«МК Enterprise» — комплексное решение в сфере информационной безопасности для коммерческих компаний и государственных корпораций

Эксперты в сфере информационной безопасности (ИБ) ежегодно фиксируют рост числа хакерских атак в России, однако, начиная с 2022 года, он принял по-настоящему взрывной характер. Только за первый квартал 2023 года их количество, согласно отчету компании «РТК-Солар», суммарно увеличилось до 290 тысяч.

В этом же отчете отмечается, что в своих атаках хакеры все чаще стали использовать технологии киберразведки, что значительно усложняет обнаружение атаки.

А согласно данным компании StormWall, за второй квартал 2023 года Россия вошла в десятку наиболее частых целей DDoS-атак.

Если прибавить к увеличившейся интенсивности хакерских атак дефицит квалифицированных ИБ-специалистов в России, то становится очевидно, что в службах ИБ коммерческих компаний и государственных корпораций, не последнюю роль играют комплексные программные продукты.

Одним из таких решений является ПО класса DFIR «МК Enterprise» от компании «МКО Системы». Прежде чем перейти к подробному рассказу о нем, мы напомним нашим читателям о том, какие виды решений для обеспечения ИБ существуют на рынке.

Решения для ИБ и их особенности

На рынке программных продуктов для обеспечения ИБ в настоящее время преобладают шесть основных классов решений: SOAR, SIEM, DLP, XDR, EDR, DFIR. Кратко расскажем о каждом из них.

SOAR

SOAR (Security Orchestration, Automation and Response) осуществляет непосредственное управление всеми системами безопасности в компании. SOAR в реальном времени собирает всю информацию об инцидентах ИБ из различных источников. Также данное ПО объединяет все защитные решения компании в единую систему, обеспечивая комплексное управление ими.

SIEM

SIEM (Security Information and Event Management) — система, управляющая событиями и информацией. В ее задачи входит сбор и анализ информации из различных аппаратных источников (например, файерволлов, маршрутизаторов и т.д.), от антивирусов, систем DLP (поговорим о них далее) и др.

SIEM анализирует поступающие входные данные в соответствии с заданными критериями и ищет в них отклонение от нормы. Если обнаружено нарушение, то формируется сообщение об инциденте.

DLP

DLP (Data Loss Prevention) — система, предотвращающая утечки информации. Данный класс решений защищает важную информацию от несанкционированного доступа третьих лиц внутри сети. В функции системы входит защита каналов передачи для устранения утечек критически важных данных.

Также DLP-системы могут производить поиск важных данных в файловых хранилищах, на рабочих компьютерах сотрудников, в базах данных и т.д. В случае обнаружения конфиденциальной информации там, где ее быть не должно, DLP-система формирует сообщение об инциденте.

XDR

XDR (Extended Detection & Response) – специальный класс систем, в задачи которого входит автоматическое проактивное выявление угроз, направленных на разные уровни корпоративной инфраструктуры.

В данное ПО обычно включается широкий набор различных инструментов, которые можно легко интегрировать в программы и приложения для обеспечения мониторинга данных на уровне конечных точек. Ими могут быть, например, сервера электронной почты, облачные сервера, рабочие станции, пользовательские гаджеты и другие устройства.

EDR

EDR (Endpoint Detection and Response) – этот класс программных продуктов служит для обнаружения и изучения активности различного вредоносного ПО на конечных устройствах корпоративной сети (рабочих станциях, серверах, устройствах Интернета-вещей, гаджетах, и др).

Как правило, в состав этого класса ПО входят специальные агенты, устанавливаемые на конечные устройства. Они осуществляют мониторинг всех запущенных процессов, действий пользователя, сетевой активности, а также собирают другую важную информацию. Все данные передаются на сервер или в облако, где подвергаются анализу с использованием различных алгоритмов, а также сопоставляются с актуальными базами вредоносного ПО.

DFIR

DFIR (Digital Forensics and Incident Response) — системы цифровой криминалистики, или форензики, главная задача которых — расследование и предотвращение различных инцидентов в сфере ИБ. Программные продукты класса DFIR помогают получить полную, прозрачную и достоверную картину инцидента и ответить на такие вопросы, как:

• Кто стал «нулевым пациентом»?
• Каковы последствия и полный масштаб атаки?
• Какие шаги предприняли злоумышленники, находясь в периметре?
• Как наиболее эффективно отреагировать на инцидент и нивелировать последствия?

Для ответа на эти вопросы системы DFIR должны уметь:

• извлекать данные из различного типа цифровых источников, в т.ч. восстанавливать информацию удаленную пользователем или злоумышленником;
• сохранять, систематизировать и анализировать извлеченные данные;
• восстанавливать хронологию событий.

Соответствует ли этим требованиям «МК Enterprise»? Рассмотрим подробнее его возможности.

«МК Enterprise» — что это?

Комплексное решение для обеспечения информационной безопасности коммерческих организаций «МК Enterprise» было создано компанией «МКО Системы» и пришло на смену ранее выпускавшемуся продукту «МК Бизнес».

Специалисты компании при создании «МК Enterprise» ставили перед собой задачу помочь сотрудникам служб информационной безопасности компаний корпоративного сектора в предотвращении и расследовании корпоративных инцидентов.

Возможности «МК Enterprise»

«МК Enterprise» дает возможность проводить исследования серверов, рабочих станций, мобильных устройств и различных облачных сервисов.

Серверы и рабочие станции

При работе с серверами и рабочими станциями «МК Enterprise» позволяет:

• осуществлять дистанционный централизованный сбор данных при помощи агентов (об их возможностях мы расскажем ниже): поддерживаются все современные ОС — Windows, macOS, GNU/Linux;
• проводить исследование

➢   подключенных внешних дисков, ранее созданных физических и логических образов ПК, в том числе защищенных при помощи технологии BitLocker;

➢   образов оперативной памяти в форматах RAW или DMP;

➢   образов Apple-устройств, созданных при помощи Time Machine;

➢   образов виртуальных машин;

• осуществлять сбор подробной информации на исследуемой машине: системных артефактов, данных приложений, учетных данных и многого другого.

Облачные сервисы

Инструментарий, входящий в состав «МК Enterprise», дает возможность исследовать более 100 популярных облачных сервисов. В частности специалист может:

• пройти полный цикл авторизации в учетной записи облака, а также преодолеть различные методы двухфакторной аутентификации;
• извлечь всю необходимую для исследования информацию (в частности: данные учетной записи, историю переписки, различные файлы и другие сведения) из облаков Google, iCloud, Outlook, Yandex, WhatsApp, Telegram, VKontakte, MEGA, Skype, Zoom и других.

Мобильные устройства

Во многих компаниях сотрудники предпочитают использовать на работе и в командировках служебные мобильные устройства. «МК Enterprise» также может помочь специалистам службы ИБ компании провести извлечение и анализ данных из этих устройств. Используя «МК Enterprise», можно:

• проводить извлечение и расшифровку данных из мобильных гаджетов, работающих под управлением iOS и Android от различных вендоров;
• обходить или подбирать пароли на блокировку экрана исследуемых Android-устройств;
• получать и исследовать необходимую информацию из установленных на устройствах приложений.

Заметим, что в настоящий момент «МК Enterprise» позволяет извлекать и исследовать данные из 41 тысячи моделей мобильных устройств от известных вендров (Apple, Xiaomi, Samsung, Huawei и других). Этот перечень постоянно пополняется.

Несколько фирменных «фишек» «МК Enterprise»

Для повышения скорости и эффективности работы сотрудников ИБ с программным комплексом разработчики встроили в него несколько фирменных «фишек», о которых мы хотим рассказать.

Извлечение данных из рабочих станций с помощью агентов

Использование агентов для удаленного извлечения данных существенно расширяет возможности «МК Enterprise». С помощью Центра Управления Агентами можно записать на внешний носитель, установить по локальной сети на удаленный ПК или другое устройство программу-агента. После установки Агента на устройства сотрудники службы ИБ могут удаленно управлять работой Агента, а именно: проводить дистанционное извлечение данных и их последующий импорт в «МК Enterprise» на своей машине для последующего анализа.

Агентский режим — не только удобный, но и эффективный инструмент для проведения периодического аудита файловой системы компании и отслеживания активности пользователей в цифровом периметре.

Аналитические возможности «МК Enterprise»

Как мы уже отмечали, для обнаружения и расследования инцидента важно не только оперативно собрать всю доступную информацию, но и быстро проанализировать ее. Для этого в «МК Enterprise» встроен обширный набор аналитических инструментов. Они позволяют выявлять прямые или косвенные связи между контактами одного или нескольких извлечений, осуществлять поиск данных по различным заданным параметрам (например, номерам телефонов, ключевым словам, метаданным и др.). При необходимости, можно выстроить хронологическую цепочку инцидента.

Более того, исследователю доступны технология оптического распознавания текста на изображениях (OCR), функция отображения геоданных на карте.

Какие задачи можно решать с помощью «МК Enterprise»

Используя DFIR-решение «МК Enterprise», специалисты службы ИБ могут решать различные задачи, например, расследовать:

• утечку конфиденциальных данных;
• нарушение внутренней политики безопасности;
• различные факты мошенничества;
• инциденты связанные с вредоносным ПО;
• выявлять источники появления на ПК и гаджетах сотрудников запрещенных приложений и т.д.

С помощью «МК Enterprise» можно проводить профилактические работы, направленные на предотвращение инцидентов в сфере ИБ. Для этого можно воспользоваться инструментами для проведения периодического аудита файловой системы рабочих станций и серверов предприятия, а также корпоративных мобильных устройств и переносных накопителей данных, если они используются в компании.

Что дает «МК Enterprise» департаментам ИБ

Первое и самое главное преимущество — широкие возможности сбора и анализа цифровых улик в сочетании с выдачей отчетов в установленной форме помогут оперативно собрать доказательную базу по инциденту.

Возможность создания и постоянного пополнения базы знаний об инцидентах и принятых мерах для их локализации и устранения последствий.

Для ознакомления с возможностями «МК Enterprise» можно запросить демо-версию программы у разработчика.

еrid: Kra23g8Gx

* Реклама, Рекламодатель ООО «МКО Системы», ИНН 7709458650