Последний оборонительный рубеж
Порой просто невозможно быстро обнаружить и устранить инцидент безопасности в процессе его реализации до момента нанесения серьезного ущерба, что в конечном итоге несет значительные последствия для всей организации. Большинству команд безопасности не хватает рабочих рук, компетенций и опыта, необходимых для быстрого и точного исследования огромного объема оповещений, создаваемых существующими в организации системами безопасности. Проактивное обнаружение новых угроз, проникающих через существующие системы защиты, все более и более актуально. Тем не менее, часть нарушений безопасности остается незамеченной до тех пор, пока не станет слишком поздно, и приходится устранять уже их последствия, которые, в свою очередь, могут привести к возникновению прямых и косвенных затрат и оказать влияние на всю бизнес-деятельность организации. Практики безопасности и управления инцидентами в этом случае неизбежно потребуют привлечения дополнительных внутренних и внешних сил.
Художники высокотехнологических угроз
Ушли в прошлое дни тех вирусов, которые писались без каких-либо целей, кроме самовоспроизведения. Обычная цель вредоноса сейчас — это различными методами обмануть систему, при этом пустив специалистов по ИБ по ложному следу. В самом деле, многие нарушения совершаются с использованием только фишинга, эксплуатации уязвимостей веб-приложений, а также с использованием встроенных ошибок, заложенных в функционал системы. В инцидентах безопасности, где применяется заражение вредоносом, это давно делается для далеко идущих целей. Современные команды безопасности понимают, что для защиты сотрудников, интеллектуальной собственности и других активов требуются высокоинтеллектуальные средства защиты. Они признают, их истинные противники — настоящие художники высокотехнологических угроз, использующие все достижения прогресса в своих шпионских целях. Их жизненный цикл включает в себя распределенные атаки на сетевой периметр и внутреннюю сеть, выполнение масштабных разведывательных действий с нанесением ущерба активам, расширением привилегий, воздействиям в разных направлениях, созданием скрытых бэкдоров и кражей данных.
Что же произошло?
Старые методы и подходы по обеспечению безопасности и по обнаружению и реагированию на инциденты показали себя крайне неэффективно. Аналитику приходится просматривать сетевой трафик, данные с конечных точек, информацию об угрозах и другие источники данных в отдельных продуктах. Каждое предупреждение систем безопасности, каждое найденное цифровое свидетельство требовало ручного анализа, чтобы затем сложить воедино всю получившуюся головоломку по инциденту — восстановить, что же произошло и принять соответствующие меры. Эти огромные усилия расходовали всю энергию ценных аналитиков в области безопасности и реагирования на инцидент. А между тем, стоимость потерь от инцидентов растет, число жертв постоянно увеличивается, появляются новые бреши в защите, пароли учетных записей воруются, и кражи данных как происходили, так и происходят.
Дело в том, что в случае, когда злоумышленник уже проникает в систему, его действия в сети сложно отследить стандартными средствами, а методы, основанные на сигнатурном поиске уже абсолютно бесполезны. Единственный способ обнаружить, изучить и предотвратить подобные угрозы — это заранее внедрить решение, которое даст полный обзор ситуации со всех сторон, в частности, даст полную и прогнозируемую картину о том, что происходит на рабочих станциях и в сети.
AccessData
Представляем вашему вниманию набор решений в области компьютерной безопасности компании AccessData, которые сочетает в себе компьютерную криминалистику, сетевую криминалистику, полномасштабный аудит данных, предоставляя единый интерфейс мониторинга.
Компания AccessData — мировой лидер в области решений по расследованию инцидентов ИБ (Computer Forensic) и поиска в неструктурированных данных (eDiscovery).
Данная автоматизированная и интегрированная инфраструктура безопасности позволяет быстрее и эффективнее решать проблемы, связанные с угрозами информационной безопасности, утечкой данных и обязательствами по соблюдению нормативных требований. Используя ПО из пула решений AccessData, можно заблаговременно и быстро определять, анализировать и разрешать любые инциденты, включая уязвимости «нулевого дня», взлом, утечку данных и целенаправленные атаки. К примеру, можно просканировать тысячи компьютеров организации для выявления вредоносных исполняемых файлов, существующих в сети. Можно эффективно выполнять анализ первопричин путем сопоставления сетевых данных и данных из локальных ресурсов в рамках единого интерфейса. Во время анализа можно заново воспроизвести инцидент, чтобы четко понять, как развивалось вторжение; при необходимости подробно изучить поврежденные машины можно проанализировать поведение зловреда на уровне рабочей станции. Просканировать информационную систему организации для определения всех поврежденных узлов и, что более важно, для устранения угрозы. И наконец, используя аналитические данные, полученные с помощью ПО AccessData при анализе инцидента, можно создать профили угроз для предотвращения появления таких угроз в будущем.
Критически важные возможности
Весь пул решений компании AceessData интегрируется в едином интерфейсе, с помощью которого можно анализировать и соотносить локальные статические, динамически изменяющиеся данные и сетевой трафик. Более того, набор решений системы реагирования на инциденты может предложить надежную функцию дистанционного «пакетного восстановления» удаленной информации. Инфраструктура защиты предоставляет критически важные возможности, которые на сегодняшний день отсутствуют в традиционной инфраструктуре информационной безопасности.
Наиболее значимые преимущества полностью интегрированной инфраструктуры безопасности!
- Легкий постоянный мониторинг; выполняемые операции автоматизируются с помощью информационных материалов, формируемых в реальном времени.
- Сопоставление журналов событий.
- Эффективное обнаружение угроз безопасности.
- Выполнение поиска первопричин инцидента и восстановление удаленной информации в различных системах.
- Комплексные аналитические инструменты позволяют более эффективно выявлять целенаправленные устойчивые угрозы.
- Эффективный сбор данных для дальнейшего анализа инцидентов.
- Возможность создания профилей защиты сети.
- Автоматизированный полномасштабный аудит данных позволяет выявить утечки информации.
- Легкий поиск документов по FOIA-запросам в соответствии с требованиями западного законодательства в сфере защиты информации о гражданах, что также может быть использовано и для поиска и предоставления информации в соответствии с отечественным законодательством о персональных данных.
- Эффективное и менее затратное выполнение регулярного аудита по стандартам PCI.
- Подключение к различным информационным банкам данных для целевого поиска без создания индекса.
- DOD-сертифицированное стирание данных, если этого требуют обстоятельства или политики.
Какие основные возможности отличают единую инфраструктуру безопасности, построенную с помощью решений AccessData?
1.Простота использования, основанная на процессах схема работы, оперативная связь по всей иерархической цепи.
- Легкий в использовании веб-интерфейс, позволяющий осуществлять доступ к системе в реальном времени из любого места.
- Ролевой доступ к системе.
- Назначение задач и отслеживание состояния работ.
- Обеспечение безопасности в реальном времени.
- Интеграция с Active Directory для более быстрого развертывания.
- Быстрая реакция на инцидент, в том числе анализ всех активных процессов.
- Расширенный агентский поиск и анализ задействованной памяти на компьютерах под управлением 32- и 64-битной версий Windows.
- Автоматическое сканирование тысяч компьютеров на наличие аномалий.
- Сопоставление статических и переменных данных с сетевым трафиком.
- Комплексный анализ и сбор данных со всех совместно используемых сетевых ресурсов для криминалистического анализа.
- Первый в отрасли сбор одним кликом данных с жестких дисков, с ОЗУ, а также переменных данных.
- Автоматизированный пакетный сбор данных.
- Простой в использовании мастер обработки данных.
- Ведущий уровень технологий дешифрования данных.
2.Перехват сетевых данных в реальном времени.
- Перехват данных в реальном времени на скорости вплоть до 1 Гбит/сек.
- Возможность отслеживать более 1500 протоколов и служб по умолчанию.
- Сетевые данные размещаются в центральной базе данных.
- Перехват и анализ данных в беспроводных сетях стандарта Ethernet 802.11b и 802.11g.
- Сопоставление и анализ журналов.
3.Анализ модели и содержания с воспроизведением нужного инцидента.
- Расширенные средства визуализации для более эффективного анализа первопричин.
- Интерактивное графическое представление распространения вторжения.
- Разделение ложных и злоумышленных инцидентов.
- Составление карты распространения вирусов, червей и утечек конфиденциальных данных.
- Отслеживание точной последовательности событий с воспроизведением инцидента по запросу.
4.Улучшенный, направленный и полномасштабный аудит.
- Автоматизированный, эффективный способ обнаружения утечки данных и обеспечение соответствия стандартам PCI.
- Расширенные возможности использования панели инструментов и составления отчетов.
- Расширенные возможности регистрации всех обнаруженных вторжений для обеспечения безопасности и аудита.
- Определение места расположения секретных или персональных данных и их классификация.
- Проведение автоматизированных проверок с использованием практически любых критериев поиска.
5.Возможность действовать немедленно, эффективно и надежно.
- Возможность быстро отвечать на FOIA-запросы.
- Возможность быстро и эффективно реагировать на угрозы, сопоставляя действия пользователя и сетевой трафик.
- Возможность сигнализации о файлах, не отвечающие нормативным требованиям, с сохранением информации об их расположении.
- Централизованное маркировка и удаление подозрительных файлов и замена их файлами-заглушками.
- Завершение процессов через контекстное меню правой кнопки мыши и пакетное восстановление для авторизованных пользователей.
- DOD-сертифицированное стирание.
- Взаимодействие компонентов системы через защищенное соединение в соответствии со стандартом FIPS 140-2 и использующее 128-битное SSL-шифрование.
6.Создание аналитического решения для обеспечения соответствия требованиям организации.
.jpg)
.jpg)
.jpg)
.jpg)
Подпишитесь на нашу рассылку последних новостей и событий
Подписаться