Три продукта для информационной безопасности
Как показывает опыт, сохранить данные дороже, чем их получить. Для примера возьмем компанию, которая занимается Big Data и получила заказ на сбор данных о покупательной способности.
Компания поставила камеры, начала собирать с них записи, написала умный алгоритм, для анализа марок и моделей машин, размеры пакетов, с которыми люди выходят из супермаркетов и так далее.
Но в один ужасный день архив записей просто пропал. Его зашифровал вирус, который проник в систему сквозь дыру в безопасности. Месяц работы пропал и его не восстановить. Потеряны уникальные данные. А в сфере Big Data старые данные — самые ценные.
Ежегодно потеря данных приносит многомиллионные убытки. Под потерей мы имеем в виду не данные, которые сгорели на жестких дисках, а утечки и данные, ставшие недоступными после вирусной или хакерской атаки, саботажа сотрудника и так далее.
Так, средняя утечка данных обходится в 3,86 миллиона долларов. За шесть лет (2013-2019) владельцы вирусов-шифровальщиков заработали биткоинами 144,35 миллиона долларов.
И если раньше компании вполне обходились антивирусом, то сегодня инфраструктура заметно усложнилась. А чем больше узлов в системе, тем больше целей для атак. Сегодня надо защищать серверы, сети и сетевые устройства, корпоративные смартфоны и планшеты (особенно на базе Android), оборудование удаленных сотрудников. А если в компании процветает философия Bring Your Own Device, то появление огромной дыры в информационной безопасности просто неизбежно.
Система безопасности должна быть комплексной.
При этом к ней есть свои требования:
- ПО для безопасности не должно конфликтовать с прочим софтом.
- ПО не должно отнимать вычислительные ресурсы серверов или устройств пользователей. Поэтому хорошим вариантом становится отдельные межсетевые экраны-фаерволы.
- Важно учитывать и тип организации. Для государственных структур ПО и оборудование должно быть сертифицировано ФСТЭК.
- Поддержка не только офисных, но и удаленных сотрудников. Это новые реалии, которые появились в 2020 году.
В целом многие продукты имеют схожие возможности, но мы рассмотрим несколько продуктов для защиты компаний и смартфонов.
MaxPatrol 8 от Positive Tecnologies
Предупредить — значит предотвратить. Данный комплекс как раз и нужен для мониторинга и выявления инцидентов.
Преимущества:
- Не нужно ставить агенты на устройства пользователей
- Малое количество ложных срабатываний
- Мощная система составления отчетов
- Много нужных настроек из коробки
В её основе комплекса — сканер уязвимостей XSpider. Он проверяет сетевые подключения и саму систему. При этом MaxPatrol не нагружает каналы связи.
Работает сканер по эвристическому методу. Проще говоря, постоянно изучает, ищет аналоги, пробует и принимает решение. Этот метод позволяет выявлять ошибки в работе сетевых служб, найти незакрытые порты или потенциальные дыры в безопасности. Если уязвимости найдены, то система об этом предупредит. Если она заметит нетипичное поведение пользователя или службы — тоже.
База знаний включает в себя системные проверки для большинства распространенных операционных систем линеек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.
Важно отметить, что это средство защиты всей инфраструктуры и в меньшей степени отдельных устройств и пользователей.
У Positive Tecnologies есть отдельные продукты для защиты удаленных сотрудников — PT Network Attack Discovery и MaxPatrol SIEM. Оба они занимаются тем, что выявляют атаки и фиксируют инциденты. Но компания позиционирует продукты именно для защиты удаленщиков и защиту от внедрения в локальную сеть, передачу данных по незащищённым каналам.
DLP-система Infowatch Traffic Monitor
Другой уровень защиты, который следит за содержанием трафика.
Возможности:
- Защита конфиденциальной информации. Система проверяет содержимое документов, даже если это фотографии или сканы. Скорость проверки — до 12 миллионов знаков в секунду.
- Защита персональных данных. Система работает по шаблонам и может выявить в потоке не только полноценные файлы с выгрузками, но даже части подобных таблиц. Например, ФИО и ИНН.
- Защита от воровства и коррупции. Программа распознает и анализирует бланки, платежные документы.
- Защита от мошенничества. Это система анализа переписок и файлов, которые передают пользователи. В систему можно загрузить словарь профессионального жаргона и образцы печатей.
- Выявление нелояльных сотрудников. Анализирует переписку и обращает внимание на различные отклонения в поведении сотрудника.
- Защита от нецелевого использования оборудования. Запрет на подключение оборудования, мониторинг печати и прочее.
Для системы используется INFOWATCH PREDICTION — система предикативного анализа данных. Программа собирает данные и сравнивает с некой средней нормалью, то есть правильным с точки зрения работодателя, поведения. С помощью такой предикативной аналитики можно найти сотрудника, который планирует уволиться вместе с важными данными, определить потенциальных мошенников или злоумышленников.
Можно использовать встроенные алгоритмы, а можно добавить свои. Всего в системе есть 54 параметра для настройки. То есть систему можно настроить настолько тонко, что она будет отправлять в службу безопасности оповещение всякий раз, когда сотрудники упомянут в переписке конкурента или фамилию директора.
Infowatch Person Monitor
Этот продукт подключается, когда есть подозрение, что некий сотрудник занимается мошенничеством. Своеобразная цифровая лупа и пылесос данных о сотруднике.
Что делает программа:
- Делает скриншоты и видео с экрана, фиксирует изображения с веб-камеры, звук с микрофона и динамиков.
- Мониторит входящие и исходящие сообщения электронной почты, включая вложенные файлы.
- Анализирует сообщения в мессенджерах Lync, Skype, Teams, Viber, Telegram, WhatsApp, Bitrix24 и прочих.
- Ведет список посещаемых сайтов, интернет-запросов, переданных файлов.
- Ведет статистику использования приложений.
- Анализирует вводимый текст.
- Распознает лица с веб-камер.
- Фиксирует операции с документами: удаление, печать, копирование на внешние носители и в облако.
- Определяет геолокацию мобильных устройств и ноутбуков на платформах Android, Windows 10.
Все данные хранятся в Службе безопасности для дальнейшей работы.
Защита мобильных устройств
К сожалению, описанные ниже продукты не сертифицированы ФСТЭК. Однако для коммерческих организаций она может незаменимой.
Check Point Mobile Capsule Workspace
Программа создает изолированную рабочую среду на мобильных устройствах, своеобразный контейнер, который и защищает корпоративные данные, к которым подключен сотрудник.
Преимущества:
- Простое управление и настройка
- Значительно снижает вероятность утечек, поскольку нужна дополнительная авторизация. Даже если устройство похитят, получить доступ к календарю или почте не выйдет.
- Функция удаленной очистки.
- Полное разделение личных и рабочих данных.
SandBlast Mobile
Эта программа для защиты мобильных и планшетов на Андроид и ОС от атак через сотовые сети, Wi-Fi и уязвимости ОС.
Возможности:
- Блокировка вредоносных программы нулевого дня.
- Защита от фишинга.
- Блокировка ботнетов.
- Запрет зараженным устройствам выходить в корпоративную сеть.
Как видите, оба приложения выполняют одинаковую задачу, но используют разный подход. В любом случае даже при такой защите мобильный антивирус будет не лишним.
Мы работаем с десятками компаний, которые предлагают решения для информационной безопасности. Поэтому мы сможем подобрать для вас набор комплекс приложений и устройств и защитить от утечек и потерь данных.
Просто напишите нашему менеджеру и после глубокого анализа вашей IT-инфраструктуры мы предложим необходимый комплекс.