Средства защиты информации
Мир безопасности постоянно развивается. Однако, куда стремительнее происходит развитие вредоносного ПО злоумышленников. В данный момент, инженер информационной безопасности не обходится без использования автоматизированных средств защиты информации, которые помогают в обнаружении атаки, а также противодействию их. Об этих средствах я посвящаю данную статью в блоге.
Для начала разберемся с определением данного понятия. Средства защиты информации (СЗИ) - комплекс программно-технических средств, предназначенных и используемых для минимизации рисков информационной безопасности и защиты информации от потенциально опасного ПО.
Рассмотрим следующие СЗИ:
- Антивирусное ПО;
- Средства криптографической защиты;
- HIDS;
- EDR;
- DLP.
Антивирусное ПО
Это специальная программа, предназначенная для поиска вирусного ПО и нежелательных программ на компьютере пользователя, а также для профилактики предотвращения заражения файлов или операционной системы.
Антивирусное ПО можно разделить по виду развертывания:
- Endpoint - устанавливается на конкретном компьютере или сервере;
- Управляющий сервер - используется для управления антивирусом на всех хостах компании.
- Облачные — это комплекс, состоящий из клиентского приложения и веб-сервиса.
Способы обнаружения вирусного ПО:
- Сигнатурный.
Основой является поиск определенной уникальной последовательности байтов, являющихся характерной сигнатурой определенного вируса. Каждый новый вирус исследуется специалистами, которые проводят анализ кода. На основе анализа определяется сигнатура каждого вируса.
Достоинства - низкая доля ложных срабатываний.
Недостатки - невозможно обнаружить новый не изученный вирус.
Пример некоторых сигнатур вируса и их названия
- Эвристический.
Работа основана на поиске характерных для вирусов особенностей. Например, фрагментов программного кода, определенных ключей реестра, файлов и процессов.
Особенность - много ошибок. Подозрительный объект нуждается в проверке специалистами информационной безопасности.
- Метод эмуляции.
Подозрительное приложение запускается в изолированной среде, эмулируя поведение операционной системы. Вредоносное ПО не сможет нанести повреждения системе, поскольку работа ПО будет завершена эмулятором.
Однако, эмуляция занимает много ресурсов и времени выполнения, а также некоторые виды вредоносного ПО могут обнаруживать выполнение в эмуляторе и не выдать себя.
- Поведенческий анализ.
Антивирусная программа следит за поведением приложений и, если оно кажется ей подозрительным, блокирует работу потенциально опасной программы.
Средства криптографической защиты
Используются для шифрования документов при передаче по открытым каналам связи важную информацию с целью недопущения компрометации.
Классификация по методу установки:
- Средства, встроенные в носитель. Программа “вшита” в устройство и может выполнять самостоятельную шифровку и расшифровку данных внутри носителя.
Host-based intrusion detection system (HIDS)
Хостовая система обнаружения вторжения выполняет слежение за всеми событиями, происходящими в компьютерной системе на хосте, проверяет к каким ресурсам программа обращается и может обнаружить, к примеру, что текстовый процессор начал менять базу паролей. HIDS является программой. Приведем пример подобных систем:
- OSSEC;
- Tripwire;
- Samhain;
- Splunk.
Endpoint Detection & Response (EDR)
Платформа, способная обнаруживать атаки различного рода, сопоставлять атаки между собой, выявлять взаимосвязи между активностью и записывать индикаторы, которые указывают на компрометацию АРМ и реагировать на атаки.
EDR позволяет проводить наблюдение за всеми действиями конечных точек, например:
- Установка нового программного обеспечения;
- Скачивание файлов;
- Повышение уровня привилегий учетных записей;
- И др.
Стоит отметить, что EDR ориентированы на выявление сложных угроз и атак. Однако, EDR не сможет заменить Антивирусное ПО.
Data Leak Prevention (DLP)
Система, созданная для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится на анализе потоков данных, выходящих за пределы корпоративной сети.
- Электронную почту;
- Мессенджеры;
- Внешние запоминающие устройства;
- Печать на принтеры;
- Флеш-накопители;
- Desktop-приложения;
- И т. д.
Рассмотрим пример источников информации, которые могут находиться под защитой системы DLP на изображении:
DLP системы также могут решать дополнительные задачи:
- контроль использования рабочего времени сотрудниками;
- мониторинг общения сотрудников с целью выявления организованных злонамеренных действий, которые могут навредить организации;
- контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
- выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность;
- контроль повседневной активности пользователей.