На портале Cyber Media ранее публиковались сравнения инструментов по информационной безопасности. Мы скрупулезно в деталях рассматривали конкретные решения каждого класса. Но прежде, чем дойти до выбора инструмента определенного разработчика, компании должны решить другую задачу: выбрать класс решений необходим для построения корпоративной системы информационной безопасности. Чему отдать предпочтение с учетом конкретных вводных данных, имеющихся брешей и потребностей.
В этом обзоре мы рассмотрим не определенные продукты, а классы решений. Цель обзора — помочь сузить горизонт принятия решений до нужного класса ИБ-инструментов. Предметом сравнения стали типы, которые недавно обозревал портал Cyber Media:
Все эти классы инструментов по сути решают одну задачу — защита корпоративной системы информационной безопасности от вторжений и/или утечек данных. Но делают они это по-разному, если рассматривать механизмы реагирования. В этих отличиях важно разобраться до принятия решения о покупке. Это сравнение не для опытных практикующих специалистов по информационной безопасности, а скорее для тех, кто только начинает свой путь в этой нише. А также для собственников компаний, которые утверждают конкретное решение, предлагаемое ИБ-отделом.
Первое отличие классов решений друг от друга — механизм их работы:
То есть, XDR и IDS нацелены на обнаружение внешних угроз. DLP позволяет свести к минимум внутренние угрозы. В этом смысле они хорошо дополняют друг друга.
Из трех продуктов самым сложным будет XDR-система. Формально она включает в себя и IDS, и DLP-систему. То есть, выбирая XDR, компания обеспечивает себе наиболее совершенную на сегодняшний день защиту и, соответственно, максимально дорогостоящую. Если нужно закрыть брешь на определенном участке, уместно выбирать IDS или DLP в зависимости от задач.
В упрощенном виде направление защиты этих классов решений выглядит так:
Так как все три класса решений нацелены на выявление угроз, они работают над защитой различных частей пользовательской системы. Для DLP объектом защиты служат следующие каналы передачи данных:
Большой блок функций DLP связан с контролем за действиями сотрудников. Для этого класс решений обладает следующим функционалом:
У IDS фокус будет другой. Класс решений направлен на анализ данных и сетевого подключения IDS-система может быть хостовой — в этом случае она защищает только тот хост, на котором установлена. В объективе исследования решений оказываются как входящие, так и исходящие пакеты данных. Если IDS-система будет сетевой, то эту операцию она будет производить уже в отношении всего трафика в локальной сети. Периметровые IDS сосредоточены на внешних границах системы. Наконец, существует возможность развернуть IDS на виртуальной машине без физической установки ее на отдельном устройстве. Однако инструмент может быть гибридным, то есть сочетать в себе некоторые или все вышеперечисленные типы. На вверенном участке система сравнивает образцы данных с известными сигнатурами атак или указывает администратору на аномальную активность.
XDR, как комплексное решение, включает оба варианта. Помимо IDS и DLP-систем в него входят системы анализа трафика NTA, управления идентификацией доступа IAM и учетными данными IDM, а также SIEM – система управления событиями и информацией о безопасности.
Для IDS и DLP уместно сравнить методы, которыми они обеспечивают защиту. В случае с DLP-системой фокус будет на лингвистический анализ. То есть инструмент будет анализировать всю исходящую корпоративную документацию на предмет определения уровня ее секретности. В решениях некоторых разработчиков предусмотрена опция создания для компании собственных словарей, что позволяет достичь максимальной точности анализа.
В случае с IDS фокус смещается на весь трафик компании. Для некоторых решений в приоритете только внешний трафик. Другие анализируют и внутренний трафик, то есть частично пересекаются по области применения с DLP, но выполняют другие функции.
Выявлять угрозы IDS-система будет одним из двух методов:
Для XDR правильным вариантом будет все вышеперечисленное. Плюс каждый используемый в рамках продукта инструмент добавит ему дополнительные методы и функционал.
Для многих IDS и DLP-решений характерна модульная структура. Это означает, что компания самостоятельно выбирает те каналы передачи или средства обмена информацией, которые нуждаются в защите. Фактически устанавливается решение в уникальной конфигурации, собранное под потребности компании. В этом случае заказчик приобретает лицензию на каждый модуль и может добавлять нужные по мере увеличения потребностей.
С XDR ситуация обратная. Этот класс решений уже включает в себя XDR, DLP и многие другие инструменты. Без них он просто не сможет эффективно работать. Его важная функция — интеграция всего имеющегося на службе ИБ-специалиста арсенала в единое целое. На их основе инструмент создает наглядные отчеты по выявленным проблемам, а собранные инструментом данные используются для расследования киберинцидентов.
Существенный момент: XDR необходимо постоянное обновление. То есть все новые угрозы, возникшие на горизонте информационной безопасности компании, должны как можно быстрее находить свое место в базах данных XDR. Если выбирается только IDS с анализом на основе содержимого базы сигнатур, это так же справедливо.
А вот DLP-систему можно обновлять не так часто, но на этапе установки работы с ней, как самостоятельным продуктом или частью XDR, будет много. Потребуется адаптировать к специфике компании политику безопасности по умолчанию или разработать свою, а также разобраться со словарями для лингвистического анализа.
Все это хорошо, но как выбрать решение, чтобы оно соответствовало потребностям компании. Начать стоит с определения брешей которые нужно закрыть:
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться