Умный выбор меняющихся технологий

Защита информации от таргетированных атак

В современной практике все меньше остается места для произвольных атак на ИТ-инфраструктуру, не преследующих конкретные цели и не направленных на конкретные информационные ресурсы или информацию. Задачами подобных атак могут быть в том числе:
  • ИТ-разведка (исследование ИТ-инфраструктуры и приложений);
  • вывод из строя ИТ-инфраструктуры или конкретных прикладных систем (восстановимым или невосстановимым образом);
  • блокирование доступа к информации;
  • навязывание/подмена/дискредитация информации или информационных ресурсов;
  • формирование отложенных закладок;
  • кража информации или иных связанных с ней активов (денег, товаров и проч.);
  • нанесение военного/экологического/экономического и прочих видов ущерба;
  • и другие, в том числе, комбинированные задачи.

Подобные атаки не блокируются классическими средствами межсетевого экранирования, но предполагаю использование комплексного набора средств, образующих эшелонированную оборону.

Система защиты должна обеспечивать:

  • оперативное выявление и блокирование внешних атак на ИТ-инфраструктуру и выявление нетипичной сетевой активности внутри сетевого периметра заказчика;
  • сохранение конфиденциальности, целостности и доступности, обрабатываемой информации;
  • защиту собственно приложений и БД как ключевых активов организации от целенаправленных атак;
  • создание механизмов и условий оперативного реагирования на угрозы безопасности информации и проявления негативных тенденций в функционировании информационных систем вследствие внешних и внутренних угроз безопасности информации.

В состав эшелонированной системы защиты информации от таргетированных атак обычно входят:

  • средства выявления и блокирования атак и сетевых аномалий на периметре сети (включая DDoS-атаки);
  • средства выявления сетевых аномий внутри сети заказчика;
  • средства противодействия таргетированным атакам на web-приложения;
  • средства противодействия таргетированным атакам на СУБД.

Указанные средства комбинируются с классическими системами межсетевого экранирования и IPS. Вся совокупность средств должна функционировать в рамках единых политик информационной безопасности и предоставлять события ИБ для централизованного корреляционного анализа в рамках SIEM-системы.

Еще одним способом гарантированной защиты информации в БД является шифрование стойкими алгоритмами:

  • на уровне СУБД:

  • на уровне сети хранения SAN:

  • на уровне виртуальной инфраструктуры:

Ключевые результаты внедрения решения

  • Эшелонированная система выявления и подавления современных таргетированных атак.
  • Возможность оперативного консолидированного мониторинга и расследования атак и инцидентов, в том числе в реальном времени.
  • Геопривязка источников атак.
  • Наличие различных методики отражения, в том числе включающих поведенческий анализ, эвристику, исследования в «песочнице» и другие.
  • Возможность полуавтоматического обучения/адаптации систем защиты.

Технологии

  • Периметр, Гарда («МФИ СОФТ»)
  • Kaspersky DDOS Prevention («Лаборатория Касперского»)
  • PT Application Firewall (Positive Technologies)
  • invGuard («Иновентика Технолоджес»)
  • Континент IDS («Код Безопасности»)
  • Arbor Networks. Arbor Pravail APS, Arbor Pravail NSI
  • Imperva SecureSphere Web Application Firewall, Imperva SecureSphere Database Firewall
  • QRadar (IBM)
  • ArcSight (HP)
  • CheckPoint
  • PaloAlto

Проекты


Все проекты
Запросить контакты или подробности