Последний оборонительный рубеж

Порой просто невозможно быстро обнаружить и устранить инцидент безопасности в процессе его реализации до момента нанесения серьезного ущерба, что в конечном итоге несет значительные последствия для всей организации. Большинству команд безопасности не хватает рабочих рук, компетенций и опыта, необходимых для быстрого и точного исследования огромного объема оповещений, создаваемых существующими в организации системами безопасности. Проактивное обнаружение новых угроз, проникающих через существующие системы защиты, все более и более актуально. Тем не менее, часть нарушений безопасности остается незамеченной до тех пор, пока не станет слишком поздно, и приходится устранять уже их последствия, которые, в свою очередь, могут привести к возникновению прямых и косвенных затрат и оказать влияние на всю бизнес-деятельность организации. Практики безопасности и управления инцидентами в этом случае неизбежно потребуют привлечения дополнительных внутренних и внешних сил.

Художники высокотехнологических угроз

Ушли в прошлое дни тех вирусов, которые писались без каких-либо целей, кроме самовоспроизведения. Обычная цель вредоноса сейчас — это различными методами обмануть систему, при этом пустив специалистов по ИБ по ложному следу. В самом деле, многие нарушения совершаются с использованием только фишинга, эксплуатации уязвимостей веб-приложений, а также с использованием встроенных ошибок, заложенных в функционал системы. В инцидентах безопасности, где применяется заражение вредоносом, это давно делается для далеко идущих целей. Современные команды безопасности понимают, что для защиты сотрудников, интеллектуальной собственности и других активов требуются высокоинтеллектуальные средства защиты. Они признают, их истинные противники — настоящие художники высокотехнологических угроз, использующие все достижения прогресса в своих шпионских целях. Их жизненный цикл включает в себя распределенные атаки на сетевой периметр и внутреннюю сеть, выполнение масштабных разведывательных действий с нанесением ущерба активам, расширением привилегий, воздействиям в разных направлениях, созданием скрытых бэкдоров и кражей данных.

Что же произошло?

Старые методы и подходы по обеспечению безопасности и по обнаружению и реагированию на инциденты показали себя крайне неэффективно. Аналитику приходится просматривать сетевой трафик, данные с конечных точек, информацию об угрозах и другие источники данных в отдельных продуктах. Каждое предупреждение систем безопасности, каждое найденное цифровое свидетельство требовало ручного анализа, чтобы затем сложить воедино всю получившуюся головоломку по инциденту — восстановить, что же произошло и принять соответствующие меры. Эти огромные усилия расходовали всю энергию ценных аналитиков в области безопасности и реагирования на инцидент. А между тем, стоимость потерь от инцидентов растет, число жертв постоянно увеличивается, появляются новые бреши в защите, пароли учетных записей воруются, и кражи данных как происходили, так и происходят.

Дело в том, что в случае, когда злоумышленник уже проникает в систему, его действия в сети сложно отследить стандартными средствами, а методы, основанные на сигнатурном поиске уже абсолютно бесполезны. Единственный способ обнаружить, изучить и предотвратить подобные угрозы — это заранее внедрить решение, которое даст полный обзор ситуации со всех сторон, в частности, даст полную и прогнозируемую картину о том, что происходит на рабочих станциях и в сети.

AccessData

Представляем вашему вниманию набор решений в области компьютерной безопасности компании AccessData, которые сочетает в себе компьютерную криминалистику, сетевую криминалистику, полномасштабный аудит данных, предоставляя единый интерфейс мониторинга.

Компания AccessData — мировой лидер в области решений по расследованию инцидентов ИБ (Computer Forensic) и поиска в неструктурированных данных (eDiscovery).

Данная автоматизированная и интегрированная инфраструктура безопасности позволяет быстрее и эффективнее решать проблемы, связанные с угрозами информационной безопасности, утечкой данных и обязательствами по соблюдению нормативных требований. Используя ПО из пула решений AccessData, можно заблаговременно и быстро определять, анализировать и разрешать любые инциденты, включая уязвимости «нулевого дня», взлом, утечку данных и целенаправленные атаки. К примеру, можно просканировать тысячи компьютеров организации для выявления вредоносных исполняемых файлов, существующих в сети. Можно эффективно выполнять анализ первопричин путем сопоставления сетевых данных и данных из локальных ресурсов в рамках единого интерфейса. Во время анализа можно заново воспроизвести инцидент, чтобы четко понять, как развивалось вторжение; при необходимости подробно изучить поврежденные машины можно проанализировать поведение зловреда на уровне рабочей станции. Просканировать информационную систему организации для определения всех поврежденных узлов и, что более важно, для устранения угрозы. И наконец, используя аналитические данные, полученные с помощью ПО AccessData при анализе инцидента, можно создать профили угроз для предотвращения появления таких угроз в будущем.

Критически важные возможности

Весь пул решений компании AceessData интегрируется в едином интерфейсе, с помощью которого можно анализировать и соотносить локальные статические, динамически изменяющиеся данные и сетевой трафик. Более того, набор решений системы реагирования на инциденты может предложить надежную функцию дистанционного «пакетного восстановления» удаленной информации. Инфраструктура защиты предоставляет критически важные возможности, которые на сегодняшний день отсутствуют в традиционной инфраструктуре информационной безопасности.

Наиболее значимые преимущества полностью интегрированной инфраструктуры безопасности!

• Легкий постоянный мониторинг; выполняемые операции автоматизируются с помощью информационных материалов, формируемых в реальном времени.
• Сопоставление журналов событий.
• Эффективное обнаружение угроз безопасности.
• Выполнение поиска первопричин инцидента и восстановление удаленной информации в различных системах.
• Комплексные аналитические инструменты позволяют более эффективно выявлять целенаправленные устойчивые угрозы.
• Эффективный сбор данных для дальнейшего анализа инцидентов.
• Возможность создания профилей защиты сети.
• Автоматизированный полномасштабный аудит данных позволяет выявить утечки информации.
• Легкий поиск документов по FOIA-запросам в соответствии с требованиями западного законодательства в сфере защиты информации о гражданах, что также может быть использовано и для поиска и предоставления информации в соответствии с отечественным законодательством о персональных данных.
• Эффективное и менее затратное выполнение регулярного аудита по стандартам PCI.
• Подключение к различным информационным банкам данных для целевого поиска без создания индекса.
• DOD-сертифицированное стирание данных, если этого требуют обстоятельства или политики.

Какие основные возможности отличают единую инфраструктуру безопасности, построенную с помощью решений AccessData?

1.Простота использования, основанная на процессах схема работы, оперативная связь по всей иерархической цепи.

• Легкий в использовании веб-интерфейс, позволяющий осуществлять доступ к системе в реальном времени из любого места.
• Ролевой доступ к системе.
• Назначение задач и отслеживание состояния работ.
• Обеспечение безопасности в реальном времени.
• Интеграция с Active Directory для более быстрого развертывания.
• Быстрая реакция на инцидент, в том числе анализ всех активных процессов.
• Расширенный агентский поиск и анализ задействованной памяти на компьютерах под управлением 32- и 64-битной версий Windows.
• Автоматическое сканирование тысяч компьютеров на наличие аномалий.
• Сопоставление статических и переменных данных с сетевым трафиком.
• Комплексный анализ и сбор данных со всех совместно используемых сетевых ресурсов для криминалистического анализа.
• Первый в отрасли сбор одним кликом данных с жестких дисков, с ОЗУ, а также переменных данных.
• Автоматизированный пакетный сбор данных.
• Простой в использовании мастер обработки данных.
• Ведущий уровень технологий дешифрования данных.

2.Перехват сетевых данных в реальном времени.

• Перехват данных в реальном времени на скорости вплоть до 1 Гбит/сек.
• Возможность отслеживать более 1500 протоколов и служб по умолчанию.
• Сетевые данные размещаются в центральной базе данных.
• Перехват и анализ данных в беспроводных сетях стандарта Ethernet 802.11b и 802.11g.
• Сопоставление и анализ журналов.

3.Анализ модели и содержания с воспроизведением нужного инцидента.

• Расширенные средства визуализации для более эффективного анализа первопричин.
• Интерактивное графическое представление распространения вторжения.
• Разделение ложных и злоумышленных инцидентов.
• Составление карты распространения вирусов, червей и утечек конфиденциальных данных.
• Отслеживание точной последовательности событий с воспроизведением инцидента по запросу.

4.Улучшенный, направленный и полномасштабный аудит.

• Автоматизированный, эффективный способ обнаружения утечки данных и обеспечение соответствия стандартам PCI.
• Расширенные возможности использования панели инструментов и составления отчетов.
• Расширенные возможности регистрации всех обнаруженных вторжений для обеспечения безопасности и аудита.
• Определение места расположения секретных или персональных данных и их классификация.
• Проведение автоматизированных проверок с использованием практически любых критериев поиска.

5.Возможность действовать немедленно, эффективно и надежно.

• Возможность быстро отвечать на FOIA-запросы.
• Возможность быстро и эффективно реагировать на угрозы, сопоставляя действия пользователя и сетевой трафик.
• Возможность сигнализации о файлах, не отвечающие нормативным требованиям, с сохранением информации об их расположении.
• Централизованное маркировка и удаление подозрительных файлов и замена их файлами-заглушками.
• Завершение процессов через контекстное меню правой кнопки мыши и пакетное восстановление для авторизованных пользователей.
• DOD-сертифицированное стирание.
• Взаимодействие компонентов системы через защищенное соединение в соответствии со стандартом FIPS 140-2 и использующее 128-битное SSL-шифрование.

6.Создание аналитического решения для обеспечения соответствия требованиям организации.