Создание системы кибербезопасности с нулевым доверием

Архитектор Cyber ​​Security Solutions:Кунал Бисвас

Предотвращение угроз в современном мире в качестве CISO

С исчезновением периметра сети, когда данные находятся либо в состоянии покоя, либо в пути, внутри центра обработки данных или на мобильном устройстве пользователя, компаниям становится все труднее защищать свои критически важные активы.

Кибератаки, помимо того, что они стали более изощренными — их труднее обнаружить и смягчить, — превратились из отдельных инцидентов в более организованные и тщательные.

Атака как услуга в сочетании с послепродажной поддержкой и гарантированным успехом или возможностью возврата денег ставит перед организациями сложную задачу, готовящуюся к защите от них.

Жизнь CISO никогда еще не была такой сложной, как сейчас.

Является ли лучшее в своем классе решение безопасности нового поколения ответом на эту проблему?

Исследование Gartner предполагает, что к 2020 году 99% нарушений брандмауэра будут вызваны простыми неправильными настройками брандмауэра, а не недостатками.

Существует насущная потребность не только в структуре для реализации лучших в своем классе решений безопасности для более быстрого обнаружения и смягчения атак и взломов, но и в правильном опыте для проектирования, внедрения, тестирования и оценки эффективности такого решения на периодической основе.

Какой выбор вы бы сделали — восстановление после нарушения безопасности или постоянная проверка, чтобы убедиться в устойчивости киберзащиты вашей компании?

Давайте подробнее рассмотрим эти аспекты, чтобы помочь вам найти ответы.

Создание системы нулевого цифрового доверия

Принцип «Нулевого цифрового доверия» — одна из наиболее интегрированных основ безопасности в последнее время. Его суть заключается в простоте — запрет по умолчанию для всех потоков и концепция минимального доступа.

Чтобы эффективно реализовать «нулевое цифровое доверие» в вашей экосистеме, вот что это влечет за собой

Полная видимость — в среде ПЕРИМЕТР, СЕТЬ, КОНЕЧНАЯ ТОЧКА, ЦЕНТР ДАННЫХ, ОБЛАКО, SAAS

Более 60% трафика в компаниях любого размера осуществляется через Интернет и зашифровано. Они также служат носителями различных аномалий — вредоносных программ, программ-вымогателей, троянов, шпионских программ и т. д.

Внедрение проверки SSL для исходящего интернет-трафика (т. е. от пользователей в Интернет) и входящего направления для серверов, на которых размещаются службы критически важных приложений, является ключом к получению полного контроля над потоками приложений, что стало возможным благодаря прямому просмотру трафика приложений под зашифрованный слой.

Уменьшите поверхность атаки — имеет самый широкий охват и требует строгой дисциплины безопасности.

Уменьшите поверхность атаки с помощью утвердительной модели безопасности «Кому нужен доступ, к какому ресурсу, как и с помощью чего?» Блокировать все известные вредоносные действия. Отключение сигнатур IPS для повышения производительности брандмауэра может оказаться дорогостоящим в дальнейшем. Избегайте неявного доверия между всеми хостами в зоне TRUST или DMZ.

Просто потому, что имя логической зоны - TRUST, это не означает, что все хосты в ней заслуживают доверия.

Один зараженный хост в сети может мгновенно заразить остальные.

Внутренняя сегментация — без сетевой сегментации, боковое перемещение аномалий является прямым — беспрепятственным и незамеченным, как для злоумышленников с удаленным доступом в вашей сети, так и для автоматических атак (например, NotPetya, BadRabbit).

Сочетание применения политики брандмауэра с брандмауэром на основе удостоверений, многофакторной аутентификацией, блокировкой файлов и категоризацией URL-адресов с использованием облачного механизма — все это способствует эффективному сокращению поверхности атаки. Автоматизация — единственный возможный способ справиться с объемом и сложностью атак и преодолеть нехватку навыков.

Обширное ведение журнала, а не только блокировка. Все журналы должны быть сохранены. Это имеет решающее значение для реагирования на инциденты, поиска угроз, анализа угроз, машинного обучения и других действий.

Данные широко считаются самым ценным активом. Для создания моделей машинного обучения и искусственного интеллекта для обнаружения вредоносной активности требуются большие объемы данных. Хранить и анализировать данные дома недостаточно. Благодаря большому количеству высококачественных данных и машинному обучению, применяемому к поведенческому анализу, мы можем не отставать от наших противников.

Предотвращение известных атак

Почти все поставщики систем безопасности следующего поколения поддерживают друг с другом огромный общий пул информации об угрозах. Он включает в себя хэши и образцы атак, которые наблюдались в дикой природе и о которых сообщали другие клиенты. Это позволяет поставщикам средств защиты консолидировать свою защиту и создавать своевременные сигнатуры для обнаружения и блокировки таких аномалий вскоре после сообщения о «нулевом пациенте».

Беспрепятственное подключение всех датчиков в вашей экосистеме — сетевого брандмауэра, клиентов защиты конечных точек, датчиков SaaS и облачной безопасности — к точкам распространения сигнатур является ключом к обнаружению этих известных аномалий и реагированию на них.

Злоумышленники часто нацелены на известные уязвимости, существующие в конечных системах. Абсолютно необходимо иметь подробную информацию о состоянии компьютера пользователя. Важно разрешить доступ к критически важным активам для пользователей, чьи конечные точки соответствуют рекомендациям по безопасности в организации.

Конечно, в первую очередь должны быть строгие рамки ИТ-безопасности и осведомленность о кибербезопасности!

Предотвращение неизвестных атак

Обнаружение, устранение и распространение Zero Day Protection для совершенно новых аномалий — вредоносных программ и других видов угроз.

Среды-песочницы в различных форм-факторах — в помещении, в облаке или в виде службы SaaS для устранения эксплойтов нулевого дня — обеспечивают решение этой сложной проблемы.

Усовершенствованные постоянные угрозы требуют методологии поведенческого обнаружения — вместо того, чтобы идентифицировать вредоносное ПО на основе того, чем оно является (на основе сигнатур), поведенческое обнаружение вредоносного ПО опирается на то, к чему склонно вредоносное ПО. Песочницы запускают эти аномальные программы, наблюдают за их поведением, а затем анализируют его в автоматическом режиме.

Песочницы и модели на основе машинного обучения

Песочница блокирует образцы вредоносных программ на основе их поведения перед запуском на конечных точках. В наши дни большинство песочниц включают в себя виртуальную среду выполнения для углубленной проверки запущенных образцов, использующих несколько методов обнаружения, включая обнаружение на основе поведения, самоанализ в памяти и модели экстраполяции, основанные на машинном обучении.

Этот подход более конкретен и эффективен, чем сравнение сигнатур файлов. Песочница тщательно проверяет, что делает файл, поэтому гораздо более убедительно определяет, является ли файл вредоносным, чем метод обнаружения на основе сигнатур. Часто хорошо продуманные вредоносные программы устойчивы к детонации в среде виртуальной песочницы.

Следовательно, требуется среда-песочница, которая также использует динамический поведенческий анализ и динамическую распаковку для детонации подозрительных файлов в различных программных средах и средах с «голым железом».

После обнаружения вредоносного ПО создается сигнатура, которая распространяется на все зарегистрированные точки в экосистеме клиента — межсетевые экраны и конечные системы.

Выбор продуктов кибербезопасности следующего поколения

Получение лучших в своем классе готовых автономных продуктов безопасности может оказаться контрпродуктивным, вопреки ожиданиям.

Основное внимание следует сосредоточить на подходе, основанном на решении, при котором несколько датчиков безопасности в сети, конечной точке, облаке, средах SaaS вместе с SIEM и машинным обучением могут быть объединены вместе для создания полной безопасности вашей организации.