10.11.202310.11.2023 Юлия МальцеваЮлия Мальцева 0 Comment

Современные пути импортозамещения идут по пути интеграции программного и аппаратного обеспечения российского производства. Однако, в эпоху цифровой трансформации, предприятия, нацеленные на оптимизацию затрат и повышение производительности, активно используют облачные решения и применяют контейнеризацию на базе таких технологий, как OpenStack и Kubernetes. Благодаря модельному подходу открытых стандартов эти платформы могут быть успешно реализованы на основе отечественных ПО и аппаратных платформ, обеспечивая совместимость и постепенный переход с иностранных продуктов на отечественные. Основной задачей в процессе импортозамещения является гарантирование информационной безопасности корпоративных систем и приложений. С учетом угрозы, исходящей от устаревших иностранных продуктов, отсутствующих в экосистеме обновлений производителя решений, повышается актуальность вопроса о целостности и безопасности облачных инфраструктур.

Структура и защита облачных систем.

Рассмотрим основные составляющие гибридной облачной системы, которые необходимо защищать:

  • ЦОД инфраструктура. Включает серверную часть с ИТ-инфраструктурой, где размещены корпоративные приложения и службы, такие как кластер домен контроллер (DC), система управления базами данных (СУБД), файловые хранилища, подключаемые по протоколам FTP/SMB, и группы серверов бизнес-приложений, работающих на базе API. Сервисы часто имеют API-взаимодействие с внешними системами, такими как Документооборот, ЕГАИС, «1С» и другие…
  • Арендованная инфраструктура. В условиях аренды инфраструктуры (Infrastructure as a Service – IaaS) или платформы (Platform as a Service – PaaS), компании могут быстро масштабировать вычислительные ресурсы, арендуя их у сторонних облачных провайдеров. Открытые технологии, такие как виртуализация и оркестрация, обеспечивают гибкость интеграции арендованных ресурсов.
  • Клиенты. Это терминальные устройства пользователей, которые соединяются с корпоративными и облачными ресурсами. Терминалы (или конечные точки) представляют собой физические и виртуальные устройства, с помощью которых пользователи подключаются к корпоративным и облачным ресурсам. Это могут быть:
    • Стационарные устройства: настольные компьютеры, рабочие станции.
    • Мобильные устройства: ноутбуки, смартфоны, планшеты.
    • Специализированные устройства: POS-терминалы, медицинское оборудование, промышленные контроллеры.
    • Виртуальные клиенты: VDI (Virtual Desktop Infrastructure) и другие виртуальные рабочие места.

Давайте рассмотрим, из каких компонентов должна состоять защита гибридной инфраструктуры. Эта инфраструктура объединяет корпоративные ЦОДы и инфраструктуру, одну или несколько арендованных технологических площадок, а также удаленных клиентов, которые могут подключаться к как корпоративной, так и облачной части.

  • Антивирус. В современной сфере информационной безопасности одним из ключевых элементов является защита от вредоносного ПО. С этой целью рекомендуется применять антивирусные решения или системы Endpoint Protection. Следует установить соответствующие агенты на серверы внутри корпоративной сети, на облачные виртуальные машины, контейнеры, а также на терминальное клиентское оборудование. Важно подчеркнуть, что агенты корпоративного антивируса должны быть совместимы с различными операционными системами: серверными (включая отечественные), настольными (Windows, Unix, даже в VDI-окружении и отечественных ОС) и мобильными (Android, iOS). Централизованный контроль всех агентов – оркестрация – необходима, и модуль для ее выполнения можно разместить как в корпоративной инфраструктуре, так и в облачном окружении, обеспечивая таким образом универсальность и гибкость системы управления информационной безопасностью.
  • Сетевая защита. Для обеспечения надежной защиты корпоративной сети от сетевых атак, крайне рекомендуется установить межсетевой экран. Этот инструмент служит барьером, оберегающим серверную инфраструктуру от потенциальных угроз. В то время как ответственность за безопасность облачной инфраструктуры часто лежит на плечах облачного провайдера — например, Yandex Cloud, VK Cloud или CloudMTS — при работе с множеством виртуальных машин в облаке рекомендуется дополнительно развертывать виртуальный коммутатор.
    Для выявления и анализа сложных, целенаправленных угроз целесообразно интегрировать сбор данных сетевого трафика с корпоративного межсетевого экрана и виртуального коммутатора в системы обработки событий безопасности (SIEM) и систему защиты от целенаправленных атак (Anti Target Attack – ATA), системы учета и анализа событий, обнаружения вторжений и расследования инцидентов безопасности. Это обогащение данных усиливает возможности по выявлению и реагированию на сложные угрозы в реальном времени
  • Анализ системных журналов. Анализ системных журналов играет ключевую роль в обеспечении информационной безопасности. Чтобы глубоко понимать и контролировать события в операционных системах и приложениях, эксперты используют системы сбора и обработки событий информационной безопасности, такие как SIEM. Она может собирать данные со всех элементов инфраструктуры, позволяя оперативно выявлять признаки потенциальных угроз. В случае инцидентов безопасности эта информация предоставляет возможность для тщательного расследования, восстановления хронологии событий и определения источника угрозы, что критически важно для принятия быстрых и эффективных мер реагирования.
  • Защита почты. Защита корпоративной почты имеет первостепенное значение, поскольку почтовые системы часто становятся объектом целенаправленных атак. Злоумышленники распространяют фишинговые сообщения, содержащие вредоносные вложения или ссылки, направляющие на мошеннические веб-ресурсы. Для обеспечения безопасности и проактивного обнаружения угроз необходимо осуществлять проверку как вложений, так и ссылок, содержащихся в электронных письмах. В этом контексте весьма эффективным решением является использование “песочницы” — специализированной виртуальной машины. Она эмулирует действия пользователя и предназначена для того, чтобы активировать и анализировать поведение возможных вредоносных программ, предоставляя тем самым глубокий анализ их действий без риска для основной инфраструктуры.
  • Защита от DDoS. DDoS-атаки, нацеленные на дестабилизацию работы наземной или облачной инфраструктуры, стали распространенной угрозой в современном мире. Чтобы успешно противостоять им, рекомендуется воспользоваться специализированными сервисами, которые предлагают продвинутые системы фильтрации, блокирующие нежелательный и вредоносный траффик. Кроме того, многие облачные провайдеры предоставляют средства защиты от DDoS в рамках своих услуг.

Важно отметить, что для компаний, подпадающих под действие законов №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и №152-ФЗ «О безопасности персональных данных», выполнение требований по взаимодействию с ГосСОПКА становится критически важным. При выборе защитных решений для таких организаций необходимо уделять особое внимание системам, которые поддерживают интеграцию с инфраструктурой ГосСОПКА и обеспечивают возможность составления отчетов для Роскомнадзора. Эти требования могут значительно влиять на решение о выборе конкретных средств защиты. Однако стоит помнить, что не все компании и их информационные системы обязаны соответствовать данным стандартам, поэтому каждый случай требует индивидуального подхода.

СУИБ от Касперского.

Продукты “Лаборатории Касперского” имеют весь перечисленный выше функционал и позволяют построить на их основе полноценную систему управления информационной безопасности гибридной корпоративно-облачной инфраструктуры

Антивирусная защита:

  • Kaspersky Endpoint Security (KES): это решение для комплексной защиты терминальных устройств от различных векторов угроз. Оно предназначено для операционных систем Windows, Linux, MacOS и мобильных ОС. Особо стоит выделить продукты KES, предназначенные для специализированных серверных окружений, например, для Linux Mail Server и Microsoft Exchange Servers.
  • Kaspersky Security Center (KSC): централизованное решение для управления политиками безопасности и мониторинга состояния защиты инфраструктуры. Оно обеспечивает защиту от следующих типов атак: вредоносное ПО, трояны, вирусы, черви, руткиты, вымогатели и сетевые атаки на компьютеры, эксплойты, аномальная активность, файловые угрозы.

Защита от целенаправленных и сложных атак:

  • Kaspersky EDR Expert (KEDR Expert): это современное решение для обеспечения углубленного мониторинга, детекции и реагирования на инциденты безопасности в корпоративной инфраструктуре. Единый агент позволяет организациям использовать решения Kaspersky EDR Expert и Kaspersky Security для бизнеса одновременно. В рамках одного агента компании получают контроль рабочих мест, автоматическое предотвращение массовых угроз, а также эффективное обнаружение, приоретизацию, детальное расследование сложных угроз и централизованное реагирование на комплексные инциденты. Оно обеспечивает защиту от следующих типов угроз: целенаправленные атаки, APT (Advanced Persistent Threats), комплексные атаки.
  • Kaspersky Anti Targeted Attack Platform (KATA): платформа для анализа сетевой активности. Она осуществляет глубокий анализ сетевого трафика с сетевого оборудования периметра компании, проводит эмуляцию угроз с использованием песочницы (Sandbox) и выявляет сложные угрозы и целенаправленные атаки. Автоматизация сбора данных и выдача вердиктов в кратчайший срок позволяют получить оперативные данные для работы аналитического отдела службы ИБ и оперативно реагировать на возникшие инциденты и угрозы ИБ. Этот компонент защищает от следующих типов угроз: целенаправленные и сложные атаки, APT (Advanced Persistent Threats), аномальное поведение в сети, а также ранние стадии многокомпонентных атак и ранее неизвестные угрозы.

Мониторинг событий и SIEM:

  • Kaspersky Unified Monitoring and Analysis Platform (KUMA): это интегрированное решение SIEM для сбора, анализа и корреляции данных о событиях безопасности из различных источников. Оно позволяет осуществлять комплексный мониторинг состояния всех узлов серверной и пользовательской инфраструктуры, обнаруживать аномальную активность и оперативно реагировать на инциденты информационной безопасности. Решение обеспечивает защиту от следующих типов угроз: выявление сложных и многокомпонентных атак, а также аномальное поведение на основе корреляции данных из системных журналов.

Защита корпоративной почты:

  • Kaspersky Secure Mail Gateway (KSMG): это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности. Продукт обеспечивает надежную защиту электронной почты от известных и неизвестных угроз. Продукт предназначен для защиты от следующих типов атак: фишинг, спам, мошенническая переписка (BEC-атаки), вредоносные вложения и ссылки.

Заключение.

В современных условиях, когда гибридные и многоуровневые корпоративно-облачные инфраструктуры становятся нормой, вопросы их защиты актуализируются.

Переход на отечественные технологии, операционные системы и СУБД требует чрезвычайной осторожности и комплексного подхода к безопасности.

Для эффективной минимизации рисков информационной безопасности ключевым является глубокое понимание собственной сети: ее структуры, слабых мест и потенциальных направлений атак. Важно активно следить за актуальными уязвимостями и оперативно их устранять, обеспечивая защиту сервисов на всех уровнях. Кроме того, создание непредсказуемого для атакующего сценария собьёт злоумышленника с толку, заставив его действовать в рамках установленных вами правил и таким образом выявить себя в инфраструктуре. Создание “ловушек” или дезинформационных мер может служить дополнительным барьером на пути потенциального нарушителя.