Что такое Endpoint Security для компании?

По сути, каждое устройство, подключенное к корпоративной сети, представляет собой “дверь” к ценным персональным и деловым данным. Современная сеть предприятия соединяет множество конечных устройств, включая ПК, ноутбуки, смартфоны, планшеты, POS-терминалы и каждое такое устройство должно отвечать требованиям безопасного доступа к сети. Поэтому все политики администрирования и сам протокол безопасности должны охватывать защиту всех элементов IT-инфраструктуры. А это значит, что их киберзащита должна быть как минимум автоматизирована.

Соблюдение политик безопасности конечных устройств с учетом растущего числа угроз сегодня требует использования целого спектра программно-аппаратного обеспечения:

  • файрволы для разных типов устройств;
  • антивирусы для электронной почты;
  • мониторинг, фильтрацию и защиту веб-трафика;
  • управление безопасностью и защитные решения для мобильных устройств;
  • контроль работы приложений;
  • шифрование данных;
  • средства обнаружения вторжений.

При этом современный рынок предлагает 3 основных решения защиты конечных устройств и их комбинации:

  1. Традиционные антивирусы, основанные на сигнатурах. Дают стабильный результат — но лишь в пределах базы сигнатур. В силу невероятно большого числа вредоносных образцов она не может быть актуальной на 100% в каждый момент времени, плюс пользователь способен отключить антивирус на своей машине.
  2. Endpoint Detection and Response (EDR) или обнаружение и реагирование на инциденты. Обычно эти системы работают только по факту взлома (вторжения) на устройство или в корпоративную сеть.
  3. Advanced Endpoint Protection (AEP) или продвинутую защиту конечных устройств, которая включает превентивные методы защиты от эксплойтов и вредоносного ПО, контроль устройств и портов, персональные файрволы и так далее. То есть АЕР-решение борется непосредственно с угрозами.

Отсюда мы можем сформулировать 7 основных правил Endpoint-киберзащиты:

  1. Защита должна обезвреживать всю цепочку атак и включать в себя такие средства защиты, как: средства тщательной проверки почтовых вложений;
    средства защиты от загрузки нежелательных приложений из интернета;
    мощную защиту самих конечных устройств, то есть сервис с контролем и приложений, и самого устройства.
  2. Endpoint Detection and Response (EDR) или расследование и реакция на инциденты должны работать на результат. Продвинутые EDR-решения могут изолировать конечное устройство для эффективного расследования взлома, остановить распространение вируса и восстановить устройство через его незараженную копию данных.
  3. Система не должна мешать бизнесу, она должна быть производительной и масштабируемой. Совокупная стоимость ее внедрения и использования должна быть оптимальной.
  4. Централизованное управление кибербезопасностью. Разрозненные, управляемые вручную из разных точек защитные решения увеличивают число ошибок, избыточных оповещений и ложных срабатываний, не говоря уже о лишних временных и финансовых затратах.
  5. Бесшовная интеграция с софтверными и аппаратными решениями на каждом участке сети для эффективной работы всей ИБ-инфраструктуры, от защиты шлюзов до SIEM-систем.
  6. Охват всех возможных ОС, включая серверные и мобильные.
  7. Усиленная защита данных, в которую входят: шифрование; сегрегация (разделение) участков и узлов сети, групп пользователей в сети;
    защита от утери данных, средства восстановления;
    мониторинг целостности файлов и файловой системы.

Однако, стоит отметить, что самый разрушительный фактор — это человеческий, и без грамотного персонала любая даже самая продвинутая защита окажется провальной. Противостоять человеческому фактору без ущерба для оперативной работы бизнеса еще никто не научился. Поэтому проще и гораздо дешевле вовремя обучать людей азам безопасного поведения и использования своих гаджетов.

Источник — Securitylab.Ru

Запись опубликована в рубрике ИТ. Добавьте в закладки постоянную ссылку.