Тенденції кіберпроблем і рішень 2024

Актуальні проблеми інформаційної безпеки та їх вирішення

IT-компанії, стартапи та підприємства найрізноманітніших галузей піддаються кібератакам щодня. Тільки у 2023 році кількість кібератак зросла на 62% порівняно з 2022 роком. За даними статистики, аналітики та прогнозів, наданими різними компаніями з кібербезпеки:

• Атаки програм-вимагачів відбуваються кожні 10 секунд.
• Жертвами програм-вимагачів у 2023 році стали понад 70% компаній.
• 71% випадків атак на організації пов’язані зі шпигунством і крадіжкою даних.
• 80% усіх порушень безпеки належать до організованої злочинності.
• До 2026 року збитки від кіберзлочинності на глобальному ринку перевищать 20 трильйонів доларів на рік.

Усі ці цифри лякають. Однак панікувати не слід, але й ігнорувати проблему, думаючи, що вона вас не торкнеться, – теж. Ми розповімо в цій статті про важливість та ефективність використання технологій і програмно-апаратних рішень у сфері інформаційної безпеки, розглянемо найактуальніші з тих, що стрімко набирають популярності.

Чим загрожує ігнорування проблеми

Приділяти увагу кібербезпеці для компаній будь-яких видів у 2024 році дуже важливо, оскільки, як мінімум:

• Витік даних загрожує репутаційними ризиками. Веб-сайти, CRM-системи, поштові сервіси та інші подібні системи зберігають важливу інформацію про клієнтів, яка привертає увагу зловмисників: особисті дані, телефони, адреси, електронні гаманці, кредитні картки. Якщо шахраї отримають до неї доступ, бізнесу загрожують неприємності: від компрометацій облікових записів і численних скарг користувачів до крадіжок активів і судових позовів. Не менш серйозні проблеми виникають у бізнесі під час зупинки бізнес-процесів через програми-здирники, DDoS-атаки та пошкодження даних унаслідок несанкціонованого доступу.
• Кіберзлочинці перешкоджають розвитку компаній, атакуючи IoT. За допомогою нових технологій багато підприємств, зокрема, у сфері “розумних будинків”, промисловості, енергетики, комунальних сервісів, сільського господарства тощо, можуть заощаджувати на робочій силі та підвищувати продуктивність завдяки автоматизації та оптимальному розподілу ресурсів. Збої в налагодженій роботі пристроїв, підключених до IoT, можуть призвести до непоправних наслідків для довкілля, здоров’я і життя людей. Залишається високим ризик криптоджекінгу – атак на пристрої в спробах несанкціонованого використання для видобутку криптовалюти. Цілями стають усі види гаджетів, сервери, камери відеоспостереження, принтери та навіть побутові прилади на кшталт холодильників і пилососів, під’єднаних до Інтернету. 
• Кібератаки погіршують позиції сайтів у пошуковій видачі. Якщо сайт регулярно піддається DDoS-атакам або, що ще гірше, заражений вірусами, можна забути про SEO-просування і регулярний безкоштовний трафік. Навіть запуск реклами буде проблематичним, якщо веб-сайт не пройде модерацію на відповідних майданчиках. Бізнес, який більшу частину клієнтів отримує з мережі Інтернет, у таких умовах просто не виживе.

Важливість програмно-апаратних рішень для кібербезпеки

З кожним роком актуальність ефективного управління інформаційною безпекою компаній стає дедалі нагальнішою. Термінове втручання є необхідністю, оскільки проблема не тільки не зникає, а й набуває дедалі критичнішого характеру. Ситуація продовжить погіршуватися через розвиток нейромереж – так званого “штучного інтелекту” (ШІ), який у руках зловмисників перетворюється на страшну зброю. 

ШІ посилює навички Інтернет-шахраїв, даючи змогу створювати:

• більш витончені атаки та ефективні дипфейки;
• унікальні шкідливі програми, що ефективно маскуються від виявлення;
• разюче переконливі листи для фішингових атак тощо.

Крім того, через потужні можливості штучного інтелекту поріг входження в кіберзлочинність різко знижується. З урахуванням локальних криз, коли багато людей залишаються без роботи та засобів для існування, це забезпечує постійне поповнення у лавах кіберзлочинців.

Водночас середній і малий бізнеси стикаються з такими проблемами, як:

• бюджетні та часові рамки;
• відсутність можливості у керівників вникати в технічні тонкощі;
• гостра нестача кваліфікованих фахівців з інформаційної безпеки (ІБ).

Для таких компаній важливі доступні автоматичні рішення “з коробки”, які дадуть змогу ефективно захищати дані.

На щастя, експерти з безпеки працюють з ШІ не менш успішно, ніж зловмисники. Тому головним трендом поточного року стане впровадження систем штучного інтелекту в різні класи засобів захисту інформації. ШІ в руках аналітиків стане ефективним інструментом для виявлення прихованих загроз, пошуку взаємозв’язків між розрізненими подіями, обробки значних обсягів різнорідної інформації та інших складних завдань. Найпростіше застосування ШІ в ІБ – звичайний чат-бот, який допомагає швидше знаходити рішення у випадках виникнення вразливостей, загроз та інцидентів ІБ, видаючи підказки набагато швидше та якісніше, ніж більшість штатних або позаштатних фахівців. 

Тому системи, оснащені модулями штучного інтелекту, можуть частково вирішити проблему дефіциту кадрів у сфері кібербезпеки. Вона, на жаль, продовжить залишатися актуальною ще кілька років. Детальніше про це та інші технології розповімо трохи нижче.

Види популярних програмно-апаратних рішень інформаційної безпеки

Розвиток кіберстійкості компаній – важливе завдання для дрібного, середнього та корпоративного бізнесу. Програмно-апаратні рішення захисту інформації допомагають вирішити це завдання швидше, ніж виконання операцій суто вручну. Ці рішення містять у собі різні технології та підходи, спрямовані на забезпечення безпеки даних і систем, які їх обробляють. 

Ось кілька ключових технологій (класів систем), які продовжують залишатися актуальними:

• Системи виявлення вторгнень (Intrusion Detection Systems, IDS). Ці програмно-апаратні системи моніторять мережу на наявність підозрілих дій або відхилень від встановлених стандартів безпеки. А за допомогою модулів штучного інтелекту, якими їх можна доповнити, є змога отримання справді продуктивних результатів шляхом інформування в реальному часі про підозрілі події, що мають слабко виражені ознаки в мережі та на хостах. 
• Системи управління інформаційною безпекою або SIEM (Security Information and Event Management). Працюючи в комплексі з IDS, файрволами та іншими системами безпеки, вони забезпечують збір, моніторинг та аналіз повідомлень безпеки з різних джерел. Системи SIEM є “нервовими центрами” сучасних відділів і служб інформаційної безпеки, надаючи фахівцям єдину панель управління безпекою всіх серверів, мережевого обладнання, настільних і мобільних комп’ютерів.
• Системи ідентифікації та аутентифікації користувачів. Ці рішення використовуються для перевірки особистості користувача перед наданням доступу до ресурсів. Перевірка може бути багаторівневою і включати в себе паролі, PIN-коди, біометричні дані або апаратні ключі безпеки. 
• Системи шифрування даних.  Ці системи захищають від витоку інформації конфіденційні дані шляхом їхнього перетворення в нечитабельний вигляд за допомогою різних ключів – складніших аналогів паролів. Шифрування може охоплювати захист дискових даних, інформації, що передається мережами, а іноді також шифрування даних в оперативній пам’яті та інших видах запам’ятовувальних пристроїв.
• Засоби управління криптографічними ключами. Ці системи, побудовані на основі криптографії, дають змогу безпечно генерувати, передавати та зберігати ключі шифрування, а також керувати іншими операціями їхнього життєвого циклу. Управління ключами забезпечує конфіденційність обміну інформацією та цілісність даних. 
• EPP (Endpoint Protection Platform) або антивірусні програми (антивіруси). Умовно вважатимемо ці рішення синонімами. Термін “антивірус” поступово застаріває. Можливо, це пов’язано з тим, що кількість вірусів за останні 5 років впала вдвічі. Усі сучасні антивіруси  належать до класу EPP. Це програми, які сканують комп’ютери та мережі на наявність шкідливого програмного забезпечення, сповіщають про небезпеку, блокують роботу шкідливого коду, відновлюють пошкоджені файли та виконують інші захисні функції.
• Мережеві екрани (вони ж фаєрволи, вони ж брандмауери). Firewall або Brandmauer (від англ. “вогняна стіна”) – це програмні або апаратні рішення, які дають змогу контролювати вхідний і вихідний мережевий трафік на основі заданих правил безпеки. 

Тепер погляньмо на ці рішення трохи докладніше. 

Інструменти безпеки на основі штучного інтелекту 

Почнемо з найбільш передового напряму розвитку інформаційної безпеки – штучного інтелекту (ШІ).

Переваги використання технологій на основі ШІ – можливість відстеження та блокування складних загроз та обробка великої кількості слабо структурованих даних у режимі реального часу. Це дає змогу швидше виявляти проблеми та реагувати на них, запобігаючи можливим неприємним наслідкам витоків інформації, впровадження шкідливого ПЗ та інших інцидентів ІБ.

Інструменти, які варто спробувати у 2024 році:

• Trellix – постачальник рішень класу XDR (розвиток класу SIEM), рішень із розвідки загроз, безпеки кінцевих точок, даних, мереж, емайл, хмар тощо. Використання ШІ в рішеннях цього постачальника підвищує швидкість і якість ухвалення рішень щодо виявлення та блокування загроз.
• Kriptos – постачальник рішень із класифікації та захисту конфіденційних даних. Технологія цієї компанії автоматично класифікує мільйони документів та ідентифікує конфіденційну інформацію завдяки передовим алгоритмам штучного інтелекту. Рішення аналізує та класифікує неструктуровані дані форматів .doc, .xls, .ppt, .pdf. Вміє розрізняти вміст за важливістю даних: належить інформація до конфіденційної чи ні. Крім того, інструмент визначає загрози та пропонує ефективні рішення для своєчасного захисту. 
• Darktrace – компанія, що вважає себе світовим лідером у галузі штучного інтелекту в галузі кібербезпеки. Надає комплексні рішення на базі ШІ, архітектури ZeroTrust та інших сучасних підходів. Компанія має понад 145 патентів на свої передові розробки та надає самонавчальну модель, що допомагає захищати хмарні сервіси, застосунки, пристрої, операційні технології, мережі та сервери.

Чим можуть допомогти інструменти для виявлення вторгнень

Крім інноваційних рішень на основі ШІ, як і раніше, популярними є класичні технології та системи виявлення вторгнень (IDS), зокрема:

• Мережеві системи виявлення вторгнень (Network-based IDS, NIDS). Вони моніторять як вхідний, так і вихідний мережевий трафік у реальному часі й аналізують його на наявність аномалій або сигнатур атак. Ці системи визначають такі загрози, як DoS-атаки, сканування портів і навіть спроби проникнення в мережу.
• Хост-орієнтовані системи виявлення вторгнень (Host-based IDS, HIDS). Ці системи встановлені на окремих хостах (наприклад, серверах або робочих станціях) і моніторять їх, включно із системними журналами, файлами та ресурсами, для виявлення незвичайної або підозрілої активності.
• Системи, що аналізують поведінку в мережі (Behavior-based IDS). Вони вивчають зразки нормальної поведінки програм або користувачів, після чого визначають аномальні дії або зміни, які можуть вказувати на можливе вторгнення.
• Системи виявлення вторгнень із гібридним підходом. Деякі IDS комбінують елементи мережевого, хост-орієнтованого, поведінкового і нейромережевого підходів, щоб забезпечити повніше виявлення загроз.

Ці технології лежать в основі більш досконалих технологій виявлення інцидентів і загроз безпеки, таких як Network Behavior Anomaly Detection (NBAD), Endpoint Detection and Response (EDR) і Network Detection and Response (NDR). 

Які проблеми вирішують системи управління мережевою безпекою (SIEM)

Обсяг цифрової інформації постійно зростає. Тому дуже важливо швидко аналізувати та зіставляти дані з різних джерел і між різними інформаційними системами. Системи SIEM були одним із першокласних систем безпеки, спрямованих на надання цієї можливості – збір і представлення даних про безпеку в одному зрозумілому інтерфейсі користувача. Це дає змогу аналітикам безпеки швидко відстежувати загрози та інциденти, і реагувати на них. Тому системи SIEM досі популярні й активно розвиваються.

Що саме можуть такі системи:

• аналізувати вразливості та ступінь захищеності організації;
• відстежувати події, інциденти, атаки, їхні наслідки та надавати зручну візуалізацію даних; 
• моніторити спроби змін прав користувачів, активувати системи оповіщення в разі порушення доступу або інсайдерських витоків;
• використовувати для збору відомостей такі джерела, як файлові сервери, фаєрволи, антивірусні програми, а також звіряти та зіставляти дані з різних джерел;
• фільтрувати події з подальшим видаленням надлишкової або повторюваної інформації;
• довгостроково зберігати дані, зібрані в хронологічному порядку, для можливості подальшого розслідування інцидентів.

Системи SIEM настільки зручні, що з ними можуть ефективно працювати навіть фахівці-початківці. Тому ці сервіси не тільки продовжать брати участь у забезпеченні безпеки компаній, а й продовжуватимуть стрімко розвиватися. Зокрема, з використанням модулів ШІ, що підвищують ефективність аналізу великої кількості даних. 

Навіщо потрібні системи ідентифікації та аутентифікації користувачів

Щоб розібратися в цьому питанні, давайте спочатку розглянемо відмінності в поняттях ідентифікація, автентифікація та санкціонування (авторизація), які часто плутають через те, що ці процеси виконуються разом і майже одночасно.

• Ідентифікація в контексті безпеки – це процес встановлення (визначення) особи, яка запитує доступ. Ідентифікація зазвичай відбувається шляхом надання неповторних розпізнавальних даних, які важко копіюються, таких як унікальний секретний ключ, зображення обличчя, відбиток пальця тощо. Вони порівнюються з попередньо збереженими даними для визначення, кому вони належать. При цьому  користувачеві не потрібно вказувати своє ім’я, оскільки ця інформація вже зберігається в базі даних користувачів.
• Аутентифікація, на відміну від ідентифікації, – це процес введення користувачем свого імені (логіна) і секретних аутентифікаційних даних, таких як пароль, а потім перевірка системою даних, наданих користувачем. Іншими словами, автентифікація – це перевірка і підтвердження, що користувач є тим, за кого себе видає. На відміну від ідентифікації, під час автентифікації немає вимоги унікальності секретних ключів або паролів, оскільки однозначне визначення особи користувача досягається унікальністю несекретної частини його аутентифікаційних даних – логіна користувача.
• Санкціонування (авторизація) – це процес визначення, які ресурси доступні успішно ідентифікованому або автентифікованому користувачеві. У результаті цього процесу користувач стає уповноваженим (авторизованим). Санкціонування завжди виконується після ідентифікації або автентифікації, однак через те, що зазвичай це робиться автоматично, то складається враження, що це один процес. Плутанина між автентифікацією та авторизацією посилюється схожим звучанням цих слів для людей, які погано знають англійську.

Першим елементом ідентифікації та аутентифікації був пароль. Першим розробником парольного захисту вважається Фернандо Корбато, який застосував паролі в операційній системі CTSS 1961 року в Массачусетському інституті. Відтоді ці системи суттєво ускладнилися, удосконалилися, доповнилися багатофакторною (багатоетапною) аутентифікацією та різними апаратними засобами. 

Серед апаратних рішень систем ідентифікації та автентифікації виділяють такі:

• Смарт-картки (Smart Cards). Це пластикові картки, схожі на кредитні, з інтегрованим мікрочипом, який генерує, зберігає та захищає від копіювання унікальні ідентифікаційні дані. Їх використовують найчастіше для фізичного доступу до приміщень або як засіб автентифікації при вході в корпоративні системи. 
• USB-токени (USB Tokens). Це пристрої, функціонально аналогічні смарт-карткам, тільки підключаються до USB-порту комп’ютера. Їхня перевага перед смарт-картками – економія на пристроях зчитування і запису, оскільки цю функцію виконує універсальний порт, який є на всіх комп’ютерах і мобільних пристроях. 
• Біометричні сканери (Biometric Scanners). Ці пристрої використовують для ідентифікації та автентифікації унікальні фізіологічні характеристики користувача, як-от відбитки пальців (найпоширеніші), сітківку ока або голос.
• RFID-мітки (RFID Tags). Це радіочастотні ідентифікатори, які можуть бути зчитані спеціальними пристроями. Ці мітки є простішими аналогами смарт-карток.

Дуже важливо вибудувати системи санкціонування таким чином, щоб користувачі мали різні права і доступи. Наприклад, щоб читач не мав таких самих прав, як у суперадміністратора. Це забезпечить цілісність і конфіденційність даних і системи.

Функціональні можливості передових антивірусів

Антивірусні програми або системи захисту кінцевих точок здатні закрити безліч питань безпеки, зокрема захищаючи від таких небезпечних загроз:

• Хробаки – шкідливі програми, здатні до “розмноження”, тобто до самокопіювання. Вони можуть завдати багато шкоди, поширюючись в ураженому середовищі, паралельно знищуючи або пошкоджуючи дані, що зберігаються на пристроях.
• Комп’ютерні віруси – шкідливі програми, які вбудовуються у файли й активуються під час їхнього запуску. Вони можуть пошкоджувати та красти дані, виводити з ладу комп’ютер.
• Трояни – програми, які маскуються під корисні, але переносять шкідливе програмне забезпечення, наприклад, шпигунське ПЗ, призначене для прихованого стеження та оповіщення спостерігачів про вашу активність. Троянські програми заражають комп’ютери, впроваджуючись у безпечні, на перший погляд, файли, які поширюються в мережі. 

Як саме працюють сучасні антивіруси, звані платформами захисту кінцевих точок (EPP):

• Проводять сканування всіх файлів і програм, що знаходяться на пристрої.
• Блокують потенційні загрози та загрози, що активувалися.
• Інтегруються з фаєрволом, скануючи вхідний і вихідний мережевий трафік.
• Захищають від фішингу, блокуючи підроблені сайти, що збирають дані.
• Надають антиспам-захист, аналізуючи вхідний поштовий трафік.
• Беруть на себе функції батьківського контролю, блокуючи сайти для дорослих, що корисно на пристроях, якими користуються діти. Аналог батьківського контролю в організаціях можна налаштувати для блокування певних сайтів, щоб офісні співробітники не відволікалися під час роботи.

Передові EPP також можуть мати додаткові корисні функції:

• Забезпечувати резервне копіювання даних. Важливий превентивний захід, у разі, якщо шахраям вдасться обійти всі системи захисту і знищити або зашифрувати цінні дані. 
• Надавати віддалене управління з іншого пристрою. Це важливо для миттєвої реакції на інцидент у разі перебування адміністратора за межами офісу або, якщо, наприклад, вірус уже проник на комп’ютер і частково заблокував роботу програм. 
• Вмикати захищену віртуальну клавіатуру. Таке рішення протидіє перехопленню кейлоггерами інформації, що вводиться з фізичної клавіатури. 

Незважаючи на перераховані вище функції, все ж EPP мають недоліки:

• Обмеженість у виявленні загроз. Традиційні EPP-системи можуть бути неефективними проти нових загроз, які не відповідають відомим сигнатурам або поведінковим шаблонам.
• Складність управління EPP-системи може відчуватися у великих організаціях із безліччю кінцевих точок.
• Можливий перетин функцій. При використанні функцій EPP- і EDR-рішень, система може призвести до надмірності оброблюваної інформації та відповідно – до збільшення витрат.
• Недостатня адаптація до нових реалій. Деякі класичні EPP-рішення можуть мати складнощі під час адаптації до нових реалій, таких як розвиток мобільних платформ і пристроїв IoT.

Тому світові лідери в галузі інформаційної безпеки, такі як Palo Alto Networks, вважають, що системи захисту кінцевих точок уже застаріли. Хоча можливості EPP можуть бути розширені за рахунок нових інтеграцій. Як саме, розглянемо вже в наступному розділі.

Перспективні рішення ІБ

Перспективними напрямами захисних систем є:

• Розширення функціональних можливостей класичних рішень, тих самих EPP.
• Інтеграція та уніфікація систем безпеки, наприклад, у межах SOC.
• Криптографічні рішення, що надійніше захищають дані. 

Нові інтеграційні можливості EPP

Авторитетна американська дослідницька компанія Gartner зазначає, що незначна кількість підприємств приділяє увагу розширенню функціональності EPP. Наприклад, рішення класів UES (Unified Endpoint Security) і EDR (Endpoint Detection and Response) або ETDR (Endpoint Threat Detection and Response) доповнюють і розширюють можливості платформ захисту кінцевих точок таким чином:

• EDR/ETDR-рішення забезпечують безперервний моніторинг і огляд дій на кінцевих точках у реальному часі, що дає змогу швидко й ефективно реагувати на кібератаки. Ці інструменти включають пошук, дослідження даних про інциденти, визначення пріоритетності тривог, перевірку підозрілої активності, полювання на шкідливе ПЗ, локалізацію і перехоплення загроз, що не виявляються традиційними антивірусами і EPP. У результаті EDR розкривають інциденти, які залишилися б непоміченими.
• UES-рішення об’єднують у собі функції EPP, EDR і MTD (Mobile Threat Defense), надаючи комплексний захист фізичних пристроїв і IT-систем, даючи змогу керувати системою безпеки через єдину платформу. Після виявлення атаки платформа UES здатна автоматично вжити заходів не тільки для усунення загрози, а й для вирішення основних проблем, які сприяли її виникненню

Тріада видимості SOC

Та ж компанія Gartner вважає, що головні корпоративні рішення з безпеки – зовсім не антивіруси або EPP, а системи SIEM, NDR і EDR, які є “тріадою видимості”, тобто, “очима і вухами” центрів операцій безпеки або SOC (Security Operations Centers). По суті, SOC – це зовнішній сервіс або структурний підрозділ організації, що відповідає за оперативний моніторинг IT-середовища, запобігання кіберінцидентам і реагування на них. Основні функції SOC:

• Активний моніторинг IT-середовища і збір даних про інциденти. Оператори SOC збирають інформацію з робочих місць співробітників, мережевих пристроїв та інших об’єктів комп’ютерної інфраструктури в режимі 24/7, щоб якомога раніше виявити та зупинити можливу атаку. Для цього вони використовують інструменти SIEM, NDR і EDR. 
• Аналіз підозрілих подій. Отримавши повідомлення про можливий інцидент, фахівці SOC визначають наявність загрози, а також оцінюють її характер і рівень небезпеки.
• Реагування на загрози. У разі виявлення кіберінциденту співробітники SOC вживають заходів щодо його усунення та мінімізації збитків.
• Відновлення після інциденту. Фахівці SOC можуть брати участь в усуненні наслідків інциденту – зокрема, у відновленні постраждалих систем, файлів із бекапа тощо.
• Розслідування інцидентів. Експерти SOC можуть брати участь у пошуку причин кіберінциденту, а також у зборі доказів кіберзлочинів. Результати розслідування допоможуть запобігти подібним інцидентам у майбутньому не тільки в цій організації, а й в інших.

SOC може бути організований як внутрішніми силами організації, так і за допомогою аутсорсингу спеціалізованими компаніями. Подальшим розвитком “тріади видимості SOC” можуть стати рішення XDR (Extended Detection and Response). Функції XDR – збір і обробка даних із різних шарів захисту; застосування просунутих методів виявлення, як-от машинне навчання, поведінковий аналіз, сигнатурне зіставлення; підтримка автоматизації реагування на інциденти та багато інших.

Уніфіковане управління загрозами (UTM)

UTM (Unified Threat Management, “уніфіковане управління загрозами”) – це універсальне програмне або апаратне рішення у сфері комп’ютерної безпеки, що забезпечує потужний комплексний захист від мережевих загроз. UTM охоплює рішення IDS/IPS (Intrusion Detection/Prevention System) – служби виявлення і запобігання вторгненням, фаєрвол, VPN, антивірус і багато інших класів систем безпеки.

На відміну від окремих рішень, ця система є єдиною і надає гнучкі налаштування з охопленням усіх перелічених вище функцій. Тому вона більш ефективна, ніж окремі інструменти. Крім того, вона більш економічно вигідна. UTM – лише один із численних прикладів інтеграції безлічі інструментів в одну систему. 

Технології ZKP і ZTA

Згідно зі стандартом безпеки OSSTMM (Open Source Security Testing Methodology Manual), довіра є вразливістю. Саме цією вразливістю користуються, наприклад, фахівці з соціальної інженерії, однак вона може бути використана й іншими зловмисниками. У сукупності з людським фактором і звичними технологічними підходами на кшталт периметру безпеки або передачі конфіденційних даних для доказу володіння ними, надлишкова довіра призводить до фундаментальних недоліків безпеки. Для усунення цих вразливостей було розроблено методи і технології “нульового знання” і “нульової довіри”, які ми розглянемо нижче. 

• ZKP (Zero-Knowledge Proof) – це криптографічна технологія, яка дає змогу одній стороні (стороні, що доводить) довести іншій стороні (стороні, що перевіряє), що певне твердження є істинним, не розкриваючи самого твердження. Це означає, що сторона, яка доводить, отримує практичну можливість переконати сторону, яка перевіряє, що у першої є конфіденційна інформація, не розкриваючи її. За допомогою цієї технології, забезпечується конфіденційність транзакцій або перевірка особистості людини, при цьому не розкривається інформація про її паспортні дані, особисті конфіденційні дані тощо. Технологія ZKP знаходить дедалі більше застосувань, від безпеки транзакцій і аутентифікації до забезпечення конфіденційності в блокчейн-системах та інших застосунках, де важливий захист особистих даних і конфіденційності.
• ZTA (Zero Trust Architecture) – це підхід до безпеки, за якого доступ заборонено, поки його явно не дозволено, і право на доступ постійно перевіряється. Це означає, наприклад, що пристрої мережі не повинні довіряти джерелу за замовчуванням, навіть якщо вони підключені до корпоративної мережі або були раніше перевірені. Підхід Zero Trust зосереджений на захисті ресурсів (активів, послуг, робочих процесів, облікових записів мережі тощо), а не сегментів мережі, оскільки місце розташування в мережі більше не вважається основним компонентом безпеки ресурсу. За допомогою цієї технології, наприклад, забезпечується доступ до мережевих ресурсів з наданням прав тільки до необхідної ролі. Також технологію застосовують у хмарних середовищах для забезпечення безпеки даних і застосунків.

Незважаючи на різні функції та сфери застосування, ці рішення об’єднує слово “zero”, що використовується у фразах “нульове знання” і “нульова довіра”. Ці підходи є основою для побудови перспективних надійних систем безпеки. 

Більше груп класичних, сучасних і перспективних апаратних і програмних рішень ми розбираємо в нашому довіднику ІБ-рішень. Рекомендуємо цю роботу для отримання об’ємного уявлення про автоматизацію в галузі безпеки.

Чи можуть апаратні або програмні рішення забезпечити надійний захист

Щоб перевірити, наскільки надійно впроваджено системи та процеси безпеки, і чи немає проблем безпеки, застосовують різні інструменти та методи, наприклад:

• PT (Pentest tools) – інструментарій для проведення пентестів (імітація атак зловмисників).
• OSINT (Open-Source Intelligence) – методи та програми для збору інформації про співробітників з відкритих джерел. Саме публічні дані, наприклад у соціальних мережах, часто використовуються зловмисниками для побудови ефективних фішингових атак. 

Безумовно, навіть найкращі інструменти не замінять хороших фахівців з ІБ. Багато рішень ІБ краще працюють за оптимального їх поєднання між собою, а також з ручною аналітичною роботою. Тому важливо правильно підібрати та налаштувати ці рішення і процеси. Якщо поки що у вас немає відповідного фахівця з ІБ у штаті, як варіант, можна найняти тимчасово зовнішнього фахівця. 

Професійні експерти можуть як провести аудит безпеки або тестування на проникнення, так і розслідувати інциденти. За результатами аналізу вашої системи безпеки вони допоможуть підібрати найбільш підходящі для вашого випадку інструменти. Після цього управління ними та відповідальність за безпеку можна тимчасово доручити їм або вашому штатному системному адміністратору, і при цьому продовжувати шукати кадри, вигідніші за співвідношенням якість/ціна або продовжувати користуватися послугами зовнішніх консультантів.

Потрібно пам’ятати, що навіть ідеально відповідні програмно-апаратні методи захисту безпеки та ідеальні інженери ІБ можуть пропустити витончені атаки фахівців із соціальної інженерії. Тому тренди безпеки диктують необхідність навчання персоналу основам безпеки та розпізнавання обману.Якщо вам потрібна консультація або професійна допомога щодо забезпечення інформаційної безпеки, зв’яжіться з нами. Захистіть свій бізнес від реальних і потенційних загроз уже сьогодні!