Компания «Код безопасности» провела аналитическое исследование о защите конечных точек, выявив существующие проблемы и решения. Эксперты определили актуальные векторы атак, самые опасные последствия инцидентов для разных отраслей, а также распространенность различных типов средств защиты. Результаты исследования показали, что наиболее актуальными являются атаки, связанные с действиями персонала.

Для оценки особенностей обеспечения ИБ на конечных точках аналитики «Кода безопасности» опросили 220 специалистов ИБ-подразделений организаций из 10 отраслей: госсектор, здравоохранение, ИТ и телеком, образование, промышленность, транспорт, топливно-энергетический комплекс, торговля и услуги, культура и финансы.

Цифровизация российской экономики — один из основных трендов развития информационных технологий. Повсеместно внедряются искусственный интеллект, машинное зрение и обучение, интернет вещей, виртуальная и дополненная реальности, облачные решения. Вместе с тем цифровизация приносит и новые поводы для беспокойства: количество векторов атак неизбежно увеличивается. По данным исследования «Защита корпоративных сетей», почти половина респондентов считают, что наибольшую опасность представляет атака на рабочие станции. Аналитики «Кода безопасности» выявили наиболее актуальные векторы атак в 2019 году.

Как отметили респонденты, одной из самых больших угроз для ИТ-инфраструктуры является собственный персонал. Чтобы снизить риск, необходимо предпринимать меры организационного (разделение полномочий, принцип минимально необходимых прав) и обучающего (обучение основам цифровой гигиены, регулярные тестирования и проверки знаний) характера.

Высокая актуальность атак, связанных с наличием уязвимостей в операционной системе и прикладном программном обеспечении, вызвана развитием ИТ-инфраструктуры и неэффективными внутренними процессами управления уязвимостями. Для решения этих задач необходимо отладить процесс приоритизации обновлений и инвестировать в мониторинг безопасности и своевременную адаптацию политики безопасности средств защиты.

Каждый пятый респондент отметил актуальность атак с использованием закладок. Большая часть мер, которые помогут справиться с этим типом атак, находится в области управления поставщиками и управления цепочками поставок. Также целесообразными могут быть спецпроверки и специсследования критичных элементов ИТ-инфраструктуры.

Последствия любых атак и, соответственно, приоритет при выделении ресурсов на те или иные задачи обеспечения информационной безопасности значительно различаются в зависимости от отрасли. Эксперты «Кода безопасности» выделили наиболее актуальные виды последствий: штраф регуляторов, остановка бизнес-процессов, кража денег, репутационный ущерб и пр.

Штрафа со стороны регуляторов больше всего опасаются организации с жестким регулированием: государственные компании (62%), организации здравоохранения (62%), образовательные (41%) и финансовые организации (40%). Многие отрасли наиболее неприятным последствием ИБ-угроз считают остановку бизнес-процессов. Важным по значению стал репутационный ущерб: для транспортной отрасли (81%); компаний ИТ и телекома (79%); образовательных организаций (65%), финансового сектора (60%). Банки и другие финансовые компании отмечают повышенную озабоченность последствиями, связанными с кражей денежных средств.

Информационную безопасность можно обеспечить только комплексными мерами защиты, важную часть которых составляют технические средства. В свою очередь, большой «парк» средств защиты может создать сложности для ИТ-инфраструктуры компании.

Основной «киберболью» при использовании средств защиты конечных точек для пользователей стало снижение производительности системы — его отметили 66% респондентов. На второе место участники рынка поставили конфликты между различными СЗИ, установленными в системе, — 64%. И 49% ИБ-специалистов назвали ключевым неудобство, связанное с конфликтами эксплуатируемых СЗИ с прикладным ПО.

Государство продолжает активно стимулировать переход российских организаций на отечественные решения. В процессе импортозамещения ИТ-инфраструктуры выделилась группа лидеров с наиболее зрелыми предложениями. Среди операционных систем — это РусБИТех и Базальт СПО, среди телекоммуникационного оборудования — Eltex. Уровень готовности переходить на российские продукты постепенно растет.

С 2018 года число российских организаций, планирующих использовать отечественные решения, увеличилось на 12%. Планируют заменить следующие ИТ-элементы: персональные компьютеры (21%); серверы (17%); сетевое оборудование (16%); системы хранения данных (7%); планшеты (4%). 2/3 участников опроса отметили, что не планируют ничего менять.

Сегментация или группирование компьютеров в отдельные группы по каким-либо признакам проводится для повышения доступности необходимых данных авторизованным сотрудникам и ограничения доступности данных неавторизованным сотрудникам. Большая часть российских компаний (68%) осознает важность организации сегментированной внутренней сети для предотвращения атак на критические ресурсы системы.

Большинство респондентов (79%) отдают предпочтение аппаратным типам решений. Программные средства, позволяющие обеспечить сегментирование при меньших бюджетах в виртуальных инфраструктурах, а также в сетях сложной топологии, используют 17% опрошенных. Основная причина, по которой компании не используют решения для сегментации сети, — это отсутствие финансирования; на втором месте — нехватка специалистов для эксплуатации средств сегментации.

По мере развития ландшафта угроз и повышения требований к корпоративной системе информационной безопасности на рынке появляется все больше средств защиты.

По результатам опроса можно выделить две большие группы используемых СЗИ: приоритетные и дополнительные. В число приоритетных входят межсетевой экран (86%), антивирус (82%), система обнаружения вторжений (67%) и средства защиты от несанкционированного доступа (65%). Вторая группа — дополнительные средства защиты, которые используются для защиты от специфических рисков ИБ. В их число входят системы защиты от утечек (DLP, 35%), системы управления событиями ИБ (SIEM, 30%), песочницы (Sandbox, 20%), межсетевые экраны уровня веб-приложений (WAF, 14%), системы глубокого анализа трафика (DPI, 10%) и системы обнаружения и реагирования на сложные угрозы (EDR, 6%).

Эффективная стратегия защиты конечных точек должна включать в себя ряд мер, которые условно можно разделить на организационные и технические.

В число технических мер входят:

  • внедрение комбинации системы защиты от вредоносного ПО и системы защиты от несанкционированного доступа к данным. Причем на этапе выбора стоит отдавать предпочтение совместимым и простым в настройке средствам защиты. В случае с рабочими станциями приоритет нужно отдавать средствам защиты от вредоносного кода. Для серверов, в свою очередь, более подходящим является подход замкнутой программной среды, когда с помощью средства защиты запрещается запуск любого неавторизованного кода и осуществляется глубокий контроль целостности файлов, процессов и драйверов ОС;
  • сегментация внутренней сети. Она позволит ограничить распространение злоумышленника, если он все же получил несанкционированный доступ к конечным точкам внутри сети. Сегментация может быть реализована как аппаратными средствами (межсетевым экраном), так и программным модулем, встроенным в СЗИ от НСД.

В число организационных мер входят:

  • риск-ориентированное управление уязвимостями. Организация должна не просто вести список обнаруженных уязвимостей, она должна внедрить практику оценки опасности уязвимости для своей инфраструктуры;
  • обучение пользователей. Необходима комбинация мер из очного и удаленного обучения, регулярной проверки знаний пользователей и тестирования их бдительности с помощью специальных инструментов, эмулирующих фишинг.

«Важнейшая задача для нашей компании — создание продуктов, максимально соответствующих требованиям пользователей и тенденциям рынка ИБ. Одним из ключевых направлений для нас является разработка средств защиты серверов и рабочих станций. Аналитические исследования в данной области помогают нам держать руку на пульсе, улучшать продукты, развивая их в актуальном для рынка направлении, в должной степени понимать угрозы, волнующие наших потенциальных и текущих заказчиков, а также проблемы, с которыми они сталкиваются в реалиях сегодняшнего дня», — прокомментировал Александр Котов, руководитель направления средств защиты серверов и рабочих станций компании «Код безопасности».