Endpoint Protection: як вберегти робочі місця від кіберзагроз

Час, коли співробітники працювали лише в офісах, минув. Сьогодні компанії можуть відкривати свої відділення в різних областях країни, а також відправляти працівників виконувати свої посадові обов’язки віддалено. Для ІТ-відділу це означає, що підприємство має щонайменше три різних формати перебування співробітника в ІТ-системі: головний офіс, філіал та віддалена локація.

Стандартна організація роботи компанії виглядає наступним чином: головний офіс — найбільш захищений, адже саме тут встановлені критично-важливі сервіси для бізнесу, наприклад, корпоративна пошта, CRM-системи, системи обліку товарів, послуг та інші. ІТ-фахівці розгортають тут комплексні рішення з інформаційної безпеки, зокрема різноманітні системи логування та моніторингу, фаєрволи тощо. У філіальних офісах, своєю чергою, встановлюється спеціальне обладнання та програмне забезпечення для організації захищеного доступу до робочих сервісів, які розгорнуто в штаб-квартирі.

Найменш захищеною в ІТ-системі компанії залишається віддалена локація. Це місце поза офісом, де працює співробітник — дім, готель, кав’ярня тощо. Така локація є найбільш вразливою з усіх, адже компанії не можуть проконтролювати елементи інфраструктури, за допомогою яких працівник під’єднується до їхньої мережі. Зловмисники цим користуються та готові будь-якої миті атакувати компанію незалежно від її розміру та масштабу.

Отже, існують наступні виклики для безпеки кінцевих точок компанії:

• «Білі плями». Це сліпі зони в поводженні з робочими комп’ютерами, які компанія не може контролювати. Наприклад, співробітник може встановити шкідливу програму, використати заборонені інструменти на корпоративному ноутбуці або витягнути жорсткий диск та зробити копію всіх доступних робочих систем.
• Витік конфіденційної інформації. Співробітник може випадково або навмисне надіслати конфіденційні дані компанії конкурентам. Це можуть бути навіть найпростіші документи на кшталт цінових пропозицій або фінансового звіту, компрометація яких вже завдасть шкоди бізнесу.
• «Shadow IT». Це будь-які додатки, які використовують співробітники, але які не контролює ІТ-підрозділ компанії. Наприклад, різноманітні месенджери або програми для ведення задач (task management), візуалізації даних тощо. Загроза полягає у тому, що такі продукти можуть мати вразливості «нульового дня», а працівник вноситиме туди частково конфіденційні дані компанії.

Якщо є компанії, які вважають свій бізнес нецікавим для хакерів, а самі кібератаки дорогими, то вони помиляються. Зазвичай це лише питання часу, коли те чи інше підприємство стане наступною жертвою зловмисників, адже насправді налаштувати хакерську атаку не так вже і дорого. Достатньо подивитися на вартість найбільш розповсюджених загроз, яку порахувала компанія «Microsoft».

Отже, за підрахунками Microsoft, найдорожчою кібератакою є 0days або вразливість «нульового дня». Це вразливість програмного або апаратного забезпечення, про яку ще не знають користувачі або його розробники, а тому механізму захисту ще не створено. Ціна за цю атаку може сягати до $350 000, бо вона потребує розробки ПЗ та аналізу систем, які ви використовуєте.

Однією з найдешевших атак є Ransomware або віруси-шифрувальники. Хакери можуть придбати такого шифрувальника за $66 на тіньовому ринку або ж сплатити 30% від прибутку після успішної атаки. Розповсюдженою є і Denial of Service (DOS). Це атака на комп’ютерну систему, мета якої закрити доступ користувачам до наявних ресурсів. Її середня ціна за день — $102, що досить мало у порівнянні до масштабу компанії, на яку можна спрямувати такий вірус.

Купити можна і скомпрометовані облікові записи. Це також ризик для компанії, адже зазвичай люди зневажають елементарні правила інформаційної безпеки та, наприклад, використовують однакові паролі до Facebook, сервісів Google та вашої корпоративної мережі. Саме тому варто подбати про комплексний набір інструментів для захисту ІТ-системи від дії зловмисників.

Уже звичні для бізнесу рішення для кібербезпеки не завжди можуть повноцінно захищати хмарне середовище та запобігати атакам на користувачів. Ситуація ускладнюється, якщо співробітники перебувають не в периметрі корпоративної інфраструктури, а під’єднуються до систем віддалено. Саме тому до наявного стеку технологій з інформаційної безпеки додалися нові інструменти, наприклад, Cloud access security broker (CASB) та Endpoint Detection and Response (EDR).

Cloud access security broker або брокер безпеки хмарного доступу — це спеціальне рішення, яке відстежує всі дії користувачів системи та забезпечує дотримання корпоративних політик безпеки.

Endpoint Detection and Response — це клас рішень, які безперервно відстежують та збирають дані про кінцеві точки в режимі реального часу, що забезпечує швидке реагування на потенційні загрози.

Ці технології підходять для комплексного захисту сучасного віддаленого робочого місця, а саме всіх додатків, сервісів та робочих станцій, де відбувається будь-яка робота з документами. Наприклад, DLP-система (Data Loss Prevention) дозволяє за допомогою спеціальних міток створити політики зберігання та роботи з документами, листами та файлами, що у поєднанні з CASB запобігає витоку конфіденційної інформації назовні.

Водночас поєднання CASB та EDR на базовому рівні дозволяє налаштувати поведінковий аналіз загроз: система створює моделі поведінки користувачів, щоб відстежувати аномальні дії в хмарних додатках. Це допомагає виявити скомпрометовані облікові записи, програми-вимагачі тощо.

Раніше більшість постачальників пропонували продукти лише для попередження кібератак. Це так званий «Pre-breach» підхід, у межах якого компанії робили все можливе, щоб зловмисники не потрапили в мережу: налаштовували фаєрволи, антивіруси, політику доступів тощо. Однак, усе одно залишаються вразливості «нульового дня» (0days), і підприємства потребують інструментів для аналізу вже здійснених атак на систему. Так з’явився підхід «Post-breach».

Київстар допомагає впроваджувати своїм клієнтам рішення від одного зі світових лідерів у сфері кіберзахисту — Microsoft Defender for Endpoints. Ця корпоративна платформа розроблена для виявлення, запобігання та дослідження складних атак на корпоративну мережу, а також для своєчасного реагування на них. ІТ-фахівцям вона дозволяє проаналізувати, через які вразливості, файл або порт зловмисники отримали доступ до комп’ютера користувача.

Керувати Microsoft Defender for Endpoints можна за допомогою хмарної консолі управління. Тут система зберігає детальну аналітику щодо роботи усієї ІТ-інфраструктури компанії. Defender for Endpoints аналізує файли, процеси, IP-адреси та методи присутності, які використовує програмне забезпечення зловмисників. Це дозволяє зафіксувати навіть якісно замасковані загрози.

Так, ми можемо натиснути на шкідливий файл та побачити, чому система заблокувала його.

Зокрема, Microsoft Defender for Endpoints пропонує такі можливості:

• Оцінка рівня безпеки додатків. Система допомагає динамічно оцінювати стан безпеки корпоративної мережі, виявляє незахищені системи та рекомендує, що зробити для кращого захисту всієї організації. Наприклад, показує відсутні оновлення для програмного забезпечення та дає інструкції, як швидко розв’язати проблему.
• Історія дій за 180 днів. Система дає можливість аналізувати хронологію дій програм в системі за останні пів року. Наприклад, користувач завантажив, на перший погляд, безпечне програмне забезпечення, яке активувалося лише через місяць. ІТ-фахівці можуть побачити хости, з якими воно взаємодіяло, та проаналізувати їх.
• Невидимість для користувачів. Робота рішення ніяким чином не відображається для користувачів, а тому вони не зможуть його вимкнути. Наприклад, бухгалтер не побачить, що система автоматично перевіряє всі робочі процеси.
• Центр оновлення Microsoft. Вам не потрібно самостійно шукати оновлення для програмного забезпечення, адже у системі вже зібрані всі актуальні посилання.
• База знань про кібератаки. У системі також є інформація про відомі кіберзагрози, механізм їхньої дії та навіть підказка, які елементи вашої системи можуть бути вразливими до них.

Більш розширено про можливості захисту кінцевих точок саме для вашої компанії можуть розказати спеціалісти Київстар. Для цього потрібно залишити заявку на сайті. Менеджер Київстару зв’яжеться з вами, відповість на запитання й допоможе підібрати оптимальне рішення для вашого бізнесу.