По сути, каждое устройство, подключенное к корпоративной сети, представляет собой “дверь” к ценным персональным и деловым данным. Современная сеть предприятия соединяет множество конечных устройств, включая ПК, ноутбуки, смартфоны, планшеты, POS-терминалы и каждое такое устройство должно отвечать требованиям безопасного доступа к сети. Поэтому все политики администрирования и сам протокол безопасности должны охватывать защиту всех элементов IT-инфраструктуры. А это значит, что их киберзащита должна быть как минимум автоматизирована.
Соблюдение политик безопасности конечных устройств с учетом растущего числа угроз сегодня требует использования целого спектра программно-аппаратного обеспечения:
- файрволы для разных типов устройств;
- антивирусы для электронной почты;
- мониторинг, фильтрацию и защиту веб-трафика;
- управление безопасностью и защитные решения для мобильных устройств;
- контроль работы приложений;
- шифрование данных;
- средства обнаружения вторжений.
При этом современный рынок предлагает 3 основных решения защиты конечных устройств и их комбинации:
- Традиционные антивирусы, основанные на сигнатурах. Дают стабильный результат — но лишь в пределах базы сигнатур. В силу невероятно большого числа вредоносных образцов она не может быть актуальной на 100% в каждый момент времени, плюс пользователь способен отключить антивирус на своей машине.
- Endpoint Detection and Response (EDR) или обнаружение и реагирование на инциденты. Обычно эти системы работают только по факту взлома (вторжения) на устройство или в корпоративную сеть.
- Advanced Endpoint Protection (AEP) или продвинутую защиту конечных устройств, которая включает превентивные методы защиты от эксплойтов и вредоносного ПО, контроль устройств и портов, персональные файрволы и так далее. То есть АЕР-решение борется непосредственно с угрозами.
Отсюда мы можем сформулировать 7 основных правил Endpoint-киберзащиты:
- Защита должна обезвреживать всю цепочку атак и включать в себя такие средства защиты, как: средства тщательной проверки почтовых вложений;
средства защиты от загрузки нежелательных приложений из интернета;
мощную защиту самих конечных устройств, то есть сервис с контролем и приложений, и самого устройства. - Endpoint Detection and Response (EDR) или расследование и реакция на инциденты должны работать на результат. Продвинутые EDR-решения могут изолировать конечное устройство для эффективного расследования взлома, остановить распространение вируса и восстановить устройство через его незараженную копию данных.
- Система не должна мешать бизнесу, она должна быть производительной и масштабируемой. Совокупная стоимость ее внедрения и использования должна быть оптимальной.
- Централизованное управление кибербезопасностью. Разрозненные, управляемые вручную из разных точек защитные решения увеличивают число ошибок, избыточных оповещений и ложных срабатываний, не говоря уже о лишних временных и финансовых затратах.
- Бесшовная интеграция с софтверными и аппаратными решениями на каждом участке сети для эффективной работы всей ИБ-инфраструктуры, от защиты шлюзов до SIEM-систем.
- Охват всех возможных ОС, включая серверные и мобильные.
- Усиленная защита данных, в которую входят: шифрование; сегрегация (разделение) участков и узлов сети, групп пользователей в сети;
защита от утери данных, средства восстановления;
мониторинг целостности файлов и файловой системы.
Однако, стоит отметить, что самый разрушительный фактор — это человеческий, и без грамотного персонала любая даже самая продвинутая защита окажется провальной. Противостоять человеческому фактору без ущерба для оперативной работы бизнеса еще никто не научился. Поэтому проще и гораздо дешевле вовремя обучать людей азам безопасного поведения и использования своих гаджетов.
Источник — Securitylab.Ru