Лучшие практики защиты инфраструктуры от сложных угроз
на уровне сети
Дубовик Анна,
заместитель руководителя отдела средств защиты информации

Почему это важно?


Защита инфраструктуры от сложных угроз на уровне сети – непростое мероприятие для компаний любого масштаба и отрасли. Такие решения, как правило, представляют из себя технические средства и сервисы, направленные на выявление ранее неизвестного вредоносного программного обеспечения в почтовом и веб-трафике организации с помощью динамического поведенческого анализа файлов и ссылок в изолированной среде виртуализации, так называемой «песочнице».

Необходимо очень ответственно и профессионально подходить к проектированию архитектуры защиты сети и построению процессов защиты, так как допущенные на данной стадии ошибки могут привести к большим финансовым затратам на закупку технических средств, их дальнейшее сопровождение, а также сделать защиту неэффективной и даже парализовать работу бизнеса.

ГК Innostage делится накопленным опытом и знаниями об архитектуре защиты инфраструктуры от сложных угроз, которые позволят реализовать защиту максимально эффективно.

  1. На рынке существует множество технических решений, поэтому сначала необходимо изучить функциональные возможности и сформировать требования именно для Вашей организации. Организовать проведение пилотных тестирований наиболее интересных продуктов для оценки функциональных возможностей и удобства эксплуатации.
  2. Некоторые решения по защите от сложных угроз предоставляют очень высокий уровень детектирования и широкий функционал, но работают только в режиме обнаружения. Это означает, что вредоносное ПО на момент обнаружения будет уже доставлено пользователю. На начальном этапе необходимо продумать, сможет ли Ваша организация адекватно реагировать на обнаруженные угрозы. Если имеющиеся средства и ресурсы не позволяют реагировать на выявленные угрозы – лучше рассмотреть решения, которые работают в режиме блокирования угроз.
  3. Динамический поведенческий анализ файла в песочнице – ресурсоемкий процесс. Для каждого файла запускается одна или несколько виртуальных машин. Локальный анализ таких файлов требует высокопроизводительное и дорогостоящее оборудование. Отсутствие бюджета на такое оборудование – не повод подвергать инфраструктуру опасности. Многие производители предлагают свои решения по более привлекательной цене в виде обособленного облачного сервиса или подписки на функционал облачного анализа для существующего шлюза безопасности.
  4. Не стоит пренебрегать и традиционными средствами защиты от угроз – они позволят сократить количество векторов атак и снизить нагрузку на технические средства поведенческого анализа, для почтового трафика - это фильтрация спама и контента, для веб-трафика – категоризация и контентная фильтрация веб-доступа.

ПОДЕЛИТЬСЯ В СОЦСЕТЯХ