Любой, кто использует технологии в своей повседневной жизни, понимает, что они постоянно меняются, и это мнение особенно актуально в индустрии кибербезопасности.
Злоумышленники продолжают разрабатывать новые тактики обхода защиты, поэтому методы обнаружения и предотвращения этих угроз должны действовать еще более быстрыми темпами.
Однако идти в ногу со всеми изменениями может быть довольно сложно даже для самого опытного профессионала в области кибербезопасности.
Сегодня сотрудники ведут бизнес с помощью множества устройств и гаджетов, некоторые из которых выпущены компанией, а другие находятся в частной собственности.
Конфиденциальные данные хранятся во многих местах или конечных точках, в том числе на устройствах, в корпоративных центрах обработки данных и в облаке.
Это означает, что организациям, вероятно, потребуется более одной технологии для защиты своих конечных точек от нарушений безопасности или потери данных.
Поскольку поставщики кибербезопасности продают в своих предложениях широкий спектр фирменных продуктов, может быть сложно определить, какие из них идеально подходят для вашей среды.
Цель этой статьи — помочь демистифицировать различные технологии обеспечения безопасности конечных точек, с которыми вы можете столкнуться во время исследования, выделить основные различия и объяснить, как они могут дополнять друг друга.
Четыре ключевые технологии обеспечения безопасности конечных точек
Для начала давайте точно определим, что такое конечная точка.
На самом фундаментальном уровне конечная точка — это любое устройство, которое подключается к сети и обменивается данными. Это могут быть традиционные настольные и портативные компьютеры, планшеты, смартфоны, принтеры и серверы.
Конечные точки также включают в себя сетевые устройства, такие как маршрутизаторы, коммутаторы или межсетевые экраны, а также широкий спектр устройств Интернета вещей, таких как носимые устройства, камеры видеонаблюдения, датчики и подключенное медицинское или производственное оборудование.
Но мы также должны думать не только о физических устройствах, но и о виртуальных машинах, на которых размещаются приложения и данные в общедоступных или частных облаках.
Важно отметить, что все конечные точки представляют собой точки входа в сеть и, следовательно, могут быть использованы, создавая возможности для потери конфиденциальных данных.
Таким образом, все они должны быть учтены при построении стратегии безопасности конечных точек. Ниже приведены некоторые из наиболее распространенных технологий безопасности конечных точек, с которыми вы, вероятно, столкнетесь:
Унифицированное управление конечными точками (UEM) или управление мобильными устройствами (MDM).
В индустрии кибербезопасности широко распространена концепция, согласно которой нельзя эффективно защитить то, чего не видишь.
Поэтому первым шагом в создании комплексной политики безопасности конечных точек является инвентаризация всех устройств, имеющих доступ к вашей сети, и это можно выполнить с помощью технологий UEM или MDM.
Основное различие между ними заключается в том, что MDM предназначен для операционных систем (ОС) iOS и Android, тогда как UEM включает в себя эти ОС, а также операционные системы Windows и Mac, а в некоторых случаях даже рабочие устройства и носимые устройства.
Как только устройства будут обнаружены и профилированы, администраторы смогут применять к ним согласованные политики безопасности, независимо от того, где находится конечная точка.
И UEM, и MDM позволяют организациям устанавливать стандарты в отношении уровня безопасности устройств, получающих доступ к сети.
Например, можно создать правила, согласно которым устройство не может быть взломано и должно работать на последней версии ОС. Они также могут ограничить, какие приложения пользователи могут устанавливать и что им разрешено делать на управляемом устройстве.
Администраторы могут использовать консоль управления для установки обновлений операционных систем или приложений на устройства, которые не соответствуют требованиям, или даже для удаления данных с устройств, которые были утеряны, украдены или использовались бывшими сотрудниками.
Однако MDM и UEM выходят за рамки снижения рисков для организации и могут быть использованы для улучшения пользовательского опыта.
Эти решения позволяют предприятиям доставлять конечным пользователям новые устройства, которые уже настроены, со всеми утвержденными приложениями, необходимыми для выполнения их рабочих обязанностей.
Обнаружение конечных точек и реагирование (EDR).
Как упоминалось выше, политики безопасности можно применять к конечным точкам с помощью UEM и MDM; однако эти решения не могут обнаруживать и блокировать угрозы.
Целью EDR является защита ваших настольных компьютеров, ноутбуков и серверов в режиме реального времени от таких угроз, как программы-вымогатели, известные и неизвестные вредоносные программы, трояны, инструменты взлома, эксплойты памяти, неправильное использование сценариев и вредоносные макросы.
Эта технология зародилась много лет назад как антивирусное программное обеспечение, которое использовало сигнатуры известных или уже выявленных угроз для создания списков блокировки.
Она превратилась в так называемую платформу защиты конечных точек (EPP), которая использует машинное обучение, искусственный интеллект и технологию «песочницы» для обнаружения бесфайловых или ранее невидимых вредоносных программ (также называемых атаками нулевого дня).
Совсем недавно поставщики средств обеспечения безопасности конечных точек начали добавлять возможности анализа и реагирования, превратив технологию EPP в так называемое обнаружение и реагирование конечных точек или EDR.
Мобильная защита от угроз (MTD) .
Мобильные устройства, безусловно, являются конечными точками, и они имеют много общего с ноутбуками и настольными компьютерами с точки зрения их уязвимости к таким атакам, как фишинг и вредоносное ПО, но они уникальны в том, как проводятся атаки.
Несколькими примерами могут служить SMS-сообщения с фишинговыми ссылками, вредоносными QR-кодами или недобросовестными приложениями.
Именно по этой причине мобильным устройствам требуется собственное специализированное решение безопасности, обычно называемое мобильной безопасностью или защитой от мобильных угроз (MTD).
MTD защищает как управляемые, так и неуправляемые мобильные устройства от четырех категорий угроз2:
Устройство: обнаружение взломанных или рутованных устройств, устаревших операционных систем и рискованных конфигураций.
Приложение: пометка приложений, которые известны как вредоносные, а также тех, которые утекают или передают данные.
Сеть: выявление рискованных сетей для защиты от атак «человек посередине», подделки сертификата или других атак, использующих уязвимые сеансы TLS/SSL.
Контент и Интернет: блокировка вредоносных ссылок, отправленных по электронной почте, SMS, браузерам, социальным сетям или приложениям для повышения производительности.
К сожалению, MTD — это технология безопасности, которая в настоящее время используется недостаточно, а недавнее исследование IDC показало, что она была развернута менее чем половиной опрошенных предприятий малого и среднего бизнеса или крупных предприятий.
Это представляет собой значительный пробел в безопасности, учитывая, сколько конфиденциальной информации передается и хранятся на мобильных устройствах.
Смартфоны и планшеты являются особенно привлекательными целями для злоумышленников из-за простоты атаки с помощью SMS, электронной почты и приложений для обмена сообщениями, а также частого отсутствия средств контроля безопасности на устройстве.
Кроме того, эти устройства можно использовать в качестве точки перехода в сеть, откуда можно предпринять более эффективные атаки.
Платформа защиты облачных рабочих нагрузок (CWPP).
Инициативы по цифровой трансформации привели к тому, что компании перенесли больше приложений из центров обработки данных в облако.
Преимущества здесь включают снижение накладных расходов, повышение производительности и улучшение пользовательского опыта.
Наиболее часто используемые поставщики облачных услуг (CSP) — AWS, Azure и Google Cloud.
87% организаций используют несколько поставщиков облачных услуг, а 72% имеют структуру гибридного облака, сочетающую в себе как публичные, так и частные облака.3
Хотя этот переход в облако необходим для будущего роста, он также увеличивает поверхность атаки. Это связано с тем, что когда облачные ресурсы становятся общедоступными, намеренно или по ошибке, они становятся мишенью для злоумышленников.
CWPP обеспечивают обнаружение угроз для серверов, виртуальных машин, контейнеров и кластеров Kubernetes во всех облачных средах.
CWPP защищают от широкого спектра атак, включая программы-вымогатели, бесфайловые атаки и атаки нулевого дня. Они могут предупредить администратора безопасности не только об уязвимостях, но и о нарушениях нормативных требований.
Выбор подходящих технологий для вашего бизнеса
Возможно, вам интересно, нужны ли вашей организации все эти средства защиты. Ответ может быть таким же простым, как оценка того, где хранятся ваши конфиденциальные данные.
Даже самые маленькие предприятия обладают ценными данными, включая данные о клиентах и платежах, а для компаний, связанных со здравоохранением, правом, страхованием или финансами, вероятно, существует еще больше частной информации, которая может быть использована для кражи личных данных.
Согласно недавнему исследованию, в среднем сотрудник компании, в которой работает менее 100 человек, будет подвергаться на 350% большему количеству атак социальной инженерии, чем сотрудник более крупного предприятия.
Сотрудники предприятий любого размера могут выполнять бухгалтерские или другие задачи. на ноутбуках, используйте планшеты для обработки транзакций или сбора информации о клиентах, а также используйте мобильные телефоны для ответа на деловые текстовые сообщения или электронные письма.
Для каждой организации безопасность конечных точек следует рассматривать не только как способ снижения риска, но и как фундаментальную инвестицию в обеспечение непрерывности бизнеса.