В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Многие крупные финансовые организации используют решения 40 и более разных поставщиков для защиты своих корпоративных сетей. В сети может быть развернуто несколько видов межсетевых экранов, антивирусных решений, систем обнаружения и предотвращения вторжений (IDS/IPS), межсетевых экранов защиты Web-приложений (WAF), средств защиты от продвинутых угроз, таких как "песочницы", и т.д. Взаимодействие между этими продуктами, находящимися под управлением разных систем, нередко ограниченно. Проблемы совместимости препятствуют обмену данными о киберугрозах как внутри сетей, так и между ними, что в конечном итоге затрудняет своевременное реагирование на угрозы.
Это не означает, что все средства защиты должны быть приобретены у одного поставщика. Даже крупные вендоры средств защиты, предлагающие широкие линейки решений, не предоставляют все компоненты, необходимые для создания действительно эффективной системы защиты. Помимо этого, финансовые организации часто отдают предпочтение лучшим в своем классе средствам защиты для решения каждой отдельной проблемы, что неизбежно приводит к появлению множества вендоров в инфраструктуре безопасности.
Независимо от количества вендоров организациям следует провести беспристрастный анализ инфраструктур безопасности, чтобы определить, действительно ли необходимы все эксплуатируемые решения. Нередко выясняется, что многие из них дублируют друг друга, что лишь усложняет инфраструктуру, а не повышает уровень защищенности.
Для многих финансовых организаций ключ к повышению защищенности кроется в сокращении количества решений и работе над их интеграцией. Основой для интеграции является стратегия адаптивной системы безопасности, заключающаяся в консолидации и интеграции и ориентированная на объединение всех решений в общую инфраструктуру коммуникации и обмена данными. Такая стратегия обладает множеством преимуществ.
Большое количество разрозненных средств защиты нередко приводит к дублированию и противоречиям в правилах. Одно из решений требует сделать одно действие, а другое – что-то иное, и результирующее действие может оказаться непредсказуемым. В итоге применение нескольких разнородных решений с целью повышения уровня защищенности может привести к его снижению. Интеграция средств защиты в рамках адаптивной системы безопасности, объединяющей функции управления и оркестрации, позволит избежать подобных конфликтов.
Управление множеством разнородных средств защиты может стать кошмаром для администраторов, тем не менее оно должно быть результативным. Администраторы на собственном опыте убеждаются, что сложность инфраструктуры безопасности снижает эффективность защиты. Обновление правил на всех средствах защиты с целью предотвращения новой разновидности вредоносного ПО может занять от нескольких часов до нескольких дней. Внедрение новых средств защиты, их миграция и модернизация занимают недели и требуют вмешательства администраторов в целях повторной перенастройки и согласования политик. Уменьшение количества разнородных средств защиты и интерфейсов управления способствует снижению нагрузки на администраторов, а внедрение интегрированной системы управления способствует автоматизации изменений. Безусловно, такой подход весьма привлекателен для администраторов.
Экономия как преимущество консолидации редко вспоминается по одной простой причине: средство защиты уже приобретено. Независимо от его реализации, будь то программно-аппаратный комплекс или же лицензия на программное обеспечение, отданные за это решение деньги уже не вернешь. Однако расходы на средство защиты не ограничиваются его приобретением: нередко их существенная часть связана с продлением сервисов и затратами на администрирование. Консолидация устраняет необходимость в конкретном продукте и, как следствие, позволяет сократить расходы.
Пожалуй, основным недостатком инфраструктуры безопасности, состоящей из множества изолированных и разрозненных технологий, является то, что такая система не дает полного представления о состоянии сети. Огромная сложность для финансовых организаций – просто просеивать данные всех различных средств отчетности и консолей управления с целью получить общую картину происходящего. Вот почему продвинутые угрозы часто остаются незамеченными в течение нескольких месяцев.
Консолидация в рамках адаптивной системы сетевой безопасности позволяет реализовать мониторинг, управление и оркестрацию решений в рамках единой платформы управления безопасностью всей распределенной сети. Такая интегрированная система обеспечит автоматизацию обработки и анализа данных об угрозах, поступающих из различных источников, а также оперативную идентификацию и реагирование на угрозы сетевой безопасности. Система автоматизирует в том числе идентификацию, изоляцию и анализ подозрительных файлов. Выполнение перечисленных операций вручную требует огромных затрат времени и трудовых ресурсов.
По мере дальнейшей трансформации финансовых организаций будут меняться их сети и требования к защите. Чтобы не отставать от все более сложных и изощренных атак современных киберпреступников, многим финансовым организациям необходимо следовать стратегии консолидации и интеграции. Устраняя ненужные и консолидируя избыточные средства защиты, с интеграцией всех средств защиты в рамках единой системы, финансовые организации смогут сделать свои инфраструктуры безопасности более эффективными, чем когда-либо.
Одной из распространенных задач консолидации избыточных средств защиты в организациях финансового сектора России является объединение функций систем класса Security Web Gateway (SWG) с системами класса Next Generation Firewall (NGFW) – универсальных шлюзов безопасности. Почти в каждом российском банке исторически сложилось, что для контроля доступа пользователей к ресурсам Интернета используется традиционное SWG-решение – прокси-сервер. При этом такое решение часто глубоко интегрировано в инфраструктуру и подразумевает прозрачное проксирование, пересылку запросов на анализ в DLP-систему, сложную политику и схему аутентификации для нескольких доменов.
Основная проблема SWG-систем заключается в том, что они являются точечными решениями, с ограниченными функциональными возможностями, такими как URL-фильтрация, антивирусная защита, расшифровка SSL-трафика. Учитывая снижающуюся год от года, по оценкам независимых компаний NSS Labs и IDC, динамику рынка SWG, в перспективе SWG-решения станут нишевыми. Подобный сценарий подразумевает повышение стоимости и неполную реализацию функций защиты, а также отставание в адаптации новых востребованных рынком функций.
Все основные функции SWG-систем в настоящее время реализованы лидерами рынка универсальных шлюзов безопасности, рынок которых растет быстрыми темпами, что позволяет производителям быстрее наращивать функциональность и своевременно адаптировать актуальные технологии защиты, такие как Sandboxing. В настоящий момент доля NGFW, защищающих корпоративную сеть, составляет менее 50%, однако к концу 2019 г., по мнению Gartner, она вырастет до 90%.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2017