Информационная безопасность ИТ инфраструктуры
Основные средства защиты информации (СЗИ) для защиты ИТ инфраструктуры:
SIEM (Security information and event management)
Cистема управления событиями безопасности
На основе анализа логов, поступающих от контроллеров домена, рабочих станций, серверов, сетевых устройств, серверов, баз данных и иных систем обнаруживает события информационной безопасности в реальном времени.
NGFW (Next Generation Firewall)
Межсетевые экраны (нового поколения)
Позволяют контролировать сетевой трафик, предоставлять права сетевого доступа для пользователей и ресурсов, а также контролировать и защищать проходящий через них трафик.
WAF (Web Application Firewall)
Система защиты веб приложений
Дополнительный уровень защиты для веб приложений. Работает по принципу реверс прокси сервера — выдает себя за приложение для клиента и от своего имени запрашивает данные с целевого сервера. Анализирует поступающие запросы на уровне протокола HTTP, сигнализирует и/или блокирует вредоносные запросы и активность.
AVP (Antivirus Protection)
Система антивирусной защиты
Обеспечивает защиту от проникновения известных вредоносных программ. Позволяет обнаружить и уничтожить вредоносные программы.
DLP (Data Leak Prevention)
Система предотвращения утечек данных
Обычно представляет собой взаимосвязь между центральным сервером управления и установленнми агентами на целевых устройствах (рабочие станции, серверы). Система анализирует весь поток данных на рабочей станции и мгновенно блокирует любую передачу данных при обнаружении утечки.
Контролирует доступ по сети (email, ftp, соц. сети…), доступ на физические носители (USB, CS, DVD, Bluetoth…), а также все действия, которые совершает пользователь. Часто имеет возможность записывать звук микрофона, делать снимки экрана и фиксировать иные действия подконтрольных рабочих станций.
Vulnerability scanner
Сканнер уязвимостей
Это система позволяет проанализировать имеющуюся ИТ инфраструктуру на наличие известных уязвимостей. Помимо аудита и выявления проблем также часто может предложить пути по их устранению
Существует 2 базовых подхода к сканированию:
WhiteBox. Сканнер располагается внутри инфраструктуры и проводит анализ, заранее «зная» что именно анализируется будь то сеть, система, приложение или иной ресурс. Сканирование проводится без учета имеющихся средств защиты. Подход позволяет полностью исследовать объект. Минус в том, что такой анализ гораздо менее приближен к реальной среде и тому, как исследуемый ресурс представляется для потенциального злоумышленника
BlackBox. Сканнер проводит сканирование извне и «видит» целевой ресурс также, как и потенциальный злоумышленник. Соответственно, в итоговом отчете будет отражена картина не по цели сканирования, а по всей инфраструктуре, включая все имеющиеся средства защиты.
Например, при сканировании веб сервера извне при таком подходе сканнеру будут доступны только те порты, которые открыты на межсетевом экране, а часть уязвимостей может быть отражена средствами WAF, защищающего этот сервер.