения и удаления вредоносного программного обеспечения, такого как вирусы, трояны, черви, шпионские и рекламные программы, руткиты и другие. Прототипы антивирусов появились в 1970-х, а первые популярные антивирусы – в 1980-х годах. Антивирус защищает компьютер от заражения вредоносным кодом, а также восстанавливает поврежденные или модифицированные файлы. Антивирус также может предотвращать заражение файлов или операционной системы вредоносным кодом с помощью проактивной защиты, которая анализирует поведение программ и блокирует подозрительные действия. Большинство современных коммерческих антивирусов расширили свои возможности и перешли в категорию решений EPP (Endpoint Protection Platforms). 
  • NGAV (Next-Generation Antivirus), NG-AM (Next-Generation Anti-Malware) – это современный подход к развитию антивирусов, который выходит за рамки традиционных антивирусов, предлагая более широкий и глубокий уровень защиты. NGAV использует передовые методы, такие как машинное обучение, анализ поведения, искусственный интеллект и облачные технологии, для обнаружения и предотвращения не только известных вирусов и вредоносного ПО, но и новых, ранее неизвестных угроз. Эти системы способны анализировать большие объемы данных в реальном времени, обеспечивая защиту от сложных и целенаправленных атак, таких как эксплойты нулевого дня, ransomware и продвинутые постоянные угрозы (APT). Термин “Next-Generation Antivirus” начал использоваться в середине 2010-х годов. Компании CrowdStrike и Cylance были среди первых, кто начал продвигать идею NGAV.
  • IPS (Intrusion Prevention System) – система, предназначенная для обнаружения и предотвращения попыток несанкционированного доступа и других атак в компьютерных сетях и на отдельных компьютерах. Первые системы IPS появились в начале 1990-х годов как логичное развитие систем обнаружения вторжений (IDS). В отличие от IDS, системы IPS не только обнаруживают подозрительную активность, но и предпринимают шаги для ее нейтрализации, что делает их более эффективными в предотвращении атак, чем IDS. В то же время, как правило, любая система IPS может работать в режиме IDS. Поэтому довольно часто применяется составная аббревиатура IDS/IPS, реже – IDPS или IDP System. Компании Cisco Systems и Juniper Networks, были среди первых, кто начал предлагать решения IPS на коммерческой основе.
  • HIPS (Host-based Intrusion Prevention System) – это подкласс систем IPS и развитие систем HIDS для защиты от угроз на уровне отдельного хоста – компьютера или другого устройства. HIPS анализирует и контролирует входящий и исходящий трафик, активности приложений и системные изменения на хосте, обнаруживая и блокируя подозрительные действия, которые могут указывать на вторжение или вредоносное поведение. Системы HIPS могут использовать различные методы, включая анализ подписей, эвристический анализ, контроль изменений в системном реестре, файловых системах и важных системных файлах. С 2000-х годов системы HIPS активно развиваются и в последние десятилетия интегрируются в более сложные классы решений информационной безопасности. 
  • NIPS (Network Intrusion Prevention System) – это подкласс систем IPS и развитие систем NIDS для предотвращения несанкционированного доступа или других нарушений в компьютерных сетях. NIPS могут быть реализованы как в виде физических устройств, так и в виде программного обеспечения, и часто интегрируются с другими системами безопасности, такими как файрволы. NIPS постоянно анализируют сетевой трафик в реальном времени и могут автоматически блокировать подозрительный или вредоносный трафик, основываясь на предопределенных правилах безопасности и сигнатурах угроз. NIPS работают путем глубокого анализа пакетов и сеансов, применяя методы, такие как анализ сигнатур, анализ аномалий и поведенческий анализ, для определения и блокирования атак, таких как DoS (Denial of Service), DDoS, эксплойты, вирусы и черви. Одной из первых NIDS/NIPS, созданной в 1990-х годах и используемой до сих пор, является приложение Snort. Эволюция NIDS в NIPS усилилась в 2000-х годах, благодаря компаниям Cisco, Juniper Networks и McAfee. В последние десятилетия NIPS интегрируются в более сложные классы решений информационной безопасности. 
  • NGIPS (Next-Generation Intrusion Prevention System) – подкласс систем IPS, который обеспечивает более глубокий и интеллектуальный анализ сетевого трафика, в том числе, зашифрованного, а также применение политики использования приложений пользователями. NGIPS интегрируются с современными технологиями, такими как машинное обучение, поведенческий анализ и углубленный анализ данных, чтобы обнаруживать и предотвращать не только известные угрозы, но и ранее неизвестные или специфические атаки, такие как эксплойты нулевого дня и продвинутые постоянные угрозы (APT). Эти системы могут адаптироваться и реагировать на изменяющийся ландшафт угроз, обеспечивая защиту в динамичной и сложной сетевой среде. NGIPS часто интегрируются с системами SIEM. Концепция NGIPS начала развиваться в конце 2000-х – начале 2010-х годов. Компании FireEye, Palo Alto Networks и Cisco, внесли вклад в развитие и популяризацию NGIPS.
  • ATP (Advanced Threat Protection) – это комплексный класс решений в области кибербезопасности, предназначенный для защиты организаций от сложных угроз, таких как целенаправленные атаки, эксплойты нулевого дня и продвинутые постоянные угрозы (Advanced Persistent Threat, APT – не путать с ATP). ATP обеспечивает защиту на нескольких уровнях, включая сеть, конечные точки, приложения и облачные сервисы, используя различные методы, такие как машинное обучение, поведенческий анализ, песочницы (sandboxing) и углубленный анализ трафика. ATP интегрируются с различными компонентами инфраструктуры безопасности, обеспечивая централизованное управление и координацию мер безопасности. Решения ATP были предложены в 2000-х годах и начали активно продвигаться в середине 2010-х годов такими компаниями, как Symantec. 

Корректирующие и компенсирующие решения

Продолжая последовательность, начатую в двух предыдущих разделах при описании обнаруживающих и предотвращающих решений, логично описать третий вид мер безопасности в этом ряду – корректирующие и компенсирующие решения. Их отличие от детектирующих и превентивных решений – в ключевом способе их работы, нацеленном на исправление нарушений безопасности, которые уже произошли, или на снижение ущерба от них, в том числе, привлечение к ответственности нарушителей безопасности. 

Технически, для полноты картины в эту группу можно также включить инструменты кибер-контратак, однако такая деятельность находится на границе законности, поэтому мы не будем описывать эти инструменты.

В чистом виде корректирующими мерами являются те или иные меры резервного восстановления вышедших из строя данных, программного или аппаратного обеспечения, или сервисов, а компенсирующими мерами – услуги страховых компаний по возмещению ущерба после инцидентов безопасности, когда невозможно восстановление другими способами. Однако при некоторых допущениях в эту группу также можно включить некоторые другие методы и средства. 

  • Backup and Restore – системы резервного копирования и восстановления представляют собой критически важный класс программно-аппаратных решений, служащих для обеспечения сохранности и целостности данных путём создания резервных копий (бэкапов) важной информации для получения возможности её восстановления в случае её потери или повреждения. Ключевыми функциями этих систем являются регулярное автоматическое резервное копирование, шифрование данных, восстановление данных и управление версиями. Существуют локальные, облачные и гибридные системы резервного копирования. Методы и средства резервирования появились ещё в докомпьютерную эпоху, органически развивались с развитием вычислительной техники и в настоящее время интегрируются с EPP, DB Security и многими другими решениями и технологиями. 
  • HA (High-Availability) – решения высокой доступности являются развитием и автоматизацией технологий резервирования для работы в реальном времени. Системы HA минимизируют время простоя и гарантируют, что бизнес-критические приложения остаются хотя бы частично доступными для пользователей даже в случае сбоев или катастроф. Основные функции решений HA – репликация данных, автоматическое переключение, балансировка нагрузки, мониторинг и управление. Основные технические подходы к реализации HA – кластеризация, резервное копирование с немедленным переключением (failover) и распределенные системы. Технологии HA начали разрабатываться с самого начала развития вычислительной техники. С 1980-х годов, решения HA стали более доступными и разнообразными. 
  • FT (Fault-Tolerance) – отказоустойчивые решения являются развитием решений HA. За редким исключением, решения FT по функционалу превосходят решения HA. У решений FT выше уровень балансировки нагрузки, резервирования и сохранности данных. Как следствие, выше сложность, качество (доступность данных и сервисов) и стоимость. С другой стороны, масштабируемость решений FT обычно ниже HA за счёт встроенной архитектуры. Первый известный отказоустойчивый компьютер был создан в 1951 году Антонином Свободой. В дальнейшем агентство NASA, компания Tandem Computers и другие организации внесли вклад в развитие технологий FT.
  • DRP (Disaster Recovery Planning, Disaster Recovery Solutions) – это комплекс мер и средств, цель которых – минимизировать последствия катастроф: стихийных бедствий, крупных технологических аварий, кибератак и других подобных инцидентов, которые могут привести к сбоям в работе не только IT-инфраструктуры, но и всей организации. В отличие от решений Backup and Restore, процесс DRP рассматривает резервирование не только данных, но и любых других критических активов: программного обеспечения, оборудования, коммуникаций, ключевых поставщиков и т. д. В отличие от систем HA и FT, работающих автоматически в реальном времени, решения DRP часто ориентированы на ручное восстановление после относительно редких событий, хотя современные системы DRP используют автоматизированное переключение на резервные системы и инфраструктуру. Концепция восстановления после катастроф развивается с середины 1970-х годов. По мере развития, процессы и решения DRP стали включаться в состав корпоративного процесса планирования непрерывности бизнеса (Business Continuity Planning, BCP), который развивался с 1950-х годов. С конца 1990-х для объединения DRP и BCP начал применяться термин BCDR – Business Continuity and Disaster Recovery. 
  • Patch Management Systems – системы управления “заплатками” и другими обновлениями программного обеспечения. Цель управления патчами – поддерживать информационные системы обновленными и защищенными от известных уязвимостей и ошибок. Основные функции патч-менеджмента – инвентаризация программного и аппаратного обеспечения в организации, мониторинг уязвимостей, тестирование патчей, развертывание патчей, а также отчетность и аудит. Системы управления заплатками интегрируются с IDS/IPS, антивирусами, системами управления конфигурациями и инструментами оценки уязвимостей. Термин “патч” является буквальным. Со времени изобретения перфокарт в XVIII веке, в них по разным причинам делались ошибочные отверстия. Ориентировочно с 1930-х годов, с появлением счётных машин и перфокарт IBM, ошибки в них активно исправлялись бумажными “заплатками” (физическими наклейками) с правильными отверстиями, которые клеились прямо на перфокарты.
  • IRP (Incident Response Platform) – это решение, предназначенное для автоматизации реагирования на инциденты информационной безопасности. Основные цели IRP – эффективное реагирование на инциденты, минимизация их воздействия и предотвращение повторения. Функции IRP – поддержка сценариев автоматизированных реакций на угрозы, отслеживание и анализ инцидентов, регистрация стадий их жизненного цикла, предоставление инструментов для анализа и исследования инцидентов, коммуникации и координация реагирования, отчетность и документирование, обучение аналитиков и т. д. Системы IRP интегрируются с IDS/IPS, TIP, SIEM, EDR, SOAR и другими системами. Решения IRP начали развиваться в начале 2000-х годов и к началу 2020-х годов эволюционировали в SOAR.
  • Forensic Tools – это специализированный класс программных и аппаратных средств, предназначенных для сбора, анализа и представления данных, полученных из цифровых устройств в контексте расследования киберпреступлений или инцидентов информационной безопасности. Основная цель этих инструментов – обеспечить доказательную базу, в том числе, приемлемую в судах определённых юрисдикций, при расследовании преступлений, связанных с компьютерами и сетями, а также помочь в анализе инцидентов ИБ, таких как несанкционированный доступ, мошенничество или утечки данных. Инструменты расследований можно разделить по видам исследуемых объектов: компьютеры, мобильные устройства, сеть и облака. Применение неспециализированных инструментов расследований развилось в 1980-е годы. В 1990-х годах было создано несколько специализированных бесплатных и проприетарных инструментов (как аппаратных, так и программных), позволяющих проводить расследования с гарантией неизменности носителей данных, которая является одним из главных требований обеспечения доказательной базы. Важную роль в развитии инструментов цифровой форензики сыграли правоохранительные органы, такие как ФБР и Интерпол. Решения DFIR (Digital Forensics and Incident Response) являются комбинацией IRP и инструментов расследований.

Обманные решения

В этой группе описаны особенные решения, которые скрытным образом затрудняют реализацию нарушений безопасности. Это достигается косвенно, скрывая от злоумышленников реальные объекты или процедуры, либо непосредственного вводя злоумышленников в заблуждение. Этим данные решения отличаются от любых других решений, которые защищают активы открыто и полагаются, например, на режим доступа, секретность паролей или математическую стойкость шифрования.

Решения на основе технологий сокрытия основаны на полной или частичной маскировке информации или средств её защиты. Подход к сокрытию средств и методов информационной безопасности называется “Security through Obscurity” (безопасность через неясность). Этот подход часто критикуется как недостаточно надежный. Хотя некоторые элементы этого подхода все еще используются, он рассматривается скорее как дополнение к более надежным и прозрачным механизмам безопасности. В то же время, решения по сокрытию самой информации развиваются достаточно активно.

Решения на основе технологий обмана основаны на принципе создания вводящих в заблуждение  среды или условий для злоумышленников, чтобы затруднить реализацию несанкционированного доступа или других нарушений информационной безопасности. Эффективность этих решений заключается в манипулировании злоумышленниками и принуждении их тратить время и ресурсы на работу, не приводящую к их целям. Дополнительною целью некоторых решений этой группы является получение возможности изучения действий злоумышленников в условиях, приближенных к реальным, не подвергая риску настоящие ресурсы организации.

  • Obfuscation – обфускация – это методы сокрытия информации, включающие различные способы маскировки или искажения данных, кода или коммуникаций, делая их трудночитаемыми и трудноанализируемыми без специальных знаний или ключей. Обфускация часто применяется в разработке программного обеспечения для защиты исходного кода от обратной инженерии и полезна для защиты интеллектуальной собственности. Также обфускация используется для скрытия конфиденциальных данных во время их передачи. Техники обфускации включают изменение форматов данных, применение специальных алгоритмов для изменения структуры кода и многие другие методы. Они не только увеличивают сложность понимания данных людьми, но и могут затруднять автоматизированный анализ данных, например, при попытке вредоносного программного обеспечения распознать защищаемые данные. Обфускация возникла в 1970-х годах, развивалась среди вирусописателей с 1980-х годов, а как метод защиты данных и кода начала развиваться с 1990-х годов.
  • Steganography – это метод сокрытия факта передачи или хранения информации. В цифровой стеганографии данные часто встраиваются в цифровые медиафайлы с использованием различных алгоритмов, которые могут изменять, например, минимальные биты цвета пикселей в изображении или амплитуду звуковых файлов. Цифровая стеганография начала применяться в 1980-х годах и затем получила развитие в виде компьютерных и сетевых стегосистем. Компьютерная стеганография основана на особенностях компьютерной платформы. Примером является стеганографическая файловая система StegFS для Linux. Сетевая стеганография – это метод передачи скрытой информации через компьютерные сети с использованием особенностей работы протоколов передачи данных.
  • Entrapment and Decoy Objects – это ловушки и приманки – ложные цели, такие как фальшивые файлы, базы данных, системы управления или сетевые ресурсы, которые кажутся ценными или уязвимыми для атак. Ловушки и приманки используются для обнаружения несанкционированной активности, а также для анализа поведения атакующих. Концепция ловушек впервые была предложена стандартом FIPS 39 в 1976 году. Эти технологии активно развивались с 1990-х годов в виде решений honeypots и honeynets. Один из первых документированных примеров honeypot был создан в 1991 году Биллом Чесвиком. Honeynets – это сети, состоящие из множества honeypots. В отличие от одиночных honeypots, которые имитируют отдельные системы или сервисы, honeynets создают более сложную и реалистичную сетевую среду, в которой могут взаимодействовать несколько ловушек. Это позволяет исследовать более сложные и целенаправленные атаки, а также поведение злоумышленников в более широком контексте. Проект Honeynet, запущенный Лэнсом Спитцнером в конце 1990-х годов, является одним из первых и наиболее известных примеров использования honeynets.
  • Deception Technology – технологии обмана являются дальнейшим развитием технологий ловушек и приманок, и представляют собой широкий класс решений, включающих различные методы и стратегии для создания ложных индикаторов и ресурсов в сети. Эти решения включают не только honeypots и honeynets, но и другие средства, такие как ложные сетевые пути, фальшивые учетные записи и манипуляции с данными, чтобы ввести в заблуждение злоумышленников и отвлечь их от реальных активов. С 2010-х годов в развитие корпоративных продуктов на основе технологий обмана внесли вклад такие израильские компании как Illusive Networks и TrapX.
  • Tarpits – “смоляные ямы” – решения, замедляющие или препятствующие автоматизированным атакам, таким как сканирование портов или распространение червей и ботнетов. Решения Tarpits работают путем установления взаимодействия с атакующим и умышленного затягивания этого взаимодействия, заставляя вредоносное программное обеспечение тратить на него значительно больше времени, чем обычно. Это достигается за счет умышленного замедления ответов на сетевые запросы или создания ложных сервисов и ресурсов, которые кажутся атакующему интересными. Одним из известных примеров “смоляной ямы” является LaBrea Tarpit, созданная Томом Листоном в начале 2000-х годов. Эта программа была спроектирована для борьбы с червем Code Red, который быстро распространялся, сканируя и заражая веб-серверы. LaBrea эффективно замедляла сканирование, создавая виртуальные машины, которые казались уязвимыми для червя, но на самом деле были ловушками.

Управление идентификацией и доступом

В этом разделе описаны решения, играющие специфическую роль в обеспечении того, чтобы правильные люди имели доступ к нужным ресурсам в правильное время и с правильными привилегиями.

IAM (Identity and Access Management) – это общее название процессов и решений, направленных на управление идентификацией пользователей и контроль доступа к ресурсам. Эти системы позволяют удостоверять личность пользователей, управлять их правами доступа, отслеживать их действия, а также обеспечивать безопасность и конфиденциальность данных. IAM включает в себя функции аутентификации, санкционирования, управления пользователями, ролей и политик доступа, а также интеграцию с различными приложениями и системами. 

История IAM начинается задолго до компьютерной эры. Печати и парольные фразы, использовавшиеся древними цивилизациями, были первыми прообразами IAM. Первые модели (MAC – Mandatory Access Control, DAC – Discretionary Access Control и т. д.) и первые реализации систем управления доступом начали формироваться с конца 1960-х годов. 

Более современные модели доступа (RBAC – Role-Based Access Control, ABAC – Attribute-Based Access Control и т. д.), а также IAM как интегрированные системы начали активно развиваться с 1990-х годов. Начиная с 2000-х годов, в решениях IAM начал применяться метод RBA (Risk-Based Authentication).

В условиях постоянной эволюции угроз безопасности и ужесточения требований к соответствию стандартам безопасности, решения IAM становятся не просто мерой безопасности, а стратегическим инструментом, который помогает организациям не только защищать свои активы, но и повышать эффективность и производительность.

  • SSO (Single Sign-On) – это метод аутентификации, позволяющий пользователю получить доступ к нескольким приложениям или системам, вводя свои учетные данные только один раз. Это удобный способ управления доступом, который значительно упрощает процесс входа в различные корпоративные или частные сервисы. SSO устраняет необходимость запоминать множество паролей, что снижает риск их утери или взлома. Существуют различные виды SSO, включая корпоративный SSO (для внутренних систем организации), веб-SSO (для онлайн-сервисов) и федеративный SSO (использующий стандарты, такие как SAML и OAuth, для аутентификации через разные домены). Концепция SSO начала развиваться в 1980-х годах, когда организации искали способы упростить управление учетными записями в условиях растущего числа компьютерных систем и приложений. Первые решения SSO предоставлялись компаниями Hewlett-Packard, CA Technologies, Oblix, Magnaquest Technologies и Novell. Развитие облачных технологий в 2000-х годах значительно расширило потребности и возможности для применения SSO. 
  • MFA (Multi-Factor Authentication) – это метод и технология, которая требует от пользователя предоставления двух или более подтверждений своей личности перед получением доступа к ресурсу. Частным случаем MFA для двух факторов является Two-Factor Authentication (2FA). MFA значительно повышает уровень безопасности, сочетая несколько независимых подтверждений, обычно разного рода: что-то, что пользователь знает (например, пароль или код), что-то, что пользователь имеет (например, смартфон или токен), и что-то, что является частью пользователя (например, отпечаток пальца или скан биометрии лица). Появление предпосылок 2FA относится к 1980-м годам. В качестве первой 2FA чаще всего упоминается система санкционирования транзакций, основанная на обмене кодами через двусторонние пейджеры, которую создала в 1996 году компания AT&T. Первые решения MFA часто включали использование физических токенов или специальных карт. С развитием смартфонов и биометрических технологий с начала 2010-х годов методы MFA стали более разнообразными и доступными. 
  • IDM (Identity Management, IdM) – решения, управляющие цифровыми идентификаторами пользователей. Это включает в себя процессы создания, управления, и удаления учетных записей и идентификаторов пользователей. IDM иногда используется как синоним IAM, но правильнее рассматривать IDM как одну из функций IAM. В то время как IDM фокусируется на управлении идентификаторами, IAM предоставляет более комплексный подход, включая механизмы для защиты данных и ресурсов от несанкционированного доступа.
  • WAM (Web Access Management) – это класс решений, предназначенных для управления и контроля доступа к веб-приложениям и онлайн-сервисам. Основная цель WAM – обеспечить безопасный, контролируемый и удобный доступ к веб-ресурсам для авторизованных пользователей. Функции WAM – аутентификация и санкционирование, SSO, аудит и мониторинг, управление сеансами. Существуют различные решения WAM, предназначенные для разных типов приложений и сред, включая облачные сервисы, корпоративные порталы и публичные веб-сайты. Развитие WAM началось в конце 1990-х в виде решений SSO, в 2000-х годах WAM начали выделяться в отдельный класс решений, и к настоящему времени начали утрачивать актуальность, уступая место современным IAM.
  • PIM (Privileged Identity Management, Privileged Account Management или Privileged User Management, PUM) – это технология управления учетными записями, имеющими доступ к конфиденциальным данным или критически важным системам. Это, например, аккаунты root и суперпользователей, системных администраторов, администраторов баз данных, служб и т. п. PIM фокусируется на создании, обслуживании и отзыве учетных записей с повышенными разрешениями. Инструменты PIM обычно обеспечивают поддержку обнаружения привилегированных учетных записей, управления их жизненным циклом, применение политики надёжных паролей, защиты ключей доступа, мониторинга и отчётности доступа. Концепция PIM возникла в начале 2000-х годов. 
  • PAM (Privileged Access Management или Privileged Account and Session Management, PASM) – это класс решений, управляющих доступом к критически важным системам и ресурсам в организации. PAM можно считать расширением PIM, поскольку PAM предоставляет более широкий спектр функций для управления привилегированным доступом. Например, своевременное назначение привилегий, безопасный удаленный доступ без пароля, возможности записи сеанса, мониторинг и контроль привилегированного доступом, а также обнаружение подозрительной активности и реагирование на нее. Концепция PAM начала развиваться в начале 2000-х годов. К функциям и разновидностям PAM можно отнести PSM (Privileged Session Management), EPM (Endpoint Privilege Management), WAM (Web Access Management), PEDM (Privilege Elevation and Delegation Management), SAG (Service Account Governance), SAPM (Shared Account Password Management), AAPM (Application-to-Application Password Management или Application Password Management, APM) и VPAM (Vendor Privileged Access Management).
  • IGA (Identity Governance and Administration) – это класс решений для управления идентификацией пользователей, их доступом к ресурсам и соблюдением соответствующих политик и нормативов. Решения IGA начали активно развиваться после принятия законов США HIPAA в 1996 году и SOX в 2002 году. Решения IGA выполняют управление жизненным циклом идентификаций, реализацией политики доступа, ролевое управление, аудит и отчетность. Решения IGA можно рассматривать как дополнение или расширение решений IAM. Интеграция IGA с PAM представляет технологию PAG (Privileged Access Governance).
  • PIV (Personal Identity Verification) – это решения для обеспечения надежной верификации личности сотрудников правительства и подрядчиков США. Решения PIV предназначены для усиления безопасности доступа к физическим и информационным ресурсам правительственных учреждений. Это достигается использованием PIV-карт, которые содержат биометрические данные (отпечатки пальцев, фотографии), а также электронные сертификаты и пин-коды для доступа к информационным системам и физическим объектам. Стандарт FIPS 201, разработанный NIST и описывающий PIV, был утвержден в 2005 году. 
  • IDaaS (Identity as a Service) – это облачная услуга, предоставляющая комплексные решения IAM. IDaaS предназначена для обеспечения безопасного гибкого масштабируемого управления цифровыми идентификаторами пользователей, включая аутентификацию, санкционирование и учет доступа к ресурсам. IDaaS включает в себя SSO, MFA, управление доступом на основе ролей (RBAC) и политик, синхронизацию учетных записей, интеграцию с различными облачными и локальными приложениями, и т. д. IDaaS тесно интегрирована с другими системами безопасности, такими как системы DLP, CASB и SIEM, обеспечивая комплексный подход к кибербезопасности. Концепция IDaaS начала развиваться в начале 2000-х годов с распространением облачных технологий. Среди первых компаний, предложивших решения IDaaS, можно отметить Microsoft, Okta и OneLogin. 

Безопасный доступ к сети

Обеспечение безопасного доступа к сетевым ресурсам оказалось в центре внимания кибербезопасности с массовым распространением Интернета с начала XXI века. Каждое из описанных ниже решений безопасного доступа к сети предлагает специфические методы и стратегии для обеспечения безопасности в сетевой среде, отличающейся высокой динамичностью и разнообразием угроз.

Рассмотрим, как данные технологии помогают организациям адаптироваться к новым вызовам в области кибербезопасности, обеспечивая надежное управление доступом, защиту от внешних и внутренних угроз, а также гибкость и масштабируемость в условиях постоянно меняющегося ландшафта ИТ-инфраструктуры и бизнес-процессов. Этот раздел предоставит вам понимание современных подходов к обеспечению безопасного доступа, их особенностей, эволюции, преимуществ и потенциальных применений в рамках комплексной стратегии кибербезопасности.

  • VPN (Virtual Private Network) – это обобщённое название технологий, позволяющих обеспечить одно или несколько безопасных сетевых соединений поверх другой сети. VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. VPN используется для защиты сетевого трафика от перехвата и вмешательства. Защита обеспечивается благодаря использованию средств криптографии. VPN часто интегрируется с межсетевыми экранами, системами IDS/IPS и решениями IAM. Первые прообразы VPN появились в 1970-х годах. С 1992 по 1999 годы были разработаны первые популярные протоколы VPN IPsec и PPTP, также известный как PPTN. Другие примеры протоколов VPN включают L2TP и WireGuard. В некоторых реализациях VPN используются протокол SSL/TLS, технология MPLS или другие протоколы и технологии. Компании Cisco и Microsoft сделали ключевой вклад в развитие VPN. В 2001 году появилась реализация OpenVPN, которая быстро стала популярной.
  • DA (Device Authentication Solutions) – различные технологии и методы, используемые для подтверждения подлинности устройств в цифровых сетях и системах. Основные функции – идентификация и проверка подлинности устройств, шифрование и управление доступом. Типы решений отличаются по основе аутентификации: MAC-адреса, сертификаты, уникальные идентификаторы устройств (например, IMEI) и т. д. Аутентификация устройств начала развиваться в 1980-х годах. Развитие технологий Device Authentication привело к появлению концепции NAC, описанной ниже. С развитием интернета вещей (IoT), мобильных технологий и политики BYOD (принеси своё устройство), аутентификация устройств стала еще более важной для обеспечения безопасности сетей, к которым подключаются эти устройства. 
  • NAC (Network Access Control) – это стандарт и широкий класс решений для управления доступом к сети, который включает в себя идентификацию и аутентификацию пользователей, проверку состояния их устройств, а также применение политик безопасности для управления доступом к сетевым ресурсам. Решения NAC помогают обеспечивать безопасность сети путем контроля доступа на основе определенных критериев клиентских компьютеров, таких как роль пользователя, тип устройства, местоположение и состояние устройства (состояние антивируса, системных обновлений и т. д.). Концепция NAC начала развиваться в начале 2000-х годов. Базовой формой NAC является Port-based Network Access Control (PNAC), определяемый стандартом IEEE 802.1X, принятым в 2001 году. Развитием NAC является подход на основе оценки состояния устройств Trusted Network Connect (TNC), представленный в 2005 году. Примерами специфических реализаций NAC являются решения Cisco Network Admission Control (2004-2011), Microsoft Network Access Protection (2008-2016), Cisco Identity Services Engine (ISE), Microsoft Endpoint Manager, Fortinet FortiNAC, Aruba ClearPass и Forescout NAC.
  • SDP (Software-Defined Perimeter) – модель безопасности сетей, основанная на создании динамически настраиваемых периметров вокруг сетевых ресурсов. В отличие от NAC, более современная модель SDP контролирует не сеанс доступа пользователя или устройства ко всей сети, а каждый запрос доступа к каждому ресурсу индивидуально. Технология SDP использует облачные технологии и программно-определяемые архитектуры для создания строго контролируемых точек доступа, которые могут адаптироваться к изменяющимся требованиям безопасности. SDP также называют “чёрным облаком”, так как инфраструктура приложений, включая IP-адреса и имена DNS, полностью недоступна устройствам, не прошедшим проверку. SDP связана с системами IAM, межсетевыми экранами, системами IDS/IPS и облачными шлюзами безопасности. Концепция SDP начала развиваться в конце 2000-х годов. Ключевой вклад в развитие SDP внесли Defense Information Systems Agency (DISA) и Cloud Security Alliance (CSA).
  • ZTA (Zero Trust Architecture) – архитектура безопасности, основанная на принципе нулевого доверия (“никому не доверяй, всё проверяй”). ZTA интегрируется с широким спектром сетевых технологий и технологий безопасности, включая идентификацию, аутентификацию, защиту данных, шифрование, сегментацию сети, мониторинг и управление доступом. Термин «нулевое доверие» был придуман Стивеном Полом Маршем в 1994 году. Стандарт OSSTMM, выпущенный в 2001 году, уделял много внимания доверию, а версия этого стандарта 2007 года утверждала «доверие – это уязвимость». В 2009 году Google внедрила архитектуру нулевого доверия, получившую название BeyondCorp. В 2018 году организации NIST и NCCoE опубликовали стандарт SP 800-207 «Архитектура нулевого доверия». После этого, благодаря широкому внедрению мобильных и облачных сервисов, началось распространение решений ZTA. 
  • ZTNA (Zero Trust Network Access) – это основная технология в рамках ZTA. В отличие от традиционных моделей безопасности, ZTNA не делает предположений о доверии и требует строгой проверки происхождения и контекста для каждого запроса доступа к ресурсам, независимо от того, откуда идет запрос. Решения ZTNA связаны с SDP и SASE, а также с решениями IAM. В отличие от решений SDP, охватывающим не только доступ к приложениям, но и управление сетевой инфраструктурой, решения ZTNA сфокусированы на управлении доступом пользователя. ZTNA часто рассматривается как более безопасная, гибкая и современная альтернатива традиционным решениям VPN.
  • SASE (Secure Access Service Edge) – это сетевая архитектура, объединяющая комплексные функции сетевой безопасности и широкополосного доступа в единую облачную платформу. SASE была разработана для обеспечения безопасного эффективного доступа к сетевым ресурсам в условиях растущего числа удаленных пользователей и распределенных приложений. Это новаторская модель, предложенная компанией Gartner в 2019 году и переосмысливающая традиционные подходы к сетевой безопасности и доступу. SASE объединяет такие функции, как SD-WAN (программно-определяемая широкополосная сеть), безопасный веб-шлюз, облачный доступ к защищенным ресурсам (CASB), обнаружение и предотвращение вторжений (IDS/IPS), и многое другое. 
  • ZTE (Zero Trust Edge) – это концепция, которая объединяет принципы ZTA с сетевыми технологиями на краю сети (edge computing). Этот подход направлен на обеспечение строгой безопасности для сетевых ресурсов и приложений, размещенных на краю сети, особенно в условиях увеличения числа удаленных пользователей и расширения использования облачных и мобильных технологий. Решения ZTE тесно связаны с ZTNA, SDP и SASE. Модель ZTE предложена компанией Forrester в 2021 году и подобна SASE, но с дополнительным упором на внедрение принципов нулевого доверия для аутентификации и санкционирования пользователей.

Сетевая безопасность

Этот раздел посвящен обзору решений, предназначенных для защиты сетевой инфраструктуры. В основном это различные прокси-решения в виде фильтров, шлюзов и т. д. В эту группу не входят решения безопасного доступа к сети и некоторые другие решения, которые были описаны в разных группах выше, а также мобильные, облачные и другие решения, описанных ниже. 

Каждый инструмент этой группы играет свою роль в создании многоуровневой защитной стратегии. Рассмотрим, как эти различные решения могут быть интегрированы для формирования гибкой эффективной защиты сети, а также рассмотрим их ключевые функции, преимущества и потенциальные применения. Также опишем подгруппы и эволюцию технологий сетевой безопасности.

  • FW (Firewall), файрвол, брандмауэр или межсетевой экран – это базовое сетевое устройство или программное решение, предназначенное для контроля и фильтрации входящего и исходящего сетевого трафика на основе заранее установленных правил безопасности. Основная цель межсетевого экрана – защитить компьютеры и внутренние сети от несанкционированного доступа и различных видов сетевых атак, обеспечивая безопасность данных и ресурсов. Основные разновидности файрволов: пакетные фильтры, Stateful Inspection Firewalls (SIF), Application Layer Firewalls (ALF), Next-Generation Firewalls (NGFW). Файрволы часто используются в сочетании с другими системами безопасности, включая системы IDS/IPS, SIEM и VPN. Первая статья о технологии брандмауэров была опубликована в 1987 году инженерами Digital Equipment Corporation (DEC). Компания AT&T Bell Labs также внесла вклад в разработку первых межсетевых экранов.
  • DNS Firewall – это решение для мониторинга и контроля DNS-запросов, предотвращающее доступ к вредоносным или подозрительным сайтам. Файрволы DNS отличаются от обычных файрволов тем, что фокусируется исключительно на DNS-трафике. DNS Firewalls могут быть реализованы как аппаратные устройства, программное обеспечение или облачные сервисы. Файрволы DNS часто интегрируются с системами IDS, антивирусами и межсетевыми экранами других типов. Файрволы DNS появились в конце 1990-х годов.
  • SIF (Stateful Inspection Firewall, Stateful Firewall) – это тип межсетевого экрана, который не только фильтрует трафик на основе исходных и целевых IP-адресов, портов и протоколов, но также отслеживает и учитывает состояния активных сетевых соединений (сеансов или сессий). Это позволяет ему динамично управлять трафиком на основе контекста сеансов, предлагая более эффективную защиту по сравнению с простыми пакетными фильтрами. SIF работают на сетевом, сеансовом и прикладном уровнях модели OSI. SIF часто используются в сочетании с системами IDS/IPS, IAM и VPN. SIF был изобретен в начале 1990-х годов компанией Check Point Software Technologies. SIF стали основой для многих современных решений в области кибербезопасности, включая NGFW.
  • ALF (Application-Level Firewall или Application Firewall) – файрвол прикладного уровня или брандмауэр приложений – это вид межсетевого экрана, который контролирует и при необходимости блокирует соединения и ввод/вывод приложений и системных служб на основе настроенной политики (набора правил). ALF может контролировать связь вплоть до прикладного уровня модели OSI, например, защищать веб-приложения, электронную почту, FTP и другие протоколы. Двумя основными категориями межсетевых экранов прикладного уровня являются сетевые и хостовые. ALF часто интегрируется с системами IDS/IPS и IAM. Развитие ALF началось в 1990-х годах, благодаря усилиям Университета Пердью, а также компаний AT&T и DEC.
  • WAF (Web Application Firewall) – это файрвол прикладного уровня (ALF), предназначенный для защиты веб-приложений и API (прикладных программных интерфейсов) от различных видов атак, таких как XSS (межсайтовый скриптинг), SQL-инъекции, CSRF (межсайтовая подделка запроса) и т.д. Разновидности WAF: аппаратные, облачные и виртуальные. WAF располагается перед веб-приложениями на пути запросов к ним и часто интегрируются с системами безопасности IDS/IPS, CMS и SIEM. Первые WAF были разработаны компаниями Perfecto Technologies, Kavado и Gilian Technologies в конце 90-х годов. В 2002 году был создан проект с открытым исходным кодом ModSecurity, который сделал технологию WAF более доступной. Решения WAF активно развиваются.
  • WAAP (Web Application and API Protection) – класс решений, предназначенных для обеспечения безопасности веб-приложений и API. Он включает в себя функции традиционного WAF и расширяет их за счет дополнительных защитных мер. В отличие от традиционных WAF, WAAP обеспечивает более комплексную защиту, включая защиту API, облачные сервисы и расширенные функции анализа угроз. WAAP может быть реализован в виде облачных сервисов, аппаратных решений или интегрированных платформ. WAAP часто интегрируется с системами IDS/IPS и SIEM. Концепция WAAP была предложена компанией Gartner в 2019 году.
  • SWG (Secure Web Gateway) – это решение, предназначенное для мониторинга и управления входящим и исходящим веб-трафиком с целью предотвращения вредоносной активности и обеспечения соблюдения корпоративной политики. SWG обычно реализуются как прокси-серверы и размещаются между пользователями и выходом в Интернет. Функции SWG: фильтрация веб-контента, защита от вредоносного ПО, контроль приложений и доступа пользователей. SWG могут быть развернуты как аппаратные устройства, программные решения или в виде облачных сервисов. SWG часто интегрируются с системами IDS/IPS, антивирусными решениями, межсетевыми экранами и DLP. Решения SWG начали появляться в 1990-х годах.
  • NGFW (Next-Generation Firewall) – файрвол следующего поколения представляет собой класс межсетевых экранов, который не только выполняет стандартные функции фильтрации трафика, но и включает дополнительные возможности для обеспечения более глубокой и комплексной безопасности сети. NGFW реализуются в виде устройства или программного обеспечения. Технологии в составе NGFW: пакетная фильтрация, SIF, DPI, IDS/IPS, ALF, антивирус, фильтрация URL и контента, и т. д. Решения NGFW тесно интегрированы с системами SIEM, IAM, а также с облачными сервисами и мобильными устройствами. В 2007 году Palo Alto Networks представила, по сути, первый NGFW, хотя этот термин был придуман Gartner позже, в 2009 году. Создание NGFW кардинально изменило применявшиеся до этого подходы к фильтрации сетевого трафика.
  • UTM (Unified Threat Management) – комплексное решение, интегрирующее несколько функций безопасности в одном устройстве или программном пакете. Основные функции UTM – файрвол, IDS и IPS. Дополнительные функции UTM – шлюзовой антивирус, ALF, DPI, SWG, фильтрация трафика, фильтрация спама и контента, DLP, SIEM, VPN, контроль доступа к сети, tarpit (“смоляная яма”), защита от DoS/DDoS, атак нулевого дня и т. д. В зависимости от конкретных реализаций NGFW и UTM, на практике эти решения либо не отличаются по функционалу, либо отличаются возможностями настройки – UTM предлагают более широкий спектр универсальных встроенных функций, чем NGFW, часто предлагающие функции, более гибкие в настройке. Решения UTM начали развиваться в начале 2000-х годов, благодаря компании Fortinet и некоторым другим. Затем, в ​​2004 году, компания IDC предложила термин UTM. 
  • CDN (Content Delivery Network) – эта технология в первую очередь предназначена для ускорения загрузки контента в Интернете, но также она может вносить вклад в улучшение информационной безопасности. CDN уменьшает риск DDoS-атак (распределенных отказов в обслуживании) за счет распределения трафика через сеть серверов, что делает более сложной организацию атаки на единую точку. Кроме того, некоторые CDN предлагают дополнительные функции безопасности, такие как WAF и SSL/TLS-шифрование. Концепция CDN была предложена в конце 1990-х годов. Первую большую сеть CDN построила компания Akamai. Одним из крупнейших поставщиков услуг бесплатных и платных CDN является компания Cloudflare.

Управление конечными точками

Конечными точками (конечными устройствами) называются серверы, пользовательские настольные компьютеры, мобильные и другие устройства, подключаемые к компьютерной сети в режиме отправки или получения информации, в отличие от точек перераспределения – служебных сетевых устройств, передающих информацию конечных точек или управляющих сетью.

Технологии защиты конечных точек развивались плавно со времён появления компьютеров. Антивирусы, файрволы, FDE, HIDS и HIPS являются примерами такой защиты. Выделение технологий безопасности конечных точек в отдельную группу в 2000-х годах следует связывать с развитием мобильных устройств (портативного оборудования).

Как это часто бывает в информационной безопасности в различных проявлениях, удобство вступило в конфликт с безопасностью. С конца 2000-х годов более удобные мобильные устройства Apple и Android вытеснили гаджеты Blackberry, которые были более защищёнными с корпоративной точки зрения. Поэтому для устройств новых платформ образовалась крупная ниша решений безопасности, которая начала быстро заполняться. Ключевым фактором развития систем управления конечными устройствами стала корпоративная политика «Принеси свое собственное устройство» (BYOD), популярность которой выросла в 2010-х годах. 

Группа решений по управлению конечными точками предоставляет яркий пример большого набора взаимосвязанных специализированных решений. Они быстро развиваются и увеличивают количество и сложность своих функций, которые время от времени повторяются в разных классах решений этой группы и вызывают путаницу при изучении. Тем не менее, есть смысл в этом разобраться.

В этом нам поможет таблица, разделяющая классы решений по условным функциям управления и защиты (хотя обе эти функции связаны с безопасностью), а также на две подгруппы по типам платформ, на которых работают эти решения:

Основные функции
УправлениеЗащита
Типы платформКонечные точкиUEMEPP, EDR, UES
Мобильные устройстваMDM, MAM, MCM, EMMMTD

В общую подгруппу рассматриваемых решений входят решения по управлению и защите конечных точек, включая стационарные компьютеры и мобильные устройства. В названиях этих решений присутствует слово “Endpoint”. В частную подгруппу входят решения по управлению и защите мобильных устройств, таких как мобильные телефоны, смартфоны и КПК. В названиях этих решений есть слово “Mobile”. Обе подгруппы в последние годы тесно связаны между собой и в некоторой мере связаны с другими классами решений: по защите данных, противодействию вредоносным программам, обнаружению угроз и т. д.

  • EPP (Endpoint Protection Platform) – эти решения представляют собой эволюцию классических антивирусов. Практически все современные антивирусы называются EPP. Основная цель EPP – защита конечных точек от широкого спектра киберугроз, включая вирусы, трояны, фишинг, шпионское ПО, руткиты и другие виды вредоносного ПО. Ключевые функции EPP – NGAV, IDS/IPS, файрвол, мониторинг поведения и эвристический анализ. Решения EPP развиваются с 2010-х годов. Современные EPP включают управление паролями, облачное резервное копирование, управление уязвимостями, технологии искусственного интеллекта, а также интегрируются с системами EDR, SIEM, DLP и MDM, предоставляя более глубокий уровень аналитики и автоматизации.
  • EDR (Endpoint Detection and Response, Endpoint Threat Detection and Response, ETDR) – служит для обнаружения и расследования инцидентов и потенциальных угроз, в том числе, не обнаруживаемых EPP, а также для реагирования на них. EDR, в отличие от EPP, больше ориентирована на крупные предприятия, чем на широкий круг пользователей. Также EDR больше полагается на анализ и расследование событий безопасности, а также на интеграцию с SIEM и другими сетевыми сервисами безопасности. Функции EDR включают мониторинг конечных точек как в онлайн-, так и в оффлайн-режиме, непрерывный сбор данных о событиях безопасности, анализ данных для выявления подозрительной активности и индикаторов компрометации, автоматизированное реагирование на угрозы или подозрительные действия, а также функции расследований, повышения видимости и прозрачности пользовательских данных. Некоторые поставщики EDR используют структуру MITRE ATT&CK для управления угрозами. Термин ETDR был введен Антоном Чувакиным из компании Gartner в 2013 году.
  • MDM (Mobile Device Management) – это программные решения, предназначенные для администрирования, контроля и защиты мобильных устройств, используемых в организациях. Эти системы позволяют централизованно управлять политиками безопасности, настройками, приложениями и данными на мобильных устройствах, чтобы обеспечить соответствие корпоративным стандартам и регулированию. Также функции MDM включают мониторинг и отчетность о состоянии и использовании устройств, удаленное управление устройствами, включая блокировку и стирание данных в случае потери или кражи, управление доступом к корпоративным ресурсам и данным. Решения MDM часто интегрируются с системами MAM, MCM, IAM и EDR. Развитие MDM началось в 2000-х годах.
  • MAM (Mobile Application Management) – это программные решения, предназначенные для управления доступом к мобильным приложениями и для управления их использованием на корпоративных и личных мобильных устройствах сотрудников. Это включает в себя развертывание, обновление, мониторинг и защиту корпоративных мобильных приложений, а также управление доступом к данным и функциональности этих приложений. В отличие от систем MDM, которые управляют всем устройством, системы MAM сфокусированы только на корпоративных приложениях. Это улучшает разделение личной и корпоративной частей гаджета. Предтечами MAM были корпоративные мобильные почтовые клиенты NitroDesk TouchDown в 2008 году и Good for Enterprise в 2009 году. Активное развитие MAM началось с 2010-х годов. В последнее время усилился переход MAM в состав систем EMM и UEM.
  • MCM (Mobile Content Management) – это разновидность или часть системы управления контентом (CMS), системы управления документами (DMS) или системы управления содержимым масштаба предприятия (ECMS), способная хранить и доставлять информацию и сервисы на мобильные устройства. Основная функция MCM в контексте безопасности – контроль доступа к контенту. Часто контроль доступа включает в себя контроль загрузки, шифрование и удаление данных для конкретного пользователя, а также доступ в зависимости от времени. Для повышения безопасности многие MCM поддерживают аутентификацию по IP-адресу и по аппаратным идентификаторам мобильных устройств. MCM может быть либо автономной системой, либо интегрированной с другими системами управления, такими как EMM и UEM.
  • MTD (Mobile Threat Defense) – это решения, специализирующиеся на обнаружении, предотвращении и реагировании на угрозы безопасности, направленные на мобильные устройства и операционные системы. MTD предназначены для защиты от широкого спектра угроз, включая вредоносное ПО, фишинг, сетевые атаки, а также эксплуатацию уязвимостей. Функции MTD – обнаружение и предотвращение вредоносного ПО и руткитов, защита от сетевых атак и фишинга, выявление и устранение уязвимостей, мониторинг и анализ поведения приложений и устройств, реагирование на угрозы, включая изоляцию зараженных устройств. Разновидности MTD: автономные приложения, интегрированные платформы, компоненты более широких систем безопасности, таких как EMM или UEM. Также решения MTD интегрируются с решениями ZTNA, XDR и UES. Развитие MTD началось в середине 2010-х годов.
  • EMM (Enterprise Mobility Management) – набор технологий и сервисов для управления мобильными устройствами и приложениями в организации на основе MDM, MAM, MCM, MIAM (Mobile IAM) или MIM (Mobile Identity Manager) и некоторых других функций, таких как управление мобильными расходами (MEM). Решения EMM начали развиваться в начале 2010-х годов, когда смартфоны и планшеты стали более сложными, и стало понятно, что для оптимизации операций предприятиям необходим один удобный инструмент. Решения EMM предоставляют возможности для управления политиками безопасности на мобильных устройствах, развертывания и управления мобильными приложениями, управления доступом к корпоративному контенту и защиты данных. Пользователи решений EMM – компании, которые сосредоточены на мобильности сотрудников и требуют управления мобильными устройствами и приложениями.
  • UEM (Unified Endpoint Management) – это решение, которое предоставляет единый интерфейс управления мобильными, ПК и другими устройствами. Решения UEM являются развитием и интеграцией MDM, EMM и управления стационарными компьютерами. Развитие UEM началось в 2018 году. Решения UEM объединяют управление традиционными устройствами (например, стационарными и портативными компьютерами) и мобильными устройствами в одном решении. Функции UEM включают в себя все функции EMM, а также предоставляют инструменты для управления стационарными операционными системами, такими как Windows, macOS и Linux. UEM также может поддерживать Интернет вещей (IoT) и другие типы устройств. Пользователи решений UEM – компании, стремящиеся к централизованному управлению всеми своими конечными устройствами, независимо от их типа и операционной системы.
  • UES (Unified Endpoint Security) – это развивающийся подход к безопасности конечных точек, ориентированный на объединение нескольких возможностей обеспечения безопасности конечных точек в единую интегрированную платформу. UES предназначен для улучшения управления безопасностью конечных точек за счет оптимизации рабочего процесса исправления. После обнаружения атаки платформа UES может автоматически предпринять шаги, чтобы не только устранить угрозу, но и устранить основные проблемы, которые сделали ее возможной. UES объединяет функции EPP, EDR и MTD, а также интегрируется с UEM. Развитие UES началось в конце 2010-х годов.

Безопасность приложений и DevSecOps

Безопасность приложений, а также процесса их создания и поддержки является центральным элементом всей современной информационной безопасности, так как при наличии проблем безопасности внутри программного кода, почти все остальные меры безопасности, описанные нами в этой работе, становятся практически бесполезными.

Развитие программно-аппаратных решений в области информационной безопасности привело к появлению и активному развитию концепции DevOps, а затем и DevSecOps. Эти подходы объединяют в себе практики разработки, эксплуатации и безопасности программного обеспечения, стремясь к повышению эффективности, скорости и безопасности процессов разработки и эксплуатации приложений.

Истоки DevOps уходят в глубину 2000-х годов, когда возникла потребность в улучшении сотрудничества и интеграции между командами разработки и эксплуатации. Это было направлено на ускорение процессов разработки и доставки приложений, а также повышение их надежности и устойчивости к сбоям. По мере развития DevOps стало очевидно, что безопасность должна быть интегрирована на всех этапах жизненного цикла приложений, а не только в конце их разработки. Это привело к зарождению концепции Security DevOps (DevSecOps), которая расширяет DevOps, включая в себя безопасность как неотъемлемую часть процессов разработки и эксплуатации.

В этом разделе мы рассмотрим ключевые классы программно-аппаратных решений, способствующих реализации практик безопасности приложений и DevSecOps, исключая управление уязвимостями, которое, ввиду его инфраструктурной специфики, мы выделили в отдельный раздел. Каждое из этих решений играет свою роль в обеспечении безопасности приложений и инфраструктуры, помогая организациям адаптироваться к быстро меняющимся требованиям безопасности в мире информационных технологий.

  • Sandbox – песочница – это вид виртуализации, позволяющий запускать программы в отдельной, безопасной среде, изолированной от основной системы. Аллюзия на детей в песочнице довольно иронична – защита безопасного взрослого внешнего пространства от непредсказуемого и опасного внутреннего детского. Целью использования песочницы является проверка подозрительных программ на наличие вредоносного поведения без риска для реальной операционной системы или сети. Песочницы применяются в антивирусах, браузерах, операционных системах, средах разработки и т.д. Концепция песочницы возникла в 1970-х годах в Университете Карнеги-Меллона. Развитие Интернета и рост числа киберугроз в 1990-х и 2000-х годах способствовали росту популярности и развитию технологий сэндбоксинга.
  • Threat Modeling Tools – этот класс решений предназначен для анализа, идентификации и управления потенциальными угрозами безопасности в процессе разработки программного обеспечения. Существуют различные подходы к моделированию угроз, включая диаграммы потоков данных, методологии, такие как STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), и специализированные программные инструменты для автоматизации процесса моделирования угроз. Ранние методологии моделирования ИТ-угроз были разработаны Кристофером Александером в 1977 году. В 1988 году Роберт Барнард разработал первый профиль злоумышленника ИТ-системы. Модель STRIDE была разработана компанией Microsoft в 1999 году. В 2003 году Кристофер Альбертс представил метод OCTAVE, а в 2014 году Райан Стиллионс – модель DML.
  • SCA (Software Composition Analysis) – это инструменты и платформы, которые помогают организациям идентифицировать и управлять компонентами открытого исходного кода и сторонними библиотеками в их программном обеспечении. Это включает в себя обнаружение лицензий, уязвимостей, устаревшего кода и других потенциальных рисков. Решения SCA могут быть представлены как облачные сервисы или локальные системы, а также могут быть интегрированы в более широкие платформы DevOps и инструменты автоматизации CI/CD (Continuous Integration/Continuous Deployment). Технология SCA стала популярной с конца 1990-х годов с развитием программного обеспечения с открытым исходным кодом (OSS).
  • IaC (Infrastructure as Code) – это инструменты, направленные на определение и управление инфраструктурой с использованием кода. Это позволяет автоматизировать создание, развертывание и управление инфраструктурой, снижая риски, связанные с человеческими ошибками, и обеспечивая соблюдение стандартов безопасности. Предтечи IaC – решения по управлению конфигурациями – развивались достаточно плавно с 1970-х годов. Одним из первых инструментов, которые можно считать предшественниками современного подхода IaC, был CFEngine, созданный Марком Бергессом в 1993 году. Подход IaC развился с начала 2000-х годов, благодаря усилиям таких компаний, как HashiCorp (Terraform), Red Hat (Ansible), Puppet Labs и Chef Software.
  • CI/CD (Continuous Integration/Continuous Delivery или реже Continuous Deployment – более автоматизированный вариант доставки) – это технология, играющая ключевую роль в интеграции практик безопасности в процесс разработки программного обеспечения. CI/CD позволяет автоматизировать и оптимизировать процессы разработки, тестирования и развертывания приложений. Это, в свою очередь, создает возможности для внедрения практик безопасного программирования и непрерывного мониторинга безопасности на всех этапах жизненного цикла приложений. Решения CI/CD могут быть облачными или локальными, и включать в себя различные инструменты для автоматизации, управления версиями, контроля качества и безопасности. CI/CD тесно связаны с технологиями безопасности контейнеров и управления ключами, а также IaC, DevSecOps, SAST, DAST, IAST, RASP и SIEM. Самым ранним известным решением CI была среда Infuse, представленная Г. Е. Кайзером, Д. Е. Перри и В. М. Шеллом в 1989 г. Грэди Буч систематизировал CI в 1991 году. Термин “непрерывная доставка” популяризировали Джез Хамбл и Дэвид Фарли в 2010 году, однако это понятие продолжало развиваться и теперь имеет более развернутое значение. До начала 2010 годов решения CI/CD имели мало практического применения, но затем начали активно развиваться и применяться.
  • Compliance as Code – эти решения ориентированы на автоматизацию и управление соответствием нормативным требованиям и стандартам в области информационных технологий. Основные функции – автоматическая проверка и обеспечение соответствия конфигурации инфраструктуры нормативным требованиям, возможность кодирования политик безопасности и стандартов соответствия в виде исполняемых правил, непрерывный мониторинг и отчетность о состоянии соответствия, интеграция с инструментами для развертывания и управления инфраструктурой. Концепция Compliance as Code начала развиваться в начале 2010-х годов.
  • Policy as Code – это подход к управлению и автоматизации политик и правил в ИТ-инфраструктуре путём их определения в виде кода. Если решения “Compliance as Code” автоматизируют проверки соответствия нормативным требованиям и сосредоточены на мониторинге и отчетности, “Policy as Code” охватывает более широкий спектр политик и правил, включая безопасность, конфигурацию и управление, а также активно управляет политиками. Основные функции – определение политик безопасности и конфигураций в виде кода, автоматизация применения политик на инфраструктуре, упрощение управления изменениями и версионирования политик, интеграция с инструментами CI/CD, интеграция с IaC. Подход “Policy as Code” начал развиваться в середине 2010-х годов.
  • Container Security Solutions – эти решения обеспечивают безопасность контейнеризированных приложений и инфраструктуры. Это программные решения, предназначенные для защиты контейнеров, их образов (images), сред выполнения, а также всей сопутствующей инфраструктуры и процессов. Эти решения обеспечивают безопасность на всех этапах жизненного цикла контейнера, от разработки до развертывания и эксплуатации. Решения могут варьироваться от специализированных инструментов для сканирования образов контейнеров до комплексных платформ безопасности, интегрирующих множество функций, включая автоматизацию, мониторинг и управление политиками. Эти решения интегрируются с системами CI/CD, системами оркестрации контейнеров, такими как Kubernetes, а также с инструментами мониторинга и аналитики. Развитие решений по безопасности контейнеров началось в середине 2010-х годов, вслед за растущей популярностью технологий контейнеризации, в частности Docker, и оркестрации, таких как Kubernetes.
  • Secrets Management Tools – инструменты управления секретами занимаются обеспечением безопасного хранения, доступа и управления секретными данными, такими как пароли, ключи шифрования и токены доступа. Отличие этих решений от KMS в том, что они являются более сложными решениями и охватывают более широкий спектр секретов, не только криптографические ключи, но и пароли, токены и ключи API. Функции Secrets Management Tools – централизованное хранение секретов, автоматическая ротация секретов, контроль доступа на основе ролей и политик, аудит и логирование доступа к секретам, интеграция с различными приложениями и сервисами. Эти решения могут быть как облачными, так и локальными, предлагают различные уровни интеграции с инфраструктурой и приложениями, а также интегрируются с инструментами CI/CD, с системами управления конфигурацией и оркестрации. Развитие решений по управлению секретами началось в начале 2010-х годов силами таких компаний, как HashiCorp, CyberArk и AWS.
  • RASP (Runtime Application Self-Protection) – это технология безопасности, встраиваемая непосредственно в приложение или его среду выполнения для обеспечения защиты от угроз в реальном времени. RASP активно мониторит поведение приложения и может автоматически отвечать на обнаруженные угрозы, предотвращая их эксплуатацию. Решение RASP может быть реализовано как интегрированное с приложением или как отдельный агент в среде выполнения приложения. Решения RASP могут быть специализированными для различных языков программирования и платформ. RASP используется в сочетании с WAF, IDS/IPS и системами мониторинга и аналитики. В отличие от WAF или IDS/IPS, которые проверяют трафик, решения RASP обнаруживают угрозы не только в трафике, и не только общие угрозы, но и специфические для конкретного приложения. Решения RASP развивались с конца 2000-х начала 2010-х годов.

Управление уязвимостями

Управление уязвимостями можно было бы рассматривать как часть процесса безопасности приложений и Security DevOps, если бы не огромный набор проблем, связанных с уязвимостями в приложениях третьих сторон и в конфигурациях. 

Пользователи современного программного обеспечения часто не имеют доступа к их исходным кодам и поэтому управляют уязвимостями этих приложений в основном реактивно, а не превентивно. В рамках такого подхода пользователи или нанимаемые ими специалисты по безопасности тестируют уже развёрнутые приложения (часто прямо в производственном окружении) и сравнивают результаты тестов с описаниями уязвимостей, выпускаемых авторами этих приложений или организациями по информационной безопасности.

Отдельная проблема, выделяющая управление уязвимостями в самостоятельную дисциплину, – уникальность и сложность конкретных инфраструктур ИТ, в которых уязвимости могут усиливать друг друга и могут быть связаны с ошибками не только в исходных кодах программного обеспечения, но и в конфигурациях баз данных, приложений, интерфейсов, операционных систем или сетевого оборудования.

  • VA (Vulnerability Assessment) – это технологии идентификации, ранжирования и приоритизации уязвимостей в компьютерных приложениях, системах и сетевых инфраструктурах. Целью VA является обнаружение уязвимостей – потенциальных слабых мест, которые могут быть эксплуатированы злоумышленниками, и предоставление рекомендаций по устранению или смягчению этих уязвимостей. Разновидности инструментов VA – сканеры уязвимостей сети, статические анализаторы безопасности кода (SAST) и динамические анализаторы безопасности приложений (DAST). Системы VA интегрируются с системами IDS/IPS, инструментами управления инцидентами и реагирования на угрозы, а также с системами управления изменениями и патч-менеджментом. Развитие решений по оценке уязвимостей началось в 1990-х годах. В 1995 году некоммерческая организация MITRE и институт NIST создали стандартизированный способ идентификации и базу данных уязвимостей CVE (Common Vulnerabilities and Exposures). Это стало крупным шагов в развитии оценки уязвимостей.
  • Vulnerability Scanners – это автоматизированные инструменты, предназначенные для сканирования компьютерных систем, сетей и приложений в целях обнаружения уязвимостей и дополнительной информации. В отличие от общего класса “Vulnerability Assessment”, включающего в себя широкий спектр функций по идентификации и оценке уязвимостей, сканеры сосредоточены на поиске известных уязвимостей, описываемых различными базами данных уязвимостей, как независимых, вроде CVE, так и проприетарных баз данных разработчиков этих сканеров уязвимостей. Виды сканеров уязвимостей – сканеры портов, сканеры топологии компьютерной сети, сканеры уязвимостей сетевых сервисов, сканеры CGI и т.д. Решения SAST и DAST также часто относятся к сканерам уязвимостей, однако мы выделяем их в отдельные классы. Одним из первых сканеров уязвимостей был ISS, созданный Крисом Клаусом в 1992 году. Сканер SATAN, разработанный Дэном Фармером и Витсе Венемой в 1995 году, получил большую популярность в своё время. В 1997 году был создан знаменитый сканер хостов и портов nmap. В 1998 году Рено Дерезон создал бесплатный сканер уязвимостей Nessus, который в 2005 году стал коммерческим и популярен до сих пор. Большой вклад в развитие сканеров уязвимостей также внесли компании Qualys и Rapid7.
  • VM (Vulnerability Management) – это комплексный подход к обнаружению, оценке, приоритизации и устранению уязвимостей в информационных системах и сетях. В то время как решения VA сосредоточены на обнаружении и оценке уязвимостей по требованию, VM представляет собой более широкий процесс, который включает в себя не только регулярное обнаружение и оценку уязвимостей, но и последующие действия по их устранению. Разновидности VM: решения, ориентированные на сетевые устройства и инфраструктуру; решения, специализирующиеся на уязвимостях приложений и веб-сервисов; интегрированные платформы, охватывающие широкий спектр активов и ресурсов. VM интегрируются со сканерами уязвимостей, с системами SIEM и MDR, а также с инструментами управления конфигурациями. Развитие решений VM началось в 2000-х годах. Компании Tenable, Qualys и Rapid7 внесли вклад в развитие решений VM. 
  • SAST (Static Application Security Testing) – это методология и набор инструментов для статического анализа исходного кода, байт-кода или бинарных файлов приложений с целью обнаружения уязвимостей безопасности. SAST анализирует приложения на предмет уязвимостей на ранних этапах разработки, помогая предотвратить появление уязвимостей в окончательном продукте. Разновидности – SAST, интегрируемые непосредственно в среды разработки (IDE); самостоятельные решения SAST; облачные решения SAST. Системы SAST интегрируются с DAST, системами управления версиями и репозиториями кода, системами управления уязвимостями и мониторинга безопасности. Хотя процесс статического анализа исходного кода существовал с тех пор, как существовали компьютеры, этот метод распространился на безопасность в конце 1990-х годов. Развитие решений SAST происходило с начала-середины 2000-х годов, благодаря усилиям Fortify Software (позже приобретенная Hewlett-Packard), Veracode, Checkmarx, SonarSource и других компаний.
  • DAST (Dynamic Application Security Testing) – методология и инструменты динамического анализа безопасности приложений во время их выполнения. Решения DAST – это разновидность сканеров уязвимостей, нацеленная на обнаружение уязвимостей приложений (в основном, веб-приложений) во время их активной работы. Это, например, проблемы с управлением сессиями, XSS (Cross-Site Scripting), SQL-инъекции и другие уязвимости. Решения DAST интегрируются с CI/CD, VM и SAST. Системы DAST начали развиваться в начале 2000-х годов. Одними из первых решений DAST были SPI Dynamics WebInspect (впоследствии приобретён HP) и Sanctum AppScan (впоследствии приобретён IBM). Одним из популярных инструментов DAST стал Acunetix, представленный на рынке в 2005 году.
  • IAST (Interactive Application Security Testing) – это методология и набор инструментов для безопасности приложений, которые обеспечивают динамический анализ совмещенный со статическим. IAST интегрируется непосредственно в приложения или их среду выполнения, чтобы обнаруживать уязвимости во время тестирования приложений в реальных условиях работы. IAST взаимодействуют с IDE, SAST, DAST, системами управления версиями, CI/CD и автоматизации тестирования. Решения IAST начали развиваться в начале 2010-х годов. Одно из первых решений IAST выпустила израильская компания Seeker Security, впоследствии приобретённая компанией Quotium, которую затем, в свою очередь купила компания Synopsys.
  • MAST (Mobile Application Security Testing) – это технология оценки безопасности мобильных приложений для обнаружения уязвимостей, проблем конфиденциальности, а также ошибок в коде и конфигурации. MAST направлен на обеспечение безопасности мобильных приложений на различных платформах, таких как Android и iOS, с учетом специфики мобильных устройств и экосистем. Разновидности – Mobile SAST, Mobile DAST, Mobile IAST, Automated MAST (AMAST). Развитие MAST началось в начале 2010-х годов, благодаря усилиям Veracode, NowSecure, Synopsys и других компаний.
  • PT (Pentest tools) – это обширный класс инструментов для проведения тестов на проникновение (пентестов), используемых для оценки безопасности сетей, систем и приложений путём имитации атак злоумышленников. Основная цель пентеста – идентификация уязвимостей, слабых мест и недостатков в защите, чтобы предотвратить реальные кибератаки. По отношению к процессу и инструментам оценки уязвимостей методом пентеста часто используется термин VAPT (Vulnerability Assessment and Penetration Testing). Разновидности – инструменты для сканирования и анализа уязвимостей, ручного тестирования и эксплуатации уязвимостей, тестирования веб-приложений, беспроводных сетей, мобильных приложений и т. д. Развитие инструментов пентестов связывается с развитием инструментов оценки уязвимостей в 1990-х годах. Выделение их в отдельный класс можно связать с появлением в 2003 году таких продвинутых инструментов, как PortSwigger Burp Suite, Rapid7 Metasploit и многих других.
  • OSINT (Open-Source Intelligence) – инструменты и методы, направленные на сбор и анализ данных из открытых источников для выявления уязвимостей, угроз, инцидентов и оценки рисков. В широком смысле OSINT – это любая разведка по открытым источникам. Основные цели OSINT в корпоративной безопасности – получение ценной информации о различных проблемах безопасности, а также мониторинг публичных данных для оценки рисков и защиты организаций от кибератак. Некоторые методы и инструменты OSINT могут быть использованы для изучения Darknet, Deep Web и Dark Web, хотя сбор информации из этих частей Интернета не является основным фокусом OSINT. Инструменты OSINT интегрируются с SIEM и TIP. Первая задокументированная практика OSINT относится к середине XIX века в США. Практика OSINT в компьютерных сетях началась с появлением этих сетей. Технологии OSINT приобретали качественно новые уровни с появлением WWW и социальных сетей. Одним из первых популярных простейших инструментом OSINT был и остаётся обычный браузер. Одной из первых специализированных методологий OSINT является Google Dorking. Решения Internet Archive Wayback Machine (1996), BuiltWith (2007), Maltego (2008), Shodan (2009), Skopenow (2012), HaveIbeenPwned (2013), OSINT Framework (2015) также были и остаются популярными средствами OSINT.
  • EASM (External Attack Surface Management) – это класс решений, направленный на управление рисками, связанными с внешней поверхностью атаки организации. EASM сканирует и анализирует интернет-активы организации, такие как веб-сайты, веб-приложения, серверы, сетевые устройства и другие экспонированные ресурсы, для выявления уязвимостей, слабых мест и потенциальных угроз. EASM используют записи DNS, Whois и сканирование Интернета для обнаружения внешней инфраструктуры компании. Разновидности EASM – решения для сканирования веб-приложений и API, платформы для мониторинга доменов и IP-адресов, инструменты для анализа и управления цифровыми рисками. Решения EASM интегрируются с VAPT, SIEM, MDR и другими системами. Решения EASM развиваются с начала 2010-х годов. Компании RiskIQ, CyCognito и другие сделали вклад в развитие EASM.
  • CAASM (Cyber Asset Attack Surface Management) – это класс решений, предназначенных для обнаружения, анализа, управления и защиты всех цифровых активов организации. CAASM охватывает широкий спектр активов, включая сетевые устройства, серверы, приложения, облачные службы и устройства IoT, и направлен на уменьшение рисков, связанных с их эксплуатацией и управлением. В то время как EASM обычно фокусируется на внешних активах, CAASM часто включает в свою сферу действия как внутренние, так и внешние активы. Внутренние активы включают программное обеспечение, встроенное ПО или устройства, которые используются членами организации. Внешние активы доступны в Интернете и могут включать общедоступные IP-адреса, веб-приложения, API и многое другое. Функции CAASM – автоматизированное обнаружение и инвентаризация всех цифровых активов организации, оценка рисков и уязвимостей в рамках всех активов, предоставление централизованного представления поверхности атаки и управление ею, интеграция данных по безопасности для улучшения реагирования на инциденты и планирования защиты. Разновидности CAASM – платформы управления активами в облачных и виртуальных средах; решения для корпоративных сетей и инфраструктуры; инструменты для мониторинга и управления устройствами IoT и OT (Operational Technology). Системы CAASM интегрируются с VAPT, SIEM, TIP, MDR и т. д. Решения CAASM развиваются с конца 2010-х годов. Компании JupiterOne, Axonius, Armis и другие развивают системы CAASM.

Облачная безопасность

Развитие облачных технологий привело к появлению новых вызовов и угроз в области информационной безопасности. Облачная безопасность требует учета особенностей высокой масштабируемости, динамичности и распределенности. В отличие от традиционных подходов к безопасности, которые часто фокусируются на защите периметра и внутренних сетевых ресурсов, решения по облачной безопасности должны обеспечивать защиту в более открытой, гибкой и изменчивой среде.

Ключевым аспектом облачной безопасности является управление доступом и идентификацией, поскольку облачные сервисы часто доступны из любой точки мира. Соответственно, важно не только контролировать, кто имеет доступ к облачным ресурсам, но и обеспечивать защиту данных и приложений в облаке. Это требует комплексного подхода, включающего в себя мониторинг конфигураций, защиту рабочих нагрузок и постоянную оценку соответствия нормативным требованиям.

В этом разделе мы рассмотрим, как современные решения облачной безопасности справляются с этими задачами, обеспечивая защиту в динамичной и масштабируемой облачной среде. Мы узнаем, как они помогают организациям управлять рисками, связанными с облаками, и как они вписываются в общую стратегию информационной безопасности.

  • CASB (Cloud Access Security Broker) – это системы-посредники между пользовательскими организациями и облачными провайдерами. CASB позволяет администраторам более удобно развертывать и применять политики безопасности. Это помогает компаниям создавать правила безопасности, когда их администраторы не знакомы со способами обеспечения кибербезопасности в облаке. CASB помогает организациям контролировать использование облачных приложений и защищать данные. Разновидности CASB: прокси, как в прямом, так и в обратном направлении; CASB, интегрирующиеся с облачными сервисами через их API. CASB интегрируются с IAM, SIEM, SOAR, VM, GRC и другими системами. Термин CASB предложила компания Gartner в 2012 году. Разработчиками CASB являются Microsoft, Symantec, Palo Alto Networks, Mcafee, Trend Micro, Forcepoint, Skyhigh Security, Netskope, CipherCloud и другие компании.
  • CSPM (Cloud Security Posture Management) – это класс решений, предназначенных для автоматизированного управления безопасностью облачных сред. Базовые функции CSPM – мониторинг облачных конфигураций на предмет нарушений и уязвимостей, автоматизированная корректировка неправильных или рискованных настроек, оценка соответствия облачных сред нормативным требованиям, а также анализ и отчетность о состоянии безопасности облачных сред. Системы CSPM интегрируются с CASB, CIEM, SIEM, SOAR, IAM и т. д. Решения CSPM начали развиваться в середине 2010-х годов. Разработчиками CSPM являются Microsoft, CrowdStrike, Trend Micro, Palo Alto Networks, McAfee, Check Point, Orca Security, Zscaler и другие компании. С развитием технологий CSPM они также начали контролировать доступ и приложения, а также помогать в реагировании и устранении кибератак. Развитие решений CSPM основано на контекстно-зависимом доступе, интеграции облаков разных типов, интеграции управления облачными и локальными приложениями и ресурсами инфраструктуры, интеграции с DevOps, задействовании искусственного интеллекта и т. д. 
  • CWPP (Cloud Workload Protection Platform, также Cloud Workload Protection, CWP) – это класс решений, предназначенных для обеспечения безопасности и защиты рабочих нагрузок в облачных средах, включая виртуальные машины, контейнеры и серверные функции. CWPP обычно основаны на программных агентах, которые постоянно работают на защищаемых компьютерах, собирают важные для безопасности данные и события, и отправляют их в облачные службы. Функции CWPP – обнаружение и предотвращение угроз, связанных с облачными рабочими нагрузками; мониторинг и управление конфигурациями безопасности; защита и шифрование данных в облаке; управление доступом и идентификацией в облачных средах. Разновидности CWPP – решения, ориентированные на защиту виртуальных машин и серверов; платформы для защиты контейнеризированных приложений и микросервисов; инструменты для безопасности серверных функций и облачных приложений. CWPP интегрируются с CASB, CSPM, VM, IDS, IAM и т. д. Развитие CWPP началось в середине 2010-х годов. В разработке CWPP участвовали Palo Alto Networks, McAfee, Symantec, Trend Micro, VMware, Checkpoint, Microsoft и другие компании.
  • CIEM (Cloud Infrastructure Entitlement Management) – занимаются управлением и оптимизацией доступа и полномочий пользователей в облачных средах. CIEM управляют рисками, связанными с привилегированным доступом, разрешениями и политиками доступа в облачных инфраструктурах, таких как AWS, Azure, Google Cloud и другие. Функции CIEM – управление привилегированным доступом к облачной инфраструктуре; оптимизация и минимизация избыточных прав доступа и полномочий; мониторинг и аудит активности пользователей и конфигураций доступа; обеспечение соответствия нормативным требованиям по управлению доступом. CIEM интегрируются с IAM, CASB, SIEM, SOAR и другими системами. Решения CIEM начали развиваться в конце 2010-х годов. Разработчиками CIEM являются CrowdStrike, Palo Alto Networks, Rapid7, CyberArk, Microsoft, SailPoint, CloudKnox и другие компании.
  • CNAPP (Cloud-Native Application Protection Platform) – решение, объединяющее функции CSPM, CWPP и CIEM. Системы CNAPP – это унифицированный и тесно интегрированный набор возможностей обеспечения безопасности и соответствия требованиям, предназначенный для защиты облачных приложений на этапах разработки и производства. CNAPP объединяет большое количество ранее разрозненных возможностей, включая сканирование контейнеров, управление состоянием облачной безопасности, сканирование инфраструктуры как кода, управление правами на облачную инфраструктуру, защиту облачных рабочих нагрузок во время выполнения и сканирование уязвимостей/конфигураций во время выполнения. Термин CNAPP был предложен компанией Gartner в 2021 году. Разработчиками CNAPP являются Palo Alto Networks, Trend Micro, McAfee, CrowdStrike, Zscaler и другие компании.
  • CDR (Cloud Detection and Response) – эти решения предназначены для обнаружения и реагирования на угрозы безопасности в облачных средах. CDR обеспечивает мониторинг, анализ и управление безопасностью облачных ресурсов, включая инфраструктуру, приложения и данные. Решения CDR выполняют функции EDR, NDR и XDR в облаках. Решение MDR можно также описывать в следующем разделе, так как оно находится на границе двух разделов. Первые решения CDR были созданы в начале 2010-х годов, когда облачные сервисы Amazon Web Services, Microsoft Azure, Google Cloud и другие начали внедрять специализированные инструменты для защиты своих облачных платформ. 

Управление информацией и событиями безопасности

Во всех вышеприведенных разделах данной работы мы группировали средства безопасности по функциям, защищаемым объектам, частям инфраструктуры или согласно стадиям жизненного цикла проблем безопасности. Такая специализация решений приводит к существенному недостатку – необходимости ручной работы специалистов для объединения результатов работы множества разнородных средств безопасности и принятия дальнейших решений по анализу, устранению или другим видам обработки вопросов и проблем безопасности. Этот недостаток усугублялся по мере повышения разнообразия угроз безопасности, усложнения защищаемых инфраструктур и размытия их границ при использовании мобильных и облачных технологий.

Поэтому вполне закономерно, что функции обнаружения, предотвращения и реагирования, а также данные о безопасности совершенно разных компонентов и процессов начали интегрироваться в рамках отдельных решений с целью ускорения и автоматизации устранения проблем безопасности в реальном времени на любых стадиях этих проблем.

Ключевыми элементами этой интеграции стали понятия событий безопасности и информации безопасности. Основой основ управления этими элементами является журналирование. Поэтому мы начнём этот раздел с описания логгинга.

  • LM (Log Management, журналирование, логгинг) – это класс решений, предназначенных для сбора, хранения, агрегирования, базового анализа и управления логами (журналами событий) из различных источников компьютера или инфраструктуры ИТ. Эти решения помогают организациям управлять большими объемами логов для целей безопасности, соответствия требованиям и анализа. Технологии управления логами являются базовыми технологиями разработки, отладки, внедрения, эксплуатации и безопасности информационных технологий. Средства логгинга интегрированы если не во все виды современного программного обеспечения, то в их львиную долю. Историю LM можно рассматривать, начиная с появления предшественников операционной системы Unix в конце 1950-х годов. По мере развития систем и приложений, стали применяться более совершенные инструменты сбора журналов, такие как syslog-ng (1998) и rsyslog (2004). С развитием DevOps и CI/CD с конца 2000-х годов выросла потребность в автоматизированных и интегрированных решениях для управления логами. Это привело к развитию современных инструментов управления журналами.
  • SIM (Security Information Management) – это развитие логгинга с фокусом на продвинутый анализ событий безопасности из различных источников в организации. Функции SIM – агрегация и хранение больших объемов данных о безопасности, поддержка анализа и отчетности по безопасности для выявления тенденций и паттернов, управление логами для соответствия нормативным требованиям, интеграция с различными инструментами и системами безопасности для сбора данных. Методы анализа и мониторинга безопасности развивались с конца 1970-х годов. Решения по консолидации и централизации логов развивались с конца 1990-х годов. 
  • SEM (Security Event Management) – это решения для мониторинга, обнаружения и анализа событий безопасности в реальном времени. SEM предназначены для оперативного реагирования на угрозы и инциденты безопасности, а также для обеспечения видимости и контроля над событиями безопасности в ИТ-инфраструктуре организации. Системы SEM развивались в первой половине 2000-х годов.
  • SIEM (Security Information and Event Management) – это объединение методов и терминов SIM и SEM. Компания Gartner, являющаяся одним из законодателей терминологии в информационной безопасности, предложила термин SIEM в 2005 году. После этого концепция SIEM быстро стала стандартом управления текущими и прошлыми событиями корпоративной безопасности, а также базовым инструментом операционных центров безопасности (Security Operations Centers, SOC). Целью SIEM является централизованное управление безопасностью, а также раннее обнаружение и реагирование на инциденты безопасности. Функции SIEM – сбор и агрегирование логов и данных о событиях безопасности, расширенный анализ данных для выявления потенциальных угроз и аномалий, генерация оповещений и предупреждений о безопасности в реальном времени, поддержка расследования инцидентов и управления ими, подготовка отчетов и соблюдение нормативных требований. Системы SIEM интегрируются с системами IDS, IAM, TIP, EDR, SOAR и многими другими решениями. В разработке SIEM активно участвовали как крупные компании, такие как IBM, McAfee и Splunk, так и новые игроки, привносящие инновации в этот сектор. 
  • TIP (Threat Intelligence Platform) – платформа разведки угроз – это технологическое решение, которое собирает из различных источников и форматов данные об угрозах информационной безопасности, агрегирует и систематизирует их. Затем TIP передаёт результаты разведки угроз, включая индикаторы компрометации (IoC), аналитикам и другим системам для дальнейшего анализа и принятия решений. Системы TIP обрабатывают информацию об известных вредоносных программах и других угрозах, обеспечивая их идентификацию, расследование и реагирование на них. Также данные разведки угроз используются для проактивного поиска угроз в сети (т. н. “охоты за угрозами”). Решения TIP могут быть локальными или в виде программного обеспечения как услуги (SaaS). Интеграция TIP с SIEM позволяет использовать разведданные для корреляции событий и повышения точности обнаружения угроз. Интеграция TIP с MDR и SOAR используется для автоматизации реагирования на инциденты. Решения TIP развивались с начала 2000-х годов.
  • UEBA (User and Entity Behavior Analytics) – это класс решений, предназначенных для анализа и выявления аномального поведения пользователей и «сущностей» (устройств, приложений и т. д.) в сети. UEBA использует алгоритмы машинного обучения и поведенческий анализ для обнаружения внутренних угроз, таких как мошенничество, компрометация учетных записей и внутренние атаки. Решения UEBA интегрируются с SIEM, EDR, NBA и TIP. В отличие от решений EDR, сосредоточенных на угрозах, внешних по отношению к персоналу, решения UEBA сосредоточены на внутренних, инсайдерских угрозах – недобросовестных сотрудниках и т. п. Предтечей UEBA в 2014 году стали решения UBA (User Behavior Analysis), которые анализируют активность пользователей, а также обнаруживают инсайдерские угрозы и мошенничество. В 2015 году компания Gartner расширила идею UBA с пользователей на сущности и описала концепцию UEBA, которая быстро стала популярной.
  • DRPS (Digital Risk Protection Service) – это класс решений, направленный на защиту организаций от цифровых угроз, связанных с их брендом, репутацией, онлайн-присутствием и цифровыми активами. Несмотря на присутствие слова “риск” в названии, этот класс решений больше относится к управлению инцидентами безопасности, так как часто фокусируется на обнаружении утечек информации. Функции DRPS – мониторинг и анализ онлайн-источников на предмет угроз, уязвимостей и инцидентов; определение и устранение угроз репутации и мошенничества; отслеживание утечек данных и незаконного использования интеллектуальной собственности; предоставление рекомендаций и стратегий по минимизации рисков. Разновидности DRPS – решения для мониторинга социальных сетей и онлайн-форумов, инструменты для анализа DeepWeb и DarkWeb, сервисы по управлению цифровой репутацией и брендом. Решения DRPS интегрируются с системами SIEM, TIP, MDR, VM и GRC. Системы DRPS начал развиваться в середине 2010-х годов, благодаря усилиям Digital Shadows, ZeroFOX, RiskIQ и других компаний. 
  • MDR (Managed Detection and Response) – это класс инструментов и услуг в сфере информационной безопасности, объединяющий технологии обнаружения угроз, передовые экспертизу и операции по реагированию для обеспечения эффективного управления угрозами. MDR получают индикаторы компрометации (IoC) из TIP, собирают данные из корпоративных систем и проверяют их на наличие IoC, а также автоматизируют рутинные задачи реагирования. В отличие от TIP, решения MDR сфокусированы на анализе инцидентов и реагировании на них в реальном времени. Также MDR интегрируются с EPP, EDR, IDS, SIEM, NDR, XDR и другими решениями. Ключевая особенность MDR – представление решения не только в виде системы, но в первую очередь в виде сервиса MDR или SOC (Security Operations Center) и наличие экспертных ресурсов для предоставления этого сервиса. Решения и услуги MDR начали формироваться в середине 2010-х годов. Ведущие компании в сфере ИБ, такие как FireEye, CrowdStrike и Rapid7, сыграли значительную роль в разработке и продвижении услуг и решений MDR.
  • SOAR (Security Orchestration, Automation, and Response) – технология, развившаяся на основе решений IRP, которая помогает выполнять, автоматизировать и координировать между разными специалистами и инструментами задачи по реагированию на инциденты безопасности. SOAR собирает входные данные, такие как оповещения от SIEM, TIP и других систем, и помогает определять, расставлять приоритеты и управлять стандартизированными действиями по реагированию на инциденты, а также автоматически реагировать на некоторые инциденты. Термин SOAR ввела компания Gartner в 2017 году. Одним из ранних значимых примеров системы SOAR является система IBM Security SOAR, разработанная на базе приобретенного стартапа Resilient, техническим директором которого являлся знаменитый эксперт по информационной безопасности Брюс Шнайер.
  • XDR (Extended Detection and Response) – это решения для обнаружения и реагирования на кибератаки, которые интегрируют функциональность нескольких решений с целью повышения видимости событий безопасности, более полного и глубокого их анализа, а также повышения эффективности реагирования на атаки. XDR можно рассматривать как развитие EDR в применении на корпоративную сеть. Интеграции XDR варьируются в разных реализациях и часто включают EPP, EDR, NTA/NDR, FW/NGFW, UEBA, SIEM, SOAR, TIP и т. д. Решения XDR обрабатывают информацию о действиях пользователей, событиях конечных точек, электронной почты, приложений, сетей, облачных рабочих нагрузок и данных. Функции XDR – сбор и корреляция данных из разных слоев защиты; применение продвинутых методов обнаружения, таких как машинное обучение, поведенческий анализ, сигнатурное сопоставление; предоставление единой консоли управления для визуализации, поиска, фильтрации и сортировки событий безопасности; поддержка автоматизации и оркестрации действий по реагированию на инциденты, таких как блокировка, изоляция, удаление или шифрование вредоносных объектов; интеграция с другими системами безопасности для координации действий по защите сети или системы. Термин XDR был предложен в 2018 году Ниром Зуком из компании Palo Alto Networks, которая предлагает следующую диаграмму, полезную для понимания эволюции и связи многих решений, объединяемых решением XDR.
  • NDR (Network Detection and Response) – это решение для обнаружения и реагирования на киберугрозы в сетевой инфраструктуре, основанное на технологии NTA, искусственном интеллекте, машинном обучении и поведенческом анализе. Решение NDR проверяет необработанные сетевые пакеты и метаданные как для внутренней сетевой связи (называемой также “восток-запад”), так и для внешней (называемой “север-юг”). В отличие от NTA, система NDR использует исторические метаданные для анализа угроз, а также не только уведомляет о них, но и автоматически реагирует на них с помощью интеграции с FW, EDR, NAC или SOAR. Согласно компании Gartner, предложившей термин NDR в 2020 году, эта технология является одним из трех столпов триады видимости, наряду с EDR и SIEM.
  • NSM (Network Security Monitoring) – неоднозначный класс решений, который может объединять в себе функции IDS, IPS, EDR, MDR и SIEM.

Управление рисками

В предыдущих разделах нашего обзора мы рассмотрели многочисленные классы решений в области информационной безопасности, охватывающие широкий спектр технологий. Эти решения в основном ориентированы на технические аспекты защиты информации – предотвращение, обнаружение и устранение уязвимостей, атак, последствий инцидентов и угроз ближайшего будущего – масштаба секунд, часов, дней и недель. 

Однако в контексте постоянно усиливающихся и усложняющихся киберугроз, а главное – постоянно увеличивающихся бюджетов безопасности, организациям необходимо предвидеть и планировать как можно дальше – на месяцы и годы вперёд. Для этого им необходимо выходить за рамки чисто технических мер и мыслить более стратегически, повышать уровень управления рисками и лучше учитывать в своей стратегии международные, отраслевые и государственные нормы и стандарты.

Поэтому в последней части нашей работы мы переходим от технических аспектов к стратегическим и менеджерским методам и средствам. Решения, описываемые в этом разделе, обеспечивают всеохватывающий подход к управлению рисками. Эти решения позволяют организациям не только заглядывать далеко в будущее при планировании управления рисками и обеспечивать соответствие нормам и стандартам, но и эффективно управлять рентабельностью инвестиций в безопасность, а также повышать корпоративную культуру безопасности.

  • CMDB (Configuration Management Database) – это инструмент или база данных для хранения информации о компонентах корпоративной инфраструктуры ИТ и об их взаимосвязи. Основная задача CMDB – обеспечение управления конфигурацией IT-сервисов и инфраструктуры. CMDB не является решением информационной безопасности, но играет важную роль для неё. Например, CMDB может использоваться для отслеживания изменений в инфраструктуре ИТ, управления активами и их зависимостями, поддержки процессов управления инцидентами и проблемами, планирования изменений и оценки рисков. Похожие функции выполняют решения IT Asset Management (ITAM).
  • CSAM (Cybersecurity Asset Management) – это решения для управления ИТ-активами в организации с целью обеспечения их безопасности. Эти активы включают в себя сетевое оборудование, серверы, рабочие станции, операционные технологии (OT), мобильные устройства, приложения, данные. Главная цель управления активами в контексте кибербезопасности заключается в улучшении представления об ИТ-активах организации, а также в повышении эффективности управления рисками, связанными с ИТ-инфраструктурой и наборами данных. Функции CSAM – автоматическое обнаружение активов, классификация активов, мониторинг и анализ состояния безопасности активов, управление уязвимостями и патч-менеджмент, а также интеграция с другими системами безопасности. В отличие от решений CAASM, охватывающем широкий спектр внутренних и внешних активов, а также их уязвимостей и связанных с ними угроз и инцидентов, решения CSAM работают в основном со внутренними активами и связанными с ними рисками, то есть, на более высоком уровне. Решения CSAM начали развиваться с начала 2000-х годов. В развитие CSAM внесли вклад комппании Axonius, JupiterOne, Lansweeper, Noetic Cyber, Panaseer, Qualys и другие.
  • ISRM (Information Security Risk Management или IT Risk Management, ITRM) – это инструменты автоматизации управления рисками информационной безопасности – процесса идентификации, анализа, оценки и отслеживания рисков. Управление рисками позволяет уменьшать вероятность и негативные последствия инцидентов, а также оценивать экономическую эффективности внедрения мер и средств безопасности. Функции ISRM – помощь при идентификации активов и угроз, оценке уязвимостей и вероятности инцидентов, оценке потенциального ущерба, разработке и отслеживанию мер обработки рисков, а также непрерывному мониторингу и переоценке рисков. Разновидности ISRM – аналитические инструменты; системы разведки угроз, управления уязвимостями или инцидентами с функциями управления рисками; инструменты планирования непрерывности бизнеса; инструменты комплаенс-менеджмента. Концепция управления рисками в ИБ начала развиваться в 1970-х годах. В 1987 году появилась методология CRAMM (CCTA Risk Analysis and Management Method), которая получила распространение в виде программных решений ISRM. Значительными шагами в области методологии ISRM стало появление стандартов NIST SP 800-30 в 2002 году и ISO 27005 в 2008 году.
  • GRC (Governance, Risk, and Compliance) – набор процессов и технологий, направленных на эффективное стратегическое управление организацией, минимизацию её рисков и гарантирование её соответствия действующим законодательным и нормативным требованиям. Основная цель GRC в контексте информационной безопасности – обеспечить согласованность и эффективность управления ею в рамках организации как части своей отрасли, государства и макроэкономики. Инструменты GRC можно разделять по областям соответствия нормам, а также на универсальные и специализированные, например, встроенные в облачные сервисы. Решения по стратегическому управлению, рисками и соответствию нормам развивались с конца 1980-х годов. В начале 2000-х годов для этих процессов и решений Майкл Расмуссен из компании Forrester предложил термин GRC. В 2002 году компания Symbiant создала один из первых инструментов GRC. Процессы и инструменты Enterprise Risk Management (ERM), находящиеся в тесной связи с GRC, формировались с конца 1990-х годов. В 2017 году компания Gartner предложила концепцию Integrated Risk Management (IRM), которая продолжила развитие ERM.
  • CCM (Continuous Controls Monitoring) – это довольно широкий класс инструментов, который может включать непрерывное или высокочастотное отслеживание эффективности или безопасности экономических, финансовых или технологических процессов или средств управления. В контексте информационной безопасности решения CCM предназначены для мониторинга и анализа эффективности управленческих, операционных и технических средств управления безопасностью. CCM отслеживают эффективность процессов и средств снижения рисков, включая противодействием кибератакам, обеспечение непрерывности бизнеса и соблюдение нормативных требований. Эти инструменты помогают обеспечивать соответствие нормативным требованиям, политикам и стандартам, а также способствуют повышению общей безопасности и эффективности ИТ-инфраструктуры. Концепция CCM начала развиваться с конца 1990-х годов. Стандарт ISACA COBIT, вышедший в 1996 году, а также закон США SOX (Сарбейнса-Оксли) 2002 года повлияли на развитие решений CCM.
  • SAT (Security Awareness Training) – это набор решений, предназначенных для обучения, информирования и повышения уровня осведомленности пользователей и сотрудников о принципах, угрозах и лучших практиках в области информационной безопасности. Основная цель этих инструментов – снижение рисков, связанных с человеческим фактором, путем обучения и повышения осведомленности сотрудников. SAT включают в себя: обучающие программы: курсы, вебинары, интерактивные симуляции; тестирование знаний: проведение квизов и тестов для проверки уровня понимания материала; фишинг-симуляции: создание контролируемых фишинговых атак для оценки реакции пользователей; системы управления обучением (LMS): платформы для дистанционного обучения и отслеживания прогресса сотрудников; информационные бюллетени и напоминания: рассылки с обновлениями и советами по информационной безопасности; многие другие методы и средства обучения. Концепция обучения и повышения осведомленности о вопросах ИБ зародилась в 1990-х годах.
  • Phishing Simulation – это решения, предназначенные для имитации фишинговых атак с целью обучения пользователей распознаванию и предотвращению подобных угроз. Эти инструменты позволяют компаниям проводить контролируемые тестовые атаки на своих сотрудников, чтобы оценить уровень их осведомленности и готовности к реальным фишинговым атакам. Функции симуляции фишинга: создание имитационных фишинговых кампаний с различными сценариями, отслеживание реакций пользователей на фишинговые письма, анализ результатов и предоставление отчетов по уровню уязвимости сотрудников, обучение и информирование сотрудников о методах распознавания фишинга. Решения PS интегрируются с решениями SAT. Концепция симуляции фишинга появилась в начале 2000-х годов.

Заключение

Кибербезопасность, несмотря на свою богатую историю, всё ещё является развивающейся дисциплиной. Терминология и концепции технологий безопасности непрерывно дополняются, уточняются и эволюционируют. Несмотря на большую работу по стандартизации в этой области, которую выполняют такие организации как Gartner, NIST и ISO, производители и создатели новых технологий безопасности постоянно увеличивают разнообразие терминов и усложняют классификацию решений безопасности. 

Часто новые решения заменяют старые или интегрируют несколько технологий разных классов. Также часто решения сильно эволюционируют, хотя при этом название их класса долго не изменяется. Иногда наоборот, производители из маркетинговых соображений пытаются позиционировать свои решения как новый изобретённый ими класс решений, при этом не внося принципиальной новизны в функционал решения. Иногда производители относят своё решение к более продаваемому классу, хотя на самом деле у решения недостаточно соответствующих функций. 

Упомянутые процессы повышают вероятность ошибок и неточностей в обзорах, подобных нашему. При работе над ним мы использовали ряд источников: Wikipedia, Palo Alto Networks Cyberpedia, Zenarmor Security Basics, Kaspersky IT Encyclopedia, Delinea PAM & Cybersecurity Glossary и многие другие. Однако ни один из источников не давал достаточно полных и точных сведений, которые приходилось анализировать и компилировать вручную. Поэтому мы будем благодарны вам за рекомендации других источников и за помощь в уточнении и развитии этой работы. Пришлите нам, пожалуйста, ваши предложения по улучшению.

Надеемся, что наш обзор оказался для вас не только информативным, но и стимулирующим к дальнейшему погружению в мир автоматизации и решений информационной безопасности, и к упорядочиванию этого мира. 

Таким образом, рассмотренные нами инструменты и технологии помогают, с одной стороны, облегчать и упрощать, а с другой – ускорять и укреплять процессы защиты систем и данных. Являясь не теоретиками, а практиками, мы активно разрабатываем и интегрируем эти инструменты, стремясь предоставить вам лучшие бесплатные и коммерческие инновационные решения.

Если вам необходимо внедрение или оценка безопасности подобных решений, либо любые виды автоматизации в области кибербезопасности, напишите нам сегодня и получите бесплатную консультацию по промокоду “SOLUTIONS”.

——————

Подпишитесь на наши социальные сети внизу этой страницы, чтобы не пропускать наши новости и статьи блога.