Техническая поддержка МультиТек Инжинирингhttps://www.freepik.com/free-vector/e-sport-team-abstract-concept-illustration_12290857.htm#fromView=search&page=3&position=11&uuid=c4921ae2-dd8e-46dd-b105-95518c1329e8&query=technical+support
Захаренков Александр

Создаем проактивную систему защиты информации

/в /

В условиях стремительного роста разнообразия и изощренности киберугроз традиционные средства защиты, такие как антивирусы и межсетевые экраны становятся все менее эффективными для обнаружения сложных угроз и целевых атак.

Согласно статистике компании АО «Лаборатория Касперского» Республика Беларусь в текущем году лидирует в Восточной Европе по количеству выявленных угроз и находится в зоне повышенного риска реализации кибератак на информационные системы АСУ промышленных предприятий.

В данной статье я бы хотел раскрыть тему нескольких классов решений, применение которых не просто призвано повысить уровень информационной безопасности предприятия, а позволяет построить эффективную проактивную систему защиты информации на базе связки решений NTA и «Песочница».

Средства защиты класса NTA (Network Traffic Analysis) применяются для анализа и выявления аномалий в сетевом трафике, что помогает обнаруживать и расследовать инциденты безопасности, выявлять сложные угрозы и целевые атаки уже на ранних этапах. NTA-системы позволяют хранить информацию о сетевых взаимодействиях, включая запись сырого трафика, что существенно облегчает Threat Hunting (проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты) и локализацию атак.

NTA-системы фиксируют подробные сведения о сетевых взаимодействиях, включая IP-адреса, протоколы, время и характер аномалий, что облегчает сбор доказательств и формирование контекста атаки.

Решения класса «Песочница» – это изолированные среды, где подозрительные файлы или ссылки могут быть безопасно запущены и проанализированы для выявления вредоносного поведения без риска заражения основной инфраструктуры предприятия. «Песочница» позволяет обнаруживать новый и сложный вредоносный софт (включая эксплойты нулевого дня и программы-вымогатели), предотвращает целенаправленные атаки.

«Песочница» работает по поведенческому принципу: не просто ищет известные сигнатуры, а анализирует действия, которые выполняет запускаемый (анализируемый) файл – шифрование данных, попытки скрыть активность, создание сетевых соединений и другие подозрительные операции. Это позволяет выявлять как известные, так и новые вирусы, атаки нулевого дня, программы-вымогатели и другое вредоносное ПО.

Практический опыт показывает, что:

  • NTA-системы эффективны для проактивного мониторинга сети, выявления скрытых и сложных угроз, а также для расследования киберинцидентов;
  • «Песочница» эффективна для обнаружения и предотвращения сложных и новых видов вредоносного ПО, которые не всегда можно выявить традиционными методами;
  • Совместное использование данных решений позволяет обеспечить многоуровневую защиту, повышая устойчивость информационной системы промышленного предприятия к современным кибератакам и позволяет выявлять атаки еще на начальных стадиях.

По опыту проектирования и создания систем защиты информации промышленных предприятий, мы предлагаем своим заказчикам следующие варианты применения данных решений:

  1. анализ трафика c магистральных коммутаторов (SPAN-порты коммутаторов, зеркалирование трафика TAP-устройствами);
  2. анализ трафика c пограничных сетевых устройств;
  3. анализ почтового трафика (эффективность повышается в случае установки «в разрыв»);
  4. обогащение эксплуатируемых средств защиты информации полученными артефактами (IoC). В первую обогащению, подлежат периметровые средства защиты (межсетевой экран), а также средства защиты установленные на возможных каналах атаки (эл.почта, интернет);
  5. интеграция EDR-решения и «Песочницы» для автоматизации нейтрализации возможных угроз на конечные точки. Сегодня сотрудники являются самым незащищенным активом предприятия и, как правило, большинство атак реализуется с применением всевозможных атак, связанных с социальной инженерией (фишингом, вишингом, смишингом, фармингом и т.д.);
  6. настройка образов «Песочницы» в аналогии с применяемыми на предприятии набором программного обеспечения.

NTA-решения позволяют оперативно фиксировать подозрительную сетевую активность и анализировать развитие атаки в ретроспективе, а «Песочница» в свою очередь позволяют безопасно запускать и анализировать вредоносные объекты, выявляя сложные и маскируемые угрозы.

Благодаря этому связка NTA + «Песочница» существенно сокращает время выявления киберинцидента и повышает вероятность обнаружения на ранних стадиях целевых атак и атак с применением эксплойтов нулевого дня. Таким образом, NTA ускоряет обнаружение и сбор данных по инциденту, а подтверждение через «Песочницу» ускоряет анализ и принятие решений, значительно сокращая общее время расследования и повышая его качества.

22
МультиТек Инжиниринг на CyberSecurity Education 2025Вышел 9-ый номер "ЮБезопашки"Image by rawpixel.com on FreepikМультиТек Инжиниринг на CyberSecurity Education-2025Мы на CyberSecurity Education-2025: подводим итоги