
Распространение коронавируса привело к введению экстренных мер по переходу большинства компаний на удалённый режим работы. Обеспечить информационную безопасность в таких условиях было нелегко даже подготовленным компаниям.
Но что делать, если у вас нет бюджета на средства безопасности? Руководитель отдела мониторинга ИБ экспертного центра безопасности Positive Technologies Павел Кузнецов в эфире программы «ИБшник на удалёнке» рассказал, как настроить уже имеющиеся средства защиты к новым реалиям и использовать опенсорс.
«Можно пойти несколькими путями. Первый вариант: можно использовать уже имеющиеся средства защиты информации и донастроить их, создать какие-то дополнительные для них сигнатуры решения, сигнатуры модулей и так далее для того, чтобы обеспечить контроль именно в ситуации с удалённой работой. В данном контексте можно рассматривать любую полноценную SIEM систему, потому что движки написания правил корреляции позволяют решать очень широкий спектр задач в части мониторинга и контроля. Если той же SIEM системы в компании нет и бюджета на неё сейчас нет, тогда имеет смысл в качестве дополнительных средств защиты информации рассмотреть некоторые опенсорс решения. Потому что те же самые SIEM системы и, например, песочницы для анализа вредоносных вложений, прилетающих по почте, есть в опенсорсном исполнении. При этом они вполне неплохие, коммьюнити их достаточно оперативно поддерживает, докручивает, и многими из этих решений уже можно пользоваться», — начал Павел Кузнецов.
По его словам, без песочниц сейчас никуда. Потому что традиционная антивирусная защита нужна и важна, но борьба антивирусного аналитика и злоумышленника, разрабатывающего вредоносное ПО, — это постоянная игра в догонялки. Поэтому крайне важна система поведенческого анализа, которая прокручивает вредоносный образец в реальном времени и по его поведению определяет есть ли в нём какой-то вредоносный функционал или нет. По мнению Павла Кузнецова, песочница — средство из разряда must have.
Также он отметил, что если компания располагает ресурсами, то для случаев предоставления доступа к инфраструктурным сервисам компании с личных устройств сотрудника можно установить на них корпоративные лицензии антивирусных средств, которые применяются в компании. Распространение антивирусных агентов на личные устройства сотрудников, которым таким образом предоставлен доступ к их рабочим местам, позволяет получать больше информации, например, на центре управления антивирусами, который в свою очередь может быть использован как источник информации для той же самой системы SIEM.
«SIEM системы сейчас являются одним из краеугольных камней систем информационной безопасности, поэтому имеются практически в любой компании с достаточно развитой ИТ-инфраструктурой. В 2020 году, мне кажется, любая компания, начиная свою деятельность, так или иначе строит хотя бы минимальную инфраструктуру у себя», — добавил Павел Кузнецов.
По его словам, SIEM система является одним из тех инструментов, на который можно посмотреть с другого угла. Потому что если грамотно запрофилировать все источники информации о событиях, происходящих в корпоративной сети в SIEM, то с помощью правил корреляции можно профилировать и отслеживать практически любую активность в этой сети, соответственно, выявлять аномалии и оперативно на них реагировать. В данном случае SIEM превращается в некое подобие UEBA системы (User and Entity Behavior Analytics).