ЗАЩИТА КОНЕЧНЫХ УСТРОЙСТВ, ИЛИ ПОЧЕМУ АНТИВИРУС НЕ ПАНАЦЕЯ

Число вирусов-вымогателей за прошлый год утроилось, а число выкупов увеличилось на 266% и в среднем по миру составило 1000 долларов с жертвы.
ЯковГродзенский, руководитель направления ИБ "Системного софта"
Объем конечных устройств, включая мобильные, в сетях предприятий за последние десятилетия вырос в разы. Этот рост проходит на удручающем ландшафте угроз: по отчету Symantec, ежедневно в глобальной сети появляется свыше миллиона вирусных образцов. Например, число вирусов-вымогателей за прошлый год утроилось, а число выкупов увеличилось на 266% и в среднем по миру составило 1000 долларов с жертвы.
Похоже, задача кибербезопасности эндпойнтов сегодня стала титанической и вряд ли реализуемой вручную и/или с помощью одного только антивируса.
И действительно, аналитики Gartner отмечают устойчивый тренд многоуровневой защиты конечных устройств, включая создание белых и чёрных списков программ, узлов и приложений и другие инструменты контроля в рамках полного цикла защиты. Что это значит, как гарантировать безопасность предприятия и действительно ли бизнесу недостаточно старых добрых антивирусов?
Попробуем разобраться.
Что такое Endpoint Security для компании и рынка?
От чего зависит зрелая стратегия защиты конечных устройств, если каждый девайс, подключенный к вашей корпоративной сети, по сути представляет собой “дверь” к ценным персональным и деловым данным?
Прежде всего от понимания, что ИБ-администрирование — явление комплексное, а конечные устройства — элемент ИТ- (и значит, ИБ-) инфраструктуры и вычленить, где заканчивается их защита и начинается защита, например, сети, фактически невозможно и бессмысленно.
То есть политики администрирования и сам протокол безопасности должны охватывать защиту всех элементов ИТ-инфраструктуры. А современная сеть предприятия соединяет множество конечных устройств, включая ПК, ноутбуки, смартфоны, планшеты, POS-терминалы… и каждое такое устройство должно отвечать требованиям доступа к сети. А это значит, что их киберзащита должна быть как минимум автоматизирована. Более того, соблюдение политик безопасности эндпойнтов с учетом растущего числа угроз сегодня требует использовать как минимум:
  1. файрволы для разных типов устройств;
  2. антивирусы для электронной почты;
  3. мониторинг, фильтрацию и защиту веб-трафика;
  4. управление безопасностью и защитные решения для мобильных устройств;
  5. контроль работы приложений;
  6. шифрование данных;
  7. средства обнаружения вторжений.
При этом рынок предлагает три основных решения защиты конечных устройств и их комбинации:
1. Традиционные антивирусы, основанные на сигнатурах. Дают стабильный результат — но лишь в пределах базы сигнатур. В силу невероятно большого числа вредоносных образцов она не может быть актуальной на 100% в каждый момент времени, плюс пользователь способен отключить антивирус на своей машине.
2. Endpoint Detection and Response (EDR) или обнаружение и реагирование на инциденты. Такие решения, например, KEDR от «Лаборатории Касперского», распознают индикаторыкомпрометации на конечном устройстве и блокируют и/или лечат его. Обычно эти системы работают только по факту взлома (вторжения) на устройство или в корпоративную сеть.
3. Advanced Endpoint Protection (AEP) или продвинутую защиту конечных устройств, которая включает превентивные методы защиты от эксплойтов и вредоносного ПО, контроль устройств и портов, персональные файрволы и так далее. То есть АЕР-решение борется с угрозами: угроза распознается и уничтожается еще до взлома, как, например, в Palo Alto Networks Traps, Check Point SandBlast Agent (это решение при обнаружении подозрительных активностей делает резервные копии) или Forticlient.
Но какого бы вендора или комбинацию сервисов вы ни выбрали, изначально стоит знать базовые правила оценки таких решений и построения эффективной стратегии киберзащиты конечных устройств в вашей сети.
Семь основных правил Endpoint-киберзащиты
Правило первое.Защита должна обезвреживать всю цепочку атак.
По мнению аналитиков и представителей рынка киберзащиты, мыслить «вирусами и антивирусами» — провальная стратегия для предприятия, которое хочет защитить свой бизнес. Заражения и само вирусное ПО — лишь одно звено в куда более длинной цепочке, ведущей ко взлому корпоративных сетей.
И начинается она с попытки вторжения в вашу инфраструктуру. Соответственно, эффективная защита от вторжений сегодня содержит:
  1. средства тщательной проверки почтовых приложений (электронная почта по-прежнему лидирует как «инструмент доставки зловредов» на устройства пользователей);
  2. средства защиты от загрузки нежелательных приложений из интернета — 76% сайтов содержат неприятные уязвимости. Здесь поможет технология, анализирующая весь входящий и исходящий трафик и предлагающая защиту браузера, чтобы блокировать подобные угрозы до их запуска на конечном устройстве;
  3. мощную защиту самих конечных устройств, то есть сервис с контролем и приложений, и самого девайса.
Что до защиты от заражения, ее рекомендованные функции включают:
  1. анализ репутации файлов и определение их ключевых атрибутов (изначальное местоположение файла и число его скачиваний). В идеале система отслеживает и изучает сотни ссылок и миллиарды связей между пользователями, сайтами и файлами, чтобы отследить распространение и мутацию зловреда и предотвратить атаку;
  2. продвинутые элементы машинного обучения. То есть действительно рабочая бессигнатурная технология, способная анализировать триллионы файлов в глобальной сети, самостоятельно отличать «хорошие» файлы от «плохих» и блокировать зловредное ПО до его срабатывания;
  3. защиту от эксплойтов, особенно уязвимостей нулевого дня и атак чтения памяти;
  4. поведенческий мониторинг, то есть определение «опасного» поведения скриптов, приложений, устройств и узлов в сети — и устранение такой угрозы;
  5. качественную эмуляцию, или быстрое создание «песочницы» для выявления и блокировки зловредного ПО на устройстве.
Правило второе.Endpoint Detection and Response (EDR) или расследование и реакция на инциденты должны работать на результат.
Проблема заключается в том, что 82% сегодняшних киберпреступников по статистикеспособны похитить ценные данные предприятия «за минуту или меньше», тогда как 75% компаний не реагируют на инциденты как минимум неделями. Такой разрыв говорит о действительно высоких рисках в зоне безопасности конечных устройств.
Продвинутые EDR-решения могут изолировать ваше конечное устройство для эффективного расследования взлома, остановить распространение вируса и восстановить устройство через его незараженную копию данных.
Правило третье. Система не должна мешать бизнесу, а значит:
а) Не менее важны производительность и масштабируемость ваших систем защиты. То есть, ваша защита не должна препятствовать оперативности бизнес-процессов и быстрому обмену данными в сети. Плюс, важно быстро развернуть систему кибербезопасности на новых рабочих местах, например, в региональном или зарубежном филиале.
б) Совокупная стоимость ее внедрения и использования должна быть оптимальной.
Правило четвертое. Централизованное управление кибербезопасностью. Разрозненные, управляемые вручную из разных точек защитные решения увеличивают число ошибок, избыточных оповещений и ложных срабатываний, не говоря уже о лишних временных и финансовых затратах на администрирование этого «зоопарка».
Правило пятое.Бесшовная интеграция с софтверными и аппаратными решениями на каждом участке сети для эффективной работы всей ИБ-инфраструктуры, от защиты шлюзов до SIEM-систем. Важно, чтобы решения для защиты конечных точек были интегрированы с контролем доступа к сети (Network Access Control, NAC), чтобы при определенном уровне риска можно было изолировать компьютер. Также важно, чтобы Endpoint-продукты работали в связке со шлюзовыми ИБ-решениями, которые поддерживают глубокий анализ пакетов и инспекцию SSL-трафика.
Правило шестое.Охват всех возможных ОС, включая серверные и мобильные — помните о множестве «разношёрстных» устройств, которые сотрудники приносят с собой или выбирают для работы в офисе.
Правило седьмое. Усиленная защита данных. Пусть этот момент и не связан напрямую с защитой конечных устройств, но без него в принципе невозможно разработать эффективную ИБ-стратегию. В защиту данных входят:
  1. шифрование;
  2. сегрегация (разделение) участков и узлов сети, групп пользователей в сети;
  3. защита от утери данных, средства восстановления;
  4. мониторинг целостности файлов и файловой системы.
… и три дополнительных
Первое. Особое внимание к устранению киберугроз на мобильных устройствах. Концепции BYOD/CYOD/COPEстановятся только популярнее, а число мобильных устройств в корпоративных сетях только растёт.
К ним требуется особое внимание, ведь обычно такие устройства используются не только для работы и не только в офисе, а значит риск заражения корпоративной сети через них очень высок.
В идеале, стратегия «мобильного ИБ-менеджмента» может включать:
  1. мобильные VPS;
  2. усиленную аутентификацию устройств в корпоративной сети;
  3. контроль и мониторинг стороннего контента;
  4. контейнеризацию приложений.
Второе. Анализ своих KPI зрелости защиты конечных устройств.
Аналитики Forrester Research различают пять (с учетом нулевой шесть) стадий зрелости ИБ-стратегии предприятия:
Нулевая или отсутствующая— нет потребности, нет понимания, нет формализованных требований.
AdHoc или стихийная— потребность в киберзащите возникает от случая к случаю, нет планирования ИБ-ресурсов, процессы не документированы.
Вынужденная— интуитивная, недокументированная, применяется несистемно, по необходимости.
Осознанная— процессы задокументированы, сама стратегия понимаема и предсказуема, но оценка действий и ресурсов проводится от случая к случаю.
Выверенная— внедрены качественные инструменты управления, хороший уровень формализации и (нередко) автоматизации процедур, регулярная оценка действий, процессов и инвестиций.
Оптимизированная— процессы и уровни защиты обычно автоматизированы, а сама стратегия выстроена с учетом долгосрочной, эффективной и проективной защиты бизнеса. Высокий уровень интеграции ИБ-сервисов и систем.
Соответственно, дешевле и безопаснее находиться на последних трех стадиях. С этой градацией также проще задавать цели улучшения ИБ-стратегии, если вы находитесь на первых трех.
Третье. И наконец, ваши пользователи конечных устройств знают, что такое киберзащита, и постоянно наращивают свои ИБ-знания и навыки. Самый разрушительный фактор — человеческий, и без грамотного персонала любая даже самая продвинутая защита окажется провальной. Противостоять человеческому фактору без ущерба для оперативной работы бизнеса еще никто не научился. Поэтому проще и гораздо дешевле вовремя обучать людей азам безопасного поведения и использования своих гаджетов.